IL DIBATTITO - Antonello Soro ha replicato all'articolo de ilfattoquotidiano.it scrivendo di essersi limitato "a valutare la compatibilità delle misure proposte con le garanzie di protezione dei dati". L'economista Alessandro Santoro, ex componente del comitato di gestione delle Entrate, ribadisce: "I criteri di profilazione sono l’esito e non il presupposto dell’analisi dei dati. Volerli sapere preventivamente contraddice il principio stesso". L'Agenzia sceglie "per il momento" di non commentare
“Il fatto di richiedere preliminarmente la conoscenza dei criteri di definizione delle liste è in contraddizione con il principio stesso di profilazione. I criteri di profilazione sono l’esito e non il presupposto dell’analisi dei dati”. Alessandro Santoro, docente di Scienze delle Finanze a Milano Bicocca ed ex membro del comitato di gestione dell’Agenzia delle Entrate, ribadisce le critiche ai paletti posti dal Garante della privacy rispetto alla profilazione dei contribuenti, attraverso l’utilizzo massivo dei dati dell’Anagrafe dei rapporti finanziari, per individuare quelli a rischio evasione. Tema cruciale visto che il governo sta mettendo a punto un grande piano che proprio attraverso la tracciabilità punta a portare alla luce almeno una parte dei 109 miliardi nascosti ogni anno al fisco. La partita è delicata e le Entrate – chiamate direttamente in causa nella replica inviata al fattoquotidiano.it dall’Authority per la protezione dei dati personali secondo cui “il carattere sperimentale della verifica fiscale è stato il frutto di un’autonoma decisione dell’Agenzia” – scelgono “per il momento di non commentare”.
Rispondendo all’articolo del fatto.it il presidente dell’authority Antonello Soro ha negato di aver “espresso veti”: ritiene di non aver “mai impedito la profilazione sulla base del rischio fiscale” e di essersi limitato “a valutare la compatibilità delle misure proposte con le garanzie di protezione dei dati – anche per evitare il rischio di accessi abusivi e attacchi informatici”. Santoro però ricorda che “in data 17 aprile 2012 il Garante (all’epoca alla presidenza c’era Francesco Pizzetti, ndr) ha affermato: “Si ritiene necessario che l’Agenzia sottoponga a questa Autorità ai fini di una verifica preliminare il provvedimento del Direttore dell’Agenzia delle entrate con il quale saranno definiti i criteri per l’elaborazione delle liste (di contribuenti a maggior rischio di evasione, ndr) al fine di individuare eventuali misure e accorgimenti idonei a garantire l’applicazione dei principi in materia di protezione dei dati personali”. E questa richiesta “è in contraddizione con il principio stesso di profilazione. I criteri di profilazione sono, infatti, l’esito e non il presupposto dell’analisi dei dati”.
“Per comprendere se un determinato individuo si comporta in modo anomalo“, spiega l’accademico che in passato ha partecipato alla commissione per la redazione della Relazione sull’economia non osservata e sull’evasione, “è necessario prima di tutto incrociare tutti i dati relativi al suo profilo personale e poi, dai dati stessi, ricavare il profilo di rischio. Se i dati rivelano delle correlazioni significative tra alcune caratteristiche personali (ad esempio il settore, la condizione familiare, l’area geografica di residenza o quant’altro) e i comportamenti a rischio (ad esempio uno scostamento significativo tra le giacenze medie sul conto e i dati della dichiarazione), allora quelle caratteristiche personali diventano un criterio di rischio”.
Non a caso, aggiunge Santoro, “se una banca deve capire qual è il grado di rischio che presenta la concessione di un prestito ad un determinato soggetto, vedrà quanto le caratteristiche personali di quel soggetto e del prestito che lui ha richiesto coincidono con le variabili che, in passato, sono risultate correlate alla mancata restituzione del prestito. E’ questa la logica del data mining e del machine learning che sono ormai suggeriti da tutte le best practice internazionali anche per il rischio fiscale (si veda, da ultimo, il rapporto Tax Administration 2019 dell’Oecd, in particolare il capitolo dedicato al Compliance risk management).
E’ per questo che, ragiona il docente, “nel momento stesso in cui il Garante ha richiesto la conoscenza preliminare dei criteri di rischio per autorizzare l’uso dei dati ha di fatto impedito la profilazione individuale del rischio fiscale attuata tramite le tecniche più avanzate di analisi dei dati. Ne è seguita la necessità di lavorare al contrario, cercando di trovare a priori i criteri di rischio e quindi applicandoli alla popolazione. Un’operazione ad alto rischio di errore e che ovviamente si poteva fare solo con una sperimentazione. Il rischio di errore, tuttavia, non è affatto eliminato perché la sperimentazione avviene, per definizione, su pochi casi, mentre le tecniche di data mining sono particolarmente efficaci quando vengono applicate alle popolazioni nella loro interezza, non a sottinsiemi di dati. Infine, mi preme sottolineare che io nulla ho dichiarato riguardo agli interventi del Garante sul redditometro, strumento che non ho mai ritenuto efficiente”.