Il regolamento della Banca d’Italia sulla gestione degli esposti: un’intelligente applicazione del GDPR

Bankitalia risolve il problema dell’enorme flusso di materiale cartaceo relativo agli esposti nei confronti degli intermediari bancari utilizzando come “setaccio” un algoritmo generato dall’intelligenza artificiale “addestrandola” adeguatamente in modo da soddisfare pienamente il Garante Privacy e quindi il GDPR.

Il Regolamento concernente il trattamento dei dati personali effettuato dalla Banca d’Italia nell’ambito della gestione degli esposti riguardanti la trasparenza delle condizioni contrattuali, la correttezza dei rapporti tra intermediari e clienti e i diritti e gli obblighi delle parti nella prestazione dei servizi di pagamento (più semplicemente, Regolamento esposti), reso con provvedimento del 22 marzo 2022 (delibera 112/2022) a firma del Governatore Ignazio Visco, è stato oggetto di interscambio informativo con il Garante Privacy, che ha poi fornito parere pienamente positivo (Parere alla Banca d’Italia sullo schema di regolamento concernente il trattamento dei dati personali effettuato nell’ambito della gestione degli esposti - 24 febbraio 2022 [9751895]).

I tre step di un esposto

La criticità da cui parte l’istituto di controllo (che, mutatis mutandis, è ben comune alla maggioranza delle amministrazioni e dei professionisti) è costituita dal far fronte alle ingenti quantità di esposti quotidianamente trasmessi alle diverse filiali dislocate sul territorio senza essere seppelliti dalle carte e senza, d’altro canto, lasciarsi sfuggire per disattenzione o stanchezza elementi essenziali, il tutto tenendo conto dei tempi contingentati di elaborazione delle pratiche.

Ogni esposto, infatti, attraversa tre diversi step: elaborazione (ovvero “raccolta, registrazione, organizza-zione, strutturazione, conservazione, adattamento, estrazione, consultazione, uso, raffronto, interconnessione, limitazione, cancellazione dell’esposto e dei dati ivi contenuti”), analisi (nel senso di “ricerca di precedenti esposti eventualmente presentati dall’esponente o di vicende analoghe che coinvolgono il medesimo intermediario vigilato o il medesimo fenomeno segnalato, effettuata anche con il ricorso a strumenti di IA e tecnologie correlate disponibili”) e infine determinazioni (ovvero “valutazione delle eventuali iniziative da intraprendere o archiviazione dell’esposto”).

Il primo passo può ben essere condotto con l’ausilio dell’IA: è infatti ben possibile programmare una mac-china con tecniche di riconoscimento ottico dei caratteri, detti anche optical character recognition o OCR, ovvero utilizzare un programma dedicato al rilevamento dei caratteri contenuti in un documento e al loro trasferimento in testo digitale leggibile dalla macchina. Il programma acquisisce a mezzo scanner un file che, a differenza di un classico file immagine, può essere editato, oggetto di ricerca intertestuale, piena-mente analizzato, archiviandone i contenuti come dati di testo.

Attraverso un motore di ricerca full text si è quindi in grado di accedere a tutti i documenti presentati e di ricercare tutte le informazioni presenti negli esposti riconducibili a un determinato servizio o prodotto finanziario. Il contraccolpo di questa velocizzazione (e automazione) del primo passaggio (ovvero, l’elaborazione) risulta evidente in ambito privacy: la dematerializzazione dei flussi documentali richiede una policy interna per la protezione dei dati personali di cui gli esposti sono pieni, nonché, ma questo secondo aspetto attiene più precisamente alla regolamentazione dell’IA, alla qualità dei dati alimentanti il sistema per evitare risultanze (output) fuorvianti.

Il concetto di stopword ai dati personali

La chiave di volta utilizzata dal Regolamento esposti e apprezzato dal Garante Privacy per eliminare la spinosità ora illustrata consiste nell’applicazione del concetto di stopword ai dati personali. Con il termine stopword ci si riferisce a parole contenute in un elenco (stop list) che sono filtrate (per l’appunto, fermate) nel corso del processo di elaborazione (acquisizione) di un testo per il motivo che sono parole che non aggiungono significato essenziale al testo. L’intuizione del Regolamento esposti sta nell’inserire nelle stop lists i dati anagrafici, che quindi vengono automaticamente scartati in fase di (pre) elaborazione.

Per dirla con il Garante Privacy, “i dati personali presenti nell'esposto rappresentano un elemento non utile al funzionamento dell'algoritmo, il quale viene addestrato per catalogare i dati anagrafici come "stopword", parole da scartare, che non devono cioè essere prese in considerazione dalle tecniche di IA per il raggruppamento degli esposti nei vari cluster” o gruppi omogenei di argomenti (riguardanti in particolare prodotti e servizi finanziari offerti alla clientela). Così i dati personali non vengono trattati e aggregati perché semplicemente eliminati alla fonte.

In questo modo si tutelano i diritti degli interessati ai sensi dell’art. 22 del GDPR (Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione), dell’art. 9 par. 2 lett. g) (Trattamento di categorie particolari di dati personali, nel senso di trattamento proporzionato alla finalità perseguita che prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato) nonché dell’art. 5 lettera c) (principio di minimizzazione dei dati).

I principi del GDPR di proporzionalità, necessità e limitazione

Un ulteriore aspetto di bontà del Regolamento esposti, cui quivi solo velocemente si accenna, sta nella ”chiara esclusione di alcuna forma di profilazione o predizione di comportamenti né delle persone fisiche mittenti/esponenti o dei terzi citati negli esposti, né delle persone fisiche che a vario titolo possono essere coinvolte nella vicenda”, avendo Palazzo Koch disposto appropriatamente che tutte le decisioni relative alla terza fase, quella sulle determinazioni, rientrano “nell’esercizio discrezionale delle funzioni di vigilanza e in nessun caso, dato il quadro normativo vigente, possono essere la risultante di procedure automatiche”.

Nelle intenzioni programmatiche della Banca d’Italia, quindi, nell’utilizzare l’IA e le tecnologie correlate si rispettano i principi del GDPR di proporzionalità, necessità e limitazione.

In conclusione, lo sforzo della Banca d’Italia di conciliare esigenze di velocizzazione e speditezza con l’ausilio dell’IA e le norme del GDPR con il rispetto per la riservatezza dei singoli soggetti va senza dubbio visto con favore. Così che siano sempre gli uomini a servirsi delle macchine, e mai il contrario.

Articolo di Domenico Battaglia - Avvocato, titolare di studio legale in Bolzano, D.P.O. dell’Ordine degli avvocati di Bolzano, Delegato provinciale di Federprivacy