Aggiornato al febbraio 2022

 

1. Premessa

Nel periodo di riferimento considerato (ottobre 2021 – febbraio 2022) non si segnalano provvedimenti di carattere generale del Garante per la protezione dei dati personali

Il Garante è intervenuto con provvedimenti collegiali a carattere particolare rivolti a soggetti determinati (a seguito di reclami, richieste di consultazione preventiva, richieste di pareri, etc.).

Benché questa rubrica sia dedicata all'approfondimento delle principali novità emerse sul piano degli atti normativi, si ritiene di dover dar conto del parere[1] del Garante sullo schema di decreto del Ministero dell’Economia e delle Finanze che individua le categorie e le finalità dei trattamenti di dati, connessi alla lotta all’evasione fiscale, per i quali viene limitato l’esercizio dei diritti dei contribuenti.

Con tale parere il Garante ha chiesto di integrare lo schema di decreto mediante la previsione di specifiche garanzie per il differimento del diritto di accesso dei contribuenti che, all’esito degli accertamenti, saranno risultati in regola.

Questo parere, pur rimanendo estraneo al sistema delle fonti del diritto, può ritenersi strumentale ad atti normativi binding, in particolare relativi, nell’ambito della lotta all’evasione fiscale, all’utilizzo di algoritmi per analisi predittive volte a individuare i contribuenti da sottoporre a controlli in quanto presentano “sintomi” di scarsa fedeltà tributaria.

 

2. Il parere del Garante sullo schema di decreto del Ministero dell'Economia e delle Finanze

Lo schema di decreto sul quale il Garante ha espresso il proprio parere attua quanto previsto dalla legge di bilancio 2020[2] che ha richiesto al Ministero dell'economia e delle finanze, sentiti il Garante e l’Agenzia delle Entrate, l’emanazione di un Decreto sulle limitazioni[3] e modalità di esercizio dei diritti degli interessati e sulle misure adeguate a tutela dei diritti[4] e delle libertà nonché sulle disposizioni specifiche relative al contenuto minimo essenziale delle limitazioni[5], nell’ambito dell’attività di prevenzione e contrasto all’evasione fiscale[6].

2.1. Il background normativo dello schema di decreto

Sia consentito delineare la cornice normativa entro la quale si muove lo schema di decreto.

La legge di bilancio 2020 ha legittimato (art. 1, co. 682 della l. del 27/12/2019 n. 160) l'Agenzia delle entrate – previa pseudonimizzazione di specifici set di dati contenuti nell’archivio dei rapporti finanziari – ad avvalersi delle tecnologie, delle elaborazioni e delle interconnessioni con le altre banche dati di cui dispone, per elaborare criteri di rischio utili a far emergere posizioni da sottoporre a controllo e incentivare l'adempimento spontaneo[7].

Qui la pseudonimizzazione ha lo scopo di impedire, in presenza di dati finanziari, l'identificazione diretta degli interessati. Tuttavia, dati pseudonimizzati non sono anonimi, ma dati personali, che si riferiscono comunque a persone fisiche identificabili, sia pur in via indiretta, con conseguente applicazione della disciplina di protezione dati[8].

Questo equivale a dire che l’Agenzia delle Entrate potrà con la Guardia di Finanza non solo elaborare dati, sia quelli ottenuti da intermediari finanziari sia quelli relativi alle spese sanitarie (informazioni sulle detrazioni godute) e incrociarli con quelli contenuti in altre banche dati in suo possesso e consultare “fonti aperte”[9], ma anche di profilare i contribuenti per individuare specifiche posizioni da sottoporre a controllo. Sicché i trattamenti di dati pseudonimi sarebbero di per sé volti all'identificazione del contribuente, e quindi la misura della pseudonimizzazione prevista contrasterebbe con la finalità perseguita: de-identificare per identificare.

Invero, la legge di bilancio sopra citata ha modificato il decreto legislativo 30 giugno 2003, n. 196 (di seguito, “Codice Privacy”).

Sono state introdotte tra le attività di trattamento di dati personali di rilevante interesse pubblico quelle relative alla prevenzione e contrasto dell’evasione fiscale[10] svolte da soggetti pubblici, comprese le amministrazioni inserite nell’elenco Istat, come l’Agenzia delle Entrate[11].

È stata aggiunta alle fattispecie per le quali si prevedono limitazioni all’esercizio dei diritti dell'interessato (es. diritto di accesso ai propri dati personali fino al momento in cui l’interessato riceve l’invito alla regolarizzazione della posizione fiscale, il processo verbale di constatazione, ovvero fino alla ricezione del provvedimento impositivo, di cancellazione, limitazione del trattamento, etc.) quella relativa alla materia tributaria e allo svolgimento delle attività di prevenzione e contrasto all'evasione fiscale[12], qualora dallo stesso possa derivare un pregiudizio effettivo e concreto[13] agli interessi tutelati.

In questo scenario, gli interessati non avranno diritto di sapere se i loro dati sono all’esame dell’Agenzia ai fini dell’analisi di rischio fiscale (almeno non prima dell’esito dell’indagine), non potranno dunque correggere potenziali distorsioni nel processo decisionale automatizzato con il rischio che la rappresentazione della capacità contributiva potrebbe essere falsata e minare l’efficacia dell’azione amministrativa di valutazione fiscale.

2.2.  Parere del Garante e Schema di Decreto a confronto

Sebbene siano passati due anni[14], allo stato, il Ministero è in fase di interlocuzione con il Garante, che pur avendo espresso parere favorevole alla bozza di decreto con una serie di condizioni[15], si è riservato di “valutare l’adeguatezza delle misure che verranno complessivamente adottate per mitigare i rischi elevati presentati dal trattamento per i diritti e le libertà degli interessati nell’ambito dell’esame delle valutazioni di impatto sulla protezione dei dati predisposte dall’Agenzia delle entrate e dalla Guardia di finanza e del provvedimento del Direttore dell’Agenzia”. Con riferimento a quest’ultimo rilievo del Garante, si precisa che l’Agenzia è chiamata a redigere ai sensi dell’art. 35 del Regolamento UE 2016/679 (a seguire, “Regolamento”) una valutazione unitaria di impatto sulla protezione dei dati, prima di iniziare il trattamento stesso, che sarà sottoposta al Garante.

L’intervento del Garante si è focalizzato sulla verifica del rispetto dell’“essenza dei diritti e delle libertà fondamentali e [… se costituiscano] una misura necessaria e proporzionata in una società democratica”[16]. Successivamente lo stesso sarà chiamato a verificare che le garanzie individuate siano adeguate “per prevenire abusi o l’accesso o il trasferimento illeciti”, in considerazione dei rischi elevati per i diritti e le libertà degli interessati mediante l’analisi della valutazione globale d’impatto che sarà presentata dall’Agenzia[17].

Il Garante[18], nella persona del Presidente precedente, chiamato a esprimere il proprio parere, già in fase di audizione della legge di bilancio aveva espresso le sue numerose riserve di legittimità, invitando il legislatore a circoscrivere adeguatamente l'ambito oggettivo di applicazione della norma derogatrice. Ora, considerate le caratteristiche dei trattamenti, il Collegio del Garante, nella nuova composizione, pur esprimendo un parere favorevole, ha espresso una serie di condizioni.

I rilievi[19] del Garante si sono concentrati in particolare sui seguenti aspetti dello schema di decreto.

La arbitrarietà connessa ai tempi di cancellazione dei dataset (in part. di controllo), che è fissata al decimo anno successivo a quello di ricezione dell’invito alla regolarizzazione della posizione fiscale ovvero fino alla ricezione del provvedimento impositivo e, comunque, fino alla definizione di eventuali giudizi[20].

-    La carenza di specificazione di come saranno aggregati i dati da trattare, dal momento che anche l’aggregazione è suscettibile di profilare i singoli e rivelare lo stato di salute del contribuente o dei suoi familiari (spese sanitarie).

-    Lo scarso dettaglio della riferibilità esclusiva delle limitazioni dei diritti ai contribuenti che sono risultati destinatari di inviti, atti o provvedimenti dell’amministrazione finanziaria mediante l’individuazione delle garanzie volte a individuare le ipotesi e i termini di differimento del diritto di accesso degli interessati non destinatari di inviti, atti o provvedimenti dell’amministrazione finanziaria.

-    Il rischio di limitare il diritto di difesa del cittadino mediante la mancanza della previsione che permette all’interessato di richiedere di non cancellare dati, di cui l’Agenzia non ha più bisogno ai fini del trattamento, ma necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

-    La necessità che nei trattamenti automatizzati sia previsto e regolato dettagliatamente l’intervento umano (art. 22, par. 3 del Regolamento) per correggere potenziali distorsioni che potrebbero verificarsi nel processo decisionale mediante la possibilità “di decidere, in qualsiasi situazione particolare, di non usare il processo decisionale automatizzato o altrimenti di ignorare, annullare o ribaltare l’output dello stesso”.

Alla luce di ciò il Garante ha previsto che il Ministero:

3. introduca specifiche cautele per quelli automatizzati, in modo da ridurre i rischi per i contribuenti: in particolare per quanto riguarda la rappresentazione della capacità contributiva o distorsioni che potrebbero verificarsi nel processo decisionale.
4. specifichi nel dettaglio le categorie di dati oggetto di limitazione e nell’informativa indichi in modo più trasparente le attività di profilazione degli interessati.
5. integri lo schema di decreto prevedendo specifiche garanzie per il differimento del diritto di accesso dei contribuenti che, all’esito degli accertamenti, saranno risultati in regola.
6. individui in apposite valutazioni di impatto (predisposte da Agenzia delle entrate e Guardia di finanza) e nel provvedimento del Direttore dell’Agenzia le misure a tutela dei diritti e delle libertà degli interessati, la cui adeguatezza sarà verificata dal Garante.

3. Riflessioni critiche

Tre le principali questioni giuridiche su cui si ritiene di dover porre l’attenzione.

La prima riguarda i profili di incompatibilità della norma nazionale con la disciplina europea di riferimento, che renderebbe la norma di per sé illegittima.

Difatti, l’art. 23 del Regolamento prevede i diritti e le libertà fondamentali dell’individuo possano essere compresse solo se si tratta di una misura necessaria e proporzionata per salvaguardare importanti obiettivi di interesse pubblico generale, tra cui appunto è stata aggiunta la lotta all’evasione fiscale.

Tuttavia, la norma europea che disciplina le limitazioni all’esercizio dei diritti (articolo 23 del Regolamento) richiede che sia una misura legislativa a stabilire quanto demandato al Ministero. La norma contenuta nella legge di bilancio 2020, invece, rimbalza la determinazione di norme specifiche al Ministero senza prevedere quei parametri in base ai quali ritenere sussistente, in caso di esercizio dei diritti da parte dell'interessato, il pregiudizio effettivo e concreto alle esigenze di contrasto e prevenzione all’evasione fiscale. Dunque, la stessa non sembrerebbe effettivamente sufficiente a consentire la limitazione dei diritti, evitando ingiustificate disparità di trattamento[21].

Perciò, da un lato il legislatore ha voluto ampliare i poteri delle autorità competenti nel perseguimento dell’interesse pubblico, sacrificando il diritto alla riservatezza dei dati finanziari e bancari ma ha finito per introdurre una generale limitazione dei diritti esercitabili dal cittadino in ogni procedimento, anche soltanto amministrativo, attinente genericamente la materia della prevenzione e del contrasto dell'evasione fiscale, escludendo anche la possibilità di proporre un reclamo al Garante[22] senza giovare all’efficacia dell’azione accertatrice poste in essere dall’Autorità Pubblica, anzi in taluni casi mimandone l’efficacia; dall’altro ha lasciato che il Ministero faccia il resto con l’aiuto del Garante il cui parere resta obbligatorio ma non vincolante nel contenuto.

Dunque, seppure la norma europea ammetta la limitazione, ancorché legislativamente imposta (come avvenuto con le modifiche del Codice Privacy), essa deve rispettare i principi di necessità e proporzionalità nonché l'essenza dei diritti e delle libertà considerati che però sono state taciute dalla legge. Pertanto, sembrerebbe che i contribuenti siano tenuti a condividere innumerevoli informazioni sulla propria situazione economica, senza aver diritto di conoscere i loro elaborati dall’Agenzia delle Entrate per eventuali azioni di accertamento fiscale, per il controllo delle spese[23].

La seconda riguarda invece il modello multilivello della tutela dei diritti e cioè: se ai giudici si può chiedere quello che la legge promette e alle Corti nazionali e sovranazionali si può chiedere quello che le Costituzioni nazionali e le Carte europee promettono, ma la legge non mantiene[24] possiamo lasciare che sia il Ministero con la supervisione del Garante a individuare l’”essenza” del diritto di autodeterminazione dell’interessato (sia il diritto di conoscere e seguire il flusso dei suoi dati, sia di conoscere il trattamento cui è soggetto, o di chiedere il blocco o la limitazione dei trattamenti in corso) per impedire che il contenuto minimo essenziale dello stesso venga consegnato all’indirizzo politico di maggioranza o è proprio quello che così rischia di accadere? O ancora possiamo davvero lasciare che siano sufficienti i “rimedi anticipati” proposti nella Valutazione di impatto sulla protezione dei dati personali che sarà presentata al Garante - e che tra l’altro rimarrà segreta, non essendo soggetta a obbligo di pubblicità - per scongiurarne l’avveramento dei rischi, se si avrà contezza degli stessi solo a fatto compiuto[25]?

La terza questione giuridica sottesa alle osservazioni del Garante attiene alla garanzia di trasparenza e agli obblighi informativi nei confronti degli interessati o meglio alla garanzia di conoscibilità dell’algoritmo (un “right to explanation” che non coincide con il diritto di accesso) e si scontra con le carenze del Regolamento.

Quest’ultima questione richiede che ne siano delineati brevemente i punti cruciali.

Il Regolamento ha fissato il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato (art. 22). Il divieto però si snocciola in una serie di deroghe che rendono l’eccezione la regola. Il ricorso agli algoritmi è ammesso infatti in molteplici situazioni (art. 22, par. 2). Nel caso di specie l’eccezione è data dall’art. 22, par. 2 lett.b ) e cioè il trattamento è autorizzato dal diritto dello Stato membro cui è soggetto il titolare del trattamento (Agenzia delle Entrate e Guardia di Finanza), che avrebbe dovuto precisare altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato (legge di bilancio 2020). A tal riguardo, giova ricordare come la Corte di Cassazione abbia evidenziato come sia fondamentale la conoscibilità dello schema esecutivo dell’algoritmo e dagli elementi di cui si compone[26].

Questo equivale a dire che quando si utilizzano sistemi di machine learning e deep learning, come quelli che saranno utilizzati dall’Agenzia delle Entrate e dalla Guardia di Finanza, non si è in grado di spiegare sin dall’inizio quali dati saranno presi effettivamente in considerazione (la valutazione potrebbe essere successiva); come saranno utilizzati rispetto alle previsioni iniziali; che tipi di inferenze saranno dedotte dall’algoritmo e quale motivazione giustificherà una decisione specifica.

Dunque, occorrerebbe individuare nuove forme di conoscibilità: per esempio con la pubblicazione dello schema di funzionamento dell’algoritmo e l’accesso anche in momenti successivi a informazioni chiare che riguardano i dati utilizzati, le logiche e i risultati cui si è pervenuti.

Seppure tra le informazioni che il titolare deve fornire agli interessati figurino «l’esistenza di un processo decisionale automatizzato […] informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato» (art. 13 del Regolamento), è chiaro che esse non sono sufficienti a garantire la piena conoscibilità del funzionamento dell’algoritmo. Da una parte, perché le disposizioni citate – e qui il Regolamento mostra tutta la sua debolezza legata alla lungaggine dell’iter di approvazione - si limitano a mere dichiarazioni del diritto senza specificarne il contenuto o requisiti minimi: es. “Quali opzioni il sistema ha preso in considerazione?”; “Quali specifiche banche dati saranno incrociate e quali dati (es. conti correnti, spese scolastiche, mutui, assicurazioni, interventi edilizi, collaboratori domestici, locazioni, utenze, spese per i viaggi, mezzi di trasporto)?”; “Il sistema farà ricorso a fonti aperte (es. facebook, instagram, siti, etc.)?” “Quali parole positive (come per esempio “ricchezza familiare”; “risparmiatore”; etc.) e quali negative (“fallimento”; “moroso”; etc.) compaiono nell’elenco di parole che il sistema addestrato utilizza?”. Dall’altra perché in una fase iniziale non è possibile prevedere neanche per coloro che hanno scritto gli algoritmi le inferenze che emergeranno dall’analisi dei dati e dunque si rende necessaria un’apertura graduale.

Allora, non si può sottovalutare che gli algoritmi possono riverberare i bias di chi li ha scritti e arrecare un vulnus ai principi di trasparenza e partecipazione e all’obbligo di motivazione, che si riverbera anche sul diritto di difesa di cui all’art. 24 Cost. dei contribuenti e sulle garanzie processuali[27].

E questo può accedere anche se lo scopo per il quale si utilizza un algoritmo è l’interesse pubblico rilevante di lotta all’evasione fiscale.

La rule of law impone che i pubblici poteri siano «soggetti ai principi di legalità e di trasparenza, al fine di garantire la corrispondenza dell’azione pubblica alle finalità poste dalla legge e la piena sindacabilità giudiziaria di ogni atto pubblico»[28]. Questo equivale a dire che l’utilizzo di strumenti innovativi non può limitare l’ampiezza dei poteri conoscitivi dei destinatari degli atti e quindi del principio di trasparenza. Il sacrificio sproporzionato di quest’ultimo sembra proprio sia l’esito cui è pervenuto il legislatore. Il divieto di discriminazione che si risolve nella garanzia dell’uguaglianza di cui all’articolo 3 della Costituzione, o la garanzia della tutela giurisdizionale di cui all’articolo 24, i principi di efficacia e buon andamento dell’azione amministrativa di cui all’articolo 97 della Costituzione (qui è l’Autorità pubblica ad avvalersi degli algoritmi) o i limiti imposti dal contrasto con l’utilità sociale o dal danno alla sicurezza, alla libertà, alla dignità umana (se è il privato ad impiegarli) devono essere le fondamenta del diritto alla “spiegabilità” che esige una “explainability constitutional friendly”[29].

 

[1] Parere sullo schema di decreto attuativo dell’art. 1, comma 683, della legge 27 dicembre 2019, n. 160 - 22 dicembre 2021, in https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9738520.

[2] Legge del 27/12/2019 n. 160.

[3] In part. le disposizioni specifiche relative al contenuto minimo essenziale di cui all'articolo 23, paragrafo 2, del Regolamento (UE) 2016/679Esso stabilisce che la misura legislativa di limitazione dell’esercizio dei diritti debba contenere disposizioni specifiche riguardanti almeno, se del caso:

1. le finalità del trattamento o le categorie di trattamento;
2. le categorie di dati personali;
3. la portata delle limitazioni introdotte;
4. le garanzie per prevenire abusi o l’accesso o il trasferimento illeciti;
5. l’indicazione precisa del titolare del trattamento o delle categorie di titolari;
6. i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell’ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento;
7. i rischi per i diritti e le libertà degli interessati; e
8. il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa.

[4] di cui agli articoli 14, 15, 17, 18 e 21 del Regolamento (UE) 2016/679.

[5] di cui all’articolo 23, paragrafo 2, del Regolamento (UE) 2016/679 che prevede che: “In particolare qualsiasi misura legislativa di cui al paragrafo 1 contiene disposizioni specifiche riguardanti almeno, se del caso:

1. le finalità del trattamento o le categorie di trattamento;
2. le categorie di dati personali;
3. la portata delle limitazioni introdotte;
4. le garanzie per prevenire abusi o l’accesso o il trasferimento illeciti;
5. l’indicazione precisa del titolare del trattamento o delle categorie di titolari;
6. i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell’ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento;
7.  i rischi per i diritti e le libertà degli interessati; e
8. il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa”.

[6] Il decreto-legge 8 ottobre 2021, n. 139 ha introdotto disposizioni urgenti per l’accesso alle attività culturali, sportive e ricreative, nonché per l’organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali. Il nuovo art. 2 ter, comma 1 bis del d. lgs. 196/2003 prevede che il trattamento dei dati personali può essere effettuato da parte di un’amministrazione pubblica - comprese le amministrazioni inserite nell’elenco Istat, come l’Agenzia delle Entrate - se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti. Inoltre, la finalità del trattamento, se non espressamente prevista da una norma di legge o di regolamento, può essere indicata dall’amministrazione, nella misura in cui è necessaria allo svolgimento del proprio compito o al potere esercitato.

[7] Art. 1, co. 682 legge di bilancio 2020.

[8] Per approfondimenti si rimanda all’art. 4 nn. 1) e 5) e cons. 26 del Regolamento UE 2016/679.

[9] Per esempio, il ricorso ai social network.

[10] Nuovo articolo 2 sexies del Codice Privacy come modificato dall’art. 1., comma 681 della LEGGE 27 dicembre 2019, n. 160.

[11] Nuovo art. 2 ter, comma 1 bis del d. lgs. 196/2003.

[12] Alla lettera f) è stata aggiunta la f bis).

[13] Nuovo articolo 2 undecies del Codice Privacy come modificato dall’art. 1., comma 681 della LEGGE 27 dicembre 2019, n. 160.

[14] Il decreto sarebbe dovuto essere emanato entro novanta giorni dalla data della sua entrata in vigore (01/01/2020).

[15] Indicate nei punti 3 (l’individuazione delle categorie di trattamenti e di dati personali oggetto delle limitazioni) 4 (la trasparenza del trattamento e gli obblighi informativi nei confronti degli interessati), 5 (il diritto di accesso), 6 (il diritto di limitazione di trattamento) e 7 (le misure a tutela dei diritti e delle libertà degli interessati) del provvedimento del Garante.

[16] Art. 23, par. 1 del Regolamento UE 2016/679.

[17] art. 35, par. 2, lett. a), del Regolamento UE 2016/679.

[18] Ibidem.

[19] Analisi dati contro il rischio evasione, quali tutele privacy, in Agenda digitale, 3 febbraio 2022.

[20] art. 3, comma 3, lett. a) e b), dello schema di decreto

[21] Evasione, Garante privacy contro la norma che consente l’incrocio dei dati per scovare i contribuenti a rischio: “A rischio illegittimità”, in il Fatto Quotidiano, 13 novembre 2019.

[22] Memoria del Presidente dell'Autorità garante per la protezione dei dati personali sul disegno di legge di

bilancio 2020 Commissione 5a (Bilancio) del Senato della Repubblica (12 novembre 2019).

[23] R. Di Marco, Lotta all’evasione fiscale e tutela della privacy del contribuente, In Data Protection Law, 2/2020, 18.

[24] R. Bin, Chi è il giudice dei diritti? Il modello costituzionale e alcune deviazioni, in Rivista AIC 4/2018, 634 ss..

[25] Per una disamina approfondita delle criticità connesse al ricorso alle Valutazioni di impatto sulla protezione dei dati personali si rimanda a G. De Minico, Big Data e la debole resistenza delle categorie giuridiche. Privacy e lex mercatoria, in Dir. Pubbl., 1/2019, 94 ss..

[26] Corte di Cass., ordinanza n. 14381/2021. Nel caso de quo la Corte si riferisce alla liceità del consenso (base giuridica diversa dal trattamento in esame che qui risiede nella legge).

[27] S. Zuboff, Il capitalismo della sorveglianza. Il futuro dell’umanità nell’era dei nuovi poteri (tr. it. di P. Bassotti), Luiss University Press, Roma, 2019).

[28] A. Simoncini, Amministrazione digitale algoritmica. Il quadro costituzionale, in R. Cavallo Perin - D.U. Galetta (a cura di), Il diritto dell’amministrazione pubblica digitale, Giappichelli, Torino, 2020

[29] Sia consentito il riferimento a: M. Orefice, Verso un right to explanation dell’algoritmo costituzionalmente orientato, in Diritto Economia e Tecnologie della Privacy, 1/2022, in corso di pubblicazione; G. De Minico, Fundamental rights, European digital regulation and algorithmic challenge, in Eur. Bus. L. Rev., n. 5, 2021, in corso di stampa; Id., Towards an ‘Algorithm Constitutional by Design’, in BioLaw, 2, 2021, E. Spiller, Il diritto di comprendere, il dovere di spiegare. Expainability e intelligenza artificiale costituzionalmente orientata, in Bio Law Journal, 2/2021.