Cookie Consent by Free Privacy Policy Generator
Studio Legale MP - Verona logo

Cerca nel sito

Inserisci una parola chiave per iniziare la ricerca

Profilazione algoritmica: quando l'AI discrimina - Studio Legale MP - Verona

Immaginate di presentare domanda per un mutuo e di ricevere un diniego automatico. Nessun funzionario di banca vi ha incontrato, nessun documento è stato letto da un essere umano: è stato un algoritmo ad assegnarvi un punteggio insufficiente, probabilmente sulla base di variabili che non avete mai dichiarato esplicitamente — la zona in cui abitate, i siti che visitate, i prodotti che acquistate online. Questo è il fenomeno del bias algoritmico applicato alla profilazione: uno dei terreni più insidiosi e meno compresi del diritto digitale contemporaneo.

Al centro dell'attenzione crescente di dottrina e giurisprudenza si colloca il concetto di bias algoritmico, che identifica ogni forma di discriminazione generata dall'utilizzo, in processi decisionali, di tecnologie intelligenti generalmente basate sull'analisi dei dati con strumenti di apprendimento automatico. Tali effetti discriminatori possono essere causati da molteplici fattori, dal semplice errore umano nella progettazione alla presenza, nei dati di addestramento dell'algoritmo, di differenziazioni ingiustificate a svantaggio di talune categorie: uno specchio delle diseguaglianze esistenti nella società che l'algoritmo replica con la precisione che ne caratterizza i risultati.

Il paradosso è sottile ma devastante: uno strumento pensato per essere neutro e oggettivo finisce per perpetuare — e amplificare — le discriminazioni storicamente sedimentate nei dati su cui viene addestrato. Come scriveva Rodolfo Sacco, uno dei maggiori teorici dell'interpretazione giuridica, il diritto non è mai neutro rispetto ai fatti sociali che pretende di regolare; e lo stesso vale per i dati che alimentano un modello di intelligenza artificiale.

Il quadro normativo: articolo 22 GDPR, AI Act e Legge italiana sull'IA

L'articolo 22 del GDPR rappresenta uno degli snodi centrali nella normativa europea sulla protezione dei dati personali, particolarmente rilevante nel contesto dominato da sistemi decisionali automatizzati e algoritmi predittivi: esso dispone che "l'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona".

La Corte di Giustizia UE ha ritenuto che l'articolo 22 debba essere interpretato non soltanto come una norma attributiva di un diritto, bensì come una disposizione che impone un divieto ex ante al titolare del trattamento, salvo le eccezioni tassativamente previste dal paragrafo 2. Ciò significa che la profilazione con effetti significativi non è semplicemente regolamentata: è vietata, salvo consenso esplicito, necessità contrattuale o previsione di legge, con obbligo di misure di salvaguardia adeguate.

Il Garante Privacy ha del resto chiarito che l'utilizzo di sistemi automatizzati rappresenta un requisito ineliminabile per qualificare un trattamento come "profilazione" ai sensi del GDPR, come confermato dalle Linee Guida sul processo decisionale automatizzato del Gruppo di Lavoro Articolo 29, le quali espressamente indicano come "la profilazione (debba) implicare una qualche forma di trattamento automatizzato".

Sul versante dell'intelligenza artificiale, con l'entrata in pieno vigore del Regolamento UE 2024/1689 — l'AI Act — e il recente rilascio delle Linee Guida AgID 2025 sulla PA Digitale, il legislatore ha voluto diffondere un messaggio inequivocabile: l'innovazione algoritmica non può prescindere da etica e responsabilità sociale. In Italia si è aggiunta la Legge 23 settembre 2025, n. 132, che ha introdotto principi di governance per i sistemi di intelligenza artificiale, stabilendo obblighi di trasparenza e supervisione umana.

Se la DPIA (Data Protection Impact Assessment) risponde alla domanda "i dati sono al sicuro?", la FRIA — Fundamental Rights Impact Assessment — dovrà rispondere alla correttezza degli algoritmi, verificando che siano imparziali e che non ledano in alcun modo i diritti fondamentali: uno spostamento del focus dal perimetro del GDPR a quello dei diritti fondamentali che crea le basi di un nuovo approccio nella cultura dell'automatizzazione.

I provvedimenti del Garante e la giurisprudenza recente

Il fronte sanzionatorio si è fatto molto più vivace nell'ultimo periodo. Con il provvedimento n. 755/2025, il Garante Privacy ha irrogato una sanzione amministrativa di 120.000 euro a una società appartenente a un gruppo multinazionale, per il trattamento illecito di dati derivante dall'installazione di dispositivi sulla flotta aziendale che raccoglievano dati sui viaggi di lavoro e privati dei dipendenti; tale sistema raccoglieva informazioni dettagliate su tempi di percorrenza, chilometri, consumi e stile di guida, utilizzati per l'assegnazione di un punteggio e per la profilazione dei lavoratori in classi di rischio. Un caso paradigmatico di come la profilazione algoritmica possa trasformare dati apparentemente tecnici in strumenti di controllo e classificazione della persona.

Il Provvedimento del Garante Privacy n. 107 del 24 febbraio 2026 è intervenuto sanzionando pratiche di monitoraggio e raccolta di dati personali di lavoratori non pertinenti: al centro della contestazione vi era l'utilizzo di una piattaforma che, interconnessa con i sistemi di rilevazione delle presenze, segnalava ai manager la necessità di effettuare colloqui con i dipendenti al rientro da periodi di assenza, con annotazione di informazioni dettagliatissime sullo stato di salute, sulla partecipazione a scioperi e sull'attività sindacale. Il Garante ha rilevato una violazione dei principi di minimizzazione e liceità del trattamento, ricordando che la dignità del lavoratore non è negoziabile in nome dell'efficienza algoritmica.

Sul fronte processuale, il Tribunale di Lecce, con sentenza del 2 maggio 2026 (Giudice M.I. Gustapane), ha stabilito che l'intelligenza artificiale non vale a confutare un accertamento tecnico preventivo, ribadendo il principio che i responsi algoritmici non sostituiscono la valutazione tecnica umana nel processo civile. Si tratta di un orientamento coerente con quello espresso dal Tribunale di Milano nella sentenza dell'11 febbraio 2026, in cui si è ammessa la contestazione peritale con il supporto di strumenti di intelligenza artificiale solo laddove sia provata l'efficacia e l'affidabilità del metodo utilizzato. Entrambe le pronunce confermano che res ipsa loquitur: il dato elaborato da un algoritmo non si spiega da solo e non può essere assunto acriticamente come prova.

Sul piano della tutela del singolo interessato, assume rilievo sistematico l'evoluzione della giurisprudenza in materia di discriminazione algoritmica indiretta. Il diritto antidiscriminatorio necessita di prove sulla causalità lineare tra una determinata misura e il trattamento discriminante; l'algoritmo, viceversa, si limita a processare correlazioni statistiche cieche. Mentre la discriminazione diretta sanziona un trattamento differenziato basato esplicitamente su un fattore protetto, quella indiretta colpisce l'impiego di criteri apparentemente neutri che producono un impatto sproporzionato su un gruppo tutelato; l'impiego di una variabile surrogata — il cosiddetto proxy — elude questa classificazione, poiché il parametro neutro agisce di fatto come un marcatore diretto.

La Corte di Giustizia dell'Unione Europea ha tentato di elaborare un percorso ermeneutico estensivo tramite l'approccio "non essenzialista", che scinde il legame tra l'identità della vittima e il motivo di discriminazione: questa dottrina permette di estendere la tutela anche ai casi di errore nella profilazione algoritmica, quando cioè un sistema classifica erroneamente un utente come appartenente a una minoranza etnica sulla base di un proxy, rendendo il trattamento sfavorevole giuridicamente rilevante a prescindere dalla reale appartenenza del soggetto a quella categoria.

Cosa fare in concreto: diritti dell'interessato e strumenti di tutela

Il principio vigilantibus iura subveniunt — il diritto soccorre chi è vigile — trova qui una delle sue applicazioni più contemporanee. Chi subisce una decisione automatizzata pregiudizievole dispone di un arsenale di strumenti concreti.

In primo luogo, il diritto di accesso e di spiegazione (artt. 13-15 GDPR): l'interessato può chiedere al titolare del trattamento informazioni significative sulla logica dell'algoritmo, sulla sua finalità e sulle conseguenze previste. Non si tratta di accedere al codice sorgente, ma di ottenere una spiegazione comprensibile di come il sistema ha prodotto quella decisione specifica.

In secondo luogo, il diritto di opposizione e di revisione umana (art. 22, par. 3, GDPR): quando la decisione è basata unicamente su trattamento automatizzato, l'interessato ha sempre il diritto di ottenere l'intervento di una persona fisica del titolare, di esprimere la propria opinione e di contestare la decisione. Il termine "unicamente" è stato progressivamente interpretato in senso estensivo: non è necessario che l'algoritmo sia l'unico fattore, dovendosi piuttosto considerare il peso effettivamente attribuito alla predizione algoritmica nel processo decisionale; le pronunce della Corte di Giustizia stanno progressivamente ampliando l'ambito di applicazione dell'art. 22 GDPR, ben al di là della tradizionale nozione di "decisione", e indipendentemente dall'ambito in cui quel processo automatizzato viene utilizzato.

In terzo luogo, in caso di violazione, è possibile presentare reclamo al Garante per la Protezione dei Dati Personali, oppure ricorrere all'autorità giudiziaria per il risarcimento del danno, patrimoniale e non patrimoniale, da trattamento illecito di dati personali (art. 82 GDPR, art. 2050 c.c.).

Gli errori più frequenti che aggravano la posizione di chi subisce una profilazione illecita sono: non documentare tempestivamente la decisione automatizzata ricevuta e i suoi effetti; non esercitare formalmente i diritti GDPR con PEC o raccomandata a.r. entro termini certi; non verificare la base giuridica del trattamento dichiarata nell'informativa. Sul versante delle imprese e delle PA, l'errore più grave rimane omettere la DPIA per sistemi algoritmici ad alto rischio, o condurla in modo meramente formale.

Per i sistemi ad alto rischio è obbligatoria la supervisione umana: ogni alert generato dall'algoritmo deve essere validato da un operatore prima di produrre effetti concreti. Questo non è solo un obbligo normativo ma una necessità sostanziale: solo il giudizio umano può colmare le lacune strutturali del modello predittivo, che per definizione lavora su categorie storiche e non sulla specificità della persona.

La sfida più profonda che il bias algoritmico pone al diritto è esattamente quella che Hannah Arendt identificava come rischio del pensiero ridotto a calcolo: la sostituzione del giudizio — facoltà irreducibilmente umana — con l'elaborazione automatica. Un algoritmo non capisce il contesto, non conosce la storia individuale di chi profila, non si interroga sull'equità del risultato. Questa limitazione strutturale non è un difetto tecnico correggibile: è la natura stessa del calcolo automatizzato, ed è la ragione per cui il diritto a una supervisione umana significativa non è un lusso ma una garanzia di civiltà.

Hai bisogno di assistenza o di un preventivo?

Autore: Redazione - Staff Studio Legale MP


Redazione - Staff Studio Legale MP -

Redazione - Staff Studio Legale MP