Banche dati tributarie, scambio di informazioni fra autorità fiscali e “protezione dei dati personali”: quali diritti e tutele per i contribuenti?

Di Angelo Contrino -

1. La protezione dei dati personali dei contribuenti nei confronti dell’Amministrazione finanziaria è tema che, almeno fino ad oggi, è stato trascurato nell’ambito della nostra materia, ma la cui importanza è divenuta attuale e destinata a crescere nel tempo, stante il massivo ricorso alla tecnologia per gli adempimenti tributari e il mutato contesto internazionale in punto di contrasto ai fenomeni di elusione ed evasione fiscale.

Ed infatti, l’impiego esclusivo della tecnologia nella fase di adempimento dei numerosi obblighi tributari (obblighi comunicativi, dichiarativi e di versamento) non è neutrale sotto il profilo della protezione dei dati personali,  consentendo l’acquisizione e la conservazione in apposite “banche dati” di grandi quantità di dati (v. la fatturazione elettronica, l’archivio dei rapporti finanziari, per non parlare dell’anagrafe tributaria) che possono essere facilmente utilizzati per migliorare, sotto il duplice profilo qualitativo e quantitativo, le attività di controllo e di accertamento: basti pensare, ad esempio, alle potenzialità offerte dagli strumenti di intelligenza artificiale e di analisi semantica in ordine alla selezione dei contribuenti e alla individuazione degli “indici” di potenziale irregolarità fiscale.

Per altro verso, in questi ultimi anni è divenuta centrale – come sappiamo – la questione del contrasto dei fenomeni di elusione ed evasione attuati su scala sovranazionale, che ha portato ad ampliare e rafforzare il ricorso agli strumenti di scambio di informazioni, la cui efficacia è grandemente cresciuta grazie al progresso tecnologico: esso non solo ha reso possibile – come ho già detto – la formazione di imponenti “archivi” con dati immediatamente accessibili, ma ha anche facilitato l’evoluzione dei processi di trasmissione di dati fra le autorità fiscali dei diversi Stati: basti pensare, ad esempio, all’importanza e alla diffusione acquisita negli ultimi anni dallo scambio automatico di informazioni.

A ciò si aggiunga l’avvenuta introduzione, oramai da qualche anno, del “Regolamento Generale sulla Protezione dei Dati” (Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 – “GDPR”), che esplica effetti anche in materia fiscale, come dimostra l’applicazione fattane di recente dal nostro Garante della Privacy, con i provvedimenti del 15 dicembre 2018 e del 20 dicembre 2018, in tema di “fatturazione elettronica”, e con il provvedimento 4 aprile 2019, in tema di “modelli predittivi” del rischio di evasione, attraverso la selezione automatizzata di posizioni fiscali dei potenziali evasori, anche mediante scambio di informazioni con amministrazioni estere.

2. La nuova rilevanza della protezione dei dati personali in materia fiscale fa sorgere il problema dei limiti, dandone per scontata la necessitata esistenza, che il diritto alla protezione dei dati personali pone alla acquisizione/utilizzo/conservazione dei dati da parte dell’Amministrazione finanziaria, e ciò nella prospettiva di un corretto bilanciamento tra esigenze di contrasto all’evasione fiscale e tutela del diritto alla protezione dei suddetti dati, tanto a livello interno quanto a livello sovranazionale.

In via generale, il diritto alla protezione dei dati persnosali del contribuente può affermarsi come limite al massivo utilizzo di adempimenti di massa che comportano l’acquisizione e la conservazione di grandi quantità di dati personali, non sempre di stretto e diretto interesse fiscale; e, per altro verso, come limite all’utilizzo di dati personali dei contribuenti comunque acquisiti dall’Amministrazione finanziaria al fine di selezionare quelli da assoggettare a controllo/accertamento (c.d. rischio di profilazione).

In merito, importanti indicazioni possono trarsi dalla giurisprudenza della Corte di Giustizia in materie non tributarie, e in particolare in materia di contrasto al terrorismo e alla criminalità internazionale, ma non anche dalla giurisprudenza della Corte di Giustizia e della Corte EDU in materia fiscale, che si è essenzialmente occupata degli spazi di tutela del contribuente che intenda contestare le modalità di acquisizione/utilizzo/conservazione dei propri dati personali, quasi sempre nel contesto delle procedure di scambio di informazioni.

3. Quanto alla giurisprudenza della Corte di Giustizia nelle materie non tributarie, importanti indicazioni generalizzabili, in punto di tutela dei dati personali, possono essere ricavate dalle sentenze DIGITAL RIGHTS IRELAND (8 aprile 2014, cause riunite C-293/12 e C-594/12) e TELE2-SVERIGE AB (21 dicembre 2016, C-203-15), che hanno valutato, in chiave di proporzionalità, la legittimità – rispettivamente – di un atto di diritto derivato e di un atto di diritto interno che prevedevano una raccolta e il trattamento di dati personali su base generalizzata (senza distinzioni, limitazioni o eccezioni di carattere soggettivo ed oggettivo) in forza di obiettivi di interesse pubblico, quali il contrasto al terrorismo e alla criminalità internazionale, con possibilità di trarre conclusioni molto precise circa la vita privata (abitudini, luogo di soggiorno, spostamenti, relazioni sociali, ambienti frequentati, ecc.) delle persone i cui dati erano acquisiti e conservati.

La Corte di Giustizia ha ritenuto che l’ingerenza nei diritti fondamentali al rispetto della vita privata e alla tutela dei dai personali (previsti, rispettivamente, agli articoli 7 e 8 della Carta europea) fosse di particolare gravità, e non limitata a quanto strettamente necessario al conseguimento degli obiettivi di interesse pubblico perseguito, ponendosi così in contrasto con il “principio di proporzionalità”: nel primo caso la Direttiva è stata annullata integralmente (caso rarissimo); nel secondo caso la normativa nazionale è stata dichiarata incompatibile con il diritto dell’UE.

Queste sentenze sono rilevanti per la materia tributaria in quanto fissano un principio fondamen tale per la tutela del trattamento dei dati personali di fronte ad esigenze pubblicistiche rilevanti, qual è – al pari della lotta al terrorismo e alla criminalità – quella di contrastare l’evasione fiscale: vi deve sempre essere “proporzionalità” fra trattamento del dato alla luce dell’obiettivo perseguito ed esigenza di minimizzare l’acquisizione/trattamento/conservazione dei dati personali, ivi compresi, dunque, quelli dei contribuenti.

4. Nel nostro Paese, in assenza di giurisprudenza sovranazionale in materia tributaria sul tale punto, la questione della “proporzionalità” di alcune banche dati e meccanismi di profilazione fiscali esistenti è stata vagliata al Garante della Privacy in applicazione del “Regolamento Generale sulla Protezione dei Dati” (GDPR), con esiti significativi; è stata invece ignorata dalla Corte di Cassazione nella sentenza n. 17485/2018, che si è pronunciata sul tema dei dati personali del contribuente acquisiti/trattati/conservati nell’ambito del c.d. redditometro, ove sono rimasti totalmente in ombra sia i profili concernenti l’esigenza di protezione dei dati personali in quanto tali, sia la proporzionalità e l’adeguatezza dell’archiviazione dei suddetti dati rispetto alle finalità della disciplina del redditometro, nella prospettiva dell’utilizzo per la selezione dei contribuenti da sottoporre a controllo.

I provvedimenti del Garante del 15 dicembre 2018 e del 20 dicembre 2018, aventi ad oggetto la recente disciplina sulla c.d. “fatturazione elettronica”, sono molto importanti in quanto prendono posizione su due aspetti, tra loro differenti, con affermazioni di principio che hanno una potenziale portata espansiva nei confronti di taluni istituti oggi esistenti nel nostro ordinamento e sono importanti anche per il futuro.

Il primo aspetto riguarda la legittimità della memorizzazione di massa di dati del contribuente fiscalmente poco rilevanti (dati strettamente personali, commerciali, ecc.): questi dati non possono essere memorizzati, se non con il consenso del contribuente. Questa posizione, ferma, getta alcune ombre su alcune tipologie di dati che oggi vengono automaticamente comunicati all’Anagrafe tributaria, i quali, alla luce del principio scolpito dal Garante e in linea con la giurisprudenza europea non tributaria supra vagliata, dovrebbero essere estromessi da tale banca dati.

Il secondo aspetto riguarda il riferimento alle esigenze di controllo fiscale: si richiede, in particolare, la specifica indicazione e illustrazione delle modalità di utilizzo dei dati trattati dall’Agenzia per selezionare (ossia profilare) i contribuenti ai fini delle indagini di rischio, ecc. Questo punto potrebbe aprire scenari interessanti ove si dovesse tradurre nel riconoscimento di una maggiore intrusività del sindacato di “proporzionalità” del trattamento massivo di dati ai fini della selezione e del controllo: se così fosse, l’Archivio dei rapporti finanziari – che, così come oggi costituito, accoglie una mole elevatissima di dati – potrebbe essere oggetto di censure sotto il profilo considerato.

5. Quanto alla giurisprudenza della Corte di Giustizia e della Corte EDU in materia fiscale, essa si è polarizzata – come anticipato – intorno agli spazi di tutela del contribuente che voglia contestare le modalità di acquisizione/trattamento/conservazione dei propri dati personali, nel contesto delle procedure di scambio di informazioni, che negli ultimi anni – grazie agli accordi internazionali firmati – hanno consentito il trasferimento su basi automatiche di una quantità crescente di dati dei contribuenti, anche verso Paesi extra-UE.

L’attenzione si è, in ispecie, concentrata su due questioni: la prima è la contestazione, da parte del contribuente, dell’acquisizione da parte dell’Amministrazione di dati personali per l’archiviazione in banche dati fiscali; la seconda riguarda i rimedi procedimentali/processuali in caso di contestazione, da parte del contribuente, del diritto e delle modalità di effettuazione di uno scambio di informazioni.

La prima questione è stata affrontata dalla Corte di Giustizia nella sentenza PUSKAR (27 settembre 2017, causa C-73/16), avente per oggetto la contestazione da parte del contribuente, al cospetto della Direttiva n. 95/46, del suo inserimento in un elenco fiscale di persone che rivestivano fittizie funzioni direttive di molteplici società, che era stato predisposto per garantire la riscossione delle imposte e la lotta alle frodi fiscali: la Corte di Giustizia ne ha sancito la conformità al diritto europeo, riconoscendo in sostanza – si generalizza – la legittimità della iscrizione dei dati di un contribuente in una banca dati (ossia il trattamento e la conservazione dei suoi dati) e rinviando al giudice nazionale la valutazione di “proporzionalità” dell’adempimento rispetto agli obiettivi.

La seconda questione, quella dei rimedi procedimentali/processuali in presenza di un trattamento dei dati effettuato nell’ambito di uno scambio di informazioni, è stata affrontata sia dalla Corte di Giustizia nel caso SABOU (22 ottobre 2013, causa C-276/12) e nel caso BERLIOZ (16 maggio 2017, causa C-682-15), sia dalla Corte EDU, nel fondamentale caso G.S.B. (22 dicembre 2015, ref. 28601/11), ma anche nei casi OTHYMIA INVESTMENTS BV (16 giugno 2015, ref. 75292/10), MN & OTHERS (7 luglio 2015, ref. 28005/12), e BRITO FERRINHO BEXIGA VILLA-NOVA (1 dicembre 2015, ref. 69436/10), con esiti non perfettamente in linea.

La posizione assunta dalla Corte di Giustizia nei due casi menzionati – entrambi riguardanti l’invio dei dati di un contribuente a fronte della richiesta avanzata dall’Autorità fiscale di un altro Paese europeo – risulta irragionevolmente contraddittoria in punto di diritti e tutele: nel caso SABOU, infatti, ha negato l’esistenza di diritti immediatamente tutelabili durante la procedura di scambio di informazioni; nel caso BERLIOZ, invece, ha riconosciuto la possibilità addirittura di un doppio sindacato – da parte del giudice fiscale dello Stato richiedente, da un lato; e da parte delle autorità fiscali dello Stato richiesto, dall’altro – in punto di “proporzionalità” delle informazioni richieste rispetto agli obiettivi di contrasto all’evasione fiscale alla base della richiesta. Diversamente, nei casi affrontati, e supra menzionati, la Corte EDU è stata univocamente garantista, subordinando la legittimità del trasferimento dei dati a una autorità fiscale estera, mediante procedura di scambio di informazioni, all’esistenza della possibilità per il contribuente interessato di adire immediatamente il giudice nazionale (v. G.S.B) o, comunque, alla presenza di adeguate garanzie procedurali idonee a consentire la contestazione della raccolta delle informazioni (v. gli altri casi).

6. Le conclusioni ritraibili dalla giurisprudenza della Corte di Giustizia e della Corte EDU, che è comunque in progressiva evoluzione, sono essenzialmente due.

La prima è che non esiste un’adeguata elaborazione dei limiti e delle condizioni di legittimità, in termini di “proporzionalità”, del trattamento di rilevanti quantità di dati personali nell’ambito di banche dati fiscali. La seconda è che esiste, invece, un forte interesse alla fissazione dei limiti e delle condizioni – all’interno della cornice del diritto europeo e della Convenzione EDU – di possibile tutela dei contribuenti in presenza di un trattamento dei dati personali effettuato nel contesto di uno scambio di informazioni.

Sarà, comunque, da valutare se – e in che misura – le Direttive DAC siano conformi al GDPR, essendo la relativa disciplina speciale rispetto a quella del GDPR e, in ogni caso, non mancando aspetti di difformità di tale Regolamento rispetto alla precedente regime privacy. Sotto questo profilo, la Direttiva che presenta maggiori incognite, sotto il profilo della compatibilità, è la c.d. DAC 6, in ispecie con riguardo alla tutela dei dati che rientrano nella sfera dei rapporti tra professionista/cliente che dovessero essere coperti dal segreto professionale.

La necessità di un’approfondita valutazione in tale senso è divenuta attuale e non procastinabile anche per FACTA e, fors’anche, per CMS, come non ha mancato di rilevare – lo scorso 25 febbraio – l’European Data Protection Board, segnalando la necessità per i singoli Stati di procedere –  dopo la predisposizione delle linee guida in punto di “tutele adeguate” in caso di trasferimento di dati extra-Ue ai sensi dell’art. 46 del citato Regolamento Generale – alla valutazione della conformità degli IGA-FACTA al GDPR.

Scarica il commento in formato pdf

Tag:, , ,