I rapporti tra Fisco e cittadini andrebbero disciplinati da un vero e proprio Statuto Privacy del Contribuente, nel pieno rispetto della protezione dei dati personali
Uno statuto “privacy” del contribuente: sono ormai maturi i tempi per la definizione di un quadro generale della disciplina della protezione dei dati applicata all’ambito fiscale.
Il Fisco è, infatti, già adesso un grande collettore di dati personali e con Big Data e cosiddetta Intelligenza Artificiale lo sarà sempre di più.
Le tecniche di raccolta massiva di dati e le possibilità di calcolo con elaboratori sofisticati aprono nuove frontiere anche per l’e-governement tributario.
E la disciplina della privacy, lungi dall’essere strumentalizzata dall’evasore fiscale che cela i propri guadagni con il pretesto della riservatezza, è quella della limitazione di possibili eccessi di potere dello stato-esattore.
Per uno statuto “privacy” del contribuente
Ha risposto a questo approccio la Cedu, Corte europea dei diritti dell’uomo, con la storica sentenza n. 36345/16 dello scorso 12 gennaio 2021, nella quale ha dichiarato legittima la diffusione di dati negativi sul conto dei contribuenti: il bilanciamento degli interessi vede prevalere sulla riservatezza individuale l’interesse pubblico a prevenire ulteriori inadempimenti tributari e l’interesse diffuso degli altri soggetti privato a sapere con chi stanno per concludere un contratto o hanno rapporti commerciali.
Secondo la Cedu, giustificano, dunque, la circolarità delle notizie negative la protezione della finanza statale dal rischio di mancato gettito da evasione o morosità fiscale, e la conseguentemente incentivazioni di condotte rispettose degli obblighi tributari, tali da garantire il corretto funzionamento del sistema fiscale e sociale.
Nel medesimo ambito concettuale, si pongono anche gli orientamenti che evitano lo sviamento delle regole sulla privacy dei dati detenuti dal Fisco al fine di sottrarsi ad obblighi giuridici: ad esempio l’adunanza plenaria del Consiglio di Stato, con la sentenza n. 19/2020, ha dichiarato che l’agenzia delle entrate è tenuta a dare copia delle informazioni in suo possesso al coniuge coinvolto in una causa di separazione.
Si applicano le norme sull’accesso ai documenti amministrativi (articoli 22 e seguenti della legge 241/1990) e il coniuge che ha diritto a un assegno di mantenimento o a non pagarlo non è bloccato dalla mala-privacy applicata a chi vuole eludere le proprie obbligazioni derivanti da diritto di famiglia.
L’orientamento da ultimo citato, peraltro, è estensibile a tutti coloro che hanno un credito, per soddisfare il quale è necessario accertare la situazione reddituale e patrimoniale del debitore e ciò può avvenire mediante richiesta agli uffici finanziari.
La disciplina della privacy tributaria non deve essere la bandiera bianca della resa dello stato all’evasore o del cattivo pagatore o del coniuge inadempiente.
La disciplina della privacy tributaria deve essere, invece, la Magna Charta del contribuente corretto.
Lo stato-erario ha, certo, il diritto di perseguire chi non paga le tasse, ma non ha il diritto di schedare a tappeto ed indiscriminatamente tutti i contribuenti o tutti i cittadini.
Lo stato-fisco, inoltre, ha enormi archivi, cartacei ed elettronici, ed è, quindi, un territorio molto vasto da difendere contro un aggressore, tradizionale e digitale, che voglia usare i dati per scopi illeciti o anche solo indebiti.
Più ampio lo spazio attaccabile, più numerosi sono i possibili fronti di attacco, più imponente deve essere lo sforzo difensivo.
La tutela della privacy è la tutela del contribuente che fa il suo dovere di buon cittadino, che contribuisce con le proprie sostanze alla finanza pubblica, ma non deve essere vivisezionato e radiografato e spiattellato e messo in pericolo dall’appropriazione dei suoi dati presso i palazzi del fisco.
Ogni aspetto della vita d’altra parte è al centro od oggetto di transazioni con una rilevanza economica ed ogni transazione economica, in una società strutturata, ha una rilevanza fiscale.
Tutto ciò che costituisce base imponibile è d’interesse delle autorità fiscali.
Queste ultime rappresentano destinatari di dati, mittenti di dati, elaboratori di dati, conservatori di dati e così via.
In relazione a tale natura soggettiva e al tipo di operazioni effettuate, si pongono inevitabilmente questioni attinenti ai dati.
Le questioni attinenti ai dati riguardano, da un lato, la possibilità di trattare e le condizioni alle quali è possibile trattare dati e, dall’altro lato, i sistemi di controllo sulla conformità del trattamento agli standard normativi.
In questa cornice il Fisco e i contribuenti assumono una posizione particolare.
Il Fisco ha uno spazio di azione slegato da un rapporto paritario con il contribuente: il trattamento dei dati non avviene sui piani negoziali e sulla base del consenso del contribuente, ma sulla base dei compiti istituzionali e sugli obiettivi di interesse generale.
Peraltro, il perimetro delle funzioni di interesse pubblico e di esercizio dei pubblici poteri è, appunto, un confine invalicabile per l’istituzione pubblica.
Con la conseguenza che la cornice delle finalità pubbliche non è un lasciapassare assoluto, poiché l’interessato/contribuente ha comunque una serie di diritti azionabili.
I diritti dell’interessato/contribuente appartengono a due grandi categorie: la prima è la conoscenza dei dati e la seconda è l’intervento dei dati.
Anche nei confronti del Fisco, con alcuni paletti (si veda quanto detto infra), valgono e sono azionabili il diritto alla trasparenza dei trattamenti, il diritto alla informazione sui trattamenti e, con alcune limitazioni, il diritto di accesso ai dati trattati.
Anche nei confronti del Fisco valgono e sono azionabili il diritto all’esattezza e all’aggiornamento dei dati, il diritto all’opposizione al trattamento.
Inoltre, anche il Fisco è giuridicamente obbligato a un trattamento conforme a standard di sicurezza, con un conseguente diritto del contribuente ad un trattamento sicuro dei suoi dati e con un conseguente diritto al risarcimento del danno causato da lacune nell’apparato di sicurezza.
Anche il Fisco è obbligato al rispetto dei principi generali del trattamento, con conseguente esposizione del Fisco alle sanzioni amministrative nel caso siano conculcati i canoni di correttezza e minimizzazione del trattamento.
Privacy tributaria e provvedimenti del Garante per la protezione dei dati personali
All’interno di questo quadro è possibile comprendere la speciale disciplina della privacy tributaria ed avere contezza delle ragioni dei provvedimenti assunti dal Garante per la protezione dei dati personali nei confronti delle autorità fiscali.
A riguardo della disciplina speciale della privacy tributaria vanno menzionati:
- l’articolo n. 23 del Gdpr (regolamento generale UE sulla protezione dei dati n. 2016/679), nella parte in cui limita l’esercizio dei diritti degli interessati per la necessità di salvaguardare un rilevante interesse in materia tributaria;
- il considerando n. 71 del Gdpr, che attesta la possibilità di adottare decisioni sulla base di un trattamento interamente automatizzato (alias algoritmi), compresa la profilazione, se ciò è espressamente previsto dal diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento, anche a fini di monitoraggio e prevenzione dell’evasione fiscale secondo i regolamenti, le norme e le raccomandazioni delle istituzioni dell’Unione o degli organismi nazionali di vigilanza e a garanzia della sicurezza e dell’affidabilità di un servizio fornito dal titolare del trattamento;
- il considerando n. 112 del Gdpr, nella parte in cui riferisce la possibilità di trasferimenti di dati all’estero se necessari per importanti motivi di interesse pubblico, ad esempio nel caso di scambio internazionale di dati tra autorità garanti della concorrenza, amministrazioni fiscali o doganali, autorità di controllo finanziario;
- l’articolo 2-sexies del Codice della privacy (D. Lgs. 196/2003), ai sensi del quale, ai fini del trattamento di categorie particolari di dati personali, si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti pubblici diretti all’applicazione, anche tramite i loro concessionari, delle disposizioni in materia tributaria e doganale, comprese quelle di prevenzione e contrasto all’evasione fiscale;
- l’articolo 2-undecies del Codice della privacy, ai sensi del quale i diritti dell’interessato di cui agli articoli da 15 a 22 del Regolamento (Gdpr) non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell’articolo 77 del Regolamento qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto agli interessi tutelati in materia tributaria e allo svolgimento delle attività di prevenzione e contrasto all’evasione fiscale.
Al di fuori delle espresse citazioni, l’attività delle Autorità Fiscali è assoggettata alle disposizioni della disciplina rilevante in materia di privacy e protezione dei dati, quanto a:
- base giuridica del trattamento (articoli 6, 9 e 10 Gdpr);
- rispetto dei principi di cui all’articolo 5 Gdpr;
- obbligo di informare gli interessati (articoli 12, 13 e 14 Gdpr);
- rispetto dell’esercizio dei diritti degli interessati, salvo la speciale inibitoria rilevante dall’articolo 2-undecies del Codice della privacy;
- obbligo di nomina del Dpo (responsabile della protezione dei dati);
- rispetto delle misure di sicurezza e degli adempimenti in materia di data breach;
- obbligo della valutazione dell’impatto privacy dei propri trattamenti con la possibilità di avvalersi della consultazione preventiva ex articolo 2-quinquiesdecie del Codice della privacy;
- assoggettamento al controllo del Garante della privacy;
- applicazione delle sanzioni amministrative in caso di commessa violazione delle disposizioni del Gdpr e del codice della privacy;
- applicazione delle disposizioni in materia di risarcimento del danno arrecato al contribuente per illegittimo utilizzo dei suoi dati personali.
In questo quadro il Garante della privacy è intervenuto spesso a riguardo dei trattamenti di dati dei contribuenti.
Molto spesso si è trattato di interventi su provvedimenti di organizzazione e pianificazione dei servizi degli uffici.
Scorrendo i provvedimenti e le relazioni annuali del Garante per la protezione dei dati si individuano, ad esempio, i seguenti profili di indagine e approfondimento:
- le comunicazioni all’anagrafe tributaria;
- la dichiarazione dei redditi precompilata;
- i controlli antievasione e l’utilizzo dell’archivio dei rapporti finanziari;
- l’utilizzo di dati derivanti dallo scambio automatico obbligatorio tra autorità fiscali estere aderenti agli accordi internazionali;
- l’analisi del rischio per la lotta all’evasione fiscale;
- la lotteria dei corrispettivi;
- le biglietterie automatizzate;
- la fatturazione elettronica;
- la riscossione a mezzo ruolo
- l’accesso e la consultazione di dati base di dati ai fini fiscali.
Ciò che ancora manca è una integrazione sinergica delle due prospettive: organizzazione degli uffici e servizi e rapporti con gli interessati.
Proprio uno statuto “privacy” del contribuente potrà e dovrà illustrare e coordinare sia gli aspetti attinenti profili di “azione” (regole di organizzazione e di buon andamento del Fisco) sia quelli di “relazione (diritti dei contribuenti e modalità di esercizio).
Articolo originale pubblicato su Informazione Fiscale qui: Per uno statuto “privacy” del contribuente