Risposta
Sì, le persone non dovrebbero essere soggette a una decisione basata esclusivamente su un trattamento automatizzato (come gli algoritmi) e giuridicamente vincolante o che li riguardi in modo significativo.
Si considera che una decisione produca effetti giuridici quando i diritti legali o lo status giuridico della persona ne risentono (ad esempio, il suo diritto di voto). Inoltre, il trattamento può avere un impatto significativo su una persona se influisce sulle circostanze in cui si trova, sul suo comportamento o sulle sue scelte (ad esempio, un trattamento automatico può comportare il rifiuto di una domanda di credito online).
Il ricorso al trattamento automatizzato ai fini del processo decisionale è autorizzato solo nei seguenti casi:
- la decisione basata sull’algoritmo è necessaria (cioè non ci deve essere altro modo per raggiungere lo stesso obiettivo) per stipulare o eseguire un contratto con la persona di cui la tua azienda/organizzazione ha trattato i dati tramite l’algoritmo (ad esempio, una domanda di prestito online);
- una particolare legge unionale o nazionale consente l’uso di algoritmi e prevede adeguate garanzie per tutelare i diritti, le libertà e gli interessi legittimi della persona (ad esempio, norme contro l’evasione fiscale);
- la persona ha esplicitamente fornito il proprio consenso a una decisione basata sull’algoritmo.
Tuttavia, la decisione presa deve salvaguardare i diritti, le libertà e gli interessi legittimi della persona, mediante l’applicazione di adeguate garanzie. Salvo nei casi in cui tale decisione sia basata su una legge, negli altri due casi è necessario almeno informare la persona: a) della logica applicata nel processo decisionale; b) del suo diritto di ottenere un intervento umano; c) delle potenziali conseguenze del trattamento; d) del suo diritto di contestare la decisione. La tua azienda/organizzazione dovrà quindi adottare le disposizioni procedurali necessarie per consentire alla persona interessata di esprimere il proprio punto di vista e contestare la decisione.
Infine, occorre prestare particolare attenzione se l’algoritmo utilizza categorie particolari di dati personali: il processo decisionale automatizzato è consentito solo a queste condizioni:
- se la persona interessata ha dato il suo consenso esplicito o
- se il trattamento è necessario per motivi di rilevante interesse pubblico in base al diritto unionale o nazionale.
Inoltre, se la persona è un minore, devi evitare di prendere decisioni esclusivamente automatizzate che producano effetti legali o analogamente significativi su tale persona, perché i minori rappresentano un gruppo vulnerabile della società.
Esempio
La tua azienda/organizzazione è una banca online che offre prestiti. I clienti inseriscono i loro dati e il tuo algoritmo produce risultati sull’opportunità di offrire o meno al cliente un prestito e sul tasso di interesse suggerito. La tua azienda/organizzazione deve riesaminare la decisione prima di comunicarla al potenziale cliente e informarlo che può esprimere la sua opinione ed eventualmente contestare la decisione, tenendo presente che ha il diritto di non essere soggetto a una decisione basata su algoritmi.
Riferimenti
Example
Your company/organisation is an online bank offering loans. Clients insert their data and an algorithm produces results on whether they should be offered a loan or not and the suggested interest rate. Your company/organisation needs to review the said decision before communicating to the prospective client and inform him that he may express his opinion and eventually contest the decision, keeping in mind that the individual has the right not to be subject to a decision based on algorithms.