Con Provvedimento n. 78 del 24 febbraio 2022, il Garante della Privacy ha espresso parere favorevole sulla bozza di regolamento della Banca d’Italia concernente il trattamento dei dati personali effettuato nell’ambito della gestione degli esposti riguardanti la trasparenza delle condizioni contrattuali, la correttezza dei rapporti tra intermediari e clienti e i diritti e gli obblighi delle parti nella prestazione dei servizi di pagamento.
Il regolamento disciplina l’utilizzo di strumenti di intelligenza artificiale (IA) al fine di agevolare l’analisi degli esposti presentati alla Banca d’Italia, disponendo, in particolare, che:
- tale trattamento è finalizzato “a ottimizzare il patrimonio informativo contenuto negli esposti per poterne ricavare elementi utili su fenomeni d’interesse per l’attività di vigilanza che la Banca d’Italia conduce sugli intermediari bancari e finanziari”;
- “L’uso di strumenti di IA e tecnologie correlate, nell’attività di analisi degli esposti consente di estrarre concetti e ricorrenze e di connettere informazioni contenute nei diversi documenti”, e viene effettuato “attraverso l’uso di un motore di ricerca full text in grado di accedere a tutti i documenti presentati e di ricercare tutte le informazioni presenti negli esposti riconducibili a un determinato servizio o prodotto finanziario, individuando così le fattispecie che presentino elementi di similarità e traendo informazioni utili per la trattazione dell’esposto e per l’attività di vigilanza” (“attraverso la ricerca di precedenti esposti eventualmente presentati dall’esponente o di vicende analoghe che coinvolgono il medesimo intermediario vigilato o il medesimo fenomeno segnalato”), utilizzando “tecniche di analisi e algoritmi di machine learning (ML) in grado di estrarre e rappresentare gli elementi e i documenti che risultino maggiormente rilevanti, condotte sulla base della normativa di settore”, secondo un “andamento spazio-temporale relativo al diffondersi di fattispecie ricorrenti o potenzialmente anomale negli esposti”;
- i dati personali contenuti negli esposti e oggetto di tale trattamento possono riferirsi a “persone fisiche esponenti” o a “persone fisiche terze”, tra cui quelle che “agiscono per conto dell’esponente” o ad essa a vario titolo legate o coinvolte nella vicenda, nonché quelle collegate con l’intermediario coinvolto.
Sul punto, il Garante ha ritenuto che:
- lo schema di regolamento è idoneo a disciplinare il trattamento dei dati personali a fini di trattazione degli esposti, anche in relazione alle ulteriori funzionalità volte a favorire le indagini su fenomeni d’interesse, ai sensi dell’art. 6, parr. 1, lett. e), e 3, e degli artt. 9, par. 2, lett. g), e 10 del Regolamento, nonché degli artt. 2-ter, 2-sexies e 2-octies del Codice della Privacy;
- con specifico riferimento al trattamento di dati personali effettuato mediante strumenti di intelligenza artificiale (basati anche sull’utilizzo di tecniche di machine learning), lo schema di regolamento, unitamente alle indicazioni contenute nella valutazione d’impatto, fornisce le misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato – come richiesto dall’art. 22, par. 2, lett. b), del Regolamento, anche in un’ottica di privacy by design e by default (art. 25 del medesimo Regolamento) – in quanto viene espressamente escluso qualsiasi processo decisionale automatizzato relativo alle persone fisiche (comprese la profilazione e la predizione di comportamenti), e che, in ogni caso, l’insieme di tali misure ha l’effetto di ridurre significativamente l’impatto del trattamento di dati personali, questi ultimi considerati non rilevanti ai fini delle azioni che la Banca d’Italia intende porre in essere nell’esercizio delle sue funzioni di vigilanza nei confronti degli intermediari (perlopiù persone giuridiche), andando così a mitigare i rischi per i diritti e le libertà degli interessati;
- lo schema di regolamento contiene disposizioni volte ad assicurare la necessaria trasparenza del trattamento, anche nell’ottica dell’esercizio dei diritti, nei confronti degli interessati (compresi i soggetti che ricoprono funzioni all’interno degli intermediari oggetto di esposto);
- le ulteriori misure assunte dalla Banca d’Italia in relazione alla supervisione, da parte di operatori umani, sul processo di riaddestramento degli strumenti di intelligenza artificiale utilizzati mediante tecniche di machine learning, nonché alla documentazione dell’attività svolta al fine di sviluppare ulteriormente le potenzialità offerte dai predetti strumenti, sono in linea con i principi di accountability e di privacy by design e by default.