Intelligenza artificiale e pubblica amministrazione 2.0

Pro e contro di un’amministrazione in evoluzione
Porto Santo Stefano
Ph. Maria Cristina Sica / Porto Santo Stefano

Amministrazione 2.0

Dall’art. 3-bis della Legge 241/1990 allo Strategic Program on Artificial Intelligence 2022 – 2024

L’intelligenza artificiale (IA) si sta sviluppando rapidamente in molti settori e ciò sta interessando anche la Pubblica Amministrazione. Il contatto non è avvenuto per caso, il filo conduttore è di matrice europea; infatti l’Unione Europea, da tempo, con l’utilizzo dell’intelligenza “Made in Europe” denominata European AI Alliance, ha invocato una cooperazione tra Stati per incentivare l’uso di tale tecnologia ed estenderla anche al settore della P.A.

Il nostro ordinamento già con la Legge 241 del 1990 all’articolo 3-bis, seppure limitandosi solo a richiamarne l’utilizzo da parte della P.A, si è occupato del tema della tecnologia incentivando le amministrazioni all’uso al fine di conseguire maggiore efficienza nelle loro attività, nei rapporti tra amministrazione e tra queste e i privati. Tale utilizzo si è reso concreto grazie all’introduzione da parte del D.lgs. n. 82 del 2005 del Codice Amministrazione Digitale (CAD) poi integrato e modificato con l’articolo 50-ter con l’istituzione della “Piattaforma digitale nazionale dati” (PDND) con cui le P.A. possono comunicare tra di loro condividendo dati in modo più agevole e offrendo al cittadino nuovi servizi con maggiore efficienza.

Il vero trampolino di lancio arriva con il Sistema AIPA di Atos (Atos Intelligent Process Automation) con cui le P.A. hanno la possibilità di utilizzare componenti integranti di Automazione e Intelligenza Artificiale per realizzare soluzioni digitali e sfruttare un sistema di intelligenza artificiale attraverso applicazioni che permettono di replicare operazioni complesse e sostituirsi al ragionamento umano (esempi possono essere gli smart speaker, le chatbot e i sistemi vocali). Un contributo importante di questa tecnologia viene dato all’attività di interazione e collaborazione tra i diversi uffici della stessa amministrazione o amministrazioni di diversa struttura, attraverso il cd. “Robotic Process Automation” che riproduce il comportamento dei dipendenti pubblici in maniera perfetta, senza errori.

Gli stessi dipendenti pubblici sono interessati da questa innovazione tanto da essere parte integrante di essa come “dipendenti 2.0”, infatti è questa la sfida più impegnativa per il programma di digitalizzazione della P.A. all’interno delle misure previste dal Piano Nazionale di Ripresa e Resilienza (PNRR) presentato dall’Italia per rilanciare l'economia dopo la pandemia di COVID-19  al fine di permettere lo sviluppo verde e digitale del Paese, il  quale prevede investimenti e un pacchetto di riforme tra cui, appunto, la digitalizzazione della P.A. con l’obiettivo di formare i dipendenti pubblici attraverso competenze specializzanti in programmi tecnologici complessi, uso di algoritmi di intelligenza artificiale, conoscenza dei sistemi più avanzati di calcolo e di grandi quantità di dati.

Per raggiungere tale scopo in maniera concreta, sfruttando al meglio i finanziamenti stanziati con il PNRR, il nostro Paese ha adottato lo “Strategic Program on Arteficial Intelligence 2022 - 2024”, documento che nasce dalla collaborazione tra il Ministero dell’Istruzione, dell’Università e della Ricerca, il Ministero dello Sviluppo Economico e il Ministero dell’Innovazione Tecnologica e della Transizione Digitale. Con tale programma la strategia adottata si basa su tre aree di intervento: ricerca, competenza ed economia; il finanziamento di partenza va alla ricerca, per renderla più avanzata possibile, rafforzando così le competenze e formando talenti da poi inserire nei settori strategici come infrastrutture, banche, pubblica amministrazione e sicurezza nazionale.

 

L’esperienza locale: il Comune di Siena come ente “apripista”

L’evoluzione della P.A. in tema di intelligenza artificiale non coinvolge solo le amministrazioni centrali ma investe anche quelle periferiche e gli stessi enti locali, e sono proprio questi ultimi che fanno spesso utilizzo di sistemi IA come sussidio ai cittadini e per le attività di controllo sul territorio. Ad esempio, in molti Comuni, in ambito urbano, viene utilizzata la c.d. “tecnologia di monitoraggio” che permette di controllare e conteggiare automaticamente il numero dei parcheggi vuoti, analizzare il flusso della viabilità urbana attraverso il riconoscimento targa automatica con cui si può controllare i parcheggi o monitorare il traffico rilevando possibili trasgressori (parliamo del c.d Intelligent Parking System e Automatic Number – Plate Recognition).

Non a caso l’implementazione di questo tipo di intelligenza interessa maggiormente l’amministrazione locale, atteso che, in ossequio al principio di sussidiarietà (ex art. 118 Cost.), gli enti territoriali hanno il compito di offrire assistenza e servizi utili alla comunità in quanto in stretto contatto con il cittadino. Qui tale tipo di tecnologia può essere molto utile: in primis si possono ottimizzare i costi e ampliare i servizi in termini di qualità, garantendo in questo modo il rispetto dei principi di economicità ed efficacia; anche i procedimenti amministrativi si possono svolgere più rapidamente, snellendo la burocrazia attraverso un accesso più rapido e immediato del cittadino, l’istruttoria diventa più snella e più veloce la conclusione, infine si guadagnerebbe in termini di efficienza e efficacia dell’azione amministrativa.

Un esempio di eccellenza di intelligenza artificiale inserita nel territorio è il Comune di Siena che ha fatto da “apripista”; infatti, tale Comune toscano è stato il primo nel 2019 a utilizzare un’assistente virtuale denominata “Caterina”, un software che interagisce con l’utente attraverso il testo, l’audio e un avatar fornendo informazioni e offrendo un servizio rapido ed efficace.

Tale utilizzo si è potuto avere grazie ad una ottimale base di digitalizzazione e informatizzazione dello stesso Comune, ma ad oggi molti altri Comuni italiani stanno seguendo le orme di Siena cercando di informatizzarsi e digitalizzarsi il più possibile.

Come il Comune di Solarino, ad esempio, che ha introdotto un progetto sperimentale ma molto innovativo, con cui si facilita l’interazione tra cittadino e P.A. (il progetto è di Axélero Spa, Internet Company). L’obiettivo è di consentire ai cittadini di richiedere telematicamente i documenti e accedere alle pratiche, assistendoli in tempo reale affinché l’operazione si concluda con successo.

Seppure ancora in percentuale ridotta rispetto agli altri Paesi del mondo (vediamo la Cina che detiene il record mondiale nel settore dell’utilizzo e della produzione di AI), in Italia tale tipo di tecnologia viene usata (o si sta cercando di usare) dalle P.A. ampiamente, ma la strada è ancora lunga e occorrono linee guida e principi “bussola” di orientamento per un mondo come quello dell’intelligenza artificiale ancora da esplorare.

 

I primi passi della giurisprudenza in materia: la sentenza n. 2270/2019 del Consiglio di Stato

La giurisprudenza si affaccia “in punta di piedi” in una materia ancora poco dibattuta.

Il Consiglio di Stato con la sentenza numero 2270 del 2019 si pronuncia sui principi di efficienza e di imparzialità che devono essere garantiti e rispettati dalle P.A. che utilizzano strumenti che operano con tale tipo di tecnologia avanzata.

Il fatto scrutinato in sentenza riguardava l’uso da parte del Ministero dell’Istruzione di un meccanismo di selezione (c.d. “algoritmo”) per l’assunzione dei docenti della scuola secondaria di secondo grado, già inseriti nelle relative graduatorie ad esaurimento, che nel mese di settembre 2015 erano stati individuati quali destinatari di proposta di assunzione a tempo indeterminato in conseguenza del piano straordinario nazionale di cui alla Legge n. 107/2015 (art. 1, commi da 95 a 104).

Questi lamentavano che, in conseguenza di tale procedura, risultavano destinatari di una nomina su classi di concorso ed ordine di scuola in cui non avevano mai lavorato, ed il risultato proveniva da una procedura che aveva utilizzato un meccanismo di c.d. algoritmo di cui gli stessi partecipati non ne conoscevano le concrete modalità di funzionamento.

Tale procedura di assunzione era gestita da un sistema che portava a provvedimenti privi di motivazione e senza l’effettiva individuazione di un funzionario dell’amministrazione in grado di valutare le singole situazioni ed esternare le relative determinazioni, rendendo tutto secondo i ricorrenti irragionevole, dagli esiti irrazionali.

Dinanzi la decisione negativa del Tar Puglia gli stessi ricorrono in appello al Consiglio di Stato, che accoglie il ricorso pronunciandosi in tema di digitalizzazione della P.A. come segue.

In generale il CdS ribadisce che “non deve essere messa in discussione che un più elevato livello di digitalizzazione dell’amministrazione pubblica sia fondamentale per migliorare la qualità dei servizi resi ai cittadini e agli utenti”, specificando che l’utilizzo di tali tecnologie deve essere conforme ai canoni di efficienza ed economicità  dell’azione amministrativa, e che secondo il principio costituzionale del buon andamento (art. 97 Cost.) l’amministrazione deve conseguire i propri fini con il minor dispendio di mezzi e risorse, ottimizzando i tempi dell’iter procedimentale; in particolare, si evidenzia che “l’utilizzo di una procedura informatica che conduca direttamente alla decisione finale non deve essere stigmatizzata, ma anzi, in linea di massima, incoraggiata: essa comporta infatti numerosi vantaggi quali, ad esempio, la notevole riduzione della tempistica procedimentale per operazioni meramente ripetitive e prive di discrezionalità, l’esclusione di interferenze dovute a negligenza (o peggio dolo) del funzionario (essere umano) e la conseguente maggior garanzia di imparzialità della decisione automatizzata”.

Operando un bilanciamento degli interessi in gioco, i giudici di Palazzo Spada hanno sottolineato che nonostante i vantaggi resi da questa tecnologia l’utilizzo di procedure “robotizzate” non può, tuttavia, essere motivo di elusione dei principi che conformano il nostro ordinamento e che regolano lo svolgersi dell’attività amministrativa, e a tal fine statuiscono:

  • l’utilizzo non può lasciare spazi applicativi discrezionali (di cui l’elaboratore elettronico è privo), ma deve prevedere con ragionevolezza una soluzione definita per tutti i casi possibili, anche i più improbabili (e ciò la rende in parte diversa da molte regole amministrative generali);
  •  la discrezionalità amministrativa senz’altro non può essere demandata al software, quindi è da rintracciarsi al momento dell’elaborazione dello strumento digitale;
  • la necessità che sia l’amministrazione a compiere un ruolo ex ante di mediazione e composizione di interessi, anche per mezzo di costanti test, aggiornamenti e modalità di perfezionamento dell’algoritmo (soprattutto nel caso di apprendimento progressivo e di deep learning);

Infine per il Consiglio di Stato l’algoritmo, ossia il software, deve essere considerato a tutti gli effetti come un “atto amministrativo informatico”, con la conseguenza che “la decisione robotizzata impone al giudice di valutare la correttezza del processo automatizzato in tutte le sue componenti”.

 

Il tema della Privacy nella digitalizzazione delle P.A.

I procedimenti di automazione ed interconnessione hanno prodotto importanti mutamenti non solo nella quotidianità della vita sociale, inducendo un cambiamento di mentalità quasi inconsapevole nel giro di pochi anni, ma anche in maniera significativa all’interno delle Pubbliche Amministrazioni, sia per quanto riguarda la loro organizzazione sia nei rapporti col cittadino.

Con il termine e-government (amministrazione digitale) si indica il processo di Informatizzazione della P.A.; esso è stato introdotto per la prima volta nella Comunicazione del 26/09/2003 della Commissione Europea, per indicare “l’uso delle tecnologie dell’informazione e della comunicazione nelle Pubbliche Amministrazioni, congiunto a modifiche organizzative e dall’acquisizione di nuove competenze al fine di migliorare i servizi pubblici ed i processi democratici e di rafforzare il sostegno alle politiche pubbliche.”

Le “Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti Informatici” (L. n. 241/1990) sono un primo tentativo di svecchiamento della P.A. definita dalla dottrina come ‘inconsapevolmente informatizzata’. Esse spianano la strada al D. Lgs. n. 39 del 1993, “Nuove norme in materia di sistemi informativi automatizzati”, primo vero intervento di promozione della cultura informatica pubblica e di organizzazione dell’informatizzazione.

Il punto di approdo di questo sintetico excursus legislativo si realizza, come sopra evidenziato, nel CAD - Codice dell’Amministrazione Digitale (D. Lgs. n. 82 del 2005) - che codifica una vera e propria “Costituzione Digitale” e auspica  l’uso delle tecnologie  dell’informazione e della comunicazione da parte delle P.A., al fine di realizzare gli obiettivi di efficienza, efficacia, economicità, imparzialità, trasparenza, semplificazione e partecipazione, garantendo l’accesso alla consultazione, la circolazione e lo scambio di dati e informazioni e l’interoperabilità dei sistemi con l’integrazione dei processi di servizio tra le pubbliche amministrazioni.

Obiettivi che devono obbligatoriamente raffrontarsi con i fondamentali principi di eguaglianza e non discriminazione.

Muovendo dalla positivizzazione dei suddetti diritti, viene sancito il principio del digital by default; alcuni interventi, quali ad esempio il recentissimo Decreto Semplificazioni (D.L. n. 76/2020), mirano, attraverso la velocizzazione e lo snellimento di procedimenti amministrativo-burocratici, al sostegno dell’accesso e della circolazione dell’informazione digitale.

Di certo il disegno riformatore sopra richiamato risulta, sulla carta, oltre che auspicabile, anche al passo con i tempi e coerente con le similari riforme ed esigenze europee, tuttavia, guardando alla concreta realizzazione e soddisfazione, si evidenzia uno scollamento tra la normativa e la sua applicazione.

Più che indagare su questo, viene da chiedersi quanto di sfavorevole e di oscuro vi sia nella realizzazione di questa moderna “utopia”.

È evidente che la P.A. è chiamata a confrontarsi quotidianamente con “sfide” quali la semplificazione, la trasparenza, la prevenzione della corruzione e la digitalizzazione, cui si contrappone l’interesse della tutela della Privacy. Come rammentato dal Garante per la protezione dei dati personali (di seguito Garante italiano), “prima di esternalizzare la gestione di dati e documenti o adottare nuovi modelli organizzativi è necessario porsi alcune domande, scegliendo con cura la soluzione più sicura per le attività istituzionali o per il proprio business”.

Proviamo ad indagare qualche soluzione ai problemi concreti che emergono osservando il fenomeno del cloud computing sotto la complessa lente della privacy, nel contesto della pubblica amministrazione italiana.

Al riguardo, baluardo normativo è il Regolamento Europeo 2016/679, noto anche come “GDPR – General Data Protection Regulation”, che ha ad oggetto la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati” (art. 1, par. 1) e disciplina i trattamenti di dati personali sia nel settore privato che nel settore pubblico.

In un comunicato stampa del dicembre 2015, la Commissione europea presentava il GDPR come one continent, one law (unico continente, unica legge), volendo istituire un quadro normativo ad ampio respiro, nella volontà di creare certezza e coerenza per la corretta gestione dei dati personali, nel pubblico e nel privato, in Europa.

L’attuazione del GDPR nella Pubblica Amministrazione è un percorso che tutti gli enti pubblici devono affrontare, in forza della Legge delega 25 ottobre 2017 n. 163 e del conseguente decreto legislativo 10 agosto 2018 n. 101, emanati in Italia a seguito dell’entrata in vigore del suddetto Regolamento, che ne impone l’applicazione tassativa. La finalità del percorso di adeguamento al Regolamento per gli enti pubblici non è soltanto l’adempimento di una normativa, ma la protezione dei dati personali dei cittadini dal rischio di violazione di dati o furto di identità, compito di interesse pubblico, connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, attraverso il riferimento principale all’elaborazione del registro del trattamento dei dati e della informativa privacy.

La definizione di dato personale, “focus” su cui si concentra la tutela della normativa e concetto a sua volta connesso con il diritto all’identità personale, è contenuta nell’art. 4 GDPR ed è indicata come “qualsiasi informazione (es. nome) concernente una persona fisica identificata o identificabile anche indirettamente, oppure informazioni (es. codice fiscale, impronta digitale) riguardanti una persona la cui identità può comunque essere accertata mediante informazioni supplementari.”

Si è previsto nell’ambito della P.A. e specificatamente per gli enti locali, per tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori), l’obbligo della formazione in materia di protezione dei dati personali che costituisce, pertanto, un prerequisito per operare all’interno delle suddette strutture.

Altra innovazione è l’obbligo, nel caso in cui il trattamento dei dati sia effettuato da un'autorità pubblica o da un organismo pubblico, della designazione del cosiddetto DPO (data protection officer) come figura designata dal titolare o dal responsabile del trattamento (es. Comune) al fine di coadiuvarli nella gestione dei trattamenti dei dati personali da una posizione di autonomia e imparzialità.  Fermo restando che l’onere di assicurare il rispetto della Normativa ricade comunque sul titolare o responsabile del trattamento, la funzione del DPO è, quindi, quella di garantire piena efficacia al principio di accountability(responsabilizzazione dei titolari del trattamento).

Oltre a ciò, l’adeguamento al GDPR per la pubblica amministrazione prevede anche le seguenti attività:

  • -Individuazione di ruoli e responsabilità;
  • -Mappatura dei processi;
  • -Analisi di sicurezza dei sistemi;
  • -Redazione del Registro dei trattamenti dei dati personali;
  • -Adozione di una Privacy policy;
  • -Elaborazione/revisione del Regolamento (comunale o dell’ente) sulla protezione dei dati personali;

Sulla base della disciplina dettata dal Regolamento è stata ribadita una collaborazione tra AGID e Garante Privacy con l’obiettivo di vigilare sul funzionamento del sistema.

Se dunque il Regolamento UE 2016/679 nasce con l’intento di favorire la circolazione dei dati personali nell’ambito della P.A. in un modo che sia comunque sempre rispettoso della privacy degli individui, esso non è un ostacolo allo sviluppo di attività nel digitale ma rappresenta un elemento di salvaguardia per evitare che comportamenti incauti o superficiali dei titolari mettano a rischio non solo la riservatezza, ma anche la sicurezza degli utenti che usufruiscono dei servizi.

Elemento, abbiamo detto, di salvaguardia sulla carta e riferito ad un sistema che funziona in astratto, ma nella realtà, la digitalizzazione della P.A, nel contesto della necessità di tutelare la Privacy, è processo ancora a dir poco insidioso.

E ciò a causa della mancata sensibilizzazione e alfabetizzazione digitale di utenti e funzionari, tanto che in concreto nel settore amministrativo si è di fronte, più che ad una vera rivoluzione del sistema, ad una mera sovrapposizione delle procedure digitali alle procedure analogiche, in assenza della totale reingegnerizzazione delle modalità operative che sarebbe necessaria.

Non utilizzare appieno lo sviluppo della tecnologia fa sì che atti regolamentari pregni di potenzialità non siano utilizzati appieno e, anzi, finiscano per prestare il fianco a motivate critiche.

Si vedano, al riguardo, le 121.165 notifiche di violazione dei dati giunte al Garante della Privacy tra gennaio 2020 e gennaio 2021, per un totale di 158,5 milioni di euro di sanzioni. Tra queste, maggior clamore ha suscitato la maxi sanzione del Garante privacy a carico della Regione Lazio del 14/01/2021, che ha previsto il pagamento di 75.000 euro per la mancata nomina del fornitore come responsabile del trattamento dei dati ai sensi dell’articolo 28 GDPR e violazione del principio di accountability.

Tali criticità rischiano ulteriormente di inficiare la competitività e la crescita del nostro Paese, che sono fortemente legate allo sviluppo dell’informatizzazione, come anche previsto dagli obiettivi e dai correlati finanziamenti disposti dal Piano Nazionale di Ripresa e Resilienza (PNRR).

L’auspicio è che i 24 Miliardi di Euro previsti per favorire, tra l’altro, “la transizione digitale e l’innovazione del sistema produttivo incentivando gli investimenti in tecnologie avanzate, ricerca e innovazione” consentano finalmente anche alla P.A. di fare il salto necessario a superare le criticità sopra rappresentate.