[doc. web n. 9929069]

Parere su uno Schema di decreto legislativo recante semplificazione dei controlli sulle attività economiche - 31 agosto 2023

Registro dei provvedimenti
n. 387 del 31 agosto 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere dell’Ufficio legislativo del Ministro per la pubblica amministrazione;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 36, paragrafo 4;

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

E’ stato sottoposto al parere del Garante uno schema di decreto legislativo recante semplificazione dei controlli operati sulle attività economiche.

La delega legislativa è esercitata ai sensi dell’articolo 27, commi 1 e 2, della legge annuale per il mercato e la concorrenza 2021 (l. n. 118 del 2022) che, appunto, demanda al Governo l’adozione di uno o più decreti legislativi volti a razionalizzare le norme sui controlli pubblici di attività private, nonché a eliminare le duplicazioni e le interferenze tra le diverse tipologie di ispezioni, nel rispetto di principi e criteri direttivi tra i quali si segnalano, in particolare:

- la semplificazione degli adempimenti amministrativi necessari sulla base del principio di proporzionalità rispetto alle esigenze di tutela degli interessi pubblici;

- l’accesso ai dati e lo scambio delle informazioni da parte dei soggetti che svolgono funzioni di controllo ai fini del coordinamento e   della   programmazione    dei    controlli    anche    attraverso l'interoperabilità delle banche dati, secondo la disciplina recata dal d.lgs. 82 del 2005 e s.m.i. (infra: CAD) e nel rispetto del Regolamento e del Codice, nonché attraverso l'utilizzo del fascicolo d'impresa di  cui  all'articolo  43-bis  del testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa (d.P.R. 28 dicembre 2000, n. 445) e degli atti dei controlli compiuti, con i relativi esiti, quando essi  confermino,  limitino  o inibiscano lo svolgimento dell'attività d'impresa;

- l’individuazione, trasparenza e conoscibilità degli obblighi e degli adempimenti che le imprese devono rispettare per ottemperare alle disposizioni normative, nonché dei processi e metodi relativi ai controlli, per mezzo di strumenti standardizzati e orientati alla gestione dei rischi, quali liste di verifica, manuali e linee guida e indirizzi uniformi;

- il divieto per le pubbliche amministrazioni, nell'ambito dei controlli sulle attività economiche, di richiedere la produzione di documenti e informazioni già in loro possesso anche prevedendo sanzioni disciplinari nel caso di inadempienze;

- l’individuazione di specifiche categorie per i creatori di contenuti digitali, tenendo conto dell'attività economica svolta;

- la previsione di meccanismi di risoluzione alternativa delle controversie tra creatori di   contenuti digitali e relative piattaforme.

RILEVATO

Lo schema di decreto si inscrive in un contesto normativo complesso che la delega legislativa mira a razionalizzare, semplificando i controlli sulle attività economiche senza, tuttavia, estenderne il perimetro applicativo.

L’articolato si compone di due parti. Nella prima sono definite le finalità e i principi, nella seconda sono invece individuati gli strumenti operativi definiti seguendo la logica del ciclo dei controlli, distinguendo quindi quelli applicabili alla programmazione da quelli relativi alla fase esecutiva.

L’articolo 1, in particolare, oltre a specificare l’ambito soggettivo di applicazione dello schema (tutte le pubbliche amministrazioni di cui all’articolo 1, comma 2 del decreto legislativo 30 marzo 2001, n. 165, cui la legge attribuisce funzioni di controllo a presidio di un interesse pubblico tutelato, ad esclusione delle autorità amministrative indipendenti), precisa il significato delle nozioni di “controlli sulle attività economiche”, “attività economica” e “soggetto controllato”.

Gli articoli da 2 a 4 individuano nei principi di trasparenza (art. 2), valutazione del rischio (art. 3) e di fiducia e proporzionalità (art. 4) i criteri essenziali ai quali i controlli devono conformarsi. 

L’articolo 2 obbliga, in particolare, le amministrazioni a effettuare (e, quindi, a trasmettere all’autorità preposta al coordinamento) il censimento degli obblighi e degli adempimenti oggetto dei controlli, previsti da disposizioni vigenti o da atti amministrativi a contenuto generale. Ciascuna amministrazione deve, inoltre, garantire il diritto dei soggetti controllati ad essere informati in ordine alle fasi del ciclo del controllo e al suo esito, nonché all’utilizzo di strumenti orientati alla gestione del rischio. 

L’articolo 5 esige che i controlli sulle attività economiche vengano effettuati secondo un programma annuale o pluriennale predisposto dalle amministrazioni sulla base dei dati e delle informazioni rese disponibili e accessibili secondo la disciplina del CAD. Il comma 3 dell’articolo riconosce, poi, alle amministrazioni la possibilità di effettuare controlli a selezione casuale, a campione e su segnalazione di terzi, salvaguardando la significatività dei controlli effettuati e nel rispetto del principio del criterio di rotazione, qualora dalla segnalazione emergano situazioni di rischio.

L’articolo 6 disciplina l’utilizzo, a fini di controllo, di soluzioni tecnologiche, ivi incluse quelle di intelligenza artificiale, purché siano progettate, sviluppate e applicate in coerenza con il principio di proporzionalità rispetto al rischio e secondo le regole tecniche finalizzate alla realizzazione degli obiettivi dell’Agenda Digitale Italiana. Le soluzioni tecnologiche utilizzate dalle amministrazioni devono garantire altresì la sicurezza e l’interoperabilità dei sistemi informatici e dei flussi informativi per la circolazione e lo scambio dei dati e per l’accesso ai servizi erogati in rete (comma 1).

Il comma 2 dell’articolo, inoltre, individua nei seguenti criteri i principi da applicare alle decisioni sulla conformità agli obblighi e adempimenti imposti alle imprese controllate, assunte mediante soluzioni tecnologiche:

a) comprensibilità e conoscibilità, secondo cui ogni soggetto controllato ha diritto a conoscere l’esistenza di processi decisionali automatizzati che lo riguardano e, in tal caso, a ricevere informazioni (di cui si deve precisare il carattere significativo, ai sensi degli articoli 13, p.2, lett.f) e 15, p.1, lett.h) del Regolamento) sulla logica utilizzata;

b) non esclusività della decisione algoritmica, secondo il quale comunque “esiste” (da intendersi, ragionevolmente, come “deve esistere”), nel processo decisionale, un contributo umano capace di controllare, validare o smentire la decisione automatizzata;

c) non discriminazione algoritmica, secondo cui le amministrazioni devono adottare misure tecniche e organizzative adeguate al contrasto degli effetti discriminatori nei confronti dei soggetti controllati;

d) efficace ed efficiente gestione dei dati, da attuarsi con apposita regolamentazione delle fasi relative alla loro formazione, raccolta, accesso sicuro, monitoraggio, aggiornamento, riutilizzo, conservazione e comunicazione.

Il comma 3 stabilisce che, nel caso in cui vengano utilizzate soluzioni tecnologiche contenenti sistemi di intelligenza artificiale, che si avvalgono di approcci di apprendimento automatico o basati sulla logica e sulla conoscenza, debba essere garantita ai soggetti controllati, da parte delle amministrazioni controllanti, la tracciabilità del funzionamento del sistema e la sua piena conoscibilità.

Il comma 4 specifica che i funzionari, ai quali è affidato il compito di fornire il contributo umano previsto, devono poter comprendere le capacità e i limiti del sistema di intelligenza artificiale utilizzato, al fine di interpretarne correttamente gli esiti.

L’articolo 7, dedicato al coordinamento delle attività di programmazione e svolgimento dei controlli, obbliga le amministrazioni controllanti a coordinare a livello territoriale (anche attraverso accordi e convenzioni) le rispettive attività e dispone che le amministrazioni controllanti assicurano e garantiscono, in ogni caso, l’accesso ai dati e lo scambio delle informazioni attraverso l’interoperabilità dei sistemi informativi, secondo le previsioni e le modalità previste dal CAD (comma 6).

L’articolo 8 individua poi -quale ulteriore strumento di coordinamento- il fascicolo informatico d’impresa, legittimando l’amministrazione procedente ad accedervi(v. art. 2, comma 2, lettera a), della legge 29 dicembre 1993, n. 580) utilizzando i dati e le informazioni ivi contenuti, anche per elaborare indicatori sintetici per la valutazione del rischio. Tale previsione consente all’amministrazione di avvalersi anche dei dati ivi presenti, relativi ai controlli già svolti dalla stessa amministrazione o dalle altre, operanti nel medesimo settore. Nelle more dell’adozione del regolamento di disciplina del fascicolo d’impresa (sul cui schema il Garante si è espresso con i pareri del 21 luglio 2022 e del 6 luglio 2023), l’accesso ai dati avviene secondo le modalità perviste dall’Allegato 1 al decreto, di cui il primo costituisce parte integrante.

Il comma 2 dell’articolo 8 obbliga i soggetti titolari di funzioni di controllo a consultare il fascicolo informatico prima di avviare le attività di vigilanza, per acquisire informazioni e documenti pertinenti all’attività da svolgere, a fini di razionalizzazione e semplificazione degli adempimenti.

Il comma 3 vieta alle amministrazioni controllanti (pena l’applicazione delle sanzioni di cui all’articolo 18-bis del CAD) di richiedere la produzione di documenti e informazioni già disponibili nel fascicolo delle attività economiche o, comunque, in loro possesso.

Il comma 4 disciplina l’obbligo di segnalazione delle infrazioni all’AGID, tenuta a pubblicare la segnalazione delle violazioni accertate su apposita area del proprio sito internet istituzionale.

Il comma 5, al fine di garantire elevati standard di affidabilità sistemica e interoperabilità del sistema, potenzia le infrastrutture in uso alle amministrazioni coinvolte nell’attività di controllo e, in particolare, alla Piattaforma Digitale Nazionale Dati (PDND) di cui all’articolo 50-ter del CAD. Inoltre, la norma introduce un vincolo finalistico ulteriore per la Piattaforma digitale nazionale dati, esigendone lo sviluppo anche al fine di consentire alle imprese di effettuare controlli automatizzati e acquisire certificati relativi a propri fatti, stati e qualità. Tale disposizione non parrebbe legittimare ipotesi di controllo ulteriori rispetto a quelli già previsti, limitandosi ad ampliare le funzionalità del sistema informativo: laddove l’intentio legis sia diversa, sarebbe tuttavia opportuno chiarirlo, definendo il perimetro di estensione dei controlli suddetti.

L’articolo 9 impone ai funzionari di tenere - nella programmazione, nello svolgimento e nel monitoraggio dei controlli - una condotta orientata al principio di leale collaborazione, agendo in modo aperto, trasparente e cooperativo.

L’articolo 13 disciplina il diritto di interpello, quale istituto volto a chiarire all’ impresa dubbi sulla corretta interpretazione delle disposizioni di settore.

Particolare interesse assume l’articolo 15 che individua, nei primi tre commi, i titolari dei trattamenti di dati personali funzionali all’attività esercitata, imponendo altresì l’adozione di misure tecniche idonee a garantire la sicurezza del trattamento, soprattutto rispetto al rischio di distruzione, perdita, modifica o accesso non autorizzato ai dati.

Lo schema di decreto legislativo è inoltre corredato da un allegato tecnico, che disciplina le modalità di accesso al fascicolo informatico d’impresa, nelle more dell’adozione del relativo regolamento e di deposito dei verbali ispettivi nel fascicolo stesso, da parte delle pubbliche amministrazioni responsabili dei procedimenti. Tale deposito avviene in modo analogo a quanto previsto per analogo caricamento da parte degli Sportelli Unici delle Attività Produttive (SUAP).

RITENUTO

La disciplina del trattamento dei dati personali connessi allo svolgimento dei controlli amministrativi sulle attività economiche, proposta dallo schema di decreto legislativo, non presenta particolari criticità. Essa è, tuttavia, suscettibile di perfezionamento, sulla base delle seguenti indicazioni, per rafforzare le garanzie per i dati trattati dalle amministrazioni procedenti.

Una prima riflessione merita l’articolo 6, relativo all’utilizzo, a fini di controllo, di soluzioni tecnologiche, ivi incluse quelle di intelligenza artificiale. Esso dovrebbe essere integrato anzitutto prevedendo un vincolo di conformità, alle norme del Regolamento e del Codice, del trattamento dei dati personali svolto nell’ambito di sistemi che adottino tali soluzioni tecnologiche.

Al fine di assicurare il rispetto delle garanzie previste dall’articolo 22 del Regolamento in materia di processo decisionale automatizzato, sarebbe opportuno inserire, all’alinea del comma 2 dell’articolo 6, dopo le parole “rispettano”, le seguenti: “le disposizioni di cui all'articolo 22 del Regolamento (UE) 2016/679”.

Coerentemente, al comma 2, lettera b), tra i diritti degli interessati andrebbe inserito quello di esprimere la propria opinione e contestare la decisione assunta, secondo quanto previsto dall’articolo 22 del Regolamento.

Inoltre, l’articolo andrebbe integrato prevedendo alcune garanzie peculiari da assicurare sin dalla fase, preliminare, di acquisto o sviluppo delle soluzioni tecnologiche, per contrastare le implicazioni maggiormente critiche di tali tecniche, riscontrate in sede applicativa. In tale ambito, infatti, le amministrazioni devono poter assicurare la disponibilità di ogni elemento utile a comprendere le logiche di funzionamento di tali sistemi, con particolare riferimento al codice sorgente e alla relativa documentazione. Dovrebbe inoltre essere precisato che, in relazione alle soluzioni tecnologiche utilizzate, le amministrazioni sono tenute a garantire la minimizzazione del rischio di errori e distorsioni connessi all’utilizzo dei dati e dei modelli di analisi sviluppati mediante tecniche di intelligenza artificiale e la rettificazione dei fattori determinanti inesattezze dei dati e malfunzionamenti dei modelli di analisi utilizzati; nonché il contrasto di effetti discriminatori, segnatamente in ragione  della nazionalità, dell'origine etnica, delle opinioni politiche, delle convinzioni religiose o filosofiche, dell'appartenenza sindacale, dei caratteri somatici, dello status genetico, della condizione di salute, del genere o dell'orientamento sessuale.

Con riferimento all’articolo 7, comma 6, di disciplina del coordinamento a livello territoriale delle attività delle amministrazioni controllanti e di accesso ai dati e scambio delle informazioni, sarebbe opportuno aggiungere un vincolo di conformità espresso, al Regolamento e al Codice, del trattamento dei dati personali. Tale integrazione è volta a garantire una disciplina maggiormente conforme con il complessivo quadro normativo di riferimento.

L’articolo 8, comma 1, disciplina -quale ulteriore strumento di coordinamento- il fascicolo informatico d’impresa, prevedendo che l’amministrazione procedente possa accedervi utilizzando i dati e le informazioni in esso contenuti (v. art. 2, comma 2, lettera a), della legge 29 dicembre 1993, n. 580), anche al fine di elaborare indicatori sintetici per la valutazione del rischio. La norma andrebbe integrata, prevedendo che l’utilizzo dei dati personali avvenga nella misura in cui sia previsto dalla disciplina del relativo procedimento amministrativo, nel rispetto dei principi di cui all'articolo 5 del Regolamento, garantendo così conformità non soltanto alla disciplina di protezione dati ma anche ai criteri di delega, che non prevedono, sul punto, l’estensione dell’ambito applicativo, ma solo la razionalizzazione dei controlli.

Il comma 4 disciplina l’obbligo di segnalazione delle infrazioni all’AGID e della conseguente pubblicazione su apposita area del sito internet istituzionale. Al fine di garantire maggiore conformità con il principio di minimizzazione di cui all’articolo 5, p.1, lett.c) del Regolamento, la norma andrebbe integrata con la previsione di una specifica clausola di garanzia dei dati pubblicati, espungendo quelli relativi al segnalante e, comunque, i dati personali eccedenti le finalità perseguite.

IL GARANTE

ai sensi dell’articolo 36, paragrafo 4, del Regolamento, esprime parere favorevole sul proposto schema di decreto legislativo, con le seguenti condizioni, esposte nel “Ritenuto”, relative all’esigenza di:

a) apportare all’articolo 6 le seguenti integrazioni:

- al comma 2, alinea, dopo le parole: “rispettano” inserire le seguenti: “le disposizioni di cui all'articolo 22 del Regolamento (UE) 2016/679, nonché”;

-al comma 2, lettera a), precisare il carattere significativo delle informazioni da fornire al soggetto controllato;

- al comma 2, lettera b), tra i diritti degli interessati inserire quello di esprimere la propria opinione e contestare la decisione assunta, secondo quanto previsto dall’articolo 22 del Regolamento;

- prevedere che le amministrazioni assicurino la disponibilità di ogni elemento utile a comprendere le logiche di funzionamento dei sistemi considerati, con particolare riferimento al codice sorgente e alla relativa documentazione; garantiscano la minimizzazione del rischio di errori e distorsioni connessi all’utilizzo dei dati e dei modelli di analisi sviluppati mediante tecniche di intelligenza artificiale e la rettificazione dei fattori determinanti inesattezze nei dati e malfunzionamenti dei modelli di analisi utilizzati, nonché il contrasto di effetti discriminatori, segnatamente in ragione  della nazionalità, dell'origine etnica, delle opinioni politiche, delle convinzioni religiose o filosofiche, dell'appartenenza sindacale, dei caratteri somatici, dello status genetico, della condizione di salute, del genere o dell'orientamento sessuale;

b) all’articolo 7, comma 6, aggiungere un vincolo di conformità espresso, al Regolamento e al Codice, del trattamento dei dati personali;

c) all’articolo 8, apportare le seguenti modificazioni:

- al comma 1, aggiungere, in fine, le seguenti parole: “, nella misura in cui sia previsto dalla disciplina del relativo procedimento amministrativo, per quanto riguarda i dati personali nel rispetto dei principi di cui all'articolo 5 del Regolamento (UE) 2016/679”;

- al comma 4, secondo periodo, aggiungere, in fine, le seguenti parole: “espungendovi i dati personali relativi al segnalante e, comunque, i dati personali eccedenti le finalità perseguite”.

Roma, 31 agosto 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei