Il Garante della privacy esprime favorevole al Disegno di legge sull’AI proposto dal Governo. Nella riunione del 2 agosto, alla quale hanno preso parte il presidente Pasquale Stanzione, Ginevra Cerrina Feroni, vice presidente, Agostino Ghiglia e Guido Scorza, componenti e Fabio Mattei, segretario generale, vista la richiesta di parere della Presidenza del Consiglio dei Ministri, il Garante ha dato il suo placet al disegno di legge, ai sensi dell’articolo 36, paragrafo 4, del Regolamento, con una serie di condizioni.
Il Garante della privacy approva il ddl sull’AI ma pone condizioni
Ecco le condizioni poste dal Garante al governo:
a) introdurre al Capo I un articolo specifico e ad applicazione trasversale – sopprimendo, di riflesso, i commi 2 e 3 dell’articolo 4 – recante un vincolo generale di conformità dei trattamenti alla disciplina in materia di protezione dei dati personali, in questi o analoghi termini: “Il trattamento dei dati personali correlato a sistemi di intelligenza artificiale è effettuato nel rispetto di quanto previsto dal Regolamento (Ue) 2016/679, dal codice in materia di protezione dei dati personali di cui al d.lgs. 30 giugno 20023, n.196 e successive modificazioni e dal d.lgs. 18 maggio 2018, n. 51 e successive modificazioni”;
b) inserire, all’articolo 3, c. 1, il riferimento alla protezione dei dati personali nel più corretto ambito dei diritti fondamentali di cui si impone il rispetto e non, invece, tra i “principi” di cui si esige l’osservanza;
c) modificare l’articolo 4, c. 4, sostituendo il riferimento ai quattordici anni con quello all’età prevista dall’articolo 2-quinquies del Codice e integrandolo con il riferimento a misure idonee a garantire sistemi adeguati di verifica dell’età del minore, quali quelle adottate ai sensi dell’articolo 13-bis, c.3, d.l. 123 del 2023, convertito, con modificazioni, dalla legge n. 159 del 2023.;
d) integrare l’articolo 7 richiamando, nell’ambito del settore sanitario, i requisiti previsti dall’articolo 10 dell’AI Act per i sistemi di i.a. considerati ad alto rischio, con specifico riferimento al trattamento dei dati particolari di cui all’articolo 9 del Regolamento, in particolare prevedendo che sia preferito l’uso di dati sintetici o anonimi e siano indicate particolari limitazioni per l’utilizzo di dati sanitari (divieto di trasmissione, trasferimento o comunicazione), nonché la limitazione della conservazione;
e) integrare e modificare l’articolo 8, provvedendo a:
conformare il comma 1 ai requisiti di determinatezza di cui agli articoli 6, p. 3, lett. b), 9, par. 2, lett. g) del Regolamento e 2-sexies del Codice;
prevedere, con riferimento all’uso secondario dei dati, le garanzie di cui all’articolo 89 del Regolamento;
sostituire la locuzione “dati privi di elementi identificativi diretti” con quella di “dati pseudonimizzati”
sopprimere, al comma 2, il riferimento alla possibilità di assolvere l’obbligo di informativa in forma generale;
integrare il comma 3, con una clausola di salvaguardia rispetto ai poteri di cui alla Sezione II del Capo VI del Regolamento;
f) integrare l’articolo 9:
inserendo i medesimi requisiti già indicati rispetto all’articolo 7;
prevedendo il parere del Garante sui decreti attuativi di cui al comma 1, primo periodo, dell’articolo 12-bis del decreto-legge 18 ottobre 2012, n. 179;
prevedendo, al comma 4, che la definizione integrativa degli elementi costitutivi del trattamento venga demandata a una norma di natura regolamentare o, in subordine, a un decreto ministeriale anche non regolamentare;
rivalutando l’attribuzione della titolarità dei trattamenti effettuati attraverso la piattaforma, tenendo conto dei poteri decisori ravvisabili in capo al Dicastero, cui il trattamento è complessivamente imputabile;
g) integrare l’articolo 10:
richiamando le garanzie previste dagli articoli 22, par. 3, e 88 del Regolamento, nonché 113 e 114 del Codice, per il trattamento dei dati personali funzionale ai sistemi di i.a. utilizzati nel contesto lavorativo;
al comma 2, sostituendo le parole: “nei casi e con le modalità di cui all’articolo” con le seguenti: “fermo restando quanto previsto dall’articolo”;
introducendo un comma ulteriore del seguente tenore: “Le disposizioni del presente articolo si applicano, ove compatibili, anche ai trattamenti effettuati in fase preassuntiva”;
h) inserire, all’articolo 17, c.1, dopo le parole: “in chiave duale”, le seguenti: “e il Garante per la protezione dei dati personali per gli aspetti di competenza”;
i) modificare l’articolo 18:
inserendo, al secondo periodo del comma 2, dopo le parole: “due Agenzie”, le seguenti: “da un membro del Collegio del Garante per la protezione dei dati personali”;
prevedendo, in fine, che AgID e ACN trasmettano al Garante gli atti dei procedimenti in relazione ai quali emergano profili suscettibili di rilevare in termini di protezione dati, richiedendo altresì il parere dell’Autorità rispetto a fattispecie, al loro esame, che coinvolgano aspetti di protezione dei dati, mentre il Garante trasmetterà, per parte sua, elementi informativi in ordine a profili di competenza di AgID o ACN suscettibili di emergere nella trattazione di propri procedimenti;
estendendo più esplicitamente la clausola di salvaguardia delle funzioni del Garante anche alle norme del disegno di legge che abbiano implicazioni in termini di protezione dei dati personali;
j) integrare l’articolo 22, c. 2, con la previsione di criteri direttivi specifici relativi:
a. alla disciplina dell’autorizzazione di sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico per finalità di polizia, indicando l’autorità competente all’effettuazione di tale vaglio autorizzativo ai sensi dell’articolo 5, p. 3, dell’AI Act;
b. alla designazione del Garante quale autorità competente ai fini di cui all’articolo 74, par. 8, dell’AI Act, con la relativa disciplina delle procedure di coordinamento con le Autorità designate ai sensi dell’articolo 18 del disegno di legge;
c. all’adeguato coinvolgimento del Garante nella realizzazione degli spazi di sperimentazione normativa.
β) e l’osservazione, relativa all’opportunità di designare il Garante tra le autorità competenti alla tutela dei diritti fondamentali ai sensi e per gli effetti di cui all’articolo 77, pp.1 e 2 dell’AI Act.
I rilievi del Garante sul Ddl
Analizzando nel dettaglio le norme di maggiore rilievo per l’Autorità, si rileva anzitutto come l’articolo 1 intenda promuovere un utilizzo “corretto, trasparente e responsabile, in una dimensione antropocentrica”, dell’i.a., garantendone la vigilanza rispetto ai rischi economici e sociali e all’impatto sui diritti fondamentali.
L’articolo 2 contiene le definizioni necessarie all’applicazione delle disposizioni introdotte, tra le quali quelle di “sistema di intelligenza artificiale” e di “dato”. Quest’ultima, in particolare, riproduce il contenuto dell’articolo 2, par. 1, lett. a) del Regolamento (UE) 2023/2854, che forse si potrebbe richiamare con rinvio mobile, per evitare disallineamenti in caso di future modifiche normative.
L’articolo 3 individua nel rispetto dei diritti fondamentali e delle libertà costituzionali, del diritto dell’Unione Europea, dei principi di trasparenza, proporzionalità, sicurezza, protezione dei dati personali, riservatezza, accuratezza, non discriminazione, parità dei sessi e sostenibilità i vincoli di conformità dell’utilizzo dei sistemi di i.a.
Si introduce, inoltre, un obbligo (non specificamente sanzionato) di vigilanza sulla correttezza, attendibilità, sicurezza, qualità, appropriatezza e trasparenza dei dati e dei processi mediante i quali sviluppare i sistemi di i.a. di cui si impone l’applicazione nel rispetto dell’autonomia e del potere decisionale dell’uomo, della prevenzione del danno, della conoscibilità e della spiegabilità. Si vieta, peraltro, l’utilizzo di sistemi di i.a. in modo tale da pregiudicare lo svolgimento, con metodo democratico, della vita istituzionale e politica.
Quale “precondizione essenziale” del rispetto dei vincoli su enunciati, si individua la cybersicurezza e si garantisce alle persone con disabilità il pieno accesso ai sistemi di i.a.
L’articolo 4, recante i “Principi in materia di informazione e di riservatezza dei dati personali”, impone il rispetto dei principi di liceità, correttezza, trasparenza e compatibilità del fine nello svolgimento dei trattamenti di dati personali funzionali all’utilizzo dell’i.a., con vincolo di conformità al diritto unionale.
Il comma 3 enuncia i requisiti di chiarezza espositiva che devono caratterizzare le comunicazioni da rendere agli interessati in ordine al trattamento dei loro dati personali.
Il comma 4 − in analogia con l’articolo 2-quinquies del Codice − legittima i minori ultraquattordicenni alla prestazione autonoma del consenso al trattamento dei dati personali connessi all’utilizzo di sistemi di i.a., enunciando un vincolo di comprensibilità e facile accessibilità delle comunicazioni funzionali all’espressione del consenso.
L’articolo 5 demanda allo Stato e alle “altre autorità pubbliche” il compito, tra gli altri, di promuovere l’utilizzo dell’intelligenza artificiale come strumento per migliorare l’interazione uomo-macchina nei settori produttivi al fine di accrescere la competitività del sistema economico nazionale; facilitare la disponibilità e l’accesso a dati di alta qualità per imprese che sviluppano o utilizzano sistemi di intelligenza artificiale e per la comunità scientifica e dell’innovazione; fornire indicazioni alle piattaforme di e-procurement delle pubbliche amministrazioni sulla scelta − tra i fornitori di sistemi e modelli di intelligenza artificiale − delle soluzioni in grado di garantire la localizzazione e l’elaborazione dei dati critici presso data center posti sul territorio nazionale, oltre che elevati standard in termini di trasparenza e sicurezza.
L’articolo 6 sottrae, dall’ambito applicativo della legge, le attività svolte, con l’utilizzo dell’i.a. a fini di sicurezza nazionale, dagli Organismi di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124 e dall’Agenzia per la cybersicurezza nazionale. Di contro, la norma ribadisce l’applicabilità del regime normativo speciale previsto dall’articolo 58 del Codice (cui, per l’Agenzia, rinvia l’articolo 13 del decreto legge 14 giugno 2021, n. 82) ai trattamenti correlati a tali utilizzi, ivi inclusa l’attuazione con fonte regolamentare.
L’articolo 7 individua gli scopi, i diritti (in particolare d’informazione), le condizioni e i limiti connessi all’impiego, nel settore sanitario, dei sistemi di intelligenza artificiale, con particolare riguardo al divieto di selezione e condizionamento dell’accesso alle prestazioni sanitarie con criteri discriminatori, alla riserva alla professione medica del momento decisionale del processo diagnostico e terapeutico, nel cui ambito l’i.a. svolge una funzione meramente ausiliaria, nonché ai requisiti di affidabilità, verificabilità e aggiornamento dei dati e dei sistemi a tal fine utilizzati.
L’articolo 8 disciplina (dichiarandone il rilevante interesse pubblico) i trattamenti di dati, anche personali, effettuati per la ricerca e la sperimentazione scientifica nella realizzazione di sistemi di i.a. in ambito sanitario, con legittimazione ex lege dell’uso secondario di dati personali, anche appartenenti alle categorie particolari di cui all’articolo 9 del Regolamento, privi di elementi identificativi diretti, previa informativa agli interessati, nonché comunicazione al Garante cui non segua, nei trenta giorni successivi, il blocco.
L’articolo 9, novellando il decreto legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, demanda a uno o più decreti ministeriali la disciplina delle soluzioni di intelligenza artificiale aventi funzione di supporto alle finalità di diagnosi, cura e riabilitazione, prevenzione, profilassi internazionale, studio e ricerca scientifica in campo medico, biomedico ed epidemiologico, programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria (c. 1).
Limitatamente alle finalità di cura, si dispone inoltre l’istituzione di una piattaforma di intelligenza artificiale gestita dall’Agenzia nazionale per i servizi sanitari regionali (AGENAS) e alimentata con i dati strettamente necessari all’erogazione dei servizi previsti. Si demanda, inoltre, all’AGENAS la definizione, con proprio provvedimento – sul quale sarà acquisito il parere del Garante – dei tipi di dati trattati e delle operazioni eseguite all’interno della piattaforma, nonché delle misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio.
L’articolo 10 definisce scopi, requisiti e ambito di applicazione della disciplina dell’intelligenza artificiale nel settore lavoristico, con, in particolare, divieto di discriminazioni in ragione di specifiche condizioni soggettive e di violazione della “riservatezza dei dati personali”.
Gli articoli 12 e 13 disciplinano il ricorso ai sistemi di intelligenza artificiale nell’ambito delle professioni intellettuali e della pubblica amministrazione, individuandone scopi, imiti e garanzie, tra le quali la riserva del potere decisionale alla persona.
L’articolo 14 disciplina il ricorso all’intelligenza artificiale nel settore giudiziario, con riserva peraltro al magistrato della decisione sull’interpretazione normativa, sulla valutazione probatoria e fattuale, nonché sull’adozione dei provvedimenti.
L’articolo 17 demanda la predisposizione e l’aggiornamento della strategia nazionale per l’i.a. alla struttura della Presidenza del Consiglio dei Ministri competente per l’innovazione tecnologica e la transizione digitale, d’intesa peraltro con le Autorità nazionali per l’intelligenza artificiale. Esse sono individuate, all’articolo 18, nell’Agenzia per l’Italia digitale e nell’Agenzia per la cybersicurezza nazionale, per le attività connesse alla promozione dell’innovazione e dello sviluppo dell’i.a., alla notifica, valutazione, accreditamento e monitoraggio dei soggetti incaricati di verificare la conformità dei sistemi di i.a. e, rispettivamente, alla vigilanza sui sistemi di i.a. Le due Autorità istituiscono, peraltro, spazi di sperimentazione per la realizzazione di sistemi di i.a. che, se suscettibili di impiego in chiave duale, necessitano del parere del Ministero della difesa.
Il coordinamento delle Autorità nazionali per l’i.a. con gli altri soggetti pubblici (ivi comprese le autorità indipendenti), è affidato a un apposito Comitato (c. 2).
L’articolo 22 conferisce al Governo una delega legislativa (da esercitarsi con il parere del Garante) per l’adeguamento della normativa interna all’AI Act ivi inclusa, peraltro, la designazione (in coerenza con quanto disposto per la strategia nazionale) delle autorità competenti. Un’ulteriore delega legislativa concerne la disciplina organica, con la previsione di fattispecie incriminatrici e circostanze aggravanti speciali, degli usi illeciti dell’i.a.
Il parere del Garante
Il disegno di legge reca norme rilevanti sullo sviluppo dell’i.a., volte a indirizzarne l’applicazione in una direzione antropocentrica, compatibile con i diritti fondamentali e il principio di non discriminazione (cfr. artt. 1, c. 1 e 3, c. 1).
L’intento sotteso al provvedimento è, dunque, certamente condivisibile, pur dovendo il legislatore valutare – proprio per la natura “programmatica” di molte sue norme – la possibile sovrapposizione con alcune disposizioni dell’AI Act.
Per quanto riguarda la protezione dei dati, molte norme hanno un impatto significativo sulla materia ed esigono, pertanto, un migliore coordinamento sistematico con la disciplina di riferimento, nei termini di seguito esposti.
Proprio per questo, al Capo I del disegno di legge sarebbe opportuno introdurre (conseguentemente sopprimendo i commi 2 e 3 dell’articolo 4) un articolo specifico e ad applicazione trasversale, recante un vincolo generale di conformità dei trattamenti di dati personali funzionali a sistemi di i.a. alla disciplina rilevante in materia, in questi o analoghi termini: “Il trattamento dei dati personali correlato a sistemi di intelligenza artificiale è effettuato nel rispetto di quanto previsto dal Regolamento (Ue) 2016/679, dal d.lgs. 30 giugno 20023, n.196 e successive modificazioni e dal d.lgs. 18 maggio 2018, n. 51 e successive modificazioni”.
Conseguentemente, tale norma assorbirebbe i singoli riferimenti alle disposizioni rilevanti in termini di protezione dei dati personali, ad eccezione di eventuali istituti richiamati espressamente per realizzare un rinvio mobile, come più avanti si suggerirà.
Con l’integrazione proposta all’articolo 18, comma 3, sarà poi espressamente salvaguardata la competenza del Garante anche rispetto alle norme, del disegno di legge stesso, suscettibili di avere implicazioni in termini di protezione dei dati.
Rispetto all’articolo 3, c. 1, il riferimento alla protezione dei dati personali andrebbe più correttamente inserito nell’ambito dei diritti fondamentali (art. 8 CDFUE) di cui si impone il rispetto e non, invece, tra i “principi” di cui si esige l’osservanza.
Le osservazioni del Garante della privacy
In ordine alla legittimazione del minore, l’articolo 4, c. 4, merita di essere perfezionato, anzitutto facendo riferimento non già alla soglia di età attualmente prevista– oggetto peraltro di progetti di legge tesi a modificarla – quanto alla disposizione di cui all’articolo 2-quinquies del Codice. Con questo rinvio mobile, si potrebbe infatti garantire il pieno allineamento del disegno di legge alla disciplina di protezione dei dati, evitando difformità in caso di variazioni di quest’ultima.,
Inoltre, il comma andrebbe integrato con riferimento a misure idonee a garantire sistemi adeguati di verifica dell’età, per evitare l’altrimenti agevole elusione della prevista soglia anagrafica per la prestazione del consenso. Si potrebbero quindi richiamare, in tal senso, le misure adottate ai sensi dell’articolo 13-bis, c.3, d.l. 123 del 2023, convertito, con modificazioni, dalla legge n. 159 del 2023.
Per quanto concerne il settore sanitario, l’articolo 7, nel delineare condizioni, limiti e garanzie per l’utilizzo dei sistemi di i.a., dovrebbe essere integrato quantomeno con il richiamo ai requisiti ben più stringenti che l’articolo 10 dell’AI Act esige per il trattamento di dati personali, segnatamente appartenenti alle categorie particolari di cui all’articolo 9 del Regolamento, per sistemi, quali quelli in esame, considerati ad alto rischio (AI Act, all. III).
Si tratta di garanzie essenziali − quali, ad esempio, la preferenza circa l’uso dei dati sintetici o anonimi, particolari limitazioni per l’utilizzo di dati sanitari (divieto di trasmissione, trasferimento o comunicazione), nonché la limitazione della conservazione – non assorbite dalle previsioni, pur condivisibili ma non esaustive, di cui all’articolo 7. Una previsione di ordine generale e programmatico quale, appunto, quella dell’articolo 7, andrà peraltro coordinata con quanto previsto dal Regolamento sullo Spazio europeo dei dati sanitari, approvato il 24 aprile scorso.
Parallelamente, l’articolo 8 dovrebbe essere compiutamente integrato e, in alcune parti, modificato, per poter rappresentare un valido presupposto di legittimazione del trattamento di dati personali a fini di ricerca nella realizzazione dei sistemi di i.a.
In questo senso, il comma 1 andrebbe conformato ai requisiti di determinatezza previsti dagli articoli 6, par. 3, lett. b) e 9, par. 2, lett. g) del Regolamento, nonché 2-sexies del Codice.
Inoltre, l’uso secondario dei dati (sempre nei limiti della presunzione di non incompatibilità del fine di cui all’articolo 5, par. 1, lett. b) del Regolamento) esige la previsione delle garanzie sancite dall’articolo 89 del Regolamento medesimo per il trattamento funzionale, tra gli altri, a scopi di ricerca. Esse non sono, infatti, assorbite dal solo riferimento, al comma 2, al ricorso a dati privi di elementi identificativi diretti (che, peraltro, è opportuno sostituire con riferimento al concetto di “dati pseudonimizzati”, in analogia con il comma 1-bis dell’articolo 2-sexies del Codice, come modificato dal decreto legge 2 marzo 2024, n. 19, convertito, con modificazioni, dalla legge 29 aprile 2024, n. 56).
Al comma 2 è peraltro necessario sopprimere il riferimento alla possibilità di assolvere l’obbligo di informativa in forma generale, con pubblicazione sul sito web del titolare, non compatibile con tale ipotesi di uso secondario dei dati.
Al comma 3, la previsione della previa comunicazione al Garante del trattamento, con meccanismo di silenzio-assenso, esige una precisazione volta a chiarire che, anche una volta iniziato il trattamento per decorso del termine di trenta giorni in assenza di misure inibitorie, restano tuttavia fermi i poteri, segnatamente di controllo (ed eventualmente sanzionatori) del Garante. E’, in altri termini, opportuno chiarire che il decorso del termine non consuma i poteri tipici dell’Autorità, in particolare volti all’accertamento di eventuali illeciti.
L’articolo 9 esige, certamente, il riferimento ai requisiti già indicati, rispetto all’articolo 7, dall’articolo 10 dell’AI Act e la previsione del parere del Garante sui decreti attuativi di cui al comma 1, primo periodo, del novellato articolo 12-bis del decreto-legge 18 ottobre 2012, n. 179, in ragione dell’incidenza di tali atti sulla protezione dei dati. Parimenti rilevante è il contenuto del provvedimento di AGENAS cui il comma 4 demanda la definizione integrativa degli elementi costitutivi del trattamento. Per tale ragione, è necessario che la fonte abilitata all’integrazione della norma sia di rango regolamentare o, in subordine, un decreto ministeriale anche non regolamentare.
Inoltre, suscita perplessità l’attribuzione della titolarità dei trattamenti effettuati attraverso la piattaforma a un ente strumentale quale AGENAS anziché al Dicastero cui il trattamento è complessivamente imputabile e che dispone dei correlati poteri provvedimentali e, lato sensu, decisori.
L’articolo 10 merita alcune integrazioni volte a introdurre le necessarie garanzie per il ricorso all’i.a. in un settore, quale quello lavoristico, in cui particolarmente rilevanti sono le esigenze di tutela e non discriminazione. In tal senso, è necessario richiamare le garanzie previste, dagli articoli 22, par. 3 e 88 del Regolamento, 113 e 114 del Codice, per il trattamento di dati personali funzionale ai sistemi di i.a. utilizzati in tale contesto.
Ancora, il richiamo all’articolo 1-bis del decreto legislativo 26 maggio 1997, n. 152 e s.m.i. deve essere concepito come non esaustivo, dal momento che si riferisce ai soli trattamenti interamente automatizzati.
Inoltre, l’articolo 10 appare in certa misura parziale, riferendosi alla sola fase successiva all’instaurazione del rapporto di lavoro, laddove i sistemi di i.a. sono spesso utilizzati in fase preassuntiva, a fini di selezione del personale, cui pertanto le garanzie introdotte vanno estese. Si dovrebbe, pertanto, introdurre un comma ulteriore, dal tenore seguente: “Le disposizioni del presente articolo si applicano, ove compatibili, anche ai trattamenti effettuati in fase preassuntiva”.
L’articolo 17 è, peraltro, opportuno sia integrato prevedendo il parere (anche) del Garante sulla Strategia nazionale per l’i.a. La previa consultazione dell’Autorità ai sensi dell’articolo 57, p.1, lett.c), del Regolamento può, infatti, contribuire a evitare che le misure e politiche delineate contrastino con la disciplina di protezione dei dati, garantendone la complessiva coerenza con il quadro normativo di riferimento.
L’articolo 18 dovrebbe essere perfezionato chiarendo – per esigenze di conformità al quadro normativo unionale – il ruolo del Garante quale autorità indipendente, ai sensi degli artt. 8 CDFUE e 16 TFUE, per la protezione dei dati personali: diritto, appunto fondamentale, le cui istanze di tutela si sovrappongono pressoché costantemente con l’applicazione dei sistemi di i.a.
Anche al fine di evitare antinomie o dubbi in sede applicativa, è opportuno perfezionare il comma 3 dell’articolo 18, estendendo più esplicitamente la clausola di salvaguardia delle funzioni del Garante anche alle norme del disegno di legge che abbiano implicazioni in termini di protezione dei dati.
Per tale ragione, è anche opportuno prevedere la partecipazione del Garante al Comitato di coordinamento di cui all’articolo 18, c.2, secondo periodo, per realizzare pienamente quella leale cooperazione tra autorità competenti prevista dall’AI Act. Declinando in maniera più articolata le implicazioni di tale cooperazione, è inoltre opportuno integrare l’articolo prevedendo, in fine, che AgID e ACN trasmettano al Garante gli atti dei procedimenti in relazione ai quali emergano profili suscettibili di rilevare in termini di protezione dati, richiedendo altresì il parere dell’Autorità rispetto a fattispecie, al loro esame, che coinvolgano aspetti di protezione dei dati. Il Garante trasmetterà, per parte sua, elementi informativi in ordine a profili di competenza di AgID o ACN suscettibili di emergere nella trattazione di propri procedimenti.
