Il 5 febbraio 2020 la District Court dell’Aja ha dichiarato illegittimo, perché contrario all’articolo 8 della Convenzione europea dei diritti dell’uomo (CEDU), l’impiego del sistema algoritmico System Risk Indication (SyRI) da parte del governo dei Paesi Bassi per l’individuazione di frodi nell’accesso dei cittadini a prestazioni sociali, esenzioni e benefici fiscali.
Paesi Bassi – Corte Distrettuale dell’Aja – SyRI: sull’impiego di un sistema algoritmico per l’individuazione di frodi nell’accesso a prestazioni sociali, benefici e esenzioni fiscali
5 febbraio 2020
Numero
C-09-550982
Anno
2020
Il software SyRI collega e analizza i dati provenienti da varie agenzie governative e enti pubblici generando un rapporto di rischio nel caso di individuazione di un cittadino sospettato di frode. Il Governo non ha mai reso pubblici il modello algoritmico e gli indicatori impiegati nel calcolo del rischio. I ricorrenti lamentano pertanto la violazione del diritto alla privacy e al rispetto della vita privata come codificato nell’articolo 8 CEDU, nell’articolo 17 dell’International Covenant on Civil and Political Rights (ICCPR), negli articoli 7 e 8 della Carta dei diritti fondamentali dell’UE, nonché dalla legislazione europea e nazionale sulla protezione dei dati personali.
La corte distrettuale ha valutato la legittimità dell'interferenza del sistema algoritmico con il diritto alla privacy ai sensi dell’articolo 8 CEDU, letto anche alla luce dei principi del diritto dell'UE in materia di protezione dei dati, chiedendosi, sulla base della giurisprudenza della Corte EDU in materia, se la misura sia prevista dalla legge, se lo scopo sia legittimo e infine se la misura sia proporzionale e necessaria alla finalità perseguita dal legislatore.
Per quanto riguarda la base giuridica della misura, la corte distrettuale ha rilevato come, secondo costante giurisprudenza della Corte europea dei diritti dell'uomo, sebbene non debba trattarsi necessariamente di una legge in senso formale, la base giuridica deve essere sufficientemente «accessibile e prevedibile», quindi chiara, da consentire a un individuo di adeguare il proprio comportamento di conseguenza. Con riferimento al caso di specie, la corte distrettuale ha riconosciuto la sussistenza di una legittima base giuridica nell’articolo 65 del SUWI Act, tuttavia lasciando aperta la valutazione se la legislazione SyRI sia sufficientemente accessibile e prevedibile e quindi fornisca una base giuridica adeguata, come richiesto dall'articolo 8(2) della CEDU. La Corte ha infatti ritenuto che la legislazione SyRI non contenga comunque garanzie sufficienti per concludere che sia necessaria e proporzionale allo scopo perseguito dal legislatore, come richiede anche l'articolo 8(2) CEDU.
Infatti, da un lato, la corte ha riconosciuto la legittimità dello scopo perseguito dal legislatore con l’impiego dello strumento algoritmico oggetto della causa. Rientra nel legittimo interesse del legislatore, secondo l’articolo 8(2) CEDU, l’obiettivo di prevenire frodi nell’interesse del benessere economico dello Stato. Dall’altro lato, tuttavia, i giudici distrettuali hanno ritenuto che le procedure e le garanzie di tutela previste dalla normativa della misura non integrino i requisiti di necessità e proporzionalità, valutati sulla base del principio di trasparenza, del principio di limitazione delle finalità e del principio di minimizzazione dei dati propri della regolamentazione europea in materia di privacy e protezione dei dati personali.
Sulla base di questi principi, la Corte ha stabilito che la normativa in esame non sia necessaria e proporzionata ai sensi dell'art. 8(2) CEDU. Nel ragionamento dei giudici distrettuali viene rilevato come né la corte, né i singoli cittadini possano accertare il processo decisionale del software, in violazione del principio di trasparenza. Inoltre, la mancanza di accessibilità e conoscibilità dei dati e indicatori impiegati può portare a discriminazioni che non possono essere corrette o contestate dai cittadini. Infine, la grande quantità di dati che può essere trattata ai sensi dell'art. 65 della legge SUWI, senza una specificazione di limiti e necessità, comporta anche una violazione del principio di minimizzazione dei dati.
Il testo della sentenza è disponibile al seguente link e nel box download.
Sergio Sulmicelli
Pubblicato il: Mercoledì, 05 Febbraio 2020 - Ultima modifica: Sabato, 25 Maggio 2024
