g-docweb-display Portlet

Valutazione di impatto sulla protezione dati relativa al trattamento “Analizzare rischi e fenomeni evasivi/elusivi tramite l’utilizzo dei dati contenuti nell’Archivio dei rapporti finanziari e l’incrocio degli stessi con le altre banche dati di cui dispone l’Agenzia delle entrate”.- Articolo 1, comma 684, della legge 27 dicembre 2019, n. 160 - 30 luglio 2022 [9808839]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9808839]

Valutazione di impatto sulla protezione dati relativa al trattamento “Analizzare rischi e fenomeni evasivi/elusivi tramite l’utilizzo dei dati contenuti nell’Archivio dei rapporti finanziari e l’incrocio degli stessi con le altre banche dati di cui dispone l’Agenzia delle entrate”- Articolo 1, comma 684, della legge 27 dicembre 2019, n. 160 - 30 luglio 2022

Registro dei provvedimenti
n. 276 del 30 luglio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTA la nota del 18 maggio, successivamente integrata in data 14 e 27 luglio 2022, con la quale l’Agenzia delle entrate ha sottoposto al Garante la valutazione di impatto di cui all’art. 1, comma 684, della legge 27 dicembre 2019, n. 160;

RITENUTO che ricorrono i presupposti per l’applicazione dell’art. 5, comma 8, del regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, il quale prevede che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell'organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno»;

VISTA la documentazione in atti;

PREMESSO

L’Agenzia delle entrate, con nota del 18 maggio, successivamente integrata in data 14 e 27 luglio 2022, ha sottoposto al Garante la valutazione di impatto di cui all’art. 1, comma 684, della legge 27 dicembre 2019, n. 160.

1. Il quadro normativo

La legge n. 160 del 2019 ha previsto che “per le attività di analisi del rischio di cui all’articolo 11, comma 4, del decreto-legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214, con riferimento all’utilizzo dei dati contenuti nell’archivio dei rapporti finanziari, di cui all’articolo 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605, e all’articolo 11, comma 2, del decreto-legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214, l’Agenzia delle entrate, anche previa pseudonimizzazione dei dati personali, si avvale delle tecnologie, delle elaborazioni e delle interconnessioni con le altre banche dati di cui dispone, allo scopo di individuare criteri di rischio utili per far emergere posizioni da sottoporre a controllo e incentivare l’adempimento spontaneo” (art. 1, comma 682).

Con decreto del Ministero dell’economia e delle finanze, adottato il 28 giugno 2022 ai sensi dell’art. 1, comma 683, della predetta legge, che ha tenuto conto delle condizioni formulate del Garante nel parere del 22 dicembre 2021 (provvedimento n. 453, doc. web n. 9738520), anche sentita l’Agenzia delle entrate, in relazione ai predetti trattamenti, sono stati definiti:

“a) le specifiche limitazioni e le modalità di esercizio dei diritti di cui agli articoli 14, 15, 17, 18 e 21 del regolamento (UE) 2016/679, in modo da assicurare che tale esercizio non possa arrecare un pregiudizio effettivo e concreto all’obiettivo di interesse pubblico;

b) le disposizioni specifiche relative al contenuto minimo essenziale di cui all’articolo 23, paragrafo 2, del regolamento (UE) 2016/679;

c) le misure adeguate a tutela dei diritti e delle libertà degli interessati”.

La legge ha previsto, inoltre, che “nel rispetto del principio di responsabilizzazione, ai sensi dell’articolo 35 del regolamento (UE) 2016/679, il trattamento di cui al comma 682 è oggetto di una valutazione unitaria di impatto sulla protezione dei dati, effettuata dall’Agenzia delle entrate prima di iniziare il trattamento stesso, sentito il Garante per la protezione dei dati personali. Nella valutazione d’impatto sono indicate anche le misure necessarie e ragionevoli per assicurare la qualità dei dati” (art. 1, comma 684).

In particolare, il citato decreto prevede che:

“1. L'Agenzia e la Guardia di finanza, in qualità di titolari del trattamento, trattano esclusivamente i dati personali indispensabili ed effettuano le operazioni di trattamento strettamente necessarie al raggiungimento delle finalità di cui all'art. 1, comma 682, della legge 27 dicembre 2019, n. 160, nel rispetto dei princìpi di cui all'art. 5 del regolamento.

2. L'Agenzia e la Guardia di finanza adottano tutte le misure necessarie per escludere i dati personali inesatti o non aggiornati dai trattamenti conseguenti all'analisi del rischio fiscale.

3. L'Agenzia e la Guardia di finanza interconnettono le informazioni contenute nell'Archivio dei rapporti finanziari con le altre banche dati a loro disposizione avvalendosi di opportune tecnologie informatiche e applicando le metodologie più appropriate.

4. A tutela dei diritti e delle libertà degli interessati, l'Agenzia e la Guardia di finanza adottano le misure di sicurezza tecniche e organizzative idonee a garantire la riservatezza, l'integrità, la disponibilità dei dati e la sicurezza dei sistemi, nonché quelle necessarie ad assicurare che i dati utilizzati siano attuali, coerenti, completi, tracciabili e ripristinabili, nel rispetto di quanto previsto dall'art. 32 del regolamento.

5. In particolare, l'Agenzia, anche per rafforzare le garanzie connesse al trattamento dei dati personali, effettua le elaborazioni finalizzate a far emergere le posizioni da sottoporre a controllo su dati preventivamente pseudonimizzati, attraverso metodi di sostituzione o modifica delle informazioni anagrafiche ovvero tramite perturbazioni delle variabili, al fine di impedire, in presenza di dati finanziari, l'identificazione diretta degli interessati. L'affidabilità e l'accuratezza del modello di analisi e dei criteri di rischio utilizzati sono testati per fare in modo che all'esito delle analisi siano limitati i rischi di ingerenze nei confronti dei contribuenti che non presentano un rischio fiscale significativo e, comunque, siano limitati i rischi di erronea rappresentazione della capacità contributiva. Negli atti e nei provvedimenti indirizzati ai contribuenti vengono sempre illustrati il rischio fiscale identificato e i dati che sono stati utilizzati per la sua individuazione. Nel processo di formazione dei dataset di analisi e controllo è sempre garantito l'intervento umano. Gli indicatori di rischio desunti o derivati non vengono memorizzati in archivi o basi dati diversi dai data set di analisi e controllo e non sono utilizzati per finalità diverse dall'analisi del rischio di cui all'art. 1, commi da 682 a 686, della legge 27 dicembre 2019, n. 160.

6. L'Agenzia delle entrate e la Guardia di finanza, a tutela dei soggetti minori di età, garantiscono la cancellazione dei loro dati identificativi prima della definizione del dataset di controllo. Le attività istruttorie, nonché quelle di stimolo all'adempimento spontaneo, saranno in ogni caso condotte esclusivamente nei confronti dei soggetti che esercitano le funzioni di rappresentanza legale.

7. Al fine di ridurre i rischi di accessi non autorizzati o non conformi alle finalità di trattamento, l'accesso agli strumenti informatici di trattamento è consentito ai soli soggetti specificatamente autorizzati, ai sensi dell'art. 29 del regolamento e dell'art. 2-quaterdecies del decreto legislativo 30 giugno 2003, n. 196, deputati a svolgere le attività di misurazione della qualità dei dati e di analisi del rischio fiscale.

8. Il personale specificatamente autorizzato dal Titolare o dal Responsabile verifica, tramite controlli puntuali condotti su campioni rappresentativi della platea di riferimento, la corretta applicazione del modello di analisi e la coerenza degli esiti delle elaborazioni svolte in attuazione della metodologia adottata. I predetti controlli sono effettuati dagli operatori sia preliminarmente all'inserimento dei dati nelle liste di controllo, per le finalità di verifica della corretta applicazione della metodologia e del modello di analisi adottati, sia successivamente per riscontrare l'accuratezza e la proficuità dei risultati degli incroci effettuati in attuazione del modello di analisi e del criterio di rischio fiscale utilizzati.

9. Al fine di impedire che si verifichino trattamenti illeciti o violazioni dei dati personali ai sensi dell'art. 4, paragrafo 1, n. 12, del regolamento, l'Agenzia procede al controllo degli accessi ai dati e alle informazioni presenti nelle banche dati tramite misure idonee a verificare, anche a posteriori, le operazioni eseguite da ciascun soggetto autorizzato.

10. Ai fini di cui al presente articolo, l'Agenzia e la Guardia di finanza effettuano le valutazioni di impatto di cui all'art. 35 del regolamento, procedendo periodicamente al relativo aggiornamento e al loro riesame, sentito il Garante per la protezione dei dati personali, quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento”.

2. La valutazione di impatto

La valutazione di impatto, relativa ai trattamenti effettuati dall’Agenzia per “analizzare rischi e fenomeni evasivi/elusivi tramite l’utilizzo dei dati presenti nell’archivio dei rapporti finanziari e l’incrocio degli stessi con le altre banche dati di cui dispone l’agenzia delle entrate” è corredata da sei allegati (Regole per l’utilizzo di strumenti avanzati di analisi SAS e SPSS, all. 1; Nota soluzione di pseudonimizzazione, all. 2; Misure di sicurezza e privacy del servizio ICT ENT-SA-0018 area BI entrate - pianificazione e controllo - analisi statistico – econometriche – funzionalità analisi dati, all. 3; Misure di sicurezza e privacy del servizio ICT ENT-SA-0086 – indagini finanziarie – funzionalità analisi del rischio fenomeni evasivi/elusivi, all. 4; Misure di sicurezza e privacy del servizio ICT TRA-SA-0052 piattaforma SASVA – funzionalità analisi del rischio fenomeni evasivi/elusivi, all. 5; Piano di rientro misure di sicurezza e privacy dei servizi ICT relativi allo strumento di trattamento “SERPICO”, all. 6).

Innanzitutto, nella valutazione di impatto viene precisato che la finalità perseguita con l’utilizzo dei predetti dati è duplice:

a) far emergere le posizioni da sottoporre a controllo con i tradizionali poteri istruttori di cui agli artt. 32 e 33 del d.P.R. 29 settembre 1973, n. 600, 51 e 52 del d.P.R. 26 ottobre 1972 n. 633 e 53-bis del d.P.R. 26 aprile 1986, n. 131;

b) rilevare le anomalie da comunicare ai contribuenti, ai sensi dell’art. 1, commi 634-636, della legge 23 dicembre 2014, n. 190, per l’azione di stimolo dell’adempimento spontaneo.

A tal fine, l’Agenzia utilizza le informazioni contenute nell’Archivio dei rapporti finanziari, anche interconnesse con quelle presenti nelle altre banche dati a sua disposizione, e, avvalendosi di opportune tecnologie informatiche, “applica le metodologie di analisi più appropriate per individuare i criteri di rischio utili a far emergere le posizioni connotate da un maggior livello di rischio fiscale, inteso come il rischio di operare in violazione di norme di natura tributaria, ovvero in contrasto con i principi o con le finalità dell’ordinamento tributario”, utilizzando, “oltre ai classici metodi deterministici, anche metodi basati sulle moderne tecniche di machine learning e sulle altre soluzioni di intelligenza artificiale”.

Per individuare le ipotesi di “avveramento di un rischio fiscale” sono impiegate “metodologie basate su tecniche di analisi di carattere sia deterministico che stocastico, che vengono implementate sui soli dati contenuti nell’Archivio dei rapporti finanziari, ovvero su detti dati collegati, preventivamente o successivamente, con quelli contenuti nelle altre basi dati”.

Nella valutazione vengono fornite le seguenti definizioni:

“analisi deterministica”: “una tecnica di analisi basata sul raffronto e sull’elaborazione dei dati, riferiti ad uno o più contribuenti ovvero ad uno o più periodi di imposta, volta a riscontrare, tramite lo studio di relazioni non probabilistiche, l’avveramento di un rischio fiscale chiaramente definibile prima dell’avvio dell’analisi”;

“analisi stocastica”: “tecnica di analisi che, sfruttando algoritmi supervisionati e non supervisionati di modellazione statistica e machine learning, consente di calcolare degli indicatori di rischio fiscale - anche non noti a priori - che possono: a) fungere da input per l’analisi deterministica; b) essere utilizzati per ridurre la platea di riferimento per le  analisi deterministiche, individuando i soggetti che presentano caratteristiche di particolare anomalia; b) essere usati per graduare il livello di rischiosità fiscale dei contribuenti presenti nel dataset di controllo; c) misurare preventivamente, attraverso l’impiego di opportune tecniche, il livello di accuratezza delle analisi, riducendo in tal modo l’incertezza dei risultati, e, pertanto, la probabilità di selezionare falsi positivi”;

“dataset di analisi”: “l’insieme dei dati selezionati ai fini di cui all’articolo 1, commi da 682 a 686, della legge 27 dicembre 2019, n. 160, per verificare la presenza dei rischi fiscali identificati in esito alle tecniche ed ai modelli di analisi utilizzati”;

“dataset di controllo”: “l’insieme delle posizioni fiscali dei contribuenti, caratterizzate dalla ricorrenza di uno o più rischi fiscali, nei confronti dei quali potranno essere avviate le attività di controllo, ovvero le attività volte a stimolare l’adempimento spontaneo”.

In particolare, vengono descritte le seguenti fasi in cui si articolano i trattamenti oggetto della valutazione di impatto: individuazione della platea di riferimento; scelta delle basi dati; creazione del dataset di analisi; analisi di qualità dei dati; definizione del criterio di rischio; scelta ed implementazione del modello di analisi (modelli di analisi deterministici, modelli di analisi stocastici, sinergie derivanti dalla combinazione delle due metodologie, informazioni significative sulla logica utilizzata dai modelli non deterministici e conseguenze connesse ai loro risultati); verifica della corretta applicazione del modello (rischi insiti nelle analisi deterministiche e stocastiche – misure di mitigazione); creazione del dataset di controllo; test su un campione casuale rappresentativo della popolazione; fase di invio delle comunicazioni per stimolare l’adempimento spontaneo degli obblighi tributari (l’intervento umano nel processo di stimolo dell’adempimento spontaneo); attività di controllo, la motivazione degli atti amministrativi tributari; monitoraggio degli esiti delle attività di stimolo dell’adempimento spontaneo e di controllo (procedure di controllo interno).

Per quanto riguarda, invece, le banche dati che verranno utilizzate per creare i dataset di analisi (e, quindi, di controllo), nella valutazione di impatto sono riportate, oltre all’Archivio dei rapporti finanziari, quelle relative a: dati anagrafici, dichiarativi, accertamenti e controlli, spesometro, fatture elettroniche (cc.dd. “dati fattura” e “dati fattura integrati”), corrispettivi telematici, Intrastat, IndexVies, bollette doganali, esiti contabili, registro, catasto, osservatorio mercato immobiliare, versamenti F24 e F23, Anagrafe nazionale popolazione residente, Bureau van Dijk (BVD), motorizzazione, scambi internazionali (DAC1, DAC2, FATCA e CRS), rendicontazione dati nazionali paese per paese (CbCR - DAC4), monitoraggio fiscale, esterometro, depositi fiscali (costituzione garanzia per l’estrazione di carburanti), depositi IVA (dichiarazione sostitutiva dei requisiti di affidabilità, prestazione della garanzia), deroga alla limitazione all’uso del contante, canone TV, visto di conformità e professionisti abilitati, associazioni e società sportive, registri pubblici CCIAA compresi i dati dei bilanci, cooperative, rinnovo patenti, banca dati equidi (BDE), dati INPS (aziende e contributi artigiani e commercianti), proprietà di beni mobili (dati PRA/ACI/MCTC e beni in godimento ai soci); bonifici per detrazioni, dati dai Comuni (smaltimento rifiuti, DIA edilizia), contratti di locazione breve, comunicazioni compagnie assicurative (premi e contratti e dati dei sinistri), contributi previdenza complementare, contributi previdenziali (riscatto laurea per gli inoccupati), dati delle circoscrizioni aeroportuali, dati delle società di calcio, dati delle strutture sanitarie private, esenzione da imposizione di interessi, premi e obbligazioni e titoli similari, utenze (gas, elettriche, idriche e telefoniche), interessi passivi sui mutui, monitoraggio fiscale intermediari, noleggio occasionale di imbarcazioni e navi da diporto, ordini professionali enti e uffici, pubbliche amministrazioni e enti pubblici (dati sul contratto di appalto), registro elettronico degli indirizzi, ristrutturazione edilizia e risparmio energetico su parti comuni condominiali, uffici marittimi e motorizzazione civile/nautica, uffici pubblici (licenze, autorizzazioni e concessioni di aree demaniali marittime), demanio marittimo (elenco soggetti titolari di concessioni demaniali), vendita a distanza di beni.

Nell’Archivio dei rapporti finanziari sono presenti, in particolare, i dati contabili (saldo alla data di fine anno precedente e alla data di fine anno, importo totale degli accrediti e degli addebiti effettuati nell’anno, e giacenza media) di oltre trenta tipologie di rapporti finanziari (es. conti corrente, carte di credito, di debito, prepagate, aziendali e non, conti deposito titoli, certificati di deposito e buoni fruttiferi, cassette di sicurezza, fondi pensione, finanziamenti, acquisto e vendita di oro e metalli preziosi, operazioni extra conto).

Con riferimento, infine, ai modelli di analisi utilizzati, l’Agenzia, nell’ambito di quelli di stocastici, prevede il ricorso a tecniche di apprendimento automatizzato (machine learning), classificati in:

supervisionati: tali tecniche hanno l’obiettivo di “costruire, partendo da un’ipotesi inferenziale, un algoritmo in grado di elaborare delle previsioni sui valori di uscita di una variabile (output) rispetto ad una serie di altre variabili (input), identificando le relazioni esistenti fra esse. La variabile di output può essere, ad esempio, la classificazione di un soggetto come “rischioso” o “non rischioso”, in base agli esiti di pregresse attività istruttorie o di accertamento condotte nei confronti di altri soggetti. Per garantire l’affidabilità, la completezza e la qualità del training set, saranno utilizzate solo informazioni storiche relative a processi che hanno esaurito il proprio ciclo di vita amministrativo”;

non supervisionati: tali tecniche “non prevedono la presenza di un profilo noto a priori su cui addestrare l’algoritmo, ma sono orientati ad evidenziare in maniera autonoma eventuali schemi ricorrenti presenti nei dati. Il tipico esempio di utilizzo di metodi supervisionati consiste nell’individuazione di gruppi di soggetti omogenei rispetto alle caratteristiche descritte dai dati”.

Viene inoltre rappresentato che “l’utilizzo congiunto di metodi supervisionati e non supervisionati può condurre ad una rappresentazione più accurata del profilo dei contribuenti e all’individuazione delle anomalie e degli eventuali errori presenti nei dati”.

OSSERVA

I trattamenti oggetto della valutazione di impatto presentano rischi elevati per i diritti e le libertà degli interessati, essendo relativi a tutte le tipologie di dati personali che costituiscono l’immenso patrimonio informativo nella disponibilità dell’Agenzia delle entrate, riferiti alla totalità di contribuenti, e fondati sul ricorso a nuove tecnologie (quali le citate tecniche di machine learning) al fine di classificare gli stessi sulla base di specifici indicatori di rischio fiscale, desunti o derivati, da individuarsi mediante modelli di analisi deterministici e stocastici.

La valutazione di impatto in esame tiene conto di alcune indicazioni fornite all’Agenzia delle entrate nel corso dell’istruttoria, con particolare riferimento agli aspetti relativi agli obblighi di trasparenza nei confronti degli interessati, all’individuazione delle fasi nelle quali assicurare l’intervento umano nei procedimenti decisionali fondati su trattamenti automatizzati, alle misure adottate per garantire la qualità dei dati trattati, all’esclusione dei dati relativi a condanne penali e reati (art. 10 del Regolamento) dai dataset di analisi e di controllo, ai tempi di conservazione dei log di tracciamento degli accessi e delle operazioni compiute sui dataset di analisi e di controllo.

Ferma restando la rilevanza delle finalità perseguite dall’Agenzia delle entrate nelle suddette attività di analisi, anche mediante il ricorso a tecniche di intelligenza artificiale, volte a far emergere posizioni suscettibili di presentare un più elevato rischio fiscale da sottoporre a controllo ovvero nei confronti delle quali incentivare l’adempimento spontaneo degli obblighi tributari, si rappresenta la necessità di formulare le seguenti osservazioni al fine di assicurare, in tale delicato contesto, l’adozione di adeguate misure e garanzie a tutela degli interessati (e, in ultima analisi, tali da riverberare a vantaggio della complessiva azione condotta dall’Agenzia nell’assolvimento dei propri compiti istituzionali).

Tale esigenza di garanzia, peraltro, è stata di recente espressa anche dalla giurisprudenza del Consiglio di Stato (cfr., in particolare, Sent., VI sez., nn. 2270/2019, 8472/2019, 8473/2019, 8474/2019, 881/2020, e 1206/2021), che ha enucleato, anche sulla base delle disposizioni del Regolamento, i seguenti principi generali volti a informare l’utilizzo di algoritmi nei procedimenti amministrativi:

il principio di conoscibilità, in base al quale l’interessato ha diritto a conoscere l’esistenza di processi decisionali basati su trattamenti automatizzati che lo riguardino e, in tal caso, a ricevere informazioni significative sulla logica utilizzata, sì da poterla comprendere;

il principio di non esclusività della decisione algoritmica, secondo cui deve comunque esistere nel processo decisionale un intervento umano capace di controllare, validare ovvero smentire la decisione automatica (c.d. human in the loop);

il principio di non discriminazione algoritmica, secondo cui “è opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, metta in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e che impedisca tra l’altro effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale, ovvero che comportano misure aventi tali effetti” (cfr. considerando n. 71 del Regolamento). In base a tale principio, pur dinanzi ad un algoritmo conoscibile e comprensibile, non costituente l’unica motivazione della decisione, occorre che lo stesso non assuma carattere discriminatorio.

3. Trattamenti di dati personali e intelligenza artificiale: un quadro regolatorio in evoluzione

I trattamenti in esame, oggetto di analisi alla luce dei principi del Regolamento e del Codice, dovranno altresì conformarsi, una volta definita, alla cornice normativa in via di formazione nel contesto dell’Unione europea – sulla scia degli orientamenti etici per un’IA affidabile del Gruppo indipendente di esperti istituito dalla Commissione europea – con la Proposta di “Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'Unione” – che in larga misura muove dai principi generali di protezione dei dati personali – come pure con i principi oggetto di elaborazione in seno al Consiglio d’Europa improntati al design, sviluppo e applicazione di sistemi di intelligenza artificiale affidabile (trustworthy AI), rispettosi dei diritti fondamentali e delle libertà degli interessati.

I trattamenti dovrebbero altresì tener conto dell’elaborazione – della quale è partecipe l’ordinamento italiano – a livello internazionale in materia di trustworthy AI, con particolare riferimento ai principi contenuti in:

OECD Recommendation of the Council on Artificial Intelligence (OECD/LEGAL/0449) adottata il 22 maggio 2019, ed in particolare tenere conto dell’approccio antropocentrico in ogni fase del ciclo vitale (lifecycle) dei sistemi di intelligenza artificiale e dei principi di correttezza (fairness) e non discriminazione; dei principi di trasparenza (transparency) e di comprensibilità (explainability); dei principi di robustezza (robustness) e (ciber)sicurezza informatica (security); ancora, del principio di responsabilizzazione (accountability) di quanti, a vario titolo, svolgono un ruolo attivo nella fase del design, dello sviluppo e dell’impiego dei sistemi di intelligenza artificiale;

UNESCO Recommendation on the Ethics of Artificial Intelligence, adottata il 23 novembre 2021.

Si tratta, a ben vedere, di principi coerenti con le vigenti disposizioni in materia di protezione dei dati e che, salvi (più puntuali) adeguamenti normativi futuri, fin d’ora devono essere tenuti in considerazione per conformarvi (by design) i trattamenti oggetto della valutazione di impatto. In tale prospettiva muovono le considerazioni riportate nei seguenti paragrafi, volte ad integrare le misure, in parte già predisposte dall’Agenzia, che, allo stato, si ritengono necessarie a mitigare i rischi che i trattamenti in esame presentato per i diritti fondamentali e le libertà degli interessati.

4. L’individuazione dei rischi e delle misure per mitigarli

Nella valutazione di impatto sono elencate le banche dati che (allo stato) l’Agenzia intende impiegare per la creazione dei dataset di analisi e sono descritti in astratto i possibili modelli di analisi, comprensivi del ricorso a tecniche di machine learning supervisionate e non supervisionate, da utilizzare per individuare i soggetti la cui posizione è caratterizzata dalla ricorrenza di uno o più rischi fiscali.

Al riguardo, occorre tuttavia evidenziare che, in ossequio a quanto previsto dagli artt. 5, 25 e 35 del Regolamento, i rischi per i diritti e le libertà degli interessati derivanti dai trattamenti in esame e, di conseguenza, le misure da adottare per gestirli, escludendoli o mitigandoli, devono essere valutate in concreto, vale a dire tenendo in considerazione le caratteristiche delle banche dati di volta in volta utilizzate e i modelli di analisi impiegati (es. quelli di analisi deterministica o stocastica, oppure una combinazione di essi).

Ciò, tenuto conto anche del fatto che, tra i principali rischi connessi all’utilizzo di modelli di analisi stocastica con tecniche di machine learning, vi sono quelli relativi a potenziali opacità nella fase di sviluppo dell’algoritmo, errori e distorsioni di diversa natura (cc.dd. bias), che possono verificarsi nell’elaborazione o nell’utilizzo di tali modelli ovvero correlati alla qualità e/o al volume dei dati di volta in volta utilizzati e che, se non correttamente identificati e mitigati, possono produrre conseguenze pregiudizievoli o risultati discriminatori per gli interessati.

Pertanto, nella fase di “test su un campione casuale rappresentativo della popolazione” (par. 3.9 della valutazione di impatto), volta a consolidare le posizioni fiscali dei contribuenti presenti nel dataset di controllo, è necessario che l’Agenzia verifichi e documenti, nel rispetto del principio di accountability, le scelte effettuate in ordine all’individuazione delle banche dati utilizzate per la creazione del dataset di analisi e dei modelli di analisi impiegati, comprovando di aver adeguatamente individuato e gestito i rischi per i diritti e le libertà degli interessati. Nel documentare tali aspetti, in caso di ricorso a tecniche di intelligenza artificiale, occorre altresì evidenziare le metriche utilizzate per valutare la qualità del modello di analisi adottato, le verifiche svolte per rilevare la presenza di eventuali bias, nonché le misure correttive eventualmente adottate.

5. Correttezza e trasparenza del trattamento

Con il parere n. 453 del 22 dicembre 2021 (doc. web n. 9738520) reso sullo schema di decreto attuativo dell’art. 1, comma 683, della legge n. 160/2019, il Garante, con riferimento agli obblighi informativi di cui agli artt. 13 e 14 del Regolamento, ha rappresentato che “tra gli aspetti che meritano maggiore trasparenza nei confronti degli interessati, vi sono quelli relativi all’attività di profilazione, in considerazione dei potenziali rischi e delle interferenze che tale attività pone in relazione ai diritti degli interessati”, che richiede di fornire ai contribuenti “un quadro sulla logica sottostante al processo decisionale fondato su trattamenti automatizzati”.

In linea con i sopra citati documenti internazionali e la giurisprudenza amministrativa, la trasparenza e la correttezza nei processi decisionali fondati su trattamenti automatizzati costituiscono uno dei presidi necessari nell’utilizzo di sistemi di intelligenza artificiale nell’ambito dell’azione amministrativa, che possono contribuire al contenimento dei correlati rischi, anche discriminatori, che possono derivarne.

Come accennato, infatti, nei richiamati documenti internazionali si fa riferimento, per assicurare una trustworthy AI, alla necessità di assicurare una quanto più ampia consapevolezza (awareness) nelle collettività di riferimento (qui la totalità dei contribuenti) in relazione all’impiego dei sistemi di intelligenza artificiale e comprensione in relazione al loro funzionamento (cfr., in particolare, punti 44 e 47 del UNESCO Recommendation), assicurando, inoltre, la partecipazione dei differenti stakeholder in relazione al ciclo di vita dei sistemi di intelligenza artificiale al fine di assicurarne uno sviluppo sostenibile e una governance rispettosa dei diritti degli interessati.

In tale prospettiva, anche l’art. 35, par. 9, del Regolamento prevede che “se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti”.

A tal riguardo, l’Agenzia, nella nota del 27 luglio 2022, ha rappresentato di non aver “provveduto ad acquisire preventivamente le opinioni degli interessati o dei loro rappresentanti”.

In proposito, occorre osservare che tale consultazione è particolarmente significativa nel caso di specie data l’estensione della platea dei soggetti interessati (tendenzialmente universale), la delicatezza dei trattamenti e le implicazioni individuali degli stessi; ciò, peraltro, anche in considerazione del principio di correttezza (art. 5, par. 1, lett. a), del Regolamento), pure enunciato dalla disciplina di settore (cfr. la clausola generale contenuta nell’art. 10 della l. 27 luglio 2000, n. 212, Disposizioni in materia di statuto dei diritti del contribuente, secondo cui i “rapporti tra contribuente e amministrazione finanziaria sono improntati al principio della collaborazione e della buona fede”).

In tale contesto, si ritiene, pertanto, necessario che siano raccolte le opinioni dei soggetti a vario titolo coinvolti, quali le associazioni di categoria e gli ordini professionali, che dovranno essere tenute in considerazione ai fini dell’aggiornamento della valutazione di impatto in esame.

Sotto altro profilo, come evidenziato nelle “Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679”, adottate dal Gruppo di lavoro articolo 29 per la protezione dei dati il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017, fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, “la pubblicazione di una valutazione d'impatto sulla protezione dei dati non è un requisito giuridico sancito dal regolamento generale sulla protezione dei dati, è una decisione del titolare del trattamento procedere in tal senso. Tuttavia, i titolari del trattamento dovrebbero prendere in considerazione la pubblicazione di almeno alcune parti, ad esempio di una sintesi o della conclusione della loro valutazione d'impatto sulla protezione dei dati. Lo scopo di un tale processo sarebbe quello di contribuire a stimolare la fiducia nei confronti dei trattamenti effettuati dal titolare del trattamento, nonché di dimostrare la responsabilizzazione e la trasparenza. Costituisce una prassi particolarmente buona pubblicare una valutazione d'impatto sulla protezione dei dati nel caso in cui individui della popolazione siano influenzati dal trattamento interessato. Nello specifico, ciò potrebbe essere il caso in cui un'autorità pubblica realizza una valutazione d'impatto sulla protezione dei dati”.

Al riguardo, nella nota del 27 luglio 2022, in riscontro a una specifica richiesta dell’Autorità in tal senso, l’Agenzia ha rappresentato che “la valutazione d’impatto e i relativi allegati, o un loro estratto, non verranno pubblicati sul sito istituzionale dell’Agenzia delle entrate al fine di preservare la riservatezza e la sicurezza delle informazioni ivi contenute”, ritenendo che “le esigenze di trasparenza e di responsabilizzazione di cui all’art. 5 parr. 1, lett. a), e 2 del Regolamento, siano adeguatamente rispettate attraverso gli elementi informativi riportati negli atti e nei provvedimenti indirizzati ai contribuenti nei quali vengono sempre illustrati il rischio fiscale identificato i dati utilizzati per la sua individuazione”.

Tuttavia, si osserva che, nel contesto in esame, la pubblicazione della valutazione di impatto, o quantomeno di un suo estratto, contribuisca ad assicurare un elevato livello di trasparenza anche nei confronti di coloro ai quali l’Agenzia non invierà atti o provvedimenti, ma i cui dati personali saranno comunque sottoposti a trattamenti nell’ambito dei dataset di analisi e di controllo, incrementando anche la fiducia dei contribuenti nei confronti dell’utilizzo di tecniche di intelligenza artificiale in ambito fiscale.

Si ritiene necessario, pertanto, che l’Agenzia pubblichi un estratto della valutazione di impatto, omettendo gli allegati e le parti che possono compromettere la sicurezza dei trattamenti.

6. L’intervento umano nella formazione dei dataset di analisi e di controllo

Il d.m. 28 giugno 2022 prevede che “nel processo di formazione dei dataset di analisi e controllo è sempre garantito l'intervento umano” (art. 5, comma 5), in linea con quanto affermato dal Consiglio di Stato nella citata giurisprudenza in relazione al principio di non esclusività della decisione algoritmica.

Nella valutazione di impatto in esame l’Agenzia ha evidenziato che “con particolare riferimento al processo di stimolo dell’adempimento spontaneo, così come in tutte le altre fasi del processo di analisi del rischio, è sempre garantito l’intervento umano. In particolare, […] la creazione di una lista di contribuenti nei cui confronti avviare un’azione cd. “cambia-verso”, si può disaggregare nelle seguenti macro-fasi:

1. individuazione di un criterio di rischio: tale fase è interamente gestita dal personale dell’Agenzia delle entrate;

2. verifica della presenza del rischio individuato rispetto a una platea di contribuenti: tale fase, seppur supportata da strumenti informatici, è presidiata completamente dal personale dell’Agenzia e da quello di Sogei. Infatti, in base al criterio di rischio vengono redatte delle specifiche tecniche. Tali specifiche sono condivise con il personale di Sogei che procede a sviluppare l’elaborazione;

3. controllo preventivo dei risultati dell’analisi: gli esiti dell’elaborazioni vengono restituiti al personale dell’Agenzia, che controlla in maniera campionaria la loro coerenza rispetto alle specifiche tecniche. In caso di esito positivo delle verifiche, la Sogei viene autorizzata all’invio delle comunicazioni”.

Con riferimento, invece, alle attività di controllo, viene rappresentato che “gli esiti delle selezioni effettuate tramite il procedimento in trattazione non rappresentano fonti d’innesco autonome per l’attività di controllo. Ciascuna lista di contribuenti sarà oggetto di un’ulteriore attività di analisi del rischio condotta dagli Uffici delle Direzioni Regionali, che potranno integrare le informazioni ricevute con quelle già in loro possesso e riesaminarle in base alla profonda conoscenza del territorio di riferimento. Solo a valle di tale ulteriore processo di analisi sono scelte le posizioni da controllare”.

Al riguardo, occorre osservare che, come evidenziato in letteratura, gli operatori potrebbero ritenere più prudente non opporsi alle risultanze dei sistemi algoritmici, vanificando la garanzia connessa alla necessità dell’intervento umano nel processo decisionale.

Come già rilevato nel citato parere del Garante n. 453 del 22 dicembre 2021, si ritiene necessario che siano adottate misure adeguate per formare, anche ai sensi dell’art. 29 del Regolamento, il personale coinvolto nei trattamenti in esame, al fine di assicurare:

la comprensione, da parte degli operatori ai quali è affidato l’intervento umano, delle capacità e dei limiti del processo algoritmico, monitorandone debitamente il funzionamento, in modo che i segnali di anomalie, disfunzioni e prestazioni inattese possano essere tempestivamente individuati e affrontati;

la consapevolezza degli operatori della possibile tendenza a fare automaticamente affidamento sull’output del processo algoritmico;

la corretta interpretazione dell’output del processo algoritmico, tenendo conto in particolare delle sue caratteristiche;

la possibilità per gli operatori di decidere, in qualsiasi situazione particolare, di ignorare, se del caso, l'output del processo algoritmico.

7. Le verifiche sulla qualità dei modelli di analisi

Nella valutazione di impatto in esame viene rappresentato che “gli esiti delle azioni compiute dalle Direzioni regionali e provinciali sono soggetti ad un monitoraggio tempestivo e continuativo, che consente l’adozione degli interventi correttivi che si dovessero rendere necessari. Grazie a tale monitoraggio, inoltre, è possibile individuare elementi ed informazioni che possono essere utilizzate per migliorare il processo di analisi e, per l’effetto, l’efficacia della selezione”. In particolare, “per quanto concerne le iniziative volte a stimolare l’adempimento spontaneo, sono riscontrati, ad esempio, il tasso di risposta dei contribuenti, il numero delle dichiarazioni integrative presentate, gli esiti derivanti dall’analisi della documentazione inviata per giustificare l’anomalia, il numero di “falsi positivi”, mentre “in relazione alle attività di controllo, […] è rilevato il tasso di positività degli accertamenti e i relativi esiti: definizione per adesione/acquiescenza, impugnazione, annullamento in autotutela, etc.”.

Le attività di monitoraggio sulle risultanze dell’impiego dei modelli di analisi deterministici e stocastici costituiscono un presidio necessario per assicurare il rispetto dei principi del Regolamento, nella misura in cui consentano di valutare, altresì, l’adeguatezza del complesso delle misure adottate per mitigare o escludere i rischi per i diritti e le libertà degli interessati, in ogni fase dei trattamenti, anche con riferimento alla presenza di bias o di discriminazioni.

A tal fine, anche nella prospettiva di un percorso volto a conseguire un miglioramento progressivo, occorre che l’Agenzia, in attuazione del principio di accountability, adotti processi di verifica della qualità dei modelli di analisi impiegati, documentando adeguatamente, in rapporti periodici, le metriche utilizzate, le attività svolte, le eventuali criticità riscontrate e le misure di conseguenza adottate. Tali verifiche, da effettuarsi con il coinvolgimento del responsabile della protezione dei dati, devono essere demandate a un’unità organizzativa o, comunque, a personale diverso rispetto a quello coinvolto nel design e sviluppo dei modelli di analisi. Gli esiti delle predette verifiche devono essere tenuti in considerazione ai fini dell’aggiornamento della valutazione di impatto in esame e messi a disposizione del Garante in caso di specifica richiesta.

8. Le tecniche di pseudonimizzazione dei dati

Nella valutazione di impatto viene prospettato che “per quanto riguarda la pseudonimizzazione dei dati, la stessa è prevista come una facoltà (articolo 1, comma 682, della legge 27 dicembre 2019, n. 160), in coerenza con il principio di responsabilizzazione che impronta l’attuale disciplina sul trattamento dei dati personali. Ciononostante, l’Agenzia delle entrate intende applicarla in modo sistematico per rafforzare le garanzie poste a presidio del trattamento dei dati”. In particolare, è indicato che “le misure tecniche di pseudonimizzazione sono finalizzate ad impedire l’identificazione del soggetto interessato e sono sviluppate attraverso metodi di sostituzione o modifica delle informazioni anagrafiche, cui possono aggiungersi azioni di perturbazione dei dati non direttamente identificativi (es. reddito, volume di affari et similia)”.

In ogni caso, come sopra indicato, la pseudonimizzazione dei dati personali è espressamente richiesta dal citato d.m. 28 giugno 2022 che prevede che “l'Agenzia, anche per rafforzare le garanzie connesse al trattamento dei dati personali, effettua le elaborazioni finalizzate a far emergere le posizioni da sottoporre a controllo su dati preventivamente pseudonimizzati, attraverso metodi di sostituzione o modifica delle informazioni anagrafiche ovvero tramite perturbazioni delle variabili, al fine di impedire, in presenza di dati finanziari, l'identificazione diretta degli interessati” (art. 5, comma 5).

Tuttavia, nel citato all. 2 alla valutazione di impatto (“Nota sulla progettazione e sperimentazione di una metodologia di pseudonimizzazione”), viene prospettato l’utilizzo di “una metodologia che, attraverso una perturbazione casuale delle variabili non identificative, impedisca la re-identificazione massiva, evitando così che, tramite l’incrocio tra più variabili non identificative incluse nel dataset di analisi e la banca dati originale dell’A.T., sia possibile ricostruire con una singola operazione tutti i codici fiscali originali (o un numero significativo di essi)”, precisando, altresì, come “tale metodologia non debba essere finalizzata ad impedire una reidentificazione puntuale o parziale. In taluni record, ad esempio, in corrispondenza dei valori estremi delle distribuzioni delle variabili numeriche, il rischio di re-identificazione potrebbe essere ridotto solamente andando ad alterare in maniera molto incisiva le distribuzioni”.

Al riguardo, si osserva che utilizzare una metodologia che impedisca unicamente una “re-identificazione massiva” degli interessati (ossia “ricostruire con una singola operazione tutti i codici fiscali originali (o un numero significativo di essi)”), senza essere finalizzata a ostacolare una loro “reidentificazione puntuale o parziale” (e, quindi, possibile anche in assenza di informazioni aggiuntive, quali l’associazione tra il c.d. “identificativo fittizio” del contribuente e il suo codice fiscale), non costituisce una tecnica di pseudonimizzazione pienamente efficace (cfr. anche il considerando n. 26 del Regolamento). Ciò, pur considerando positivamente le misure che l’Agenzia ha illustrato nella valutazione di impatto, quali l’adozione di accorgimenti di tipo organizzativo (le attività di creazione del dataset di analisi sono curate da personale differente dagli analisti coinvolti nelle attività di definizione dei criteri di rischio e di applicazione dei modelli di analisi, mentre le attività di pseudonimizzazione dei dati sono curate da Sogei S.p.a., responsabile del trattamento, che è “la sola a conoscere il metodo di associazione che consente di risalire a ritroso agli originari codici fiscali dei contribuenti”) e di tipo tecnico (gli identificativi pseudonimi utilizzano sono dotati di una validità temporale limitata per garantire, anche nel tempo, che le informazioni presenti nei diversi dataset non siano attribuiti a una persona fisica identificata o identificabile).

Giova, infatti, ricordare che il Regolamento definisce la pseudonimizzazione come “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata” ma finanche “identificabile” (art. 4, punto 5).

A tal riguardo, si ritiene necessario rappresentare alcuni dei possibili scenari di rischio che un’efficace tecnica di pseudonimizzazione dovrebbe scongiurare: quello in cui sia possibile re-identificare un interessato all’interno del dataset (c.d. identity disclosure) e quello in cui una conoscenza parziale di informazioni di un interessato presente nel dataset consenta, anche attraverso l’utilizzo di altre informazioni, di effettuare un’inferenza, acquisendo altre informazioni su quella stessa persona (c.d. attribute disclosure). Scenari che, nel contesto in esame, hanno un’elevata probabilità di verificarsi in considerazione della presenza nei dataset di numerose informazioni che, nonostante l’eliminazione dei dati anagrafici e del codice fiscale e l’adozione di tecniche di perturbazione dei dati, continuano ad avere un elevato potere identificativo (come nel caso dei cc.dd. “quasi-identificatori” – ossia informazioni che non dovrebbero permettere una re-identificazione univoca ma, combinati tra loro, possono consentirlo – o di altre informazioni che permettono comunque di re-identificare l’interessato).

Occorre, pertanto, che l’Agenzia adotti efficaci tecniche di pseudonimizzazione dei dati nell’ambito dei trattamenti in esame, volte a ridurre in modo adeguato i rischi di re-identificazione degli interessati, anche al fine di assicurare, in ogni fase del trattamento, il rispetto dei principi di minimizzazione dei dati, di integrità e riservatezza, e di privacy by design e by default e l’adempimento degli obblighi di sicurezza (artt. 5, par. 1, lett. c) e f), 25 e 32 del Regolamento).

9. Il trattamento dei dati dei consumatori presenti nelle fatture elettroniche

Nella valutazione di impatto, tra le tipologie di dati personali oggetto di trattamento, sono indicati anche i “dati fiscali delle fatture elettroniche”.

Al riguardo, si osserva che nel parere del Garante sullo schema di provvedimento del Direttore dell’Agenzia delle entrate recante le regole tecniche in materia di fatturazione elettronica (provv. n. 454 del 22 dicembre 2021, doc. web n. 9732234), è stato ritenuto necessario che “fatte salve le attività di controllo svolte in relazione a richieste di detrazione/deduzione delle spese sostenute, i controlli fiscali nei confronti del consumatore finale fondati sulle informazioni presenti nei file XML delle fatture elettroniche siano avviati esclusivamente in conseguenza di puntuali verifiche fiscali – poste in essere preliminarmente nei confronti di operatori economici nell’ambito del contrasto all’evasione dell’IVA – i cui beni ceduti o servizi prestati, oggetto della fattura elettronica, siano stati acquistati dalla predetta persona fisica e, contestualmente, gli elementi così rilevati dalla stessa fattura siano tali da far emergere un rischio di evasione fiscale; al di fuori di tale ipotesi i dati contenuti nei file XML delle fatture elettroniche non possono essere utilizzati nei confronti dei consumatori finali” (condizione n. 2). Ciò, anche in considerazione del fatto che “non essendovi l’obbligo per il cedente/prestatore di identificare il cessionario/committente, salvo in alcuni casi circoscritti (ad esempio per obblighi antiriciclaggio), la riferibilità a un consumatore dei dati personali presenti nelle fatture, a fini diversi da quelli per i quali sono raccolti (quali, in particolare, l’attuazione delle disciplina dell’IVA), potrebbe portare a trattamenti non corretti, con errata rappresentazione della sua capacità contributiva, e in relazione ai quali potrebbe risultare impossibile (o, quantomeno, difficile) per l’interessato comprovare, a posteriori e a distanza di tempo, l’inesattezza”.

Pertanto, occorre che tale condizione venga rispettata anche nell’ambito dei trattamenti in esame.

RITENUTO

Alla luce di quanto sopra rappresentato, si ritiene che la valutazione di impatto in esame individui misure tecniche e organizzative adeguate a gestire i rischi elevati presentati dai trattamenti, da integrare con le prescrizioni sopra individuate nei paragrafi da 4 a 9, al fine di garantire il pieno rispetto dei diritti e delle libertà fondamentali degli interessati in tale contesto. Nei predetti termini, l’Agenzia potrà, pertanto, avviare i trattamenti ivi descritti.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, parr. 2 e 5, e 58, par. 3, lett. c), del Regolamento e dell’art. 1, comma 684, della legge 27 dicembre 2019, n. 160, autorizza l’Agenzia delle entrate ad avviare i trattamenti, oggetto della valutazione di impatto sulla protezione dei dati in esame, effettuati al fine di “analizzare rischi e fenomeni evasivi/elusivi tramite l’utilizzo dei dati presenti nell’archivio dei rapporti finanziari e l’incrocio degli stessi con le altre banche dati di cui dispone l’agenzia delle entrate”, ingiungendo alla stessa, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di:

a) verificare e documentare, nella fase di “test su un campione casuale rappresentativo della popolazione”, le scelte effettuate in ordine all’individuazione delle banche dati utilizzate per la creazione del dataset di analisi e dei modelli di analisi impiegati, comprovando di aver adeguatamente individuato e gestito i rischi per i diritti e le libertà degli interessati (par. 4);

b) raccogliere le opinioni dei soggetti a vario titolo coinvolti nei trattamenti in esame (par. 5);

c) pubblicare un estratto della valutazione di impatto sulla protezione dei dati, omettendo gli allegati e le parti che possono compromettere la sicurezza dei trattamenti (par. 5);

d) formare adeguatamente il personale a vario titolo coinvolto nei trattamenti in esame (par. 6);

e) adottare processi di verifica della qualità dei modelli di analisi impiegati, documentando adeguatamente, in rapporti periodici, le metriche utilizzate, le attività svolte, le eventuali criticità riscontrate e le misure di conseguenza adottate (par. 7);

f) adottare efficaci tecniche di pseudonimizzazione dei dati nell’ambito dei trattamenti in esame (par. 8);

g) adottare misure per assicurare il rispetto della condizione di cui al punto 2) del provvedimento n. 454 del 22 dicembre 2021 (par. 9).

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del decreto legislativo 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

In Roma, 30 luglio 2022

IL PRESIDENTE
Stanzione