Controlli sui conti correnti: criteri per l’analisi del rischio di evasione

L'utilizzo dei dati inseriti nell'anagrafe dei rapporti finanziari ai fini dell'analisi dei rischi di evasione

Il documento pubblicato sul sito dell'Agenzia delle Entrate in data 19 maggio 2023 “Informativa sulla logica sottostante i modelli di analisi del rischio basati sui dati dell'archivio dei rapporti finanziari”, declina i criteri che saranno seguiti dall'Amministrazione Finanziaria nell'analisi del rischio evasione, mediante l'utilizzo dei dati contenuti nell'Archivio dei rapporti finanziari, incrociati con le altre banche dati a disposizione dell'Agenzia delle Entrate.

L'articolo 11, del D.L. 201 del 2011, ha consentito all'Agenzia delle Entrate di utilizzare le informazioni presenti nell'anagrafe dei rapporti per le analisi del rischio di evasione.

Successivamente, il comma 682, dell'articolo 1 della legge 27 dicembre 2019, n. 160 ha disposto che “l'Agenzia delle Entrate, per le summenzionate analisi del rischio, possa avvalersi, anche previa pseudonimizzazione dei dati personali, delle tecnologie, delle elaborazioni e delle interconnessioni con le altre banche dati di cui dispone, allo scopo di individuare i criteri di rischio utili a far emergere le posizioni da sottoporre a controllo o nei cui confronti avviare attività di stimolo dell'adempimento spontaneo”.

La criticità nell'utilizzo dei dati e la posizione del Garante della protezione dei dati personali

Il citato comma 682 ha, poi, disposto, nel rispetto del principio di responsabilizzazione di cui all'articolo 35 del regolamento (UE) 2016/679, che l'Agenzia delle Entrate redigesse una valutazione unitaria di impatto sulla protezione dei dati (Data Protection Impact Assessment - DPIA) da sottoporre al parere preventivo del Garante per la protezione dei dati personali.

Con il provvedimento n. 276 del 30 luglio 2022, il Garante per la protezione dei dati personali ha espresso parere favorevole rispetto alla già menzionata valutazione di impatto privacy.

In particolare, è stato puntualizzato che l'Agenzia delle Entrate nel procedere all'elaborazione dei rischi di evasione debba:

• verificare e documentare, nella fase di “test su un campione casuale rappresentativo della popolazione”;
• raccogliere le opinioni dei soggetti a vario titolo coinvolti nei trattamenti in esame;
• pubblicare un estratto della valutazione di impatto sulla protezione dei dati, omettendo gli allegati e le parti che possono compromettere la sicurezza dei trattamenti;
• formare adeguatamente il personale a vario titolo coinvolto nei trattamenti in esame;
• adottare processi di verifica della qualità dei modelli di analisi impiegati, documentando adeguatamente, in rapporti periodici, le metriche utilizzate, le attività svolte, le eventuali criticità riscontrate e le misure di conseguenza adottate;
• adottare efficaci tecniche di pseudonimizzazione dei dati nell'ambito dei trattamenti in esame. La pseudonimizzazione, nel GDPR (Regolamento generale sulla protezione dei dati), è definita come “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.

Solamente nel caso di dati interamente "anonimizzati" non vengono integrati i criteri necessari per qualificarsi come dati personali e, pertanto, non sono soggetti alle stesse restrizioni sul trattamento dei dati personali ai sensi del GDPR.

I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato.

Conclusioni

La linea di confine tra pseudonimizzazione e anonimizzazione è veramente sottile: ciò ha reso molto complicata l'individuazione di metodologie idonee, mirate ad evitare la c.d. re-identificazione dei soggetti sottoposti ad analisi del rischio.

Dalla lettura del documento dell'Agenzia delle Entrate non si evincono chiaramente e nel dettaglio i principi di funzionamento dell'algoritmo implementato, ad eccezione dell'allegato tecnico che tratta dell'”esempio di applicazione della logica degli algoritmi”.

L'allegato fornisce esempi di applicazione dell'algoritmo mentre interessante sarebbe verificare, nel dettaglio, il procedimento di pseudonimizzazione/anonimizzazione dei dati relativi ai contribuenti.

Un'ultima doverosa considerazione: la complessità della realtà economica e delle variabili che possono incidere sulla determinazione del reddito imponibile in capo ai contribuenti, pone interrogativi sull'efficacia di analisi massive di rischio fiscale che, oltre a prestare il fianco a censure in ordine al trattamento dei dati, rischiano di vedere un potenziale incremento del contenzioso tributario.

Fonte: Documento AE 19 maggio 2023 sulla valutazione di impatto sulla protezione dei dati