g-docweb-display Portlet

Parere alla Banca d’Italia sullo schema di regolamento concernente il trattamento dei dati personali effettuato nell’ambito della gestione degli esposti - 24 febbraio 2022 [9751895]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE Newsletter del 14 marzo 2022

 

[doc. web n. 9751895]

Parere alla Banca d’Italia sullo schema di regolamento concernente il trattamento dei dati personali effettuato nell’ambito della gestione degli esposti - 24 febbraio 2022

Registro dei provvedimenti
n. 78 del 24 febbraio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza, componente e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO il decreto legislativo 1° settembre 1993, n. 385, recante il Testo unico delle leggi in materia bancaria e creditizia (di seguito, TUB), in base al quale vengono attribuiti alla Banca d’Italia -e conseguentemente disciplinati- poteri di vigilanza nei confronti delle banche, dei gruppi bancari, degli intermediari finanziari, degli istituti di moneta elettronica e degli istituti di pagamento (cfr. spec. artt. 4, 5, 127, 128, 128-ter, 144 e ss.; al riguardo, cfr. altresì l’art. 24 della legge del 28 dicembre 2005 n. 262);

VISTA, inoltre, la specifica disciplina concernente la presentazione di esposti alla Banca d’Italia, di cui, in particolare, agli artt. 126-vicies, 126-viciester e 128-bis del TUB, nonché di cui agli artt. 34-decies e 39 del decreto legislativo 27 gennaio 2010, n. 11 (concernente la prestazione di servizi di pagamento);

VISTO, in particolare, l’art. 4, comma 1, del TUB, che attribuisce alla Banca d’Italia il potere di emanare regolamenti nei casi previsti dalla legge;

VISTO il Regolamento recante individuazione dei dati sensibili e giudiziari e delle operazioni eseguibili, adottato dalla Banca d’Italia il 6 novembre 2015 ai sensi degli artt. 20 e 21 del Codice (nella versione all’epoca vigente);

VISTA la richiesta di parere, da ultimo integrata in data 7 febbraio 2022, con la quale la Banca d’Italia ha sottoposto all’Autorità lo schema di “Regolamento concernente il trattamento dei dati personali effettuato dalla Banca d’Italia nell’ambito della gestione degli esposti riguardanti la trasparenza delle condizioni contrattuali, la correttezza dei rapporti tra intermediari e clienti e i diritti e gli obblighi delle parti nella prestazione dei servizi di pagamento”, allegato alla bozza di provvedimento che lo adotta e corredato di apposita valutazione d’impatto sulla protezione dei dati personali;

RILEVATO che lo schema in esame – nel definire le finalità e modalità del trattamento, la base giuridica, le tipologie di dati personali trattati, le categorie di interessati, le operazioni eseguibili, le misure tecniche e organizzative adottate a garanzie e tutela dei diritti degli interessati e le modalità di informativa e di esercizio dei diritti connessi, integra il regolamento del 2015 con riferimento al trattamento di categorie particolari di dati personali e di dati relativi a condanne penali e reati, nell’ambito dell’attività di gestione degli esposti in materia di trasparenza delle condizioni contrattuali e correttezza dei rapporti tra intermediari vigilati e clientela e di diritti e obblighi delle parti nella prestazione di servizi di pagamento;

RILEVATO, altresì, che lo schema, disciplina l’utilizzo di strumenti di intelligenza artificiale (di seguito, IA) al fine di agevolare l’analisi degli esposti presentati alla Banca d’Italia, disponendo, in particolare, che:

• tale trattamento è finalizzato “a ottimizzare il patrimonio informativo contenuto negli esposti per poterne ricavare elementi utili su fenomeni d’interesse per l’attività di vigilanza che la Banca d’Italia conduce sugli intermediari bancari e finanziari”;

• “L’uso di strumenti di IA e tecnologie correlate, nell’attività di analisi degli esposti consente di estrarre concetti e ricorrenze e di connettere informazioni contenute nei diversi documenti”, e viene effettuato “attraverso l’uso di un motore di ricerca full text in grado di accedere a tutti i documenti presentati e di ricercare tutte le informazioni presenti negli esposti riconducibili a un determinato servizio o prodotto finanziario, individuando così le fattispecie che presentino elementi di similarità e traendo informazioni utili per la trattazione dell’esposto e per l’attività di vigilanza” (“attraverso la ricerca di precedenti esposti eventualmente presentati dall’esponente o di vicende analoghe che coinvolgono il medesimo intermediario vigilato o il medesimo fenomeno segnalato”), utilizzando “tecniche di analisi e algoritmi di machine learning (ML) in grado di estrarre e rappresentare gli elementi e i documenti che risultino maggiormente rilevanti, condotte sulla base della normativa di settore”, secondo un “andamento spazio-temporale relativo al diffondersi di fattispecie ricorrenti o potenzialmente anomale negli esposti”;

• i dati personali contenuti negli esposti (potenzialmente appartenenti anche alle tipologie di cui agli artt. 9 e 10 del Regolamento) e oggetto di tale trattamento possono riferirsi a “persone fisiche esponenti” o a “persone fisiche terze”, tra cui quelle che “agiscono per conto dell’esponente” o ad essa a vario titolo legate o coinvolte nella vicenda, nonché quelle collegate con l’intermediario coinvolto;

CONSIDERATO che sia la versione dello schema in esame, sia la valutazione d’impatto da ultimo trasmessa, tengono conto delle osservazioni fornite dall’Ufficio nel corso delle numerose interlocuzioni informali intercorse al fine di rendere conforme i trattamenti ivi disciplinati alla normativa in materia di protezione dei dati personali, che, con specifico riferimento al trattamento effettuato mediante l’utilizzo di strumenti di IA e tecnologie correlate, riguardano:

• una più netta distinzione rispetto al trattamento svolto a fini di trattazione ordinaria degli esposti, in ossequio al principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), del Regolamento): in quest’ottica, sono stati ulteriormente precisati, per ciascuno dei trattamenti descritti, profili quali tipologie di dati trattati, categorie di interessati, operazioni eseguibili e modalità del trattamento;

• la previsione esplicita di misure appropriate e specifiche a tutela dei diritti degli interessati, ai sensi dell’art. 22 ma anche dell’art. 9, par. 2, lett. g) del Regolamento (stante il possibile trattamento di categorie particolari di dati personali), quali:

- il ricorso ad una logica di aggregazione degli esposti “in cluster per similitudine semantica”, assegnando “tag esemplificativi del contenuto, riguardanti in particolare i prodotti e i servizi finanziari offerti alla clientela, […] oggetto di segnalazione di anomalia da parte dei privati”, senza alcuna “clusterizzazione sulla base dei dati personali degli esponenti, né dei soggetti terzi, ivi coloro che operano per conto dell’intermediario destinatario dell’esposto”; infatti, “nel rispetto del principio di minimizzazione di cui all’art. 5 lettera c) del GDPR, sono trattati i dati personali presenti nel testo dell’esposto o nei documenti allegati, il cui contenuto viene analizzato nel suo insieme dai sistemi di IA, pur non essendo i dati personali diretto oggetto di analisi tramite l'uso di dette tecniche”. A questo proposito, nella valutazione d’impatto viene precisato che “I dati personali presenti nell'esposto rappresentano un elemento non utile al funzionamento dell'algoritmo, il quale viene addestrato per catalogare i dati anagrafici come "stopword", parole da scartare, che non devono cioè essere prese in considerazione dalle tecniche di IA per il raggruppamento degli esposti nei vari cluster”;

- la chiara esclusione di “alcuna forma di profilazione o predizione di comportamenti né delle persone fisiche mittenti/esponenti o dei terzi citati negli esposti, né delle persone fisiche che a vario titolo possono essere coinvolte nella vicenda, anche in qualità di soggetti svolgenti funzione di amministrazione, direzione e controllo nell’organizzazione dell’intermediario segnalato ovvero operanti in rapporto di mandato, lavoro o collaborazione con l’intermediario stesso. Dai risultati dell’analisi non derivano conseguenze sanzionatorie o decisioni automatiche su persone fisiche, né i risultati delle analisi impattano in modo immediato e diretto sulle decisioni rimesse alla Banca d’Italia in relazione alle questioni sottoposte dagli esponenti. Tali decisioni, ivi comprese quelle relative ai provvedimenti sanzionatori, rientrano infatti nell’esercizio discrezionale delle funzioni di vigilanza e in nessun caso, dato il quadro normativo vigente, possono essere la risultante di procedure automatiche”;

- apposite misure di sicurezza, tra cui la limitazione dell’accesso alle informazioni “ai dipendenti abilitati e addetti all’attività di gestione degli esposti e all’uso delle informazioni in essi contenute tramite strumenti di IA”, nel rispetto del principio di integrità e riservatezza e degli obblighi di sicurezza (artt. 5, par. 1, lett. f), e 32 del Regolamento);

• la definizione di modalità attraverso cui informare gli interessati del trattamento, delle sue caratteristiche e delle garanzie assicurate, in ossequio al principio di trasparenza e agli artt. 12 e ss. del Regolamento;

• la previsione che “I dati e le elaborazioni non vengono trasmessi ad alcun destinatario esterno alla Banca, in quanto l'analisi delle informazioni contenute nell'esposto effettuata tramite strumenti di I.A. è funzionale a rilevare fenomeni di interesse per l'attività di vigilanza della Banca” – di cui gli interessati vengono edotti in sede di informativa – cui si aggiunge la circostanza che “Gli altri applicativi aziendali utilizzati a supporto della gestione degli esposti, ivi compresi quelli che fanno uso di strumenti di IA, non prevedono connessioni verso l’esterno”;

• l’individuazione di un tempo di conservazione pari a “dieci anni dall’acquisizione dell’esposto, come documentazione di supporto alle attività amministrative e per garantire la correlazione esistente tra la performance dei sistemi di IA e la lunghezza delle serie storiche sottostanti e consentire così la verifica e la replicabilità dei risultati delle analisi, utile a stabilire le corrette interazioni tra i dati contenuti negli esposti”, fermo restando il diritto dell’interessato di opporsi ai sensi dell’art. 21 del Regolamento. A questo proposito, nella valutazione d’impatto viene aggiunto che “al momento non è possibile "ripulire" il testo delle segnalazioni dai dati personali […]. Il tema è comunque all'attenzione della funzione informatica, oltre che di tutte le funzioni di Banca e pertanto, ove dovessero svilupparsi tecniche in grado di consentire queste opzioni, si valuterà l'opportunità di adottarle anche […] in fase di eventuale manutenzione evolutiva”;

• la previsione di un periodico monitoraggio e aggiornamento delle tecniche di machine learning – che si fondano su algoritmi in grado di apprendere le logiche di analisi e di ricerca da un insieme di dati (c.d. training dataset) in continuo riaddestramento – mediante “il coinvolgimento di componenti di esperti appartenenti all’area di gestione degli esposti e al profilo tecnico (data scientist), in grado di guidare il processo di definizione, aggiornamento e validazione dei modelli di ML”, trattandosi, questa, di una sorveglianza umana qualificata su tali processi, al fine di assicurare il rispetto e la tutela dei diritti degli interessati ed evitare ogni e qualsiasi conseguenza negativa per le persone, nel rispetto dell’art. 22 del Regolamento, anche alla luce del cons. 71 del medesimo Regolamento;

• le circostanze che “L’applicazione del ML inoltre si [avvalga] di tecniche in grado di fornire una rappresentazione del funzionamento interno dell’algoritmo, finalizzata alla spiegabilità dei risultati prodotti”, e che sia prevista “la conservazione della documentazione che dà conto del continuo perfezionamento dell’algoritmo al solo fine di “versioning” del modello e di monitoraggio dello sviluppo nel corso del tempo“, nel rispetto dei principi di trasparenza e di accountability (art. 5, parr. 1, lett. a), e 2, e art. 24 del Regolamento);

• il richiamo agli artt. 35 e 36 del Regolamento, allo scopo di assicurare costantemente, durante il richiamato processo di continuo riaddestramento delle tecniche di machine learning, la valutazione del rischio sui diritti e sulle libertà delle persone fisiche e l’eventuale coinvolgimento dell’Autorità qualora si configuri un rischio elevato in assenza di misure adottate per attenuare il rischio;

RITENUTO, in primo luogo, che lo schema di regolamento in esame, alla luce del quadro normativo generale che disciplina i poteri della Banca d’Italia per lo svolgimento delle funzioni di vigilanza di competenza, nonché la specifica potestà regolamentare riconosciutale per legge, risulta base giuridica idonea a disciplinare il trattamento dei dati personali a fini di trattazione degli esposti, anche in relazione alle ulteriori funzionalità volte a favorire le indagini su fenomeni d’interesse, ai sensi dell’art. 6, parr. 1, lett. e), e 3, e degli artt. 9, par. 2, lett. g), e 10 del Regolamento, nonché degli artt. 2-ter, 2-sexies e 2-octies del Codice;

RITENUTO, inoltre, che, con specifico riferimento al trattamento di dati personali effettuato mediante strumenti di intelligenza artificiale (basati anche sull’utilizzo di tecniche di machine learning), lo schema di regolamento, unitamente alle indicazioni contenute nella valutazione d’impatto, fornisce le misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato – come richiesto dall’art. 22, par. 2, lett. b), del Regolamento, anche in un’ottica di privacy by design e by default (art. 25 del medesimo Regolamento) – in quanto viene espressamente escluso qualsiasi processo decisionale automatizzato relativo alle persone fisiche (comprese la profilazione e la predizione di comportamenti), e che, in ogni caso, l’insieme di tali misure ha l’effetto di ridurre significativamente l’impatto del trattamento di dati personali, questi ultimi considerati non rilevanti ai fini delle azioni che la Banca d’Italia intende porre in essere nell’esercizio delle sue funzioni di vigilanza nei confronti degli intermediari (perlopiù persone giuridiche), andando così a mitigare i rischi per i diritti e le libertà degli interessati;

RITENUTO, altresì, che lo schema di regolamento contiene disposizioni volte ad assicurare la necessaria trasparenza del trattamento, anche nell’ottica dell’esercizio dei diritti, nei confronti degli interessati (compresi i soggetti che ricoprono funzioni all’interno degli intermediari oggetto di esposto), in ossequio agli artt. 5, par. 1, lett. a), e 12 e ss. del Regolamento, anche con riferimento alla logica utilizzata e alle conseguenze per i medesimi (artt. 13, par. 2, lett. f), 14, par. 2, lett. g), e 15, par. 1, lett. h), del Regolamento; a quest’ultimo proposito, cfr. anche la recente giurisprudenza del Consiglio di Stato, sez. VI, a partire dalla sent. 8 aprile 2019, n. 2270, comprese le successive sentenze 13 dicembre 2019, n. 8472, e 4 febbraio 2020, n. 881);

RITENUTO, ancora, che le ulteriori misure assunte dalla Banca d’Italia in relazione alla supervisione, da parte di operatori umani, sul processo di riaddestramento degli strumenti di intelligenza artificiale utilizzati mediante tecniche di machine learning, nonché alla documentazione dell’attività svolta al fine di sviluppare ulteriormente le potenzialità offerte dai predetti strumenti, sono in linea con i principi di accountability e di privacy by design e by default (artt. 5, par. 2, 24 e 25 del Regolamento; con riferimento agli obblighi di “vigilanza sugli algoritmi”, cfr. altresì le Linee-guida in materia di intelligenza artificiale e protezione dei dati, adottate il 25 gennaio 2019 dal Comitato consultivo della Convenzione 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, nonché la Proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'Unione del 21 aprile 2021, COM(2021) 206 final, spec. art. 14), pur rimanendo ferma la necessità, per il titolare del trattamento, di sottoporre a riesame costante l’analisi dei rischi e, conseguentemente, aggiornare la valutazione d’impatto, eventualmente sottoponendola alla consultazione dell’Autorità, nel rispetto di quanto stabilito dagli artt. 35 e 36 del Regolamento;

RITENUTO pertanto, per le ragioni suesposte, di esprimere parere favorevole sullo schema di “Regolamento concernente il trattamento dei dati personali effettuato dalla Banca d’Italia nell’ambito della gestione degli esposti riguardanti la trasparenza delle condizioni contrattuali, la correttezza dei rapporti tra intermediari e clienti e i diritti e gli obblighi delle parti nella prestazione dei servizi di pagamento”;

CONSIDERATO, infine, più in generale, che ogni trattamento deve prevedere tempi di conservazione dei dati personali che siano proporzionati rispetto alle finalità perseguite, le quali siano determinate e, allorché il trattamento sia effettuato nello svolgimento di un compito di interesse pubblico o nell’esercizio di un pubblico potere, siano desumibili dall’ordinamento normativo, nel rispetto del principio di limitazione della conservazione (art. 5, par. 1, lett. e), del Regolamento), ancorché, nel caso di specie, le misure adottate (anche sul piano della minimizzazione dei dati: art. 5, par. 1, lett. c), del Regolamento) – nonché quelle che la Banca d’Italia ha dichiarato essere allo studio – sono tali da ridurre i rischi per gli interessati connessi alla conservazione dei dati personali;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di “Regolamento concernente il trattamento dei dati personali effettuato dalla Banca d’Italia nell’ambito della gestione degli esposti riguardanti la trasparenza delle condizioni contrattuali, la correttezza dei rapporti tra intermediari e clienti e i diritti e gli obblighi delle parti nella prestazione dei servizi di pagamento”, predisposto dalla Banca d’Italia.

Roma, 24 febbraio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei