Gazzetta n. 75 del 30 marzo 2022 (vai al sommario) |
BANCA D'ITALIA |
PROVVEDIMENTO 22 marzo 2022 |
Regolamento concernente il trattamento dei dati personali effettuato dalla Banca d'Italia nell'ambito della gestione degli esposti riguardanti la trasparenza delle condizioni contrattuali, la correttezza dei rapporti tra intermediari e clienti e i diritti e gli obblighi delle parti nella prestazione dei servizi di pagamento. |
|
|
LA BANCA D'ITALIA
Visto l'art. 6, paragrafo 1, lettera e) del regolamento generale sulla protezione dei dati (UE) 2016/679 (di seguito GDPR), che consente il trattamento dei dati quando e' necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio dei pubblici poteri di cui e' investito il titolare del trattamento; Visto il medesimo art. 6, paragrafo 3, lettera b) del GDPR che stabilisce che la base giuridica su cui si fonda il trattamento dei dati effettuato per l'esecuzione di un compito di interesse pubblico sia stabilita dal diritto dello Stato membro e contenga disposizioni specifiche per adeguarsi alle disposizioni del regolamento; Visto l'art. 2-ter del decreto legislativo 30 giugno 2003 n. 196 (di seguito «decreto»), come modificato dal decreto legislativo 10 agosto 2018 n. 101 di adeguamento alle disposizioni del GDPR, e dal decreto-legge 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla legge 3 dicembre 2021, n. 205; Visto l'art. 9 paragrafo 2, lettera g), del GDPR, che consente il trattamento di «particolari categorie di dati personali» quando sia necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri; Visto l'art. 10 del GDPR, che consente il trattamento di «dati relativi a condanne penali e reati» quando sia autorizzato dal diritto dell'Unione o degli Stati membri; Visto l'art. 2-sexies del decreto, che consente il trattamento delle «particolari categorie di dati personali» necessari per motivi di interesse pubblico rilevante, qualora sia previsto da disposizioni di legge o di regolamento, o da atti amministrativi generali, che contengano elementi specifici sul trattamento di tali dati; Visto il medesimo art. 2-sexies del decreto che considera «rilevante» l'interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all'esercizio di pubblici poteri nelle materie elencate nelle lettere da a) a dd) del medesimo comma; Viste in particolare le lettere l) e q) del comma 2 dell'art. 2-sexies del decreto, nelle quali sono menzionate, rispettivamente, le attivita' «di controllo e ispettive» e «sanzionatorie e di tutela in sede amministrativa e giudiziaria», alle quali e' riconducibile l'attivita' di vigilanza della Banca d'Italia; Visto l'art. 2-octies, comma 3, del decreto, che consente il trattamento di «dati personali o relativi a condanne penali e reati» se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento che prevedano garanzie appropriate per i diritti e le liberta' degli interessati; Visto l'art. 22 del decreto legislativo 10 agosto 2018, n. 101 che, nel dettare le disposizioni transitorie per i trattamenti in essere, prevede che siano tuttora applicabili i vigenti regolamenti sui trattamenti dei dati sensibili e giudiziari adottati secondo la previgente disciplina di cui al decreto; Visti gli articoli 4 e 5 del decreto legislativo 1° settembre 1993, n. 385, recante il testo unico delle leggi in materia bancaria e creditizia (di seguito TUB o testo unico), che identificano la Banca d'Italia come Autorita' creditizia, cui spettano i poteri di vigilanza nei confronti delle banche, dei gruppi bancari, degli intermediari finanziari, degli istituti di moneta elettronica e degli istituti di pagamento (di seguito intermediari vigilati); Visti inoltre gli articoli 4 comma 1 e 8 del TUB, che attribuiscono alla Banca d'Italia il potere di emanare regolamenti, impartire istruzioni e adottare provvedimenti, dettandone uno specifico regime di pubblicita'; Visto l'art. 127 del TUB, ai sensi del quale le Autorita' creditizie, ivi compresa la Banca d'Italia, esercitano i poteri previsti dal titolo VI del medesimo testo unico, «avendo riguardo, oltre che alle finalita' indicate nell'art. 5, alla trasparenza delle condizioni contrattuali e alla correttezza dei rapporti con la clientela»; Visti gli articoli 128 e 128-ter del TUB, che attribuiscono alla Banca d'Italia specifici poteri di controllo, anche informativi e ispettivi, cosi' come di tipo inibitorio al fine di verificare e assicurare il rispetto delle disposizioni del titolo VI del medesimo testo unico; Visti gli articoli 144, 145 e seguenti del TUB, che disciplinano il potere sanzionatorio della Banca d'Italia, nei confronti di societa' o enti soggetti a vigilanza, in caso di violazioni delle disposizioni del richiamato titolo VI; Visto il decreto legislativo 27 gennaio 2010, n. 11, emanato in attuazione della direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno, che disciplina il potere sanzionatorio della Banca d'Italia in caso di violazioni delle disposizioni relative ai diritti e agli obblighi delle parti nella prestazione dei servizi di pagamento; Visti gli articoli 128-bis, comma 3-bis, 126-vicies, comma 2, e 126-vicies ter del TUB, e gli articoli 34-decies e 39 del decreto legislativo 27 gennaio 2010, n. 11, che ammettono la presentazione di esposti alla Banca d'Italia nelle materie soggette alla sua vigilanza, nonche' l'art. 24 della legge 28 dicembre 2005, n. 262, secondo il quale le notizie sottoposte per iscritto da soggetti interessati possono essere utilizzate dalla Banca d'Italia nell'istruzione di procedimenti sanzionatori; Considerata l'attuale vigenza del regolamento, adottato dalla Banca d'Italia con provvedimento del 6 novembre 2015, recante l'individuazione dei dati sensibili e giudiziari e delle operazioni eseguibili, relativamente alle fattispecie ivi disciplinate; Ritenuta la necessita', da parte della Banca d'Italia, di effettuare trattamenti di dati personali, di categorie particolari di dati e di dati relativi a condanne penali e reati nell'ambito dell'attivita' di gestione degli esposti in materia di trasparenza delle condizioni contrattuali e correttezza dei rapporti tra intermediari vigilati e clientela e di diritti e obblighi delle parti nella prestazione di servizi di pagamento; Considerata la necessita' di utilizzare strumenti di intelligenza artificiale per agevolare l'analisi degli esposti presentati alla Banca d'Italia; Ritenuta altresi' la necessita' che rispetto a tali trattamenti si forniscano disposizioni specifiche sulle operazioni eseguibili e sulle modalita' di trattamento, anche con specifico riferimento all'uso dei suddetti strumenti di intelligenza artificiale, in un'ottica di chiarezza e trasparenza nei confronti degli interessati; Considerato che la gestione degli esposti nelle materie della trasparenza delle condizioni contrattuali e correttezza dei rapporti con la clientela e dei diritti e obblighi delle parti nella prestazione di servizi di pagamento rappresenta un compito di interesse pubblico individuato dalla disciplina di settore e affidato alla Banca d'Italia; Considerato che la Banca d'Italia, nella qualita' di Autorita' creditizia, nell'esercizio delle sue funzioni di vigilanza sugli intermediari bancari e finanziari, e' titolare di potesta' regolamentare, sulla base di quanto previsto dal TUB; Sentito il Garante per la protezione dei dati personali, il quale si e' espresso con parere favorevole del 24 febbraio 2022, n. 78; Adotta il seguente regolamento per il trattamento di dati personali di cui la scheda allegata costituisce parte integrante e sostanziale. 1. Oggetto del regolamento Il presente regolamento identifica, ai sensi degli articoli 6 paragrafo 3 lettera b), 9 paragrafo 2 lettera g), e 10 del regolamento generale sulla protezione dei dati (UE) 2016/679, nonche' degli articoli 2-ter, 2-sexies comma 1 e 2-octies comma 3, del decreto legislativo n. 196/2003, le tipologie di dati personali trattati nonche' le operazioni eseguibili e le misure di sicurezza adottate dalla Banca d'Italia nell'ambito della gestione degli esposti riguardanti la trasparenza delle condizioni contrattuali, la correttezza dei rapporti tra intermediari vigilati e clienti e i diritti e gli obblighi delle parti nella prestazione di servizi di pagamento, materie sulle quali la Banca d'Italia svolge una funzione di vigilanza da considerarsi di rilevante interesse pubblico sulla base dell' art. 2-sexies, comma 2, del decreto. 2. Disposizioni specifiche sull'attivita' di trattamento Con riferimento alle attivita' di trattamento, vengono dettate, nell'allegato che segue, disposizioni concernenti le finalita' e le modalita' del trattamento, con l'individuazione di misure appropriate e specifiche per tutelare i diritti fondamentali degli interessati. Le disposizioni, tenendo anche conto dell'uso di tecniche di intelligenza artificiale, stabiliscono: l'attivita' di gestione degli esposti e la modalita' del trattamento dei dati, la limitazione del trattamento, la finalita' di interesse pubblico rilevante, le basi normative su cui si fonda l'interesse pubblico, le tipologie di dati oggetto del trattamento, le categorie di interessati, le operazioni eseguibili, le misure adottate a tutela delle persone fisiche, le modalita' di informativa e l'esercizio dei diritti degli interessati. 3. Disposizione di coordinamento Per quanto non espressamente previsto nelle presenti disposizioni si applica il «Regolamento recante l'individuazione dei dati sensibili e giudiziari e delle operazioni eseguibili» emanato dalla Banca d'Italia con Provvedimento del 6 novembre 2015. |
| Allegato
a) Attivita' di gestione degli esposti Diversi soggetti, a vario titolo, indirizzano alla Banca d'Italia, in qualita' di Autorita' di vigilanza bancaria e finanziaria, segnalazioni scritte (di seguito «esposti») riguardanti la trasparenza delle condizioni contrattuali, la correttezza dei rapporti tra intermediari vigilati e clientela e i diritti e gli obblighi delle parti nella prestazione di servizi di pagamento, utilizzando sia canali ordinari (e-mail, PEC, posta ordinaria, fax, consegna a mano presso una delle Filiali della Banca d'Italia) sia la piattaforma «Servizi online per il cittadino» accessibile dal sito internet della Banca d'Italia.
(1) Questa attivita' comporta i seguenti trattamenti di dati personali facenti capo alla Banca d'Italia quale titolare del trattamento: (i) Trattazione degli esposti; (ii) Uso delle informazioni acquisite in relazione alla trattazione degli esposti tramite strumenti di intelligenza artificiale (AI); (i)Trattazione degli esposti. L'attivita' di gestione degli esposti da parte della Banca d'Italia implica di norma l'interpello dell'intermediario vigilato, attraverso un primo invito a fornire una risposta sulla questione segnalata, sia all'esponente sia alla Banca d'Italia stessa, che puo' essere seguito da eventuali successive interlocuzioni volte a ottenere ulteriori informazioni, dati e documenti. L'interpello dell'intermediario e' accompagnato dall'invio di una copia dell'esposto ricevuto, di cui viene data notizia all'esponente. La trasmissione di copia dell'esposto all'intermediario e' necessaria e funzionale al perseguimento dell'attivita' di gestione degli esposti che non puo' prescindere dal coinvolgimento dell'intermediario medesimo. Se l'esposto non e' di competenza della Banca d'Italia viene inviato all'Autorita' di supervisione o all'ente pubblico competente - se non gia' interessato direttamente dall'esponente - come previsto ed elencato a titolo esemplificativo nel paragrafo g) del presente regolamento. Gli esposti contengono gli elementi che consentono l'identificazione del soggetto interessato alla questione segnalata (di seguito «esponente») ed, eventualmente, della persona che effettua la segnalazione per suo conto e/o che lo rappresenta (di seguito «mittente»), nonche' il recapito, telematico o di domicilio, cui indirizzare le comunicazioni. Oltre alle generalita' del mittente e dell'esponente, gli esposti forniscono usualmente le informazioni necessarie a rappresentare la questione: in tale contesto possono anche contenere ulteriori informazioni e documenti di corredo che, nell'intenzione del mittente/esponente, supportano le contestazioni e le domande alla base della segnalazione. Gli intermediari vigilati, se interpellati dalla Banca d'Italia, possono a loro volta fornire informazioni e documenti per rappresentare la questione e supportare la loro posizione. Le informazioni e i documenti sopra indicati possono anche riguardare: i rapporti bancari e finanziari intrattenuti da persone fisiche con gli intermediari; categorie particolari di dati personali (ad esempio, dati sullo stato di salute); dati relativi a condanne penali e reati. I dati possono essere riferibili anche a soggetti terzi. I dati della specie - acquisiti dalla Banca d'Italia su iniziativa dei mittenti/esponenti e degli intermediari - non sono predeterminabili ex ante in quanto i mittenti/esponenti e gli intermediari redigono liberamente il contenuto delle loro note e scelgono la documentazione che ritengono utile allegare a sostegno della propria segnalazione, pur non essendo sempre necessaria ai fini della trattazione dell'esposto. Le segnalazioni vengono gestite dagli uffici competenti della Banca d'Italia, attraverso il Sistema di gestione documentale dell'istituto - deputato alla protocollazione e archiviazione dei documenti - e altri applicativi aziendali che gestiscono il processo di trattazione degli esposti ed effettuano una prima analisi del contenuto degli stessi. (ii) Uso delle informazioni acquisite in relazione alla trattazione degli esposti tramite strumenti di intelligenza artificiale e tecnologie correlate Gli esposti, che in ingenti quantita' vengono quotidianamente trasmessi alle diverse filiali della Banca d'Italia dislocate sul territorio, sono solitamente costituiti da voluminosi documenti, di varia natura e genere. L'uso di strumenti di IA e tecnologie correlate, nell'attivita' di analisi degli esposti consente di estrarre concetti e ricorrenze e di connettere informazioni contenute nei diversi documenti. Tale attivita' di ricerca e di indagine conoscitiva sul contenuto degli esposti viene effettuata attraverso l'uso di un motore di ricerca full text in grado di accedere a tutti i documenti presentati e di ricercare tutte le informazioni presenti negli esposti riconducibili a un determinato servizio o prodotto finanziario, individuando cosi' le fattispecie che presentino elementi di similarita' e traendo informazioni utili per la trattazione dell'esposto e per l'attivita' di vigilanza. Allo stesso fine di supportare adeguatamente le attivita' di analisi degli esposti e di identificare precocemente fenomenologie di interesse, emerse o emergenti nell'insieme delle segnalazioni, vengono utilizzate tecniche di analisi e algoritmi di machine learning (ML) in grado di estrarre e rappresentare gli elementi e i documenti che, sulla base della normativa di settore, risultino maggiormente rilevanti, a supporto delle attivita' sopra descritte. La logica alla base delle tecniche attualmente utilizzate consiste nell' aggregare gli esposti in cluster, per similitudine semantica, apprendendo elementi informativi e rappresentazioni gerarchiche dall'aggregazione dei dati. A tal fine vengono assegnati dei tag esemplificativi del contenuto, riguardanti in particolare i prodotti e i servizi finanziari offerti alla clientela, che abbiano costituito oggetto di segnalazione di anomalia da parte dei privati. Non viene in alcun caso effettuata una clusterizzazione sulla base dei dati personali degli esponenti, ne' dei soggetti terzi, ivi compresi coloro che operano per conto dell'intermediario destinatario dell'esposto. L'uso di tecniche di IA e' quindi esclusivamente preordinato ad effettuare un'analisi dell'andamento spazio-temporale relativo al diffondersi di fattispecie ricorrenti o potenzialmente anomale negli esposti. Tale attivita' non implica pertanto alcuna forma di profilazione o predizione di comportamenti ne' delle persone fisiche mittenti/esponenti o dei terzi citati negli esposti, ne' delle persone fisiche che a vario titolo possono essere coinvolte nella vicenda, anche in qualita' di soggetti svolgenti funzione di amministrazione, direzione e controllo nell'organizzazione dell'intermediario segnalato ovvero operanti in rapporto di mandato, lavoro o collaborazione con l'intermediario stesso. Dai risultati dell'analisi non derivano conseguenze sanzionatorie o decisioni automatiche su persone fisiche, ne' i risultati delle analisi impattano in modo immediato e diretto sulle decisioni rimesse alla Banca d'Italia in relazione alle questioni sottoposte dagli esponenti. Tali decisioni, ivi comprese quelle relative ai provvedimenti sanzionatori, rientrano infatti nell'esercizio discrezionale delle funzioni di vigilanza e in nessun caso, dato il quadro normativo vigente, possono essere la risultante di procedure automatiche. L'utilizzo di IA e tecnologie correlate risponde a principi di proporzionalita', necessita' e limitazione in base alle finalita' strettamente delimitate e attribuite per legge alla Banca d'Italia. Nel paragrafo h) sono meglio illustrate le misure a tutela dei dati e a garanzia dei diritti delle persone fisiche. Resta in ogni caso fermo quanto previsto dagli articoli 35 e 36 del GDPR. b) Principi di liceita' e limitazione del trattamento In linea con il principio di liceita' e di limitazione delle finalita' del trattamento, non vengono trattati dati in violazione della disciplina in materia di protezione dei dati personali e i dati vengono utilizzati esclusivamente nell'ambito dell'attivita' di gestione degli esposti. I dati sono conservati per il tempo necessario al perseguimento delle finalita' per le quali sono stati raccolti, salva l'ulteriore conservazione, disposta con l'adozione di ulteriori garanzie per i diritti degli interessati - descritte al successivo paragrafo h) - da effettuarsi per finalita' ulteriori di pubblico interesse, quali, a titolo esemplificativo, quelle connesse alle forme di collaborazione previste dall'ordinamento con l'autorita' giudiziaria e con le altre autorita' di settore e pubbliche amministrazioni. Nello specifico: (i) per l'attivita' di trattazione degli esposti i dati sono conservati nei sistemi di protocollazione e conservazione documentale e negli altri applicativi aziendali che gestiscono il processo di trattazione degli esposti per il tempo stabilito dalle disposizioni del Massimario di scarto adottato dalla Banca d'Italia che per ciascuna fattispecie documentale ne stabilisce i tempi di conservazione; (ii) per l'attivita' di uso delle informazioni acquisite in relazione alla trattazione degli esposti tramite strumenti di IA, negli applicativi aziendali che utilizzano tecniche di analisi e algoritmi di machine learning (ML), i dati vengono conservati per dieci anni dall'acquisizione dell'esposto, come documentazione di supporto alle attivita' amministrative e per garantire la correlazione esistente tra la performance dei sistemi di IA e la lunghezza delle serie storiche sottostanti e consentire cosi' la verifica e la replicabilita' dei risultati delle analisi, utile a stabilire le corrette interazioni tra i dati contenuti negli esposti. In ogni caso, l'interessato ha diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell'art. 21 del GDPR. c) Finalita' di interesse pubblico rilevante perseguite dal trattamento L'attivita' di gestione degli esposti nel suo complesso risponde ad una finalita' di interesse pubblico rilevante consistente nello svolgimento di compiti di controllo sugli intermediari vigilati, in materia di trasparenza delle condizioni contrattuali, correttezza dei rapporti con la clientela e di diritti e obblighi delle parti nella prestazione di servizi di pagamento. Nello specifico: (i) l'attivita' di trattazione degli esposti e' finalizzata a raccogliere le segnalazioni degli utenti dei servizi bancari e finanziari e sollecitare gli intermediari a fornire chiarimenti all'esponente e alla Banca d'Italia, sulla questione oggetto dell'esposto; (ii) l'uso delle informazioni acquisite in relazione alla trattazione degli esposti effettuata tramite strumenti di IA e' finalizzata a ottimizzare il patrimonio informativo contenuto negli esposti, per poterne ricavare elementi utili su fenomeni d'interesse per l'attivita' di vigilanza che la Banca d'Italia conduce sugli intermediari bancari e finanziari. I dati e le elaborazioni non vengono trasmessi ad alcun destinatario esterno alla Banca, in quanto l'analisi delle informazioni contenute nell'esposto, effettuata tramite strumenti di IA, e' funzionale a rilevare fenomeni di interesse per l'attivita' di vigilanza della Banca. d) Base giuridica I trattamenti dei dati personali effettuati nell'ambito dell'attivita' di gestione degli esposti sono necessari per l'esecuzione di un compito connesso all'esercizio di pubblici poteri attribuiti alla Banca d'Italia, basato sulle seguenti norme: decreto legislativo del 1° settembre 1993 n. 385 (TUB) e successive modificazioni ed integrazioni, articoli 4, 5, 7, 112-bis,126-vicies, 126-vicies ter, 127, 128, 128-bis u.c., 128-ter, decreto legislativo del 28 febbraio 1998 n. 58 (TUF) e s.m.i, articoli 4, 5, 6 e 31-bis; legge del 28 dicembre 2005 n. 262, articoli 19, 21 e 24; decreto legislativo del 27 gennaio 2010 n. 11, articoli 14, comma 2, 34-decies e 39; delibera CICR n. 286 del 4 marzo 2003 - «Disciplina della trasparenza delle condizioni contrattuali e dei servizi bancari e finanziari» e s.m.i; provvedimento Banca d'Italia del 29 luglio 2009 - «Disposizioni di trasparenza delle operazioni e dei servizi bancari e finanziari. Correttezza delle relazioni tra intermediari e clienti» e s.m.i. e) Tipologie di dati oggetto di trattamento Negli esposti possono essere contenuti: dati personali idonei a identificare in modo diretto o indiretto una persona fisica; categorie particolari di dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, nonche' dati relativi alla salute o alla vita sessuale o all'orientamento sessuale di una persona fisica; dati personali relativi a condanne penali e reati o a connesse misure di sicurezza. Nello specifico: i) per l'attivita' di trattazione degli esposti, nei sistemi di protocollazione e conservazione documentale e negli applicativi che gestiscono il processo di lavorazione degli esposti vengono trattati i dati identificativi del mittente e del richiedente, oltre ai dati personali presenti nel testo dell'esposto; (ii) per l'uso delle informazioni contenute negli esposti tramite strumenti di IA, nel rispetto del principio di minimizzazione di cui all'art. 5 lettera c) del GDPR, sono trattati i dati personali presenti nel testo dell'esposto o nei documenti allegati, il cui contenuto viene analizzato nel suo insieme dai sistemi di IA, pur non essendo i dati personali diretto oggetto di analisi tramite l'uso di dette tecniche. Tali applicativi infatti analizzano il contenuto dell'esposto per rilevare informazioni di interesse generale per l'attivita' di vigilanza della Banca d'Italia riconducibili a un determinato servizio o prodotto finanziario. f) Soggetti interessati I dati personali contenuti negli esposti e trattati nell'ambito delle attivita' relative (i) alla trattazione degli esposti e (ii) all'uso delle informazioni in essi contenute tramite strumenti di IA, possono riferirsi a: persone fisiche esponenti o persone fisiche terze. Tra le persone fisiche terze rientrano: persone fisiche che, quali mittenti, agiscono per conto dell'esponente; persone fisiche legate, per rapporti di parentela, amicizia, professionali o di altra natura, agli esponenti e coinvolte a vario titolo nella vicenda; persone fisiche che svolgono funzione di direzione, amministrazione e controllo o che operano attraverso rapporto di lavoro o mandato con l'intermediario coinvolto, ivi compresi amministratori, sindaci, dipendenti o collaboratori; consulenti finanziari o intermediari del credito eventualmente coinvolti nella vicenda a vario titolo, anche se indipendenti, autonomi o mandatari di societa' diverse dall'intermediario coinvolto. g) Operazioni eseguibili Le operazioni che si eseguono sugli esposti nell'ambito delle attivita' relative (i) alla trattazione degli esposti e (ii) all'uso delle informazioni in essi contenute tramite strumenti di IA, sono le seguenti: attivita' di raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, estrazione, consultazione, uso, raffronto, interconnessione, limitazione, cancellazione dell'esposto e dei dati ivi contenuti, condotte con e senza l'ausilio di sistemi di IA e tecnologie innovative; analisi dell'esposto attraverso la ricerca di precedenti esposti eventualmente presentati dall'esponente o di vicende analoghe che coinvolgono il medesimo intermediario vigilato o il medesimo fenomeno segnalato, effettuata anche con il ricorso a strumenti di IA e tecnologie correlate disponibili; valutazione delle eventuali iniziative da intraprendere o archiviazione dell'esposto. Con riferimento specifico (i) all'attivita' di trattazione degli esposti, si procede poi con: il riscontro all'esponente per confermare la ricezione dell'esposto ed informarlo sulle attivita' preliminari poste in essere; la ricezione e l'analisi della risposta dell'intermediario e la richiesta di eventuali ulteriori integrazioni o dati utili a comprendere la vicenda; l'interconnessione e lo scambio di informazioni con le diverse strutture di Banca d'Italia competenti sulla vicenda analizzata; la comunicazione mediante trasmissione dell'esposto ai seguenti soggetti: intermediari vigilati coinvolti nella vicenda, ai quali viene inviata copia dell'esposto ricevuto; pubbliche amministrazioni e Autorita' od organismi con funzioni di controllo, competenti a trattare la questione oggetto dell' esposto e/o nei cui confronti sussiste un obbligo di collaborazione, anche tramite scambio di informazioni, tra cui: Consob, Covip, Ivass, Autorita' garante della concorrenza e del mercato - AGCM, Organismo Agenti e mediatori - OAM, Organismo Confidi Minori - OCM, Organismo di vigilanza e tenuta dell'albo unico dei Consulenti Finanziari - OCF, Autorita' di supervisione estere, BCE; autorita' giudiziaria e organismi investigativi, nei casi in cui la Banca d'Italia rilevi dalla trattazione degli esposti profili che comportano l'obbligo di denuncia e nei casi in cui sia necessario corrispondere a richieste di collaborazione formulate nell'ambito di procedimenti giudiziari in corso. h) Misure tecniche e organizzative adottate a garanzia e tutela dei diritti degli interessati Nello svolgimento delle attivita' concernenti (i) la trattazione degli esposti e (ii) l'uso delle informazioni in essi contenute tramite strumenti di IA, vengono utilizzati applicativi e procedure di supporto, il cui uso e' presidiato da specifiche misure di sicurezza tecniche e organizzative. Per la gestione degli esposti, cosi' come per tutta la corrispondenza della Banca d'Italia, il Sistema di gestione documentale gestisce i protocolli della Banca e consente di governare i flussi documentali ufficiali dell'Istituto, in arrivo e in partenza. La procedura e' stata realizzata in osservanza delle norme di legge in materia e persegue l'obiettivo di dematerializzare i flussi documentali. Ogni documento e' inserito in uno degli archivi elettronici disponibili ed e' identificato da un numero progressivo annuo univoco. Gli altri applicativi aziendali utilizzati a supporto della gestione degli esposti, ivi compresi quelli che fanno uso di strumenti di IA, non prevedono connessioni verso l'esterno, ma solo verso il Sistema di gestione documentale sopra descritto. A presidio dei rischi di integrita', riservatezza e disponibilita' delle informazioni contenute negli applicativi utilizzati a supporto (i) della trattazione degli esposti e (ii) dell'uso del relativo contenuto tramite strumenti di IA, sono state applicate tutte le misure necessarie per ridurre al minimo le probabilita' di eventi malevoli. Sono predisposte e riviste policy interne sulla protezione dei dati, misure per la continuita' operativa e per la gestione degli incidenti di sicurezza. A titolo esemplificativo, l'accesso alle informazioni e' consentito solo ai dipendenti abilitati e addetti all'attivita' di gestione degli esposti e all'uso delle informazioni in essi contenute tramite strumenti di IA; i log degli addetti e degli amministratori della sicurezza che accedono alle informazioni sono raccolti e conservati in modo da preservarne l'integrita' e la consistenza; sono pianificati aggiornamenti e backup periodici dei dati e procedure di ripristino a tutela dell'integrita' delle informazioni; vengono adottate tutte le necessarie misure di protezione degli hardware, delle reti e delle apparecchiature da minacce ambientali, accessi non autorizzati o intercettazioni; per gli apparati mobili (laptop) e' prevista la crittografia del disco; gli addetti a gestire gli esposti vengono periodicamente formati, sensibilizzati e aggiornati sulle corrette modalita' operative nell'utilizzo degli applicativi; sono eseguite verifiche periodiche (almeno annuali) dei privilegi di accesso degli utenti e dei relativi gruppi autorizzativi. Con riferimento specifico (ii) all'uso del contenuto degli esposti tramite strumenti di IA, per processare il testo dei documenti, vengono applicate tecniche di ML, ricorrendo ad algoritmi in grado di apprendere le logiche di analisi e di ricerca da un insieme di dati (c.d. training dataset) che, in un processo continuo di riaddestramento, vengono periodicamente monitorati e aggiornati. Per presidiare la qualita' dei risultati delle analisi effettuate tramite strumenti di IA e monitorare l'obsolescenza delle relazioni apprese dai modelli di ML, il processo di riaddestramento - che presenta caratteristiche multidisciplinari - viene effettuato con il coinvolgimento di componenti di esperti appartenenti all'area di gestione degli esposti e al profilo tecnico (data scientist), in grado di guidare il processo di definizione, aggiornamento e validazione dei modelli di ML. L'algoritmo viene, infatti, periodicamente riaddestrato non appena si ritiene che il set di informazioni o l'interpretazione ad essi associata stia per rendere «obsolete» le relazioni apprese dal modello, a causa di fattori di variazione, anche esogeni, che possono impattare sui risultati delle analisi. L'applicazione del ML inoltre si avvale di tecniche in grado di fornire una rappresentazione del funzionamento interno dell'algoritmo, finalizzata alla spiegabilita' dei risultati prodotti. E' prevista la conservazione della documentazione che da' conto del continuo perfezionamento dell'algoritmo al solo fine di «versioning» del modello e di monitoraggio dello sviluppo nel corso del tempo. I risultati dei modelli di ML si attestano su elementi di interesse per l'attivita' di vigilanza che non attengono direttamente alle persone fisiche coinvolte, le quali quindi non subiscono alcuna forma di decisione automatica, ne' di profilazione o predizione dei comportamenti. L'accesso a tali applicativi e' consentito ai soli addetti deputati al trattamento degli esposti e puo' avvenire solamente con l'utilizzo di account e password dotate di determinati criteri (blocco dopo un certo numero di tentativi falliti, qualita' delle password in termini di lunghezza e scadenza). i) Modalita' di informativa agli interessati ed esercizio dei diritti connessi Le informazioni concernenti i trattamenti di dati personali effettuati nella trattazione degli esposti e nell'uso delle informazioni in essi contenute tramite strumenti di IA, sono fornite attraverso la pubblicazione del presente Regolamento e dell'informativa generale sulla protezione dei dati personali sul sito internet della Banca d'Italia - al percorso «Servizi al cittadino - presenta un esposto», nella sezione «Informativa privacy». L'informativa fa espressa menzione dell'uso di strumenti di IA a supporto dell'attivita' di analisi degli esposti, facendo altresi' presente che i dati e le elaborazioni non vengono trasmessi ad alcun destinatario esterno alla Banca e che l'uso di tali tecniche e' finalizzato a ricavare elementi utili riguardanti fenomeni di interesse generale per l'attivita' di vigilanza della Banca d'Italia e non comporta alcun processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione. In sede di presentazione dell'esposto, qualora l'esponente decida di utilizzare il canale Servizi online per il cittadino presente sul sito internet della Banca d'Italia, dovra' dichiarare mediante apposito flag di aver preso visione dell'informativa generale sulla protezione dei dati personali e del presente regolamento. Inoltre, in sede di interpello dell'intermediario coinvolto nell'esposto e in ogni riscontro che la Banca d'Italia fornisce agli esponenti - ivi compresi coloro che utilizzano canali ordinari per la presentazione dell'esposto - per informarli della trasmissione dell'esposto all'intermediario coinvolto, all'Autorita' giudiziaria, ad altre Pubbliche amministrazioni o ad altre Autorita', viene fatto espresso riferimento alla policy della Banca d'Italia in materia di protezione dei dati personali e fornito il testo dell'informativa privacy o il link per l'accesso diretto all'informativa stessa e al presente regolamento. L'informativa contiene il riferimento anche al trattamento dei dati di persone terze coinvolte a vario titolo nell'esposto tramite i sistemi di IA. Gli interessati possono esercitare i diritti di cui agli articoli da 15 a 22 del regolamento (UE) 2016/679, fatto salvo il caso in cui ricorrano i presupposti di cui all'art. 2-undecies del decreto legislativo 196/2003, chiedendo l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda (rivolgendosi al titolare del trattamento dei dati o al responsabile della protezione dei dati per la Banca d'Italia). Restano fermi i limiti temporali di conservazione dei dati personali previsti dal paragrafo b) del presente regolamento. L'interessato, qualora ritenga che il trattamento che lo riguarda sia effettuato in violazione di legge, puo' proporre reclamo al garante della protezione dei dati personali nei termini previsti dalla normativa vigente. Il presente regolamento e' pubblicato altresi' nella Gazzetta Ufficiale della Repubblica italiana. Roma, 22 marzo 2022
Il Governatore: Visco Delibera 112/2022
(1) La presentazione di un esposto non avvia un procedimento amministrativo disciplinato dalla legge 7 agosto 1990, n. 241. |
|
|
|