(di Cristina Bartelli, “ItaliaOggi”, 3 ottobre 2019)
Per i pagamenti tracciati c’è il rischio di una schedatura a tutto campo dei consumi. Nella scrittura delle norme va posta attenzione alla qualità del dato per l’identikit del rischio evasione. C’è poi da compiere da parte della pubblica amministrazione un cambio di passo nella gestione del rischio informatico dei dati per evitare nuovi accessi alle banche dati fiscali come accadde per lo spesometro, quando milioni di informazioni sensibili furono in balia di tutti. Antonello Soro, presidente dell’Autorità garante per la protezione dei dati personali, spiega a ItaliaOggi quali sono le garanzie da porre in essere per i contribuenti e a chi accusa che troppa privacy limita la lotta all’evasione ribatte: “I paletti posti dal Garante attengono essenzialmente a misure di sicurezza per impedire accessi abusivi e accorgimenti per assicurare qualità ed esattezza dei dati, rendendo così affidabili i criteri sulla cui base stilare il profilo di rischio di evasione”.
Il problema della lotta all’evasione fiscale, del perché non si fa e non da risultati sperati, è il Garante privacy… o ho capito male?
Il Garante non solo non ha mai ostacolato, ma anzi ha sempre supportato le misure volte a rafforzare l’efficacia dell’azione di contrasto dell’evasione fiscale, nella ricerca del miglior equilibrio tra la funzionalità delle verifiche e il diritto alla protezione dei dati personali. Le misure prescritte dall’Autorità hanno contribuito a migliorare l’incisività dell’azione di contrasto dell’evasione, minimizzando il rischio di attacchi informatici al prezioso patrimonio informativo dell’Agenzia delle entrate e garantendo la buona riuscita degli accertamenti attraverso l’esattezza dei dati (e quindi l’affidabilità della profilazione) sui quali essi si basano.
Quali paletti pone il Garante, facendo storcere periodicamente il naso all’Agenzia delle entrate?
I paletti posti dal Garante attengono essenzialmente a misure di sicurezza per impedire accessi abusivi e accorgimenti per assicurare qualità ed esattezza dei dati, così rendendo affidabili i criteri sulla cui base stilare il profilo di rischio di evasione e fondando gli accertamenti su solidi presupposti. Queste misure non sono mai state contestate dall’Agenzia, con cui invece intercorre un consolidato rapporto di leale collaborazione. Chi strumentalizza le posizioni del Garante, semmai, sono altri.
Come è finita la storia dello spesometro, il primo grossissimo data breach della p.a.?
In quel caso specifico (verificatosi durante la vigenza del Codice che, sul punto, adottava un regime ben diverso da quello del Gdpr), Sogei ha adottato gli accorgimenti necessari a minimizzare il rischio di future, ulteriori violazioni di dati personali. Tuttavia, come dopo l’incidente abbiamo sottolineato in una nota al presidente del consiglio dei ministri, è necessario un cambiamento in primo luogo culturale nell’approccio al tema della gestione del rischio informatico e della protezione dei dati personali.
In uno degli ultimi provvedimenti sull’algoritmo per l’individuazione di profili di contribuenti a rischio evasione, l’Agenzia delle entrate si era impegnata a inviarvi i risultati delle sperimentazioni. Che risultati vi ha trasmesso?
Con il provvedimento del 20 luglio 2017, il Garante ha valutato favorevolmente la procedura di selezione dei contribuenti in base al profilo di rischio fiscale individuato, proposta dall’Agenzia delle entrate in via sperimentale proprio per testarne, in relazione a un ristretto campione, l’efficacia e l’adeguatezza dei criteri di calcolo utilizzati, da estendere in fase successiva in caso di esito positivo sulla base dei risultati dell’accertamento. Nel caso di specie, il Garante ha ritenuto idonee le misure assicurate dall’Agenzia in relazione a questo tipo di verifica fiscale, prescrivendo soltanto la trasmissione delle risultanze della sperimentazione (che a noi risulta essere ancora in corso), in vista degli ulteriori utilizzi del modello di analisi ipotizzato.
Quali rischi ci sono sulla novità della Nadef sulla tracciabilità dei pagamenti?
In linea generale, vanno garantiti: la confidenzialità dei flussi informativi così attivati e la sicurezza dei canali a tal fine utilizzati; la proporzionalità dei trattamenti dei dati personali raccolti e gestiti (che non deve peraltro eccedere le capacità di calcolo dei sistemi informativi di cui dispone l’Agenzia, pena la collazione massiva di un coacervo di informazioni del tutto inutili), anche per impedire una profilazione massiva dei consumi, considerando che nella complessa filiera della gestione dei dati sono compresi, oltre all’amministrazione finanziaria, anche singoli operatori economici; l’esattezza e qualità dei dati utilizzati al fine di stilare il profilo di rischio di evasione individuale, indispensabili per fornire agli algoritmi parametri affidabili e idonei a individuare i soggetti su cui sia più utile concentrare i controlli.
Il primo parere sul provvedimento sull’anagrafe dei rapporti è del 2012, il Garante chiedeva maggiori garanzie. Il secondo via libera è arrivato solo nel 2017. Come mai tutto questo tempo?
Il tempo intercorso tra i vari pareri resi dal Garante sui provvedimenti dell’Agenzia non è stato certo il frutto di inutili dilazioni o ritardi nella conduzione delle pur complesse istruttorie che simili valutazioni richiedono. Il primo provvedimento ha riguardato le misure che l’Agenzia doveva porre in essere per mettere in sicurezza i dati relativi ai saldi dei circa 600 milioni di rapporti finanziari che si sarebbero andati a raccogliere sistematicamente, per impedire il rischio di accessi indebiti a un patrimonio informativo così prezioso. I tempi del successivo sfruttamento di tali dati sono stati dettati esclusivamente dall’Agenzia delle entrate e Sogei le quali hanno dovuto in quel periodo adottare gli accorgimenti necessari per verificare le informazioni ricevute, rendendole fruibili e raffrontabili con le altre banche dati.