IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, alla quale hanno preso parte il prof.
Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni,
vice presidente, l'avv. Guido Scorza e il dott. Agostino Ghiglia,
componenti e il cons. Fabio Mattei, segretario generale;
Visto il regolamento (UE) n. 2016/679, del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE
(regolamento generale sulla protezione dei dati, di seguito
regolamento);
Visto il Codice in materia di protezione dei dati personali,
recante disposizioni per l'adeguamento dell'ordinamento nazionale al
regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio,
del 27 aprile 2016, relativo alla protezione delle persone fisiche
con riguardo al trattamento dei dati personali, nonche' alla libera
circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto
legislativo n. 196 del 2003, come modificato dal decreto legislativo
10 agosto 2018, n. 101, di seguito codice);
Visto il decreto legislativo 18 maggio 2018, n. 51, recante
attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativa alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali da parte delle
autorita' competenti a fini di prevenzione, indagine, accertamento e
perseguimento di reati o esecuzione di sanzioni penali, nonche' alla
libera circolazione di tali dati e che abroga la decisione quadro
2008/977/GAI del Consiglio;
Visto l'art. 156, comma 3, del codice ai sensi del quale il Garante
definisce con propri regolamenti pubblicati nella Gazzetta Ufficiale
l'organizzazione e il funzionamento dell'ufficio anche ai fini dello
svolgimento dei compiti e dell'esercizio dei poteri di cui agli
articoli 154, 154-bis, 160, nonche' all'art. 57, par. 1, del
regolamento;
Visti i regolamenti del Garante nn. 1, 2, e 3/2000, approvati con
deliberazione n. 15 del 28 giugno 2000, pubblicata nella Gazzetta
Ufficiale della Repubblica italiana del 13 luglio 2000, n. 162 e le
successive modificazioni ed integrazioni;
Visto l'art. 8, commi 2 e 3, del citato regolamento n. 1/2000, che
articola l'Ufficio del Garante in unita' organizzative di primo e di
secondo livello e individua le unita' di primo livello nei
dipartimenti, nei servizi e, laddove costituite, nelle unita'
temporanee;
Visto l'art. 57, par. 1, lettera b), del regolamento che ha
attribuito alle autorita' nazionali di controllo il compito, tra gli
altri, di promuovere la consapevolezza e favorire la comprensione del
pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti
in relazione al trattamento dei dati personali, con particolare
attenzione alle attivita' destinate specificatamente ai minori;
Visto, altresi', l'art. 57, par. 1, lettera d), del regolamento, ai
sensi del quale le autorita' nazionali di controllo hanno il compito
di promuovere la consapevolezza dei titolari e dei responsabili del
trattamento riguardo agli obblighi imposti loro dal regolamento
medesimo;
Visto l'art. 8 della legge del 7 giugno 2000, n. 150, recante
«Disciplina delle attivita' di informazione e di comunicazione delle
pubbliche amministrazioni», che ha definito i criteri e le modalita'
di funzionamento dell'ufficio relazioni con il pubblico presso le
pubbliche amministrazioni;
Visto l'art. 11 del decreto legislativo 30 marzo 2001, n. 165,
recante «Norme generali sull'ordinamento del lavoro alle dipendenze
delle amministrazioni pubbliche», il quale prevede che le
amministrazioni pubbliche individuino, nell'ambito della propria
struttura, uffici per le relazioni con il pubblico, anche al fine di
garantire la piena attuazione della legge 7 agosto 1990, n. 241,
assegnando ad essi personale con idonea qualificazione ed elevata
capacita' di comunicazione con il pubblico;
Viste le deliberazioni di questa Autorita' n. 6 del 3 febbraio
2005; n. 5 del 17 febbraio 2014; n. 374 del 25 giugno 2015; n. 504
del 1° ottobre 2015 e n. 118 del 22 febbraio 2018, con le quali si e'
provveduto a disciplinare l'attivita' di comunicazione al pubblico da
parte di questa Autorita' nel corso del tempo;
Ritenuta la necessita' sulla base dell'esperienza sviluppata,
tenuto conto della rilevanza e della delicatezza del ruolo svolto
presso l'Autorita' dall'ufficio relazioni con il pubblico sia sotto
il profilo del numero di interpelli e quesiti di varia natura
provenienti da soggetti pubblici e privati e da cittadini che
quotidianamente vengono prospettati a tale struttura, sia sotto il
profilo della complessita' e delicatezza delle problematiche
affrontate e del ruolo di comunicazione istituzionale insito in tali
attivita', al fine di migliorare e qualificare ulteriormente il
servizio reso all'utenza, di potenziare l'ufficio relazioni con il
pubblico riconfigurandolo come unita' organizzativa di primo livello;
Ritenuta la necessita' di istituire, come unita' organizzativa di
primo livello, il servizio per le relazioni con il pubblico, al quale
vengono attribuite le seguenti competenze: curare, anche mediante un
servizio di ascolto telefonico o attraverso la posta elettronica,
l'informazione al pubblico sulle disposizioni in materia di diritto
alla protezione dei dati personali e sulle relative modalita' di
tutela (segnalazioni e reclami); risposte a quesiti, richieste di
informazioni e pareri da parte di cittadini, amministrazioni
pubbliche, associazioni o imprese, anche sulla base delle indicazioni
e della documentazione fornita da dipartimenti e servizi, pure
attraverso la predisposizione di note che richiamano provvedimenti
del Garante; riscontro a richieste di documentazione e materiale
informativo sulla protezione dei dati personali e sulle relative
modalita' di tutela;
Considerato, inoltre, che il regolamento contiene una serie di
disposizioni riguardanti il trattamento effettuato attraverso il
processo decisionale automatizzato, compresa la profilazione (v., in
particolare, articoli 13, 14, 22, 35 e 36);
Visto l'art. 57, par. 1, lettera i), del regolamento che ha
attribuito alle autorita' nazionali di controllo il compito, tra gli
altri, di sorvegliare gli sviluppi che presentano un interesse, se e
in quanto incidenti sulla protezione dei dati personali, in
particolare l'evoluzione delle tecnologie dell'informazione e della
comunicazione;
Considerato che, nell'ambito degli obiettivi programmatici e delle
linee di priorita' dell'Autorita' per l'anno 2021, e' stata
attribuita particolare rilevanza, tra l'altro, «alla trattazione
degli affari riguardanti l'impatto della digitalizzazione nel
trattamento dei dati personali, con particolare riferimento allo
sviluppo di sistemi di intelligenza artificiale» (v. all. A al
bilancio di previsione dell'esercizio finanziario del Garante per
l'anno 2021, adottato con delibera del 17 dicembre 2020) e che il
Documento programmatico 2021-2023 a sua volta prevede che il Garante
e' chiamato ad intervenire, tra i vari settori di particolare
delicatezza, in quello dell'intelligenza artificiale (v. all. B al
predetto bilancio di previsione);
Considerato che nell'ambito di applicazione del diritto dell'Unione
europea e, in via riflessa, anche nei suoi Stati membri,
l'intelligenza artificiale rappresenta un settore di intervento in
forte espansione, rientrando tra gli elementi cardine per la
digitalizzazione del mercato unico europeo (cfr. Comunicazione della
Commissione europea, L'intelligenza artificiale per l'Europa,
COM(2018) 237 final del 25 aprile 2018 e, da ultimo, la proposta di
regolamento sull'approccio europeo all'intelligenza artificiale,
COM(2021) 206 final, nonche' il piano coordinato sull'Intelligenza
artificiale 2021 [COM(2021) 205 final] del 21 aprile 2021);
Ritenuta la necessita', tenuto conto della rilevanza e dell'impatto
dell'intelligenza artificiale sul diritto alla protezione dei dati
personali, anche alla luce di interpelli e quesiti posti in materia a
questa Autorita', di istituire il Dipartimento intelligenza
artificiale come unita' organizzativa di primo livello, alla quale
vengono attribuite le seguenti competenze: per i profili di carattere
giuridico, monitorare i fondamenti e la metodologia di progettazione,
sviluppo e impiego di sistemi informatici basati su tecnologie di
intelligenza artificiale e di apprendimento automatico (c.d. machine
learning); seguire le iniziative, anche da parte di enti di ricerca,
e i tavoli di lavoro nazionali, europei e internazionali con riguardo
alle aree di interazioni tra intelligenza artificiale e diritto alla
protezione dei dati personali; fornire supporto all'attivita'
istruttoria, anche in occasione di accertamenti ispettivi, degli
affari di competenza delle altre Unita' organizzative svolta ai sensi
del regolamento, del codice e del decreto legislativo n. 51/2018;
collaborare all'esame delle proposte di legge o degli atti normativi
in materia aventi natura regolamentare basati su atti legislativi ai
sensi degli articoli 36, par. 4, ovvero 57, par. 1, lettera c), del
regolamento; supportare in materia le Unita' organizzative
interessate per le attivita' di cooperazione e coerenza previste dal
regolamento; fornire il medesimo supporto al Collegio;
Ritenuto, alla luce di quanto sopra illustrato, di dover apportare
all'art. 8, comma 5, primo periodo, del regolamento n. 1/2000, la
conseguente modifica, aggiungendo dopo le seguenti parole «e)
servizio del controllo di gestione», le parole «f) servizio per le
relazioni con il pubblico», e di dover altresi' apportare all'art. 8,
comma 5, quarto periodo, del regolamento n. 1/2000, la conseguente
modifica, aggiungendo dopo le seguenti parole «l) affari legali e di
giustizia», le parole «m) intelligenza artificiale», come riportato
nell'allegato A che costituisce parte integrante e sostanziale della
presente deliberazione;
Considerato che le rappresentanze sindacali del Garante sono state
informate in ordine alla istituzione del Dipartimento intelligenza
artificiale e del servizio per le relazioni con il pubblico nel corso
di incontri e di riunioni su temi di interesse sindacale;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Pasquale Stanzione;
Tutto cio' premesso il Garante:
ai sensi dell'art. 156, comma 3, del codice, delibera nei termini di
cui in motivazione di:
a) istituire il servizio per le relazioni con il pubblico e il
Dipartimento intelligenza artificiale come unita' organizzative di
primo livello;
b) modificare l'art. 8, comma 5, primo e quarto periodo, del
regolamento n. 1/2000, come riportato nell'allegato A che costituisce
parte integrante e sostanziale della presente deliberazione.
Le modifiche di cui al punto a) entrano in vigore il giorno
successivo a quello della sua pubblicazione nella Gazzetta Ufficiale
della Repubblica italiana.
Ai sensi dell'art. 154-bis, comma 3, del codice, dispone che copia
del presente provvedimento sia trasmessa al Ministero della
giustizia - ufficio pubblicazioni ai fini della pubblicazione nella
Gazzetta Ufficiale della Repubblica italiana.
Roma, 27 maggio 2021
Il Presidente e relatore: Stanzione
Il segretario generale: Mattei