La rigida e meccanica applicazione delle regole del procedimento amministrativo “analogico” non garantisce una piena e adeguata tutela dei consociati avverso le decisioni automatizzate della Pubblica Amministrazione digitale. La sentenza della sesta sezione del Consiglio di Stato del 04.04.2020, n. 881 torna sulla questione dell’utilizzo di algoritmi in un procedimento amministrativo, ma con un’integrazione rispetto a sentenze precedenti, in particolare rispetto alla sentenza n. 2270/2019 della stessa sezione del Consiglio di Stato.
Il giudizio riguardava alcuni docenti immessi in ruolo nel piano assunzionale straordinario previsto dalla “buona scuola” (l. n. 107/2015). I trasferimenti degli insegnanti, disposti a seguito di una procedura nazionale di mobilità (DM n. 241/2016) e svolta sulla base di un algoritmo, erano risultati non corrispondenti alle preferenze indicate nonostante la disponibilità di posizioni nei luoghi prescelti: un algoritmo “non conosciuto e che non ha funzionato correttamente”. I ricorsi presentati al TAR Lazio per l’annullamento della procedura erano stati accolti in prime cure con la motivazione, tra le altre – quali la mancata salvaguardia degli istituti di partecipazione, trasparenza e accesso – del mancato rispetto dell’obbligo motivazionale, poiché l’utilizzo in concreto dell’algoritmo “non permette […] di percepire l’iter logico-giuridico seguito dall’amministrazione”.
I giudici di Palazzo Spada, nel respingere l’appello del MIUR e confermare la sentenza di primo grado, aggiungono una considerazione e un’integrazione alla medesima. Essi riconoscono che anche la pubblica amministrazione debba ricorrere in misura sempre più larga a strumenti digitali: in questo senso la stessa approvazione del Codice dell’Amministrazione Digitale (CAD), con riferimento agli articoli 2 e 12 in particolare, testimonia un riconoscimento dell’utilità, per esempio, di algoritmi al fine di assicurare efficienza e neutralità per le decisioni del settore pubblico nei confronti dei cittadini. Né si può dimenticare che proprio la digitalizzazione rappresenta un asse strategico del PNRR (una prima efficace sintesi con alcuni commenti si può leggere QUI). Nel caso di specie, l’applicazione di un software in una procedura seriale e standardizzata è ritenuta del tutto ammissibile, acquisendo maggiore precisione e imparzialità nell’elaborazione di una grande quantità di dati senza alcuna (apparente) discrezionalità. Questa integrazione abbozza una distinzione che sarà ancora più dettagliata successivamente nella sentenza n. 7891/2021 della terza sezione del Consiglio di Stato: da un lato l’algoritmo tradizionale come una sequenza finita di istruzioni, ben definite e non ambigue, così da poter essere eseguite meccanicamente e tali da produrre un determinato risultato; dall’altro il c.d.“algoritmo tecnologico” , caratterizzato dall’impiego di sistemi di intelligenza artificiale e/o machine learning, attraverso il quale vengono elaborati continuamente i dati e prese decisioni dalla macchina proprio in base a tale elaborazione, con una discrezionalità dovuta ad un processo logico non deducibile e non conoscibile. Una distinzione, però, non del tutto condivisibile (ne abbiamo parlato anche QUI su questo Osservatorio ).
Ciò considerato, i gravi errori nell’allocazione dei docenti, oggetto della sentenza in analisi, dimostrano che l’applicazione degli strumenti digitali può anche aumentare la disparità nel rapporto tra autorità amministrativa e consociati (ne abbiamo parlato QUI). Le potenzialità dell’utilizzo “patologico” dello strumento informatico rendono evidente la necessità di garantire una adeguata e piena tutela giurisdizionale (e ciò in conformità con l’art. 24 della Costituzione).
Proprio al fine di assoggettare a controllo giurisdizionale l’attività dell’amministrazione digitale, la giurisprudenza ha qualificato l’algoritmo o in termini di atto amministrativo informatico (Cons. St., sez. VI, 8 aprile 2019, n. 2270) oppure in termini di modulo organizzativo, ossia come “strumento procedimentale ed istruttorio, soggetto alle verifiche tipiche di ogni procedimento amministrativo, il quale resta il modus operandi della scelta autoritativa” (come per la sentenza in commento).
Attraverso la predetta operazione qualificatoria, l’impiego di algoritmi è così sottoposto alle regole che disciplinano il potere amministrativo. Resta però il problema di individuare le specifiche disposizioni che regolano l’utilizzo di algoritmi nelle decisioni amministrative. Infatti, non sono all’evidenza rigidamente applicabili tutte le regole procedimentali stabilite dalla legge n. 241/1990, le quali presuppongono il contesto analogico in cui è stato studiato, pensato e normato il procedimento amministrativo. Ad esempio, il rispetto del principio di trasparenza nel contesto informatico comporta che l’amministrazione non deve solo rendere conoscibile i parametri (in linguaggio naturale) secondo cui è poi sviluppato l’algoritmo (in linguaggio tecnico), ma deve anche rendere pienamente conoscibile quest’ultimo. In questo modo, si apre alla possibilità (o, meglio, alla necessità) di rendere conoscibile il c.d. Codice sorgente alla base dell’applicativo informatico utilizzato, e ciò a prescindere da eventuali eccezioni di riservatezza industriale sollevate dai fornitori/sviluppatori dell’applicativo stesso.
Il Consiglio di Stato giunge dunque a sussumere i seguenti tre ‘nuovi’ principi dall’ordinamento sovranazionale (ed in particolare, dal GDPR), i quali non rappresentano altro che la declinazione nel contesto informatico dei principi costituzionali e amministrativi vigenti (per un approfondimento si rinvia a QUI):
- Il principio di conoscibilità (cfr. Artt. 13, 14 e 15 del GDPR, nonché l’art. 42 della CEDU), secondo cui ognuno ha il diritto di conoscere l’esistenza di processi decisionali automatizzati che lo riguardino ed a ricevere informazioni “significative” sulla logica utilizzata (principio di comprensibilità).
- La garanzia dell’imputabilità della decisione algoritmica all’organo titolare del potere, disciplinata dall’art. 22 del GDPR.
- Il principio di non discriminazione algoritmica, sussunto dal considerando n. 71 del GDPR.
Si ritiene che i predetti principi non debbano essere intesi come mero strumento di controllo ex post (in sede giurisdizionale), ma debbano orientare l’Amministrazione digitale nelle valutazioni discrezionali alla base (nel “design”, cfr. QUI) dell’applicativo informatico utilizzato (valutazioni ad esempio concernenti le sue funzionalità tecniche, la disciplina della proprietà intellettuale con l’eventuale fornitore esterno, nonché l’organizzazione e le garanzie per i diritti e le libertà dei cittadini che circondano l’uso dello stesso). Nel contesto digitale è soprattutto questo il fondamentale momento di esercizio del potere amministrativo. Per tale ragione, il rispetto dei principi sovraesposti non può prescindere dall’approccio di responsabilizzazione (accountability, in inglese) del titolare del trattamento, attorno cui si sviluppa il GDPR (in particolare gli articoli 25 e 35 del GDPR). Nello specifico, la pubblica amministrazione digitale deve rendersi “responsabile”, predisponendo a monte del trattamento (ossia nel momento in cui predetermina le modalità di esercizio del proprio potere) adeguate misure tecniche e organizzative, individuate a seguito della valutazione del rischio conseguente al trattamento da realizzarsi.
Quanto illustrato dimostra come la discussione intorno all’uso di algoritmi – e, più in generale, agli strumenti di digitalizzazione – stia palesando l’inadeguatezza, in alcuni casi, di norme immaginate e create in un contesto assai diverso. Se può essere accettabile per la psicologia cognitiva parlare di correzione delle storture e imperfezioni che caratterizzano le scelte compiute dagli esseri umani, per il diritto il nuovo rapporto tra uomo e macchina pone quesiti di difficile soluzione sul piano etico ed investe il concetto stesso di democrazia.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale