Art. 22 GDPR — Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione

Commento

Logica della tutela

L'art. 22 GDPR introduce una tutela rafforzata contro le decisioni basate unicamente su trattamento automatizzato, compresa la profilazione, che producano effetti giuridici o incidano in modo analogo significativamente sulla persona. La norma riflette la preoccupazione del legislatore europeo per il potere crescente degli algoritmi nella vita degli individui: scoring creditizio, valutazione di curriculum, decisioni assicurative, sentenze predittive, decisioni amministrative automatizzate. Il considerando 71 spiega la ratio: l'individuo deve mantenere un controllo significativo sulle decisioni che lo riguardano. L'art. 22 si coordina con l'AI Act UE (Regolamento 2024/1689) che disciplina più ampiamente i sistemi di intelligenza artificiale ad alto rischio.

Divieto generale e tre eccezioni (par. 1-2)

Il par. 1 stabilisce il principio: l'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici o incida in modo analogo significativamente sulla sua persona. Il par. 2 elenca tre eccezioni: (a) decisione necessaria per la conclusione o esecuzione di un contratto; (b) autorizzata dal diritto UE o di uno SM con misure adeguate; (c) basata sul consenso esplicito dell'interessato. Solo in queste tre ipotesi la decisione automatizzata è ammessa, sempre con le salvaguardie del par. 3.

Misure di salvaguardia (par. 3)

Il par. 3 impone misure di salvaguardia almeno per le ipotesi del par. 2, lett. a (contratto) e c (consenso): il titolare deve attuare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, almeno il diritto di ottenere l'intervento umano da parte del titolare, di esprimere la propria opinione e di contestare la decisione. È regola sostanziale: l'algoritmo deve essere revisionabile, il risultato contestabile, l'intervento umano effettivo (non meramente formale). Le linee guida EDPB chiedono che la revisione umana sia significativa, non un rubber stamp.

Decisioni su categorie particolari (par. 4)

Il par. 4 prevede che le decisioni di cui al par. 2 non possano basarsi su categorie particolari di dati di cui all'art. 9, par. 1, salvo che si applichi l'art. 9, par. 2, lett. a (consenso esplicito) o g (interesse pubblico rilevante) e che siano in vigore misure adeguate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato. La disciplina è quindi cumulativa: doppia base, doppia salvaguardia. Per AI in sanità, recruitment, credit scoring con dati sensibili, la compliance è particolarmente complessa.

Spiegabilità e accountability algoritmica

La spiegabilità (explainability) è il fronte critico. Gli articoli 13 (par. 2, lett. f), 14 (par. 2, lett. g) e 15 (par. 1, lett. h) prevedono il diritto di ricevere informazioni significative sulla logica utilizzata, sull'importanza e sulle conseguenze previste. La giurisprudenza tedesca (sentenza Schufa C-634/21 della CGUE) ha consolidato il principio: la spiegazione deve permettere all'interessato di comprendere i fattori principali della decisione, non essere un rinvio tecnico generico. Il segreto commerciale dell'algoritmo va bilanciato con il diritto alla spiegazione: in caso di conflitto, prevale la trasparenza significativa.

Coordinamento con AI Act

L'AI Act UE (entrata in vigore agosto 2024, applicabilità progressiva fino al 2027) introduce ulteriori obblighi per i sistemi di IA ad alto rischio: trasparenza, gestione del rischio, conservazione dei log, supervisione umana, qualità dei dati di training, sicurezza informatica. L'art. 22 GDPR resta lex specialis sulla decisione individuale; l'AI Act è lex generalis sui sistemi di IA. Per i fornitori di sistemi di IA che producono decisioni rilevanti, la compliance è doppia: GDPR (sul trattamento di dati personali) e AI Act (sul sistema in sé). La governance richiede DPO e AI compliance officer coordinati.

Regola pratica e checklist operativa

Compliance art. 22: (i) inventario decisioni automatizzate; (ii) DPIA obbligatoria; (iii) documentazione della logica e dei fattori di decisione; (iv) processo di intervento umano significativo; (v) form di contestazione facile; (vi) spiegazione comprensibile (no segreto commerciale opposto); (vii) per categorie particolari, doppie misure; (viii) integrazione con AI Act per sistemi ad alto rischio. È il fronte di compliance più rapidamente evolutivo.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.