L’Autorità Garante per la protezione dei dati personali, con il provvedimento del 22 dicembre 2021 in tema di fatturazione elettronica (provvedimento n. 453, doc. web n. 9738520), ha fornito indicazioni con riferimento all’attività dell’Agenzia delle Entrate in relazione alle limitazioni e modalità di esercizio del servizio di analisi del rischio, volto a individuare criteri utili per far emergere posizioni da sottoporre a controllo: il tutto mediante l’utilizzo di dati, tecnologie, elaborazioni e interconnessioni su database già in suo possesso.
Rilevante, a tal proposito, è l’attenzione dedicata alla questione relativa alla pseudonimizzazione dei dati utilizzati, attraverso metodi di sostituzione o modifica delle informazioni anagrafiche ovvero tramite perturbazioni delle variabili, al fine di impedire, in presenza di dati finanziari, l’identificazione diretta degli interessati nell’ambito dell’esercizio delle rilevazioni funzionali ai c.d. “studi di settore”.
Tuttavia, come evidenziato dall’Associazione Nazionale Commercialisti (ANC) con Comunicato del 3 ottobre 2022 – nonostante il Garante Privacy abbia da tempo evidenziato le criticità del trattamento delle informazioni dei contribuenti da parte dell’Amministrazione finanziaria, in materia di fatturazione elettronica e non solo, e abbia delineato il perimetro delle necessarie azioni di prevenzione da attuare – non sembra che l’Agenzia delle Entrate si sia adoperata fattivamente per adempiere alle prescrizioni ricevute, o che comunque sia riuscita a farlo efficacemente.
Difatti, su questi temi, il Garante è tornato a pronunciarsi con il provvedimento n. 276 del 30 luglio 2022, in merito alla DPIA (valutazione d’impatto) sottoposta dall’Agenzia sulle attività di profilazione e analisi dei rischi e fenomeni evasivi e/o elusivi tramite l’utilizzo dei dati presenti nell’Archivio dei rapporti finanziari e l’incrocio degli stessi con le altre banche dati di cui dispone.
I trattamenti oggetto della valutazione di impatto presentano difatti rischi elevati per i diritti e le libertà degli interessati. Essi, infatti, sono:
- relativi a tutte le tipologie di dati personali che costituiscono l’immenso patrimonio informativo nella disponibilità dell’Agenzia delle Entrate
- riferibili alla totalità dei contribuenti e fondati sul ricorso a nuove tecnologie (c.d. machine learning) al fine di classificare gli stessi sulla base di specifici indicatori di rischio fiscale, desunti o derivati, da individuarsi mediante modelli di analisi.
Il Garante ha quindi fornito le presenti raccomandazioni:
- verificare e documentare, nella fase di test su un campione casuale rappresentativo della popolazione, le scelte effettuate in ordine all’individuazione delle banche dati utilizzate per la creazione del dataset di analisi e dei modelli di analisi impiegati, comprovando di aver adeguatamente individuato e gestito i rischi per i diritti e le libertà degli interessati;
- raccogliere le opinioni dei soggetti a vario titolo coinvolti nei trattamenti in esame;
- pubblicare un estratto della valutazione di impatto sulla protezione dei dati, omettendo gli allegati e le parti che possono compromettere la sicurezza dei trattamenti;
- formare adeguatamente il personale a vario titolo coinvolto nei trattamenti in esame;
- adottare processi di verifica della qualità dei modelli di analisi impiegati, documentando adeguatamente, in rapporti periodici, le metriche utilizzate, le attività svolte, le eventuali criticità riscontrate e le misure di conseguenza adottate;
- adottare efficaci tecniche di pseudonimizzazione dei dati nell’ambito dei trattamenti in esame;
In particolare, il Garante reputa come <<non pienamente efficace>> la metodologia di pseudonimizzazione adottata dall’Agenzia in occasione dell’introduzione della fatturazione elettronica, la quale impedisce unicamente la re-identificazione massiva degli interessati, ossia la ricostruzione, con una singola operazione, di tutti i codici fiscali originali, o un numero significativo di essi.
Tale metodologia dovrebbe, al contrario, secondo l’Autorità, essere finalizzata a impedire anche la sola “re-identificazione puntuale o parziale” degli Interessati, allo stato attuale, invece, possibile in assenza di informazioni aggiuntive, quali l’associazione tra il c.d. “identificativo fittizio” del contribuente e il suo codice fiscale (cfr. Considerando n. 26 del GDPR).
Del resto è lo stesso GDPR che definisce la pseudonimizzazione come <<il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile>> (art. 4, punto 5).
Pertanto, il Garante, alla luce di tutte le considerazioni su esposte, ha invitato l’Agenzia ad adottare efficaci tecniche di pseudonimizzazione dei dati, nell’ambito dei trattamenti in esame, volte a ridurre in modo adeguato i rischi di re-identificazione degli interessati, anche al fine di assicurare, in ogni fase del trattamento il rispetto dei principi di:
- minimizzazione dei dati
- di integrità e riservatezza
- privacy by design e by default
- adempimento degli obblighi di sicurezza.
L’attuale parere si inserisce, d’altronde, nell’alveo di una serie di indicazioni che il Garante ha fornito nel tempo all’Agenzia delle Entrate, supportandola nell’identificare soluzioni idonee a potenziare il contrasto all’evasione fiscale, limitando al contempo la compressione della privacy.
Infatti, è dal 2011, anno del cosiddetto decreto “Salva Italia“, che l’Agenzia delle Entrate può effettuare analisi e incrociare anche i dati finanziari dei contribuenti con miliardi di informazioni di cui ha disponibilità: conti correnti, spese scolastiche, mutui, assicurazioni, interventi edilizi, collaboratori domestici, locazioni, utenze, spese per i viaggi, mezzi di trasporto e tante altre. Sull’uso di questi dati, proprio in ragione dell’interesse generale, non c’è mai stata alcuna obiezione da parte del Garante.