I processi decisionali automatizzati nel GDPR, spunti e riflessioni interpretative

Autori

  • Alessandro Manfredi

DOI:

https://doi.org/10.32091/RIID0218

Parole chiave:

GDPR, Articolo 22, Processi decisionali automatizzati, SCHUFA, Accountability

Abstract

Il contributo analizza l’articolo 22 del GDPR, norma che tutela i soggetti da decisioni basate unicamente su processi automatizzati con effetti giuridici o analogamente significativi. L’indagine esamina la controversa natura della disposizione, interpretabile come divieto generale o diritto di opposizione, tenendo conto degli obiettivi perseguiti dal regolamento. Si evidenzia la distinzione definitoria tra processi decisionali automatizzati e profilazione ex articolo 4(4), configurandoli quali strumenti distinti seppur potenzialmente interconnessi. Particolare rilevanza assumono nella trattazione i criteri qualificanti gli effetti giuridici e gli effetti significativi, parametri determinanti per l’applicabilità della norma. Infine, la riflessione incorpora gli sviluppi giurisprudenziali comunitari, con riferimento alla sentenza C-634/21, concludendo sull’essenziale funzione equilibratrice della norma tra tutela dei diritti individuali e innovazione tecnologica.

Biografia autore

  • Alessandro Manfredi

    Dottorando di ricerca in “Diritto della società digitale e dell’innovazione tecnologica” - Università Magna Græcia di Catanzaro

Riferimenti bibliografici

Aa. V.v. (2022), L’intelligenza non è artificiale, “Limes”, 2022, n. 12

Article 29 Data Protection Working Party (2017), Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (WP251rev.01), 2017

A. Adinolfi (2022), Processi decisionali automatizzati e diritto antidiscriminatorio dell’Unione Europea, in A. Adinolfi, A. Simoncini (a cura di), “Protezione dei dati personali e nuove tecnologie. Ricerca interdisciplinare sulle tecniche di profilazione e sulle loro conseguenze giuridiche”, Edizioni Scientifiche Italiane, 2022

T.A. Auletta (1978), Riservatezza e tutela della personalità, Giuffrè, 1978

E. Bayamlioğlu (2023), Machine Learning and the Relevance of IP Rights: An Account of Transparency Requirements for AI, in “European Review of Private Law”, vol. 31, 2023, n. 2/3

G. Beck (2013), The Legal Reasoning of the Court of Justice of the EU, Bloomsbury Publishing, 2013

J. Bing (1981), Information Law?, in “Journal of Media Law and Practice”, vol. 2, 1981, n. 3

E. Bonaccorsi di Patti, F. Calabresi, B. De Varti et al. (2022), Intelligenza artificiale nel credit scoring. Analisi di alcune esperienze nel sistema finanziario italiano, in “Questioni di Economia e Finanza”, Occasional Papers, 2022, n. 721

R. Borruso (1997), voce Informatica giuridica, in “Enciclopedia del Diritto”, Giuffrè, 1997

M. Brkan (2019), Do algorithms rule the world? Algorithmic decision-making and data protection in the framework of the GDPR and beyond, in “International Journal of Law and Information Technology”, vol. 27, 2019, n. 2

G. Busia (2000), voce Riservatezza (diritto alla), in “Digesto delle Discipline Pubblicistiche”, UTET, 2000

L.A. Bygrave (2020), Article 22 Automated individual decision-making, including profiling, in C. Kuner, L.A. Bygrave, C. Docksey (eds.), “The EU General Data Protection Regulation (GDPR). A Commentary”, Oxford University Press, 2020

L.A. Bygrave (2019), Minding the Machine v2.0: The EU General Data Protection Regulation and Automated Decision Making, in K. Yeung, M. Lodge (eds.), “Algorithmic Regulation”, Oxford University Press, 2019

A. Caia, F. Iraci Gambazza (2022), Articolo 22, in G.M. Riccio, G. Scorza, E. Belisario (a cura di), “GDPR e Normativa Privacy, Commentario”, Wolters Kluwer, 2022

S. Calzolaio (2017), voce Protezione dei dati personali, in “Digesto delle Discipline Pubblicistiche”, UTET, 2017

A. Cavoukian, S. Taylor, M.E. Abrams (2010), Privacy by Design: essential for organizational accountability and strong business practices, in “Identity in the Information Society”, vol. 3, 2010, n. 2

A. Cerri (1991), voce Riservatezza (diritto alla), ii - Diritto comparato e straniero, in “Enciclopedia Giuridica”, vol. xxvii, Istituto dell’Enciclopedia Giuridica, 1991

R. Csernatoni (2024), Charting the Geopolitics and European Governance of Artificial Intelligence, Carnegie Europe, 2024

A. De Cupis (1982), I diritti della personalità, vol. IV del “Trattato di diritto civile e commerciale A. Cicu e F. Messineo”, Giuffrè, 1982

A. Gambaro (1981), Falsa luce agli occhi del pubblico/False Light in the Public Eyes, in “Rivista di diritto civile”, 1981, n. 1

G. D’Aquisto–M. Naldi (2017), Big Data e privacy by design. Anomizzazione, Pseudonimizzazione, Sicurezza. Giappichelli, 2017

G. D’Acquisto, C.A. Trovato, L. De Benedetti (2022), Alcune riflessioni sul concetto di autonomia decisionale della macchina e sulle sue implicazioni regolamentari, in A. Pajno, F. Donati, A. Perrucci (a cura di), “Intelligenza artificiale e diritto: una rivoluzione? Diritti fondamentali, dati personali e regolazione”, vol. 1, il Mulino, 2022

L. Determann (2024), Determann’s Field Guide to Artificial Intelligence Law. International, Edward Elgar Publishing, 2024

C. Di Francesco Maesa (2022), La profilazione nel contesto del diritto internazionale, in A. Adinolfi, A. Simoncini (a cura di), “Protezione dei dati personali e nuove tecnologie, Ricerca interdisciplinare sulle tecniche di profilazione e sulle loro conseguenze giuridiche”, Edizioni Scientifiche Italiane, 2022

E. Falletti (2024), Alcune riflessioni sull’applicabilità dell’art. 22 GDPR in materia di scoring creditizio, in “Il Diritto dell’informazione e dell’informatica”, 2024, n. 1

T.E. Frosini (2023), L’ordine giuridico del digitale, in “Rivista interdisciplinare sul diritto delle amministrazioni pubbliche”, 2023, n. 2

V. Frosini (1992), voce Telematica e informatica giuridica - L’informazione automatizzata, in Enciclopedia del Diritto, vol. xliv, Giuffè, 1992

V. Frosini (1984), Il diritto dell’informatica negli anni Ottanta, in “Rivista trimestrale di diritto pubblico”, 1984, n. 2

V. Frosini (1968), Cibernetica diritto e società, edizioni di comunità, 1968

L. Gatt, I.A. Caggiano, R. Montanari (eds.) (2021), Privacy and Consent. A Legal and UX&HMI Approach for Data Protection, Università degli Studi Suor Orsola Benincasa, 2021

M. Hildebrandt (2008), Defining Profiling: A New Type of Knowledge?, in M. Hildebrandt, S. Gutwirth (eds.), “Profiling the European Citizen”, Springer, 2008

J. Horstmann (2024), CJEU: The Rating of a Natural Person’s Creditworthiness by a Credit Rating Agency Constitutes Profiling and Can Be an Automated Decision under Article 22w GDPR, in “European Data Protection Law Review”, vol. 10, 2024, n. 1

K.F. Hubert, K.N. Awa, D.L. Zabelina (2024), The current state of artificial intelligence generative language models is more creative than humans on divergent thinking tasks, in “Nature Scientific Reports”, vol. 14, 2024

M.E. Kaminski (2019), The Right to Explanation, Explained, in “Berkeley Technology Law Journal”, vol. 34, 2019, n. 1

M.E. Kaminski, G. Malgieri (2021), Algorithmic impact assessments under the GDPR: producing multi-layered explanations, in “International Data Privacy Law”, vol. 11, 2021, n. 2

E.M. Le Fevre Cervini (2024), Intelligenza artificiale: chi vuole restare indietro?, ISPI, 9 maggio 2024

G. Malgieri (2019), Automated decision-making in the EU Member States: The right to explanation and other “suitable safeguards” in the national legislations, in “Computer Law & Security Review”, vol. 35, 2019, n. 5

G. Malgieri, G. Comandé (2017), Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation, in “International Data Privacy Law”, vol. 7, 2017, n. 4

I. Mendoza, L.A. Bygrave (2017), The Right Not to be Subject to Automated Decisions Based on Profiling, in T.E. Synodinou, P. Jougleux, C. Markou, T. Prastitou (eds.), “EU Internet Law. Regulation and Enforcement”, Springer, 2017

G. Pascuzzi (2016), Il diritto dell’era digitale, il Mulino, 2016

V. Pietrella, S. Racioppi (2024), Il credit scoring e la protezione dei dati personali: Commento alle sentenze della Corte di giustizia dell’Unione europea del 7 dicembre 2023, in “Rivista italiana di informatica e diritto”, 2024, n. 1

A. Pisapia (2018), La tutela per il trattamento e la protezione dei dati personali, Giappichelli, 2018

F. Pizzetti (2016), Privacy e il diritto europeo alla protezione dei dati personali. Il Regolamento europeo 2016/679, vol. 2, Giappichelli, 2016

R.J. Ricart, P. Álvarez-Aragonés (2023), The geopolitics of Generative AI: international implications and the role of the European Union, Real Instituto Elcano, 27 November 2023

V. Roppo (1984), Un “diritto dei mezzi di comunicazione di massa”? in “Rivista Critica del Diritto Privato”, vol. 1, 1984

S. Ruggieri (2022), Profile/Profiling, in G. Comandé (a cura di), “Encyclopedia of Law and Data Science”, Edward Elgar Publishing, 2022

S. Russo, R. Scavizzi (2010), Manuale di diritto comunitario dell’informatica, Giuffrè, 2010

C. Sarra (2020), Put Dialectics into the Machine: Protection against Automatic-decision-making through a Deeper Understanding of Contestability by Design, in “Global Jurist”, vol. 20, 2020, n. 3

G. Sartor (2022), L’intelligenza artificiale e il diritto, Giappichelli, 2022

G. Sartor, F. Lagioia (2020), The impact of the General Data Protection Regulation (GDPR) on artificial intelligence, Study EPRS PE 641.530, June 2020

G. Schneider (2022), Intelligenza artificiale, governance societaria e responsabilità sociale d’impresa: rischi e opportunità, in A. Pajno, F. Donati, A. Perrucci (a cura di), “Intelligenza artificiale e diritto: una rivoluzione? Proprietà intellettuale, società e finanza”, vol. 3, il Mulino, 2022

M. Taher Pilehvar, J. Camacho-Collados (2021), Embeddings in Natural Language Processing. Theory and Advances in Vector Representations of Meaning, Springer, 2021

L. Tosoni (2021), The right to object to automated individual decisions: resolving the ambiguity of Article 22(1) of the General Data Protection Regulation, in “International Data Privacy Law” vol. 11, 2021, n. 2

M. Veale, L. Edwards (2018), Clarity, surprises, and further questions in the Article 29 Working Party draft guidance on automated decision-making and profiling, in “Computer Law & Security Review”, vol. 34, 2018, n. 2

M. Vestoso (2021), Clues of mismatch between legal and users’ conception of personal data protection, in L. Gatt, R. Montanari, I.A. Caggiano (eds.), “Privacy and Consent. A Legal and UX&HMI Approach for Data Protection”, Università degli Studi Suor Orsola Benincasa, 2021

S. Wachter, B. Mittelstadt, L. Floridi (2017), Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation, in “International Data Privacy Law”, vol. 7, 2017, n. 2

Dowloads

Pubblicato

2025-05-15

Fascicolo

Anno 7 , fascicolo 1 (2025)

Sezione

Note e discussioni

Licenza

Copyright (c) 2025 Rivista italiana di informatica e diritto

Creative Commons License

Questo volume è pubblicato con la licenza Creative Commons Attribuzione - Non commerciale - Condividi allo stesso modo 4.0 Internazionale.

Come citare

[1]
Manfredi, A. 2025. I processi decisionali automatizzati nel GDPR, spunti e riflessioni interpretative. Rivista italiana di informatica e diritto. 7, 1 (May 2025), 20. DOI:https://doi.org/10.32091/RIID0218.