g-docweb-display Portlet

Parere favorevole sullo schema di norma predisposta dalla Provincia Autonoma di Trento in materia di trattamenti che implicano decisioni integralmente automatizzate - 15 ottobre 2020 [9480921]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9480921]

Parere favorevole sullo schema di norma predisposta dalla Provincia Autonoma di Trento in materia di trattamenti che implicano decisioni integralmente automatizzate - 15 ottobre 2020

Registro dei provvedimenti
n. 191 del 15 ottobre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avvocato Guido Scorza e il dott. Agostino Ghiglia, componenti e il dott. Claudio Filippi, vice segretario generale;

Vista la richiesta di parere della Provincia Autonoma di Trento;

Visto l’articolo 36, par. 4, del Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito Regolamento);

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice) e, in particolare, l’articolo 154, comma 5;

Vista la documentazione in atti;

Viste le osservazioni del vice segretario generale ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. La Provincia Autonoma di Trento ha richiesto il parere del Garante ai sensi dell’articolo 36, par. 4, del Regolamento 2016/679, in ordine ad una proposta di norma predisposta al fine di poter eseguire trattamenti che implicano decisioni integralmente automatizzate.

Nella nota di trasmissione, la Provincia informa che l’ipotesi di norma su cui si chiede il parere è già stata sottoposta al vaglio preventivo dalla Giunta provinciale, per l’eventuale approvazione di un futuro disegno di legge in materia.

La disposizione prevede che la Provincia, nell’ambito degli “interventi di sostegno economico-finanziario erogati” (concessione e determinazione di contributi, sussidi, sovvenzioni, ed altre forme di vantaggi economici), “qualora la relativa attività istruttoria si sostanzi nel mero accertamento dei requisiti e nel calcolo dell'ammontare da corrispondere in base a fattori predeterminati con legge o con delibera”, possa avvalersi di “sistemi, anche totalmente automatizzati, la cui logica algoritmica sia periodicamente verificata allo scopo di minimizzare il rischio di errori, distorsioni o discriminazioni di sorta”. La norma stabilisce altresì che la “formula algoritmica” sia resa “pienamente conoscibile agli interessati”, in modo da consentire agli stessi di “contestare le decisioni assunte sulla base della stessa formula e richiedere un effettivo intervento umano”. I medesimi trattamenti, in ogni caso, sarebbero “preventivamente sottoposti a valutazione d'impatto”, con esclusione della “possibilità di utilizzare tali strumenti nei confronti dei minori”.

Nella relazione illustrativa è riportato che l’attività in questione “è sostanzialmente priva di discrezionalità amministrativa, consistendo in una serie di operazioni standardizzate di mero accertamento delle informazioni dichiarate dal richiedente e di computo dei suddetti fattori di calcolo” e che pertanto la Provincia “intende perseguire soluzioni di tipo automatizzato che consentano, in caso di molteplicità  di domande a cui consegua un'attività istruttoria come sopra descritta, di realizzare gli obiettivi di semplificazione, celerità del procedimento e digitalizzazione della PA, nel rispetto dei principi di trasparenza ed imparzialità dell'azione amministrativa”.

Nella medesima relazione, in cui è richiamato l’articolo 22 del Regolamento (“Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”), si afferma poi che le fattispecie in questione potrebbero riguardare “anche dati appartenenti a particolari categorie (art. 9 del GDPR) e/o a condanne penali e reati (art. 10 del GDPR)” e in tal caso “ai sensi dell'art. 2-sexies del d.lgs. n. 196/2003 il trattamento sarebbe comunque disciplinato da una specifica previsione normativa e realizzerebbe una finalità di rilevante interesse pubblico (art. 2-sexies, co. 2, lett. m)”.

RILEVATO

2. L’ipotesi di norma sottoposta all’esame di questa Autorità, come descritto in premessa, prevede trattamenti di tipo automatizzato che possono riguardare anche categorie particolari di dati personali e dati relativi a condanne penali e reati, cui il Regolamento e il Codice riservano una disciplina normativa ad elevate garanzie.

Il quadro normativo europeo e nazionale prevede, infatti, che quando un trattamento è necessario per adempiere un obbligo legale o per l’esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, la base giuridica su cui si fonda può contenere disposizioni specifiche concernenti i vari profili di cui si connota ogni trattamento (condizioni generali di liceità, le tipologie di dati trattati, gli interessati, i soggetti cui possono essere comunicati i dati personali e le relative finalità, i periodi di conservazione, le operazioni e le procedure di trattamento, le misure atte a garantire un trattamento lecito e corretto).

In base al Codice, poi, tale base giuridica è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter) che, nel caso di dati particolari o “giudiziari”, devono specificare: i tipi di dati che possono essere trattati; le operazioni eseguibili; il motivo di interesse pubblico rilevante; le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (art 2-sexies, comma 1, rispetto ad art. 9, par. 2, lett. g), del Regolamento).

Da tale ricostruzione del quadro normativo di riferimento emerge che la base giuridica dovrebbe essere specifica per il trattamento che si intende disciplinare, in conformità ai principi generali del trattamento di cui all’articolo 5 del Regolamento, a partire da quello di liceità, correttezza e trasparenza, nonché alle aspettative di chiarezza, precisione e prevedibilità riconosciute dal cons. 41. E tale esigenza si rende tanto più imprescindibile allorché oggetto di trattamento divengono le categorie particolari di dati personali di cui agli articoli 9 e 10 del medesimo Regolamento.

Peraltro, per i processi decisionali automatizzati, compresa la profilazione, che producano effetti giuridici sulle persone fisiche o che incidano su di esse in modo analogo significativamente, l’articolo 22 del Regolamento stabilisce che una base giuridica possa autorizzare tali trattamenti, purché precisi le misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato.

Sulla necessità che il processo normativo rispetti i canoni e le garanzie appena descritti il Garante si è già soffermato in relazione all’utilizzo di metodologie di data mining (audizione del Presidente dell’Autorità del 18 settembre 2018 innanzi alla Commissione lavoro e previdenza sociale del Senato, doc. web 9043373), precisando che non è sufficiente un intervento normativo che autorizzi semplicemente il ricorso a tali tecniche da parte di un soggetto pubblico, individuando gli interessi pubblici rilevanti per i quali queste possono essere impiegate, ma è necessario che la normativa introduca regole puntuali volte ad accordare le garanzie necessarie per il rispetto dei diritti degli interessati.

RITENUTO

3. Alla luce delle considerazioni svolte e del quadro normativo illustrato, la disposizione in esame appare più che altro una norma quadro di portata generale, in quanto tale priva degli elementi sopra indicati; essa, pertanto, non è idonea, di per sé sola, a costituire una adeguata base giuridica per autorizzare trattamenti di dati personali automatizzati, pur effettuati per l’esecuzione di un compito di interesse pubblico o connessi all’esercizio di pubblici poteri (aspetto, quest’ultimo, che peraltro non si ricava pienamente dalla norma, se non alla luce della relazione illustrativa).

Né sono sufficienti a rendere idonea la base giuridica le pur apprezzabili garanzie di carattere generale previste (quali la conoscibilità per gli interessati della formula algoritmica o il divieto di trattare in tal modo dati personali di minori), poiché rimangono indeterminati o comunque non specificamente definiti altri aspetti fondamentali dei singoli trattamenti che si intendono effettuare tramite sistemi automatizzati (a partire dalle stesse finalità perseguite e dalle tipologie di dati trattati, sino alle categorie di interessati coinvolti e alle conseguenze sugli stessi, alle operazioni di trattamento condotte e alle specifiche misure a tutela degli interessati).

Ciò considerato, si richiama l’attenzione della Provincia sulla necessità di integrare il quadro normativo di riferimento per la materia in oggetto, al fine di assicurare il livello di protezione e garanzia previsto per tali trattamenti dalla normativa europea e nazionale.

3.1. Al riguardo alcuni aspetti dovranno essere integrati nella norma di rango primario, come le finalità perseguite, ad esempio, avendo cura di richiamare le pertinenti disposizioni del Regolamento e del Codice, peraltro correttamente riportate nella relazione illustrativa (in particolare art. 2-sexies, comma 2, lett. m), del Codice che autorizza il trattamento di dati particolari per motivi di interesse pubblico rilevante in materia di concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni).

3.2. Altri profili, in maniera auspicabilmente mirata rispetto alle diverse tipologie di benefici riconosciuti, potranno essere invece disciplinati in norme aventi natura regolamentare, previste dallo stesso articolo 2-sexies quali basi giuridiche rispetto al trattamento di dati appartenenti a categorie particolari o relativi a condanne penali o a reati, purché opportunamente richiamate nella disposizione di rango primario (ad esempio, tipologie di dati, categorie di interessati, operazioni eseguibili, ecc.).

Nei medesimi provvedimenti attuativi -da sottoporre a parere del Garante ai sensi dell’articolo 36, par. 4, del Regolamento- potranno altresì essere definite, alla luce delle peculiarità del trattamento di volta in volta oggetto di esame, misure più puntuali che specifichino gli obblighi e i diritti già previsti dal Regolamento (ad esempio, le modalità di esercizio dei diritti dell’interessato, a cominciare da quello a non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, la privacy by design e by default, la valutazione d’impatto dei trattamenti, il livello di sicurezza dei dati e dei sistemi utilizzati).

3.3. Sotto il profilo della sicurezza, la norma prevede la verifica periodica della logica algoritmica, la trasparenza degli algoritmi nonché la possibilità di contestare le decisioni assunte sulla base dei medesimi e di richiedere l’intervento di un operatore umano. Tali previsioni possono essere ulteriormente rafforzate rendendo automatizzato, semplice e di facile accesso anche il canale di contestazione da parte del cittadino con strumenti quali SMS, mail, servizi on line, ecc... Infine, allo scopo di impedire modifiche fraudolente alla logica algoritmica e ai suoi eventuali parametri di configurazione, è opportuno prevedere (e adottare) misure tecniche e organizzative che garantiscano un livello di sicurezza adeguato al rischio, quali a esempio la registrazione degli accessi e delle operazioni svolte da parte del personale addetto.

TUTTO CIO’ PREMESSO, IL GARANTE

esprime parere favorevole, ai sensi dell’articolo 57, par. 1, lett. c), del Regolamento, sullo schema di norma predisposta dalla Provincia Autonoma di Trento in materia di trattamenti che implicano decisioni integralmente automatizzate, con la seguente condizione:

a) il quadro normativo provinciale di riferimento per la materia sia integrato, anche ricorrendo a norme di natura secondaria, in chiave di garanzia per gli interessati, nei seguenti termini:

1) nella norma di rango primario siano individuate almeno le finalità perseguite, avendo cura di richiamare le pertinenti disposizioni del Regolamento e del Codice (punto 3.1.);

2) altri profili, in maniera auspicabilmente mirata rispetto alle diverse tipologie di benefici riconosciuti, siano disciplinati anche in norme aventi natura regolamentare, nei termini di cui al punto 3.2.;

3) per quanto riguarda la sicurezza, siano rafforzate le garanzie mediante, fra l’altro, la registrazione degli accessi e delle operazioni svolte da parte del personale addetto (punto 3.3.).

Roma, 15 ottobre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL VICE SEGRETARIO GENERALE
Filippi