Monitorare la trasformazione digitale italiana: il caso del reddito di cittadinanza
Molti governi europei utilizzano sempre di più algoritmi e processi automatizzati per la trasformazione digitale dei servizi pubblici. In questo articolo vi raccontiamo un’esperienza pratica del team di Privacy Network che da anni vuole monitorare l’uso di tecnologie digitali usate per predisporre servizi ai cittadini, in questo caso l’assegnazione di un sussidio statale.
Dal 2021, Privacy Network mappa queste procedure attraverso l’Osservatorio Amministrazione Automatizzata (OAA), per chiedere alle istituzioni maggior trasparenza e consapevolezza sulle tecnologie digitali usate da enti statali e autorità e per facilitare un dibattito pubblico intorno al loro design e impatti sociali. In quest’ottica, ci siamo interessati alle procedure di assegnazione di benefici sociali come il Reddito di cittadinanza.
Il discorso pubblico intorno alle presunte richieste fraudolente di bonus e sussidi statali in Italia è molto diffuso. Spesso ci si riferisce ai cittadini come “furbetti”, limitando la problematizzazione alle persone che fanno domanda per questi servizi senza averne diritto. Si finisce con il concentrarsi sulla moralità dei percettori, invece che sui meccanismi di assegnazione e su come sono state scritte le norme che li disciplinano. Si tratta evidentemente di un dibattito profondamente politico, volto a screditare l’esistenza dello stato sociale e delle misure di contrasto alla povertà, invece di prevedere un monitoraggio trasparente di queste pratiche basate sui dati. Ciò permetterebbe di fare chiarezza ed eventualmente migliorare le procedure di ripartizione dei sussidi (e non di smantellarle). Troppo spesso, invece, si argomenta richiamando alla “difficoltà” di gestire e controllarle, finendo per non occuparsi mai dei processi umani e sociali che stanno dietro..
I controlli sull’erogazione del RdC: le nostre domande e la risposta dell’INPS
È proprio questo punto che da un anno ci ha spinti ad approfondire le procedure di assegnazione del welfare in Italia. Studiando l’automazione e la digitalizzazione dei servizi pubblici in Europa, e seguendo da vicino i negoziati sul futuro Regolamento europeo sull’Intelligenza Artificiale (nel quale l’utilizzo di procedure simili da parte delle pubbliche amministrazioni sarà considerato applicazione di IA ad alto rischio), abbiamo iniziato a chiederci come il nostro paese stesse governando queste pratiche.
A giugno 2022 è entrato in vigore un nuovo protocollo che ha esteso i meccanismi di controllo, rendendo interoperabili le banche dati dell’INPS e del Ministero della Giustizia. Ciò serve a facilitare lo scambio di informazioni necessarie ai fini della concessione o revoca del beneficio (alcune condanne precludono il diritto al RdC). Lo scambio, che INPS assicura avvenire nel pieno rispetto della normativa privacy e in sicurezza, permette “controlli su tutti i richiedenti e percettori di RdC attraverso la trasmissione da parte di Inps al Ministero della Giustizia dell’elenco costantemente aggiornato dei soggetti beneficiari del RdC”. Il protocollo, inoltre, secondo il presidente dell’INPS Pasquale Tridico, costituirebbe un passo in avanti verso “maggiori controlli automatizzati”, soprattutto preventivi, per erogare il beneficio.
I controlli selettivi esistevano anche prima: sempre secondo Pagella Politica, tra l’1 gennaio 2021 e il 31 maggio 2022 hanno portato alle denunce di oltre 29 mila persone (tra l’1,6 e l’1,8 % dei percettori) connotate da “concreti elementi di rischio”. È interessante sottolineare però che all’interno del campione non sono state rilevate caratteristiche generalizzabili a tutta la popolazione beneficiaria del sussidio.
Siamo convinti che una certa dose di automazione sia auspicabile e necessaria per gestire alcune di queste pratiche. Siamo però ancora più convinti che nessuna automazione possa essere implementata se mancano i giusti meccanismi di trasparenza, informazione e spiegazione.
I dati ci dicono che il Reddito di cittadinanza si è rivelata una misura utile e necessaria per moltissime persone in Italia. Ma cosa ci dicono dei meccanismi di valutazione? Come avvengono i controlli automatizzati? Quali dati incrociano, e in base a quali fattori una persona viene considerata “a rischio”? Sono alcune delle domande che abbiamo rivolto all’INPS.
Da quando esiste l’Osservatorio Amministrazione Automatizzata (OAA), inviamo richieste di accesso civico generalizzato (disciplinate dal Freedom of Information Act, FOIA, in Italia dal decreto legislativo n. 97 del 2016) per chiedere informazioni alle singole PA, caso per caso,
riguardo pratiche che coinvolgono l’utilizzo di dati sensibili e di processi potenzialmente automatizzati. È esattamente a questo che serve il FOIA, per “promuovere la partecipazione dei cittadini all’attività amministrativa, una maggiore trasparenza nel rapporto tra le istituzioni e la società civile e incoraggiare un dibattito pubblico informato su temi di interesse collettivo”.
Alle amministrazioni chiediamo, innanzitutto, se esistono algoritmi o procedure che prevedono l’automazione di determinate fasi decisionali dietro un progetto in uso. Chiediamo anche dettagli sul funzionamento tecnico, sperando di ricevere informazioni sui dati che vengono utilizzati e secondo quali logiche. Se esistono processi di questo tipo, l’informazione più importante e determinante per analizzarli è la valutazione d’impatto sulla protezione dei dati (DPIA), una procedura obbligatoria in base al GDPR per qualsiasi trattamento che “può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori)”.
La DPIA è un elemento fondamentale di privacy-by-design che garantisce l’accountability di imprese, organizzazioni e pubbliche amministrazioni che effettuano trattamenti sui dati personali. Tale strumento è infatti necessario per valutare i potenziali rischi sui diritti e le libertà degli interessati, al fine di adottare le misure tecniche e organizzative necessarie per mitigare i rischi, ma anche per valutare e misurare gli effetti beneficiari che la pratica avrà sulla cittadinanza.
Per questo, il 14 luglio 2022 abbiamo inviato all’INPS una richiesta di accesso riguardo le modalità e i criteri di verifica e accertamento per l’assegnazione del Reddito di cittadinanza. Nello specifico, abbiamo chiesto:
- una valutazione d’impatto sul trattamento dei dati, così come qualsiasi altra valutazione di conformità ai principi generali stabiliti dalla normativa in materia di protezione dei dati personali;
- se queste fasi sono in qualche modo automatizzate;
- se prevedono o meno l’utilizzo di sistemi di intelligenza artificiale di vario tipo;
- quali sono le logiche sottese all’eventuale utilizzo di pratiche algoritmiche;
- quali fossero i dati personali trattati per le specifiche attività riguardanti l’assegnazione del reddito di cittadinanza e, in particolare, se tra questi venissero trattati anche dati particolari (così come individuati dall’art.9 del GDPR);
- ulteriori schede tecniche relative alle caratteristiche del processo/sistema adottato;
- manuali/policy attestanti la corretta gestione dei dati personali trattati e le relative misure di sicurezza implementate.
La risposta che abbiamo ricevuto dall’INPS, in data 5 agosto 2022, non può essere considerata soddisfacente. Innanzitutto, suscita non pochi dubbi il riscontro ricevuto riguardo i documenti sulla valutazione d’impatto (o DPIA), che l’ente ha ritenuto di non poter condividere con noi per tutelare la riservatezza dei dati personali.
È espressamente il D.lgs 33/2013 (così come modificato dal D.Lgs. 97/2016) che all’art. 5, secondo comma, stabilisce che “chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione”. Dunque, è sufficiente la lettura della norma per evincere che chiunque abbia la possibilità di prendere visione anche di quelle informazioni che non sono soggette all’obbligo di pubblicazione da parte di una pubblica amministrazione.
Riguardo l’utilizzo di processi automatizzati o parzialmente tali, invece, l’Istituto ci ha risposto di non fare uso di “particolari algoritmi, né di intelligenza artificiale” ma di un sistema informatico di cui, al di là della mancanza di vocabolario condiviso, non si esplicita chiaramente il funzionamento. Anche nelle informative sul trattamento dei dati personali fornite dall’INPS, ad esempio per il calcolo dell’ISEE CORRENTE, si fa riferimento a “strumenti informatici”. Ma cos’è uno “strumento informatico”, e qual è la differenza con un algoritmo?
Nel contesto della trasformazione digitale e dei servizi pubblici digitali la differenza da sottolineare è quella tra uno “strumento informatico” che automatizza l’esecuzione di regole prestabilite e un algoritmo che effettua un’analisi dei dati e rileva delle tendenze, correlazioni o dipendenze tra le variabili dei dati in modo autonomo. Va fatto presente che dal punto di vista tecnico sono entrambi algoritmi. Tuttavia per “strumento informatico” si intende qui una trasposizione di regole predefinite in un processo (più o meno) automatizzato. Diversamente per algoritmo si intende un sistema che automatizza anche l’analisi dei dati e quindi il processo di apprendimento (per così dire) ed evidenzia delle regole.
Anche sul piano etico, non si direbbe che l’INPS abbia adottato una linea d’azione degna di fiducia, rifiutandosi di condividere i documenti: farebbe pensare che non tutto possa essere, per chissà quali ragioni, condiviso. Volendo offrire anche un’alternativa a quello che raccontiamo, L’Ente avrebbe potuto condividere i documenti sul DPIA oscurando quelle informazioni strettamente confidenziali ma non necessarie a comprendere la valutazione condotta, come fanno molte amministrazioni europee. Probabilmente, questo comportamento collaborativo avrebbe denotato un più sincero atto di “amministrazione trasparente”.
Il problema: la mancanza di trasparenza e di responsabilità
Quando si parla di “digital government” e di transizione al digitale, ci si sofferma spesso in modo sproporzionato esclusivamente su aspetti quali l’innovazione e la rincorsa a tecnologie più efficienti, senza considerare invece come e in che misura queste azioni impatteranno realmente sulla società. L’utilizzo delle nuove tecnologie nei servizi pubblici non dovrebbe infatti mai trascurare i principi di trasparenza e responsabilità.
Trasparenza e trasformazione digitale sono due concetti strettamente legati in quanto a politiche e iniziative internazionali, almeno in principio. Se le prime proposte relative al governo digitale sono emerse all’inizio degli anni duemila, l’idea di un governo aperto e trasparente è diventata oggetto delle agende dei governi nazionali di tutto il mondo solo qualche anno dopo (il più importante partenariato per il governo aperto è stato fondato nel 2011, e tra i Paesi fondatori troviamo anche l’Italia, ndr).
Per contestualizzare la relazione tra queste due tendenze si può considerare che la trasparenza è vista come uno dei valori creati dalla trasformazione digitale. La possibilità di raccogliere e pubblicare dati aperti, scambiare informazioni e comunicazioni tra pubblica amministrazione e società civile in maniera facile e veloce, avere accesso a informazioni ufficiali tramite siti internet e applicazioni accessibili a (quasi) tutti sono solo degli esempi in merito.
Questo scambio di informazioni e accesso ai dati e alle attività della pubblica amministrazione ha una duplice funzione: da un lato informare i contribuenti sulla spesa pubblica e dall’altro offrire una garanzia di “accountability” e supervisione da parte della società civile sui servizi pubblici. La seconda funzione soprattutto diventa ancora più attuale e rilevante proprio dal momento in cui la pubblica amministrazione accresce la sua capacità di raccogliere e utilizzare dati.
Infatti, se la trasparenza è uno dei valori associati alla trasformazione digitale, la privacy diventa uno degli aspetti più delicati. Una delle differenze tra digitale e non-digitale è la tracciabilità di processi e operazioni digitali.
Nel caso di un servizio pubblico digitale, seguendo principi etici della governance dei dati e nel rispetto del GDPR, l’accesso ai dati e il loro utilizzo dovrebbe essere regolato. Le linee guida del governo digitale in Europa ambiscono sì ad un maggiore utilizzo e riuso dei dati da parte delle pubbliche amministrazioni ma ne prevedono anche un utilizzo corretto. Ad esempio nella Dichiarazione di Tallinn sul governo digitale, appaiono i principi once-only e interoperabilità (quest’ultimo ripreso nella Dichiarazione di Berlino, ndr). Secondo questi principi la pubblica amministrazione dovrebbe richiedere i dati ai cittadini una sola volta e dovrebbe poi renderli accessibili ai vari ministeri e uffici. Questo sarebbe più conveniente per i cittadini ed eviterebbe la duplicazione dei dati e possibili errori, e sembra un tema quantomeno urgente date le modalità di scambio dati tra gli enti italiani come INPS, Agenzia delle Entrate e Ministero del Lavoro, che continuano a usare metodi in questo obsoleti e poco trasparenti.
Certo è che questo riporta alle considerazioni di cui sopra riguardo alla trasparenza della pubblica amministrazione e, più in generale, all’avanzamento della trasformazione digitale rispetto ai suoi principi. Appare quindi doveroso sottolineare come nell’ambito del PNRR e della trasformazione in generale questi temi non solo debbano restare in primo piano nel dibattito pubblico, ma debbano essere all’ordine del giorno in qualsiasi ufficio preposto alla trasformazione digitale nella pubblica amministrazione affinché gli obiettivi del PNRR vengano centrati nel rispetto di principi e buone pratiche che tutelano i cittadini.
In particolare, come ha osservato anche Philip Alston, relatore speciale delle Nazioni Unite sulla povertà estrema e sui diritti umani, l’ascesa della digitalizzazione è stata accompagnata da notevoli riduzioni dei bilanci del welfare, dall’introduzione di forme di condizionalità esigenti e invasive, dal trattamento di enormi quantità di dati personali e sensibili e dall’offuscamento dei processi decisionali critici.
Il nostro Osservatorio agisce come strumento civico di consapevolezza nell’offrire una panoramica degli algoritmi e dei processi automatizzati usati in Italia dalla pubblica amministrazione (PA). Sono quindi ad oggi esclusi gli algoritmi attivi negli spazi privati. La ragione è piuttosto semplice: le decisioni e le scelte di un ente pubblico hanno un impatto diretto e potenzialmente rilevante sulla vita di tutta la collettività. Trasparenza e consapevolezza sono due valori fondamentali in una società sempre più automatizzata: le persone devono essere a conoscenza dell’esistenza di tali sistemi, avere gli strumenti per poter accedere alle informazioni che riguardano l’automazione dei servizi pubblici e poter chiedere conto alla PA delle decisioni prese sul proprio conto e quindi esercitare, se necessario, i propri diritti. Diritti su cui l’amministrazione stessa, oltre a garantire, dovrebbe formare le persone e rendere espliciti.
L’OAA si rivolge quindi a tutte le persone interessate, ai media, alla società civile e ai legislatori, affinché possano conoscere i sistemi in uso, approfondirne l’impatto, conoscere i dati che vengono utilizzati e il loro livello di accuratezza.
È uno strumento voluto da un’organizzazione della società civile per favorire istanze collettive e per la diffusione di buone pratiche, reso necessario proprio in mancanza di un registro statale previsto dal governo. L’idea non è solo quella di mappare algoritmi “intelligenti” o particolarmente sofisticati: siamo convinti che anche sistemi algoritmici relativamente semplici possano causare cortocircuiti di responsabilità e danni. Gli errori che emergono a causa della mancanza di trasparenza, di accountability e di diversità dei sistemi automatizzati non sono infatti legati al tipo di tecnologia utilizzata, quanto piuttosto alle modalità di gestione dell’intero processo da parte degli esseri umani o degli uffici responsabili della loro implementazione.
In conclusione, sebbene siamo convinti dei potenziali benefici legati alla digitalizzazione dei servizi pubblici, soprattutto quelli basati su regole e rivolti all’intera nazione, è anche necessario considerare che la discrezione concessa ai dipendenti pubblici che lavorano “in prima linea” è dovuta alla necessità di contestualizzare le richieste per alcuni servizi o benefici. Per questo motivo, è fondamentale valutare i rischi e l’efficacia – non solo tecnica, ma sociale – di questi progetti prima che vengano implementarli per poterli indirizzare nel modo migliore per rispettare i diritti fondamentali delle persone.