I controlli sulle attività economiche da parte delle PA e sulle imprese, dal 2 di agosto 2024 non saranno più gli stessi. Non avranno più un approccio sanzionatorio, bensì improntati su un diverso spirito molto più collaborativo in ottica preventiva, “sulla base di una fiducia reciproca che incentiva i comportamenti virtuosi in un’ottica di premialità”.
A dichiarare ciò, è lo stesso Ministro della PA Zangrillo, come leggiamo da comunicato ufficiale. Il tutto anche grazie all’utilizzo di soluzioni tecnologiche. Capiamo meglio.
Indice degli argomenti
Controlli sulle attività economiche delle imprese: soluzioni tecnologiche
È interessante notare come all’art. 9 del D.lgs. 103/2024 in parola, il legislatore abbia previsto un “Utilizzo di soluzioni tecnologiche nelle attività di controllo”.
In pratica, nell’esercitare il controllo si potrà ricorrere a soluzioni tecnologiche, anche evolute.
Salvo che per i controlli della PA in materia fiscale, sarà possibile adottare, prevede la norma, “misure volte ad automatizzare progressivamente le proprie attività, […] ricorrendo a soluzioni tecnologiche, ivi incluse quelle di intelligenza artificiale in coerenza con il principio di proporzionalità al rischio secondo le regole tecniche finalizzate alla realizzazione degli obiettivi dell’Agenda digitale italiana”.
In altri termini, si potranno adottare anche sistemi di AI volti ad effettuare questo genere di controlli, purché tali soluzioni siano “tali da garantire la sicurezza e l’interoperabilità dei sistemi informatici e dei flussi informativi per la circolazione e lo scambio dei dati e per l’accesso ai servizi erogati in rete dalle amministrazioni che effettuano i controlli”.
Il dettato normativo del D.lgs. 103/2024, art. 9
Riportiamo integralmente il testo di legge, all’art. 9: “1. Le amministrazioni cui sono attribuite funzioni di controllo, diverse da quelle in materia di controllo fiscale, in attuazione delle disposizioni del decreto legislativo 7 marzo 2005, n. 82, adottano misure volte ad automatizzare progressivamente le proprie attività, nell’ambito delle risorse disponibili a legislazione vigente, ricorrendo a soluzioni tecnologiche, ivi incluse quelle di intelligenza artificiale in coerenza con il principio di proporzionalità al rischio secondo le regole tecniche finalizzate alla realizzazione degli obiettivi dell’Agenda digitale italiana. Le soluzioni tecnologiche garantiscono la sicurezza e l’interoperabilità dei sistemi informatici e dei flussi informativi per la circolazione e lo scambio dei dati e per l’accesso ai servizi erogati in rete dalle amministrazioni che effettuano i controlli. 2. Le decisioni concernenti la conformità agli obblighi e adempimenti imposti alle imprese controllate assunte mediante soluzioni tecnologiche rispettano le disposizioni di cui all’articolo 22 del regolamento (UE) 2016/679, nonchè i principi di: a) comprensibilità, conoscibilità, significatività e rilevanza delle informazioni che devono essere fornite, per cui ogni soggetto controllato ha diritto a conoscere l’esistenza di processi decisionali automatizzati che lo riguardano e, in tal caso, a ricevere informazioni sulla logica utilizzata; b) non esclusività della decisione algoritmica, per cui comunque esiste nel processo decisionale un contributo umano capace di controllare, validare ovvero smentire la decisione automatizzata, con diritto del soggetto controllato di esprimere la propria opinione e contestare la decisione assunta, secondo quanto previsto dall’articolo 22 del regolamento (UE) 2016/679; c) non discriminazione algoritmica, per cui le amministrazioni mettono in atto misure tecniche e organizzative adeguate al fine di impedire effetti discriminatori nei confronti dei soggetti controllati; d) efficace ed efficiente gestione dei dati, da attuarsi con apposita regolamentazione riguardante le fasi che attengono alla loro formazione, raccolta, accesso sicuro, monitoraggio, aggiornamento, riutilizzo, conservazione e comunicazione”.
I razionali della nuova normativa
La norma precisa in altri termini che, se le soluzioni tecnologiche contengono sistemi di IA, avvalendosi di approcci di apprendimento automatico o basati sulla logica e sulla conoscenza, nonché utilizzate per l’accertamento e la valutazione della non conformità, occorre che sia garantita la tracciabilità del funzionamento del sistema e la sua piena conoscibilità ai soggetti controllati (comma III).
Il comma 2 richiama il principio/diritto di (non) profilazione di cui all’art. 22 del GDPR evidenziando come la decisione algoritmica/automatizza non debba essere esclusiva e in ogni caso deve sussistere un controllo umano onde evitare la “discriminazione algoritmica” vietata.
Di qui, ancora una volta l’importanza delle misure tecniche e organizzative adeguate (art 32 GDPR) che le PA debbono mettere in campo.
D’altra parte, la protezione dei dati personali è un diritto fondamentale dei cittadini europei (artt. 7,8 Carta di Nizza).
Ancora, nel richiamare l’art. 22 del GDPR che disciplina il “processo decisionale automatizzato” relativo alle persone fisiche, compresa la profilazione, stabilendo che “l’interessato ha il diritto di non essere sottoposto a una decisione che produca effetti giuridici basata unicamente sul trattamento automatizzato, compresa la profilazione”. Rammentiamo che tale diritto può essere limitato, ai sensi del par. 2 del medesimo articolo, in specifici casi ovvero allorquando la decisione:
- sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
- sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
- si basi sul consenso esplicito dell’interessato.
In ogni caso il titolare del trattamento è comunque tenuto ad attuare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, e per conseguenza l’interessato ha il diritto di ottenere l’intervento umano, di esprimere la propria opinione e di contestarne la decisione.
Profili di novità e la spinta della compliance privacy
Il D.lgs. 103/2024 in parola ha quindi un impatto indiretto in ambito privacy.
Ciò lo si evince dall’articolato così come è contenutisticamente composto e in particolare da:
- fascicolo informatico d’impresa, strumento che può essere utilizzato anche per raccogliere informazioni circa la gestione dei dati personali, facilitando i controlli del Garante privacy;
- semplificazione dei controlli maggiore grazie alla quale è possibile incentivare le imprese a investire in sistemi di gestione privacy più efficienti, in quanto i controlli stessi saranno meno invasivi;
- riduzione delle sanzioni, vista la possibilità di ricevere una “diffida” anziché una sanzione per le prime violazioni sicché è auspicabile che le imprese porranno fin da subito maggiore attenzione alla compliance privacy, onde evitare sanzioni più pesanti dopo.
L’approccio basato sul rischio
Da ultimo, ci soffermiamo sull’approccio ancora una volta basato sul rischio; il che vuol dire canalizzare prioritariamente le energie e le risorse ispettive verso situazioni in cui il rischio di inadempimenti e di inosservanza degli obblighi sia di gravità e di probabilità nell’ accadimento più elevate.
Di qui, l’importanza della programmazione dei controlli e delle relative verifiche con intervalli temporali correlati alla gravità del rischio: più è elevato l’impatto del rischio maggiore sarà la frequenza.
Sarà poi necessaria la costituzione di un sistema interdipendente di valutazione del rischio, a dimostrazione di un idoneo livello teso a giustificare un minore effort nell’accertamento.
Evidentemente in questo contesto, un operatore economico che su base volontaria, decida di certificarsi sarà avvantaggiato nell’ottenere un report di terza parte che attesti, dopo averlo valutato, il “rischio basso”.
Conclusioni
In definitiva, il decreto in commento, grazie a come è stato congeniato e prevedendo una serie di principi e strumenti comuni, è riuscito a coniugare – quanto meno sulla carta – la necessità di verifiche efficaci con il bisogno di dare continuità alle attività economiche, liberandole da una serie di svariati obblighi spesso vissuti prima come sproporzionati ed eccessivi.
Di qui, il pregevole sforzo di “semplificazione” messa in atto.Ecco perché questo decreto, in conclusione, pur non essendo una normativa specificamente dedicata alla privacy, riuscirà a contribuire un contesto facilitatore per la compliance privacy; o almeno si spera.
