Via libera condizionato del Garante Privacy ai processi automatizzati per l'Agenzia delle Entrate
Di recente l'Agenzia delle entrate ha esplicitato l'intenzione di iniziare ad applicare modelli predittivi del rischio antievasione basati sui data analytics. In particolare, grazie alla valorizzazione e all'analisi dei dati derivanti dalla fatturazione elettronica e dall'invio telematico dei corrispettivi, l'Agenzia delle entrate si propone di migliorare l'efficacia e la tempestività dei controlli fiscali e di promuovere la compliance per l'assolvimento spontaneo degli obblighi tributari.
E questo attraverso l'utilizzo delle più moderne tecnologie che permettono l'aggregazione e lo studio massivo e continuativo dei dati dei contribuenti.
Ma la fatturazione elettronica incontra ancora una volta il nodo privacy, proprio come poco prima del suo debutto, quando arrivò la dura «bocciatura» da parte del Garante, che era intervenuto con puntuali indicazioni, che si sono trasformate in tempestivi correttivi da parte dell'Agenzia delle entrate in ambito di predisposizione, trasmissione, ricezione e conservazione dei dati.
Oggi il Garante si pronuncia nuovamente, questa volta sull'utilizzo dei dati, approvando la finalità dell'Agenzia delle entrate di applicare strumenti analitici capaci di prevedere il rischio di evasione attraverso la selezione automatizzata di posizioni fiscali dei potenziali evasori ma ponendo delle limitazioni.
L'Agenzia delle entrate potrà quindi iniziare l'implementazione di processi automatizzati per la lotta all'evasione, a condizione però che essi accompagnati da determinate e specifiche misure di sicurezza, a presidio dei diritti e delle libertà dei contribuenti. In particolare, con due distinti pareri e alla luce di quanto contenuto nel cosiddetto Gdpr, il Garante stabilisce che i processi automatizzati debbano garantire la massima sicurezza e trasparenza, anche riguardo alla logica alla base degli algoritmi utilizzati.
Nei Pareri richiamati vengono anche specificate le misure di garanzia da applicare, che dovranno riguardare sia le apposite misure di sicurezza (anche di carattere organizzativo) volte a minimizzare i rischi di accessi non autorizzati ai dati utilizzati, sia controlli sulla qualità dei dati utilizzati e sulle elaborazioni logiche effettuate.
Oltremodo andranno tenuti sotto controllo i rischi di errate rappresentazioni della capacità contributiva che potrebbero recare ingiustificati pregiudizi agli interessati. In tal senso l'Agenzia delle entrate avrà l'obbligo di inviare un avviso ai contribuenti sotto accertamento affinché provvedano a regolarizzare la propria posizione.
Da ultimo il Garante impone ulteriori garanzie connesse alla condivisione con la Guardia di finanza delle informazioni relative ai rapporti finanziari.
L'attenzione del Garante è massima perché la questione coinvolge necessariamente il delicato tema dell'attività di processo decisionale automatizzato, che comprende peraltro la profilazione e che il legislatore europeo ha disciplinato con l'art. 22, Gdpr, che prevede che l'interessato abbia il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. Tuttavia tale divieto generale viene meno in tre casi:
a) sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento;
b) sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato;
c) si basi sul consenso esplicito dell'interessato.
Pertanto l'Agenzia delle entrate, pur avendo ottenuto l'autorizzazione a procedere, dovrà adottare e integrare le proprie procedure per gestire il rischio elevato che presentano i trattamenti dei dati dei contribuenti, tenendo conto delle indicazioni del Garante.
Fonte: Italia Oggi del 16 settembre 2019