Spinte evolutive (sul piano sovranazionale) e involutive (a livello interno) in tema di bilanciamento fra diritto alla protezione dei dati dei contribuenti ed esigenze di contrasto dell’evasione fiscale
Muovendo dai risultati di una precedente indagine sul tema, e in ideale continuità con essa, nel saggio si analizzano gli sviluppi dell’ultimo lustro, sul duplice piano sovranazionale e interno, in tema di protezione dei dati dei contribuenti nei confronti dell’Amministrazione finanziaria, nella prospettiva di un corretto bilanciamento tra esigenze di contrasto all’evasione fiscale e tutela del diritto alla protezione dei dati personali.
Evolutionary (on a supranational level) and involutionary (at an internal level) pressures regarding the balance between the right to protection of taxpayers’ data and the needs to combat tax evasion. – Building on the results of a previous survey on the subject, and in ideal continuity with it, the essay analyses the developments of the last five years – at both supranational and domestic levels – on the subject of taxpayers’ data protection vis-à-vis the tax authorities, with a view to striking a proper balance between the need to combat tax evasion and the protection of the right to personal data protection.
Keywords:
Sommario: 1. La protezione dei dati personali dei contribuenti quale limite all’acquisizione, conservazione e all’utilizzo degli stessi da parte dell’Amministrazione finanziaria: una breve introduzione. – 2. Il principio di “proporzionalità” fra trattamento del dato alla luce dell’obiettivo perseguito ed esigenza di minimizzare la raccolta dei dati personali dei contribuenti: sintesi di una prima indagine. – 3. (Segue). Sulle conclusioni raggiunte in ambito fiscale con il contributo della giurisprudenza sovranazionale eminentemente “non tributaria”. Un sommario delle direttrici evolutive e involutive dell’ultimo lustro. – 4. La prima direttrice: la conclusione raggiunta in relazione alle banche dati fiscali continua a trovare conferma indiretta nella successiva giurisprudenza della Corte di Giustizia sempre in materie non tributarie. – 5. La seconda direttrice: il tema delle interrelazioni tra protezione dei dati personali e banche dati fiscali è entrato adesso nella sfera di azione della Corte di Giustizia e dalla Corte EDU, sia pur con risultati ancora in fase di assestamento. – 5.1. La sentenza della Corte di Giustizia nel caso SS. SIA: le corrette conclusioni raggiunte sono offuscate dal depotenziamento, sia pur in un obiter dictum, del principio della riserva di legge in materia fiscale. – 5.2. Le sentenze della Corte EDU nel caso L.B. c. Ungheria: gli spiragli di notevole interesse aperti dalla Grande Camera per il rafforzamento della tutela del diritto alla protezione dei dati personali in materia tributaria. – 5.2.1. Sui fattori da ponderare per assicurare un bilanciamento tra interessi erariali e tutela dei diritti fondamentali del contribuente. – 5.2.2. I profili di rilevanza e interesse della decisione della Grande Camera della Corte EDU in relazione al tema oggetto d’indagine. – 6. La terza direttrice: a livello interno, in controtendenza, è stata intrapresa la strada pro-fisco della svalutazione della normativa sulla protezione dei dati personali e del principio di legalità tributaria. – 6.1. Sull’eliminazione del vaglio preventivo del Garante e gli effetti sul ruolo attivo assunto nel corso degli anni in punto di valutazione della proporzionalità delle leggi fiscali – 6.2. Sui riflessi negativi in materia tributaria della legittimazione di trattamenti dei dati personali radicati in “atti amministrativi generali” e meramente necessari all’adempimento di compiti di pubblico interesse. – 7. Osservazioni conclusive: i passi in avanti a livello sovranazionale e all’indietro a livello interno (con problemi di tenuta della normativa nazionale) in punto di bilanciamento fra tutela del diritto di protezione dei dati personali ed esigenze di contrasto dell’evasione fiscale.
1. La “protezione dei dati personali” dei contribuenti nei confronti dell’Amministrazione finanziaria (ancorché aventi tecnicamente diversa portata, nel prosieguo saranno utilizzati come sinonimi “privacy” e “riservatezza”: v., per tutti, Patrono P., [voce] Privacy, in Enc. dir., XXXV, 1986, 575 ss.; Cerri A., Riservatezza [diritto alla], III, Diritto costituzionale, in Enc. giur., XXVII, 1995, 3 e, più di recente, Kokott J. – Sabotta C., The distinction between privacy e data protection in the jurisprudence of the CJJEU and the ECtHR, in Int’l Data Prrivacy, 2013, 222 ss.) è tema abbastanza trascurato nella nostra materia, nonostante la sua importanza sia non solo attuale ma destinata a crescere esponenzialmente in tempi brevi: il sempre maggiore ricorso alla tecnologia per gli adempimenti tributari consente, infatti, l’acquisizione e la conservazione in apposite banche dati di enormi quantità di informazioni dei contribuenti (v. la fatturazione elettronica, l’archivio dei rapporti finanziari, l’anagrafe tributaria, ecc.) da utilizzare nelle attività di controllo e di accertamento.
Qual è il problema? E’ che la protezione dei dati personali pone dei limiti alla acquisizione, alla conservazione e all’utilizzo dei suddetti dati da parte dell’Amministrazione finanziaria, e ciò nella prospettiva di un corretto bilanciamento tra esigenze di contrasto all’evasione fiscale e tutela del diritto alla protezione dei dati personali.
E infatti, il diritto del contribuente alla protezione dei dati può affermarsi, da un lato e innanzitutto, come limite al massivo utilizzo di adempimenti che comportano l’acquisizione e la conservazione di grandi quantità di dati personali, non sempre di stretto e diretto interesse fiscale; e, dall’altro lato, come limite all’utilizzo di dati personali comunque acquisiti dall’Amministrazione per selezionare i contribuenti da assoggettare a controllo e ad accertamento (di recente sulla tematica in esame, Pitruzzella G., Dati fiscali e diritti fondamentali, in Dir. prat. trib. int., 2022, 2, 666 ss.).
2. Di questo tema mi ero occupato cinque anni fa, nel 2019, in occasione di un convegno organizzato presso l’Università di Salerno, e su lungimirante sollecitazione di Pasquale Pistone che lo aveva organizzato, giungendo alla conclusione che la tutela del trattamento dei dati personali di fronte a esigenze pubblicistiche – qual è quella di contrastare l’evasione fiscale – non può che passare dal principio di “proporzionalità”: vi deve sempre essere “proporzionalità” fra trattamento del dato alla luce dell’obiettivo perseguito ed esigenza di minimizzare l’acquisizione, il trattamento e la conservazione dei dati personali dei contribuenti (per la relazione al citato convegno, Contrino A., Banche dati tributarie, scambio di informazioni fra autorità fiscali e “protezione dei dati personali”: quali diritti e tutele per i contribuenti?, in Riv. tel. dir. trib., 2019, 1, I, 7 ss.; il tema è stato poi approfondito in Contrino A. – Ronco S.M., Prime riflessioni e spunti in tema di protezione dei dati personali in materia tributaria, alla luce della giurisprudenza della Corte di giustizia e della Corte EDU, in Dir. prat. trib. int., 2019, 3, 599 ss.).
Per raggiungere tale conclusione l’indagine era stata svolta sia a livello interno sia a livello sovranazionale.
A livello interno, erano stati di ausilio alcuni Provvedimenti del Garante della Privacy (quelli in tema di fatturazione elettronica del 15 dicembre 2018 e del 20 dicembre 2018), che – proprio con la lente della “proporzionalità” – aveva escluso la legittimità della memorizzazione di massa di dati del contribuente fiscalmente poco rilevanti (dati strettamente personali, commerciali ecc.), se non con il consenso espresso del contribuente. Non altrettanto si può dire della giurisprudenza della Cassazione: nell’unica sentenza pronunciatasi sul tema dei dati personali del contribuente acquisiti/trattati/conservati nel contesto del “redditometro” (n. 17485/2018), sia il profilo concernente l’esigenza di protezione dei dati personali in quanto tali, sia la proporzionalità e l’adeguatezza dell’archiviazione dei suddetti dati rispetto alle finalità della disciplina del redditometro, sono rimasti totalmente in ombra.
A livello sovranazionale, la ricerca della giurisprudenza della Corte di Giustizia e della Corte EDU in materia fiscale non è stata molto fruttuosa, poiché la grande parte delle sentenze rivenute riguardava i rimedi procedimentali/processuali in caso di contestazione da parte del contribuente del diritto e delle modalità di effettuazione di uno scambio di informazioni (fra le sentenze successive al 2019 in punto di tutela dei dati personali nell’ambito della cooperazione e dell’assistenza reciproca nel settore della fiscalità, si segnala, in modo particolarea, CGUE, 6 ottobre 2020, cause riunite C-245/19 e C-246/19, Etat Luxembourgeois; sul tema, v. specificamenee Ronco S.M., Data Protection in Direct Tax Matters and Developments from the EU Standpoint: The Case of Automatic Exchange of Information, in International Tax Studies, 2020, 4, 20 ss.; Costanzo L., La tutela dei diritti del contribuente al crocevia tra cooperazione amministrativa e integrazione euruotributaria, in Riv. tel. dir. trib., 2020, 2, XIV, 988 ss.); nell’unica sentenza soffermatasi sulla possibilità di contestazione da parte del contribuente dell’acquisizione di dati personali per l’archiviazione in banche dati fiscali (sent. 27 settembre 2017, causa C-73/16, Puskar, che riguardava, in particolare, l’inserimento in un elenco fiscale di persone che rivestivano fittizie funzioni direttive di molteplici società, predisposto per garantire la riscossione delle imposte e la lotta alle frodi fiscali), la Corte di Giustizia si è pronunziata a favore della iscrizione, rinviando al giudice nazionale la valutazione di “proporzionalità” dell’adempimento rispetto agli obiettivi.
Determinante, invece, è stato il vaglio della giurisprudenza della Corte di Giustizia in talune materie non fiscali (in particolare, il contrasto al terrorismo e alla criminalità internazionale): nelle sentenze Digital Rights Ireland (8 aprile 2014, cause riunite C-293/12 e C-594/12) e Tele2-Sverige AB (21 dicembre 2016, C-203-15), la Corte di Giustizia ha annullato integralmente una Direttiva (caso rarissimo) e dichiarato incompatibile con il diritto UE una normativa interna che prevedevano, seppur per rilevanti fini di interesse pubblico (appunto, il contrasto al terrorismo e alla criminalità internazionale), una raccolta e il trattamento di dati personali su base generalizzata (senza distinzioni, limitazioni o eccezioni di carattere soggettivo ed oggettivo) che consentiva di trarre conclusioni molto precise circa la vita privata delle persone i cui dati erano acquisiti e conservati, ritenendole in contrasto con il principio di proporzionalità.
3. In definitiva, soprattutto grazie alla giurisprudenza sovranazionale “non tributaria” si è potuto trarre la conclusione, che poteva leggersi solo in filigrana nei provvedimenti del Garante della Privacy, che anche in ambito fiscale una banca dati può ritenersi legittima se, e solo se, la raccolta dei dati ivi contenuti non determini un’ingerenza grave nei diritti fondamentali al rispetto della vita privata e alla tutela dei dati personali, di cui agli artt. 7 e 8 della Carta europea, e sia, dunque, limitata a quanto strettamente necessario al conseguimento degli obiettivi di interesse pubblico perseguito (sulla diversa intensità dell’ingerenza, che può essere “non grave”, “grave” e “molto grave”, e i riflessi sull’applicazione del principio di proporzionalità, v. CGUE, 6 ottobre 2020, causa C-511/18, La Quadrature du Net)
Nell’indagine condotta, questa conclusione era accompagnata da una constatazione: l’inesistenza, a quel momento, di un’adeguata elaborazione dei limiti e delle condizioni di legittimità, in termini di “proporzionalità”, del trattamento di rilevanti quantità di dati personali nelle banche dati fiscali. E infatti, nella sentenza Puskar, pur richiamando il principio di proporzionalità e ammonendo che le deroghe e le restrizioni alla tutela dei dati personali debbano avvenire entro i limiti dello stretto necessario, la Corte di Giustizia si è astenuta dall’illustrare a quali condizioni l’iscrizione di un contribuente in una banca dati possa essere ritenuta idonea e necessaria al raggiungimento degli obiettivi perseguiti dal legislatore fiscale, lasciando al giudice nazionale il compito di verificare la proporzionalità dell’adempimento rispetto agli obiettivi voluti dal legislatore.
Cosa è successo in questi cinque anni? Sul tema vi sono state molte novità, soprattutto in tempi recenti, che possono essere sintetizzate lungo tre direttrici.
La prima: la conclusione raggiunta in relazione alle banche dati fiscali, e sopra sintetizzata, continua a trovare conferma indiretta nella successiva giurisprudenza della Corte di Giustizia sempre in materie non tributarie. La seconda: il tema delle interrelazioni tra protezione dei dati personali e banche dati fiscali è stato specificamente affrontato dalla Corte di Giustizia e dalla Corte EDU, sia pur – come vedremo – con risultati ancora in fase di assestamento. La terza: a livello interno, in controtendenza, ci si è incamminati sulla strada della svalutazione della normativa sulla protezione dei dati personali per facilitare, nella sostanza, l’attività di controllo e di accertamento della Amministrazione finanziaria.
4. La necessità che, in forza del diritto fondamentale dei contribuenti alla protezione dei dati personali, l’acquisizione e la conservazione dei dati personali da parte dell’Amministrazione debbano essere valutati sempre con il parametro della proporzionalità ha trovato indiretta conferma nella più recente giurisprudenza della Corte di Giustizia in materia di obblighi antiriciclaggio.
Il riferimento è alla sentenza 22 novembre 2022, cause riunite n. C-37/20 e C-601/20 (annotata da Lassalle M., Who cares about financial privacy?: the Court of Justice in WM, Sovim SA v Luxembourg Business Registers [C-37/20 and C-601/20], in EU Law Live, 16 dicembre 2022), con cui la Corte di Giustizia ha dichiarato l’invalidità di alcune disposizioni della Direttiva antiriciclaggio (la n. 2015/849, come modificata dalla Direttiva n. 2018/843) che prevedevano l’accessibilità al pubblico, senza condizioni, di tutte le informazioni contenute in un Registro dei titolari effettivi delle società e delle altre entità giuridiche costituite nel territorio dello Stato (nella specie, il Lussemburgo), ritenendo che ciò determinasse un’ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, rispettivamente sanciti agli artt. 7 e 8 della Carta, non proporzionata rispetto all’obiettivo di prevenire il riciclaggio di denaro e il finanziamento del terrorismo.
E in effetti, in relazione a tale obiettivo era palesemente eccessivo il riconoscimento dell’accesso alla banca dati a numero potenzialmente illimitato di persone, con possibilità altrettanto illimitata di conservazione e ulteriore divulgazione, di tutte le informazioni ivi contenute riguardanti la situazione personale, materiale e finanziaria del titolare effettivo.
Se nel caso delle banche dati fiscali il primo problema – l’accessibilità a un pubblico indiscriminato – non si pone, non altrettanto si può dire per il secondo: in materia fiscale, l’acquisizione e la conservazione devono riguardare sempre e solo i dati personali del contribuente strettamente rilevanti per le attività di controllo e di accertamento, e non su base generalizzata, senza distinzioni e limiti, determinandosi in caso contrario un’ingiustificata ingerenza anche nella vita privata (abitudini, luoghi di soggiorno, spostamenti, relazioni sociali, orientamenti sessuali, ambienti frequentati, ecc.) in contrasto con gli artt. 7 e 8 della Carta europea.
5. Oltre a confermare indirettamente la conclusione raggiunta in sede di prima indagine del tema, la recente giurisprudenza della Corte di Giustizia e della Corte EDU ha iniziato ad approfondire specificamente la questione della compatibilità delle misure nazionali di carattere tributario con il diritto alla protezione dei dati personali.
Il riferimento è, per un verso, alla sentenza della CGUE 24 febbraio 2022, C-175/20, SS SIA, e, per altro verso, alle sentenze della Corte EDU 21 gennaio 2021 e della Grande Camera della Corte EDU 9 marzo 2023, entrambe nel caso L.B. c. Ungheria.
5.1. La sentenza SS. SIA della Corte di Giustizia affronta specificamente il tema del bilanciamento fra il diritto alla riservatezza dei dati personali dei contribuenti e il dovere delle Autorità fiscali nazionali di adempiere ai propri compiti avvalendosi anche di informazioni sensibili sotto il profilo della privacy (la sentenza è stata annotata da Tomo A., La “forza centripeta” del diritto alla protezione dei dati personali: la Corte di giustizia sulla rilevanza in ambito tributario dei principi di propozionalità, accountability e minimizzazione, in Dir. prat. trib. int., 2022, 2, 908 ss.; sul tema in generale, v., per tutti e in modo specifico, Marcheselli A. – Ronco S.M., Dati personali, Regolamento GDPRR e indagini dell’amministrazione finanziaria: un modello moderno di tutela dei diritti fondamentali?, in Riv. dir. trib., 2022, 2, I, 98 ss.).
Nel caso di specie, la domanda di pronuncia pregiudiziale del giudice nazionale verteva sulla corretta interpretazione dell’art. 5, par. 1 del “Regolamento Generale sulla Protezione dei Dati” (Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 – “GDPR”), nell’ambito di una controversia tra l’Amministrazione finanziaria e una società sulla richiesta della prima di comunicazione mensile (senza limitazione temporale) di tutti i dati dei contribuenti (senza limitazioni quantitative) che pubblicavano annunci di vendita di veicoli sul sito internet gestito dalla seconda, per l’esecuzione di misure specifiche concernenti la riscossione delle imposte.
La Corte di Giustizia ha sancito che le disposizioni del GDPR non ostano a che l’Amministrazione finanziaria di uno Stato membro imponga a una società di comunicare informazioni relative ai contribuenti che sono clienti della stessa, a condizione che i dati (i) siano necessari rispetto alle finalità specifiche per le quali sono raccolti; (ii) il periodo oggetto della raccolta non oltrepassi la durata strettamente necessaria per raggiungere l’obiettivo di interesse generale perseguito.
Il problema di questa sentenza riguarda la premessa su cui è assisa la conclusione.
E infatti, dopo aver chiarito che la raccolta di una quantità significativa di dati personali come quella in esame è senz’altro soggetta ai requisiti imposti dal GDPR, in particolare a quelli di cui al citato 5, par. 1, la Corte di Giustizia ha sancito che le relative norme sono inderogabili per l’Amministrazione finanziaria di uno Stato membro, a meno che la deroga non sia espressamente prevista da una “misura legislativa” nazionale adottata ai sensi dell’art. 23 del GDPR, che consente limitazioni della portata degli obblighi e dei diritti previsti dal Regolamento qualora la limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare importi obiettivi di interesse pubblico generale dell’Unione o dello Stato interessato, come, in particolare, un rilevante interesse economico o finanziario, anche in materia di bilancio e tributaria. Con la precisazione che “il riferimento in tale Regolamento a una «misura legislativa» non richiede necessariamente l’adozione di un atto legislativo da parte del Parlamento”.
E’ quest’ultimo obiter dictum il punto dolente della sentenza, perché, leggendolo dalla prospettiva italiana, ciò si traduce nel depotenziamento del principio della riserva di legge costituzionalmente tutelata, che – come evidenziato in occasione del primo convegno del PRIN svoltosi a Napoli lo scorso ottobre (i contenuti della relazione a tale convegno sono stati ripresi e approfonditi in Contrino A., Digitalizzazione dell’amministrazione finanziaria e attuazione del rapporto tributario: questioni aperte e ipotesi di lavoro nella prospettiva dei princìpi generali, in Riv. dir. trib., 2023, 2) – è presidio di garanzia per un corretto bilanciamento degli interessi pubblici e privati anche nei rapporti tributari digitalizzati.
Non va dimenticato, d’altronde, che tra gli antecedenti storici della riserva di legge recepita dalla nostra Costituzione vi è anche l’art. 14 della Dichiarazione Universale dei Diritti dell’Uomo e del Cittadino del 1789, ove è chiaro il riferimento anche al versante dall’attuazione (“recouvrement de l’impôt”) come ambito coperto dalla riserva di legge in materia tributaria.
E’, dunque, da stigmatizzare, ancorché si tratti – come detto – di un obiter dictum – la precisazione che il riferimento nel GDPR a una “misura legislativa” non richiede necessariamente l’adozione di un atto legislativo da parte di un Parlamento per derogare ai principi generali in materia di protezione dei dati personali quando si tratta di utilizzo per fini di contrasto all’evasione.
Tale assunto può, forse, avere un senso nella prospettiva del diritto europeo, ma è indubbio che, laddove gli ordinamenti costituzionali degli Stati membri la prevedano in materia fiscale, la maggiore garanzia della riserva di legge richiesta deve essere soddisfatta.
5.2. Se la sentenza della Corte di Giustizia, appena esaminata, presenta aspetti problematici sotto il profilo del principio di legalità tributaria, la recentissima giurisprudenza della Corte EDU, nel caso L.B. c. Ungheria, apre spiragli di notevole interesse nella prospettiva del rafforzamento della tutela del diritto alla protezione dei dati personali in materia tributaria.
Nella relativa vertenza, è stata esaminata la compatibilità con il diritto alla protezione dei dati personali di una legislazione nazionale, quella ungherese, che prevedeva la pubblicazione sul sito della Autorità fiscale della lista dei “grandi evasori”, individuati nei contribuenti che avevano debiti certi col Fisco per un importo superiore a circa 30.000 euro, e in particolare dei seguenti dati personali: nome, cognome, indirizzo di residenza, codice fiscale e ammontare del debito tributario (lista che, per inciso, era stata poi ripubblicata da un sito web privato, il quale aveva realizzato una mappa interattiva che individuava geograficamente gli evasori mediante punti e che, cliccandoci sopra, forniva i loro dati personali).
Con la sentenza 21 gennaio 2021 (annotata da Chiarizia G., La pubblicazione della lista di evasori [caso L.B. c. Ungheria]: il fine giustifica sempre i mezzi, in Giustizia insieme.it, 6 maggio 2021; Tomo A., Liste evasori e CEDU: riflessioni in merito alla (dubbia) proporzionalità delle misure di public shame, in Riv. tel. dir. trib., 2021, 2, I, 677 ss.; Marinello A., Pubblicazione di dati personali dei contribuenti e rispetto della vita privaa secondo la Corte EDU: la difficile ricerca di un equilibrio tra interesse fiscale e diritto alla riservatezza, in Riv. dir. trib., 2022, 1, IV, 12 ss.), la Corte EDU aveva sancito, in via generale, che la valutazione di proporzionalità delle misure legislative nazionali fosse rimessa essenzialmente alla discrezionalità degli Stati, salvo i casi di manifesta irrazionalità, e, in modo specifico, che la pubblicazione su internet dei dati personali dei “grandi evasori” da parte dell’Amministrazione finanziaria non violasse l’art. 8 della CEDU in materia di protezione della riservatezza, ritenendo tale ingerenza nella vita privata giustificata e proporzionale in una società democratica, ossia rientrante nel margine di apprezzamento concesso agli Stati in materia di scelte di politica sociale ed economica, al cui interno rientra quella fiscale (sul tema del “margine di apprezzamento”, v., fra gli altri, Brauch J.A., The Margin of Apprecitaion and the Jurisprudence of the European Court of Human Rights: Threat to the Rule of Law, in Columbia Journal of European Law, 2004, 113 ss.; Tanzarella P., Il margine di apprezzamento, in Cartabia M., a cura di, I diritti in azione, Bologna, 2007, 149 ss.; Bindi E., La Corte EDU alla ricerca del giusto equilibrio tra politica fiscale e tutela dei diritti fondamentali [sentenza 1° maggio 2013, N.K.M v. Ungheria], in Ianus, 2016, 22 ss.).
Com’è evidente, questa sentenza annientava il diritto alla protezione dei dati personali in materia tributaria, accordando, in via pressoché generalizzata, prevalenza all’interesse erariale al contrasto dell’evasione fiscale rispetto al diritto alla riservatezza dei contribuenti, ancorché evasori.
La conclusione di questa sentenza è stata, tuttavia e per fortuna, ribaltata dalla Grande Camera della Corte EDU, con una pronuncia resa il 9 marzo 2023, che ha riconosciuto la sussistenza nel caso di specie di una violazione dell’art. 8 della CEDU in materia di protezione della riservatezza, argomentando che il margine di apprezzamento riconosciuto agli Stati in materia anche tributaria non è illimitato, ma subordinato al rispetto di alcuni requisiti idonei ad assicurare un bilanciamento tra interessi erariali e tutela dei diritti fondamentali del contribuente.
5.2.1. Per la Grande Camera della Corte EDU, in particolare, i fattori da ponderare nella valutazione di bilanciamento sono i seguenti:
(i) l’interesse pubblico legato alla disseminazione delle informazioni fiscali dei contribuenti;
(ii) la natura e tipologia delle informazioni che vengono rese pubbliche;
(iii) le ripercussioni in capo al contribuente e i rischi per la sua vita privata in conseguenza della pubblicazione di tali informazioni;
(iv) la tipologia del ‘mezzo di comunicazione’ tramite il quale sono rese note le informazioni (se in formato cartaceo o su Internet con libero accesso da parte del pubblico), in quanto, a seconda del mezzo di comunicazione utilizzato, i dati possono avere una diffusione più o meno ampia a livello nazionale e globale;
(v) le principali norme in materia di protezione dei dati personali che si rendono applicabili, quali, ad esempio, quelle relative alla minimizzazione dei dati resi pubblici e al periodo massimo di conservazione dei dati.
Nell’introdurre l’obbligo di pubblicazione dei dati personali dei contribuenti-evasori, il legislatore ungherese non aveva ponderato bene i suddetti fattori.
E infatti, non aveva fatto alcuna valutazione dei possibili effetti di tale obbligo sulla vita privata dei contribuenti, né dell’efficacia dei presidi esistenti per assicurare la tutela l’interesse erariale senza pregiudicare l’interesse dei contribuenti alla tutela della propria vita privata. Inoltre, non aveva fatto alcuna valutazione della proporzionalità di tale obbligo di pubblicazione con il principio della tutela privata del debitore, in considerazione sia dei rischi connessi all’utilizzo abusivo da parte di terzi dell’indirizzo di casa del debitore, sia della diffusione a livello non solo nazionale, ma addirittura globale, che avrebbero avuto i dati, con elevati danni reputazionali in capo ai contribuenti interessati,
In breve, il legislatore tributario non aveva, a monte, neanche cercato di trovare un giusto equilibrio tra i contrapposti interessi individuali e pubblici nella doverosa prospettiva di garantire la proporzionalità dell’ingerenza predisposta.
5.2.2. In relazione al nostro tema, la decisione della Grande Camera della Corte EDU nel caso L.B. c. Ungheria è molto interessante e rilevante sotto diversi profili.
Innanzitutto, essa getta “un ponte” tra giurisprudenza sovranazionale in materie non tributarie e giurisprudenza sovranazionale in ambito tributario, rendendo comune il principio secondo cui la raccolta e la conservazione di dati personali devono essere limitate, in ogni materia, a quanto strettamente necessario al conseguimento degli obiettivi di interesse pubblico perseguito.
In secondo luogo, essa afferma, per la prima volta in modo netto, che anche in ambito tributario gli obiettivi di tutela degli interessi erariali devono essere oggetto di bilanciamento con il diritto alla protezione dei dati personali, e che le norme nazionali relative alla raccolta e all’utilizzo di dati dei contribuenti debbono essere vagliate alla luce di un sindacato di proporzionalità attento a contemperare gli interessi contrapposti.
Da ultimo, è interessante osservare che, pur riconoscendo l’esistenza di un ampio margine di apprezzamento in materia da parte degli Stati, per la Corte EDU essi sono comunque tenuti a valutare in concreto, e prima dell’introduzione della normativa, se gli obblighi di raccolta e trattamento di dati personali, che con essa si prevedono, sono realmente indispensabili o se non vanno al di là di quanto necessario in una società democratica.
6. La terza e ultima direttrice di novità, nell’arco dell’ultimo lustro preso in considerazione, riguarda il piano interno, ove – neanche a dirlo – il cammino intrapreso, in punto di tutela dei dati personali in materia fiscale, è esattamente opposto a quello percorso dalla giurisprudenza sovranazionale.
Come si è evidenziato in apertura, a livello interno l’unico e importante contributo sulla questione della proporzionalità di talune banche dati fiscali era stato dato dal Garante della Privacy (l’occasione era stato il vaglio del sistema di fatturazione elettronica), che, in linea con la giurisprudenza sovranazionale nelle materie non tributarie, aveva valorizzato l’obiettivo la minimizzazione dei dati personali che si acquisiscono in materia tributaria nel contesto di un bilanciamento orientato ai canoni della proporzionalità.
Questo primo approccio aveva aperto scenari interessanti, e potenzialmente fecondi di sviluppi, laddove la posizione si fosse evoluta fino al punto di legittimare una maggiore intrusività del sindacato di proporzionalità del trattamento massivo di dati ai fini delle attività di selezione e controllo dei contribuenti. In tale prospettiva, ad esempio, sarebbe stato possibile mettere in discussione la legittimità dell’Archivio dei rapporti finanziari – che, così come oggi costituito, accoglie una mole elevatissima di dati – alla luce dei criteri di proporzionalità e di adeguatezza del trattamento, pur a fronte degli obiettivi istituzionali di contrasto all’evasione e alla repressione degli illeciti fiscali.
Cosa ha fatto il nostro legislatore? In un trend di generalizzata deferenza verso le istanze di provenienza pubblica, e specificamente in occasione delle modifiche apportate dal D.L. 8 ottobre 2021, n. 139 al Codice della Privacy, ha depotenziato il ruolo del Garante della Privacy e aggirato il principio di legalità in materia tributaria a tutto (e solo) beneficio delle attività di controllo e accertamento dell’Amministrazione finanziaria.
6.1. Quanto al primo profilo, con l’art. 9, comma 1, lett. b), è stato abrogata la disposizione (in ispecie, l’art. 2-quinquesdecies, D.Lgs. n. 196/2003) che prevedeva, con riferimento ai trattamenti svolti per l’esecuzione di compiti di interesse pubblico e con rischi elevati per la tutela dei dati personali (nel quadro dell’art. 35, Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016), la possibilità per il Garante di adottare provvedimenti di carattere generale atti a prescrivere misure e accorgimenti a tutela degli intessati (nel nostro caso, i contribuenti), che il titolare del trattamento era poi tenuto ad adottare (nel nostro caso, l’Amministrazione finanziaria).
L’abrogazione di tale vaglio preventivo produrrà, inevitabilmente, l’effetto di modificare, obliterandolo, il ruolo sempre più attivo che, nel legittimo esercizio delle sue prerogative, il Garante aveva assunto negli ultimi anni quale Autorità deputata a vagliare la rispondenza, specie in termini di proporzionalità, tra gli obiettivi delle misure legislative e le esigenze di tutela dei dati personali anche nel settore fiscale, com’è stato in occasione della fatturazione elettronica.
Nell’attuale modello, il Garante della Privacy può essere coinvolto dal titolare del trattamento soltanto dopo un filtro basato sull’auto-valutazione dell’esistenza di rischi elevati nel trattamento dei dati personali, con l’effetto che il titolare del trattamento (nel nostro caso, sempre l’Amministrazione) potrebbe sottostimare il livello di rischio, per errore o in maniera intenzionale, impedendo conseguentemente all’Autorità di controllo di venire a conoscenza del trattamento e poter approntare eventuali correttivi in via preventiva.
6.2. Quanto al secondo profilo, con l’art. 9, comma 1, lett. a), n. 1), del medesimo D.L. n. 139/2021 è stato previsto che il trattamento dei dati personali deve ritenersi lecitamente effettuato anche qualora la relativa base giuridica sia contenuta in un “atto amministrativo generale”, come sostanzialmente affermato anche dalla Corte di Giustizia nella già illustrata sentenza SS SIA del 2002 (le critiche effettuate sul punto s’intendono, per ciò, qui richiamate). E in aggiunta, al successivo n. 2) della stessa lett. a), è stato previsto che il trattamento dei dati personali da parte delle Amministrazioni pubbliche è consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad esse attribuiti, nel rispetto dell’art. 6 del GDPR (su cui, v., per tutti, Poletti D., Sub Art. 6, Regolamento generale sulla protezione dei dati, in D’Orazio R. – Finocchiaro G.D. – Pollicino O. – Resta G., a cura di, Codice della privacy e data protection, Milano, 2021, 199 ss.)
Cosa prevede, in sintesi, quest’ultima disposizione? Che il trattamento dei dati personali è lecito solo se e nella misura in cui ricorra una sola delle sei fattispecie ivi elencate.
Ora, poiché la quinta fattispecie prevede il caso in cui il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, è ben evidente che, in materia fiscale, il trattamento dei dati personali da parte dell’Amministrazione finanziaria finisce con l’essere sempre lecito, anche se assiso su un “atto amministrativo generale” che si colloca naturaliter al di fuori del principio di legalità di cui all’art. 23 Cost., essendo sempre funzionale al contrasto dell’evasione finale. Con buona pace, in definitiva, del diritto dei contribuenti alla protezione dei dati personali e del canone di proporzionalità nella prospettiva di un doveroso equilibrio tra i contrapposti interessi pubblico e privato.
7. Tirando le fila del discorso, e in conclusione, si può affermare che, rispetto a cinque anni fa, significati passi avanti sono stati fatti a livello sovranazionale, essendosi rafforzato nella giurisprudenza in materie non tributarie e divenuto comune alla giurisprudenza in materia fiscale il principio secondo cui la tutela del trattamento dei dati personali di fronte a esigenze pubblicistiche – qual è anche quella di contrasto l’evasione fiscale – va sempre garantita attraverso il giudizio di proporzionalità, i cui contorni, a differenza del passato, risultano oggi tracciati nella sentenza resa il 9 marzo 2023 dalla Grande Camera della Corte EDU.
Per converso, significativi passi indietro sono stati fatti a livello interno, dove, se la giurisprudenza apicale è rimasta ferma alla sentenza su redditometro, sostanzialmente elusiva del problema in esame, il legislatore nazionale si è prodigato: (i) nel ridimensionare l’importante ruolo assunto dal Garante della Privacy in tema di bilanciamento delle opposte esigenze di protezione dei dati personali e di contrasto dell’evasione fiscale, impedendogli di agire in via preventiva di propria iniziativa; (ii) nel mortificare il principio di riserva di legge in materia tributaria, consentendo trattamenti di dati personali fondati su atti amministrativi generali; e, in definitiva, (iii) nel legittimare, sempre e a prescindere, il trattamento dei dati da parte dell’Amministrazione finanziaria, riconoscendo prevalenza all’interesse pubblico al contrasto dell’evasione fiscale
Se si considera – e concludo – che nel caso LB c. UNGHERIA l’argomento principe che ha portato la Corte EDU a sancire l’illegittimità della normativa ungherese era l’approvazione “a scatola chiusa” da parte del Parlamento della normativa, scrutinata senza domandarsi se fosse davvero proporzionata e se vi fossero soluzioni alternative meno intrusive nella vita privata del contribuente, è ben evidente che – se in Italia si depotenzia il ruolo del Garante e si ammette che misure di grande intrusività nella vita privata dei contribuenti possano essere demandate addirittura ad atti amministrativi generali – la normativa nazionale si pone, forse, in rotta di collisione con i principi affermati dalla Corte EDU.
(*) Testo, con l’aggiunta della bibliografia essenziale, della relazione svolta dall’Autore al Webinar “In-Visibili: poteri, dati e modelli di business nella digitalizzazione tributaria”, organizzato dall’Università degli Studi di Torino e svoltosi il 14 aprile 2023, nell’ambito del progetto di ricerca “PRIN 2020 – La digitalizzazione dell’Amministrazione finanziaria tra contrasto all’evasione e tutela dei diritti del contribuente”.
BIBLIOGRAFIA ESSENZIALE
Baker P. – Pistone P., General Report, in The Practical Protection of Taxpayers’ Fundamental Rights, in IFA Cahiers, vol. 100B, 2015
Brauch J.A., The Margin of Apprecitaion and the Jurisprudence of the European Court of Human Rights: Threat to the Rule of Law, in Columbia Journal of European Law, 2004, 113 ss.
Bindi E., La Corte EDU alla ricerca del giusto equilibrio tra politica fiscale e tutela dei diritti fondamentali (sentenza 1° maggio 2013, N.K.M v. Ungheria), in Ianus, 2016, 22 ss.
Califano L., La protezione dei dati personali e il ruolo del Garante in ambito pubblico, in Busia – Liguori L. – Pollicino O. (a cura di), Le nuove frontiere della privacy nelle tecnologie digitali, Roma, 2016, 25 ss.
Caporale M., Sub Art. 23, Regolamento generale sulla protezione dei dati, in D’Orazio R. – Finocchiaro G.D. – Pollicino O. – Resta G. (a cura di), Codice della privacy e data protection, Milano, 2021, 391 ss.
Carinci A., Il sistema multilivello dei diritti del contribuente, tra pluralità di fonti e molteplicità di modelli di tutela, in Carinci A. – Thassani T. (a cura di), I diritti del contribuente. Principi, tutele e modelli di difesa, Milano, 2022, 3 ss.
Carinci A., Fisco e privacy: storia infinita di un apparente ossimoro, in il fisco, 2019, 46, 4407 ss.
Cerri A., Riservatezza (diritto alla), III, Diritto costituzionale, in Enc. giur., XXVII, 1995, 3
Chiarizia G., La pubblicazione della lista di evasori (caso L.B. c. Ungheria): il fine giustifica sempre i mezzi, in Giustizia insieme.it, 6 maggio 2021
Chiti E. – Marchetti B. – Rangone N., L’impiego di sistemi di intelligenza artificiale nelle pubbliche amministrazioni italiane: prove generali, in Pajno A. – Donati F. – Perucci F.A. (a cura di), Intelligenza artificiale e diritto: una rivoluzione, Bologna, 2022, 43 ss.
Ciciriello M.C., Il principio di proporzionalità nel diritto comunitario, Napoli, 1999
Contrino A., Banche dati tributarie, scambio di informazioni fra autorità fiscali e “protezione dei dati personali”: quali diritti e tutele per i contribuenti?, in Riv. tel. dir. trib., 2019, 1, I, 7 ss.
Contrino A. – Ronco S.M., Prime riflessioni e spunti in tema di protezione dei dati personali in materia tributaria, alla luce della giurisprudenza della Corte di giustizia e della Corte EDU, in Dir. prat. trib. int., 2019, 3, 599 ss.
Contrino A., Digitalizzazione dell’amministrazione finanziaria e attuazione del rapporto tributario: questioni aperte e ipotesi di lavoro nella prospettiva dei princìpi generali, in Riv. dir. trib., 2023, 2
Costanzo L., La tutela dei diritti del contribuente al crocevia tra cooperazione amministrativa e integrazione euruotributaria, in Riv. tel. dir. trib., 2020, 2, XIV 988 ss.
Crespi S., Sicurezza nazionale e diritti fondamentali alla luce della giurisprudenza UE in materia di tutela dei dati personali, in Riv. it. dir. pub. com., 2017, 5, 983 ss.
Dell’Utri M., Principi generali e condizioni di liceità del trattamento dei dati personali, in Cuffaro V. – D’Orazio R. – Ricciuto V. (a cura di), I dati personali nel diritto europeo, Torino, 2019, 179 ss.
Donati F. – Milazzo P. La dottrina del margine di apprezzamento nella giurisprudenza della Corte europea dei Diritti dell’Uomo, in Rivista AIC, 2002, 21 ss.
D’Orazio R. – Finocchiaro G.D. – Pollicino O. – Resta G. (a cura di), Codice della privacy e data protection, Milano, 2021
Farace D., Progettazione, conformità e sostenibilità del trattamento dei dati personali, in Cuffaro V. – D’Orazio R. – Ricciuto V. (a cura di), I dati personali nel diritto europeo, Torino, 2019, 731 ss.
Farri F., Digitalizzazione dell’amministrazione finanziaria e diritti dei contribuenti, in Riv. dir. trib., 2020, 6, V, 115 ss.
Giuliani F. – Chiarizia G., Diritto tributario, CEDU e diritti fondamentali dell’UE, Milano, 2017, 243 ss.
Kokott J. – Sabotta C., The distinction between privacy e data protection in the jurisprudence of the CJJEU and the ECtHR, in Int’l Data Prrivacy, 2013, 222 ss.
Lassalle M., Who cares about financial privacy?: the Court of Justice in WM, Sovim SA v Luxembourg Business Registers [C-37/20 and C-601/20], in EU Law Live, 16 dicembre 2022
Mantelero A., Personal data for decisional purposes in the age of analytics: from an individual perspective to a collective dimension of data protection, in Computer Law & Security Review, 2016, 238 ss.
Marcheselli A. – Contrino A., Il redditometro 2.0, tra esigenze di privacy, efficienza dell’accertamento e tutela del contribuente, in Dir. prat. trib., 2014, 4, I, 679 ss.
Marcheselli A. – Ronco S.M., Dati personali, Regolamento GDPRR e indagini dell’amministrazione finanziaria: un modello moderno di tutela dei diritti fondamentali?, in Riv. dir. trib., 2022, 2, I, 98 ss.
Marinello A., Pubblicazione di dati personali dei contribuenti e rispetto della vita privaa secondo la Corte EDU: la difficile ricerca di un equilibrio tra interesse fiscale e diritto alla riservatezza, in Riv. dir. trib., 2022, 1, IV, 12 ss.
McGoldrick D., A defence of the margin of appreciation and an argument for its application by the Human Rights Committee, in International and Comparative Law Quarterly, 2016, 21 ss.
Moschetti G., Il principio di proporzionalità come “giusta misura” del potere nel diritto tributario, Padova, 2017, 96 ss.
Mowbray A., A Study of the Principle of Fair Balance in the Jurisprudence of the European Court of Human Rights, in Human Rights Law Review, 2010, 10, 289 ss.
Nastri M.P., Lo scambio di informazioni in materia fiscale: la tutela giurisdizionale effettiva e il diritto alla protezione dei dati, in Dir. prat. trib. int., 2020, 4, 1720 ss.
Pajno A. – Donati F. – Perucci F.A. (a cura di), Intelligenza artificiale e diritto: una rivoluzione, Bologna, 2022
Paparella F., L’ausilio delle teconologie digitali nella fase di attuazione dei tributi, in Riv. dir. trib., 2022, 6, I, 617 ss.
Petrillo G., Il principio di proporzionalità nell’azione amministrativa di accertamento tributario, Roma, 2015, 65 ss.
Pitruzzella G., Dati fiscali e diritti fondamentali, in Dir. prat. trib. int., 2022, 2, 666 ss.
Pizzetti F., La protezione dei dati personali e la sfida dell’Intelligenza Artificiale, in Pizzetti F. (a cura di), Intelligenza artificiale, protezione dei dati personali e regolazione, Torino, 2018, 5 ss.
Pizzetti F., Privacy e diritto europeo alla protezione dei dati personali: dalla direttiva 95/46 al nuovo Regolamento europeo, vol. I, Torino, 2016
Pizzetti F., Privacy e diritto europeo alla protezione dei dati personali: il Regolamento europeo 2016/679, vol. III, Torino, 2016
Poletti D., Sub Art. 6, Regolamento generale sulla protezione dei dati, in Cuffaro V. – D’Orazio R. – Ricciuto V. (a cura di), I dati personali nel diritto europeo, Torino, 2019
Quarta L., L’impiego di sistemi di IA da parte di Amministrazioni finanziarie e Agenzie fiscali. Interesse erariale versus privacy, trasparenza, proporzionalità e diritto di difesa, in Uricchio A.F. – Riccio G. – Ruffolo U. (a cura di), Intelligenza artificiale tra etica e diritti, Bari, 2020, 230 ss.
Ragucci G., L’analisi del rischio di evasione in base ai dati dell’archivio dei rapporti con gli intermediari finanziari: prove generali dell’accertamento “algoritmico”?, in Riv. tel. dir. trib., 2019, 2, III, 261 ss.
Rodotà S., Persona, libertà, tecnologia. Note per una discussione, diritto&questioni pubbliche, 2005, 5, 25 ss.
Rodotà S., Intervista su privacy e libertà, Bari, 2005
Ronco S.M., Data Protection in Direct Tax Matters and Developments from the EU Standpoint: The Case of Automatic Exchange of Information, in International Tax Studies, 2020, 4, 20 ss.
Salvatore V., Il diritto al rispetto della vita privata: le sfide digitali, una prospettiva di diritto comparato. Unione Europea, Studio del Servizio Ricerca del Parlamento Europeo, ottobre 2018, 25 ss. (in http://www.europarl.europa.eu/thinktank)
Scaccia G., Il principio di proporzionalità, S. Mangiameli (a cura di), L’ordinamento europeo. Tomo II. L’esercizio delle competenze, Milano, 2006, 225 ss.
Scarcella L., Tax compliance and privacy rights in profiling and automated decision making, in Internet Policy Rev., 2019, 1 ss.
Selicato G., Il nuovo accertamento sintetico dei redditi, Bari, 2014, passim
Tanzarella P., Il margine di apprezzamento, in Cartabia M. (a cura di), I diritti in azione, Bologna, 2007, 149 ss.
Tomo A., La “forza centripeta” del diritto alla protezione dei dati personali: la Corte di giustizia sulla rilevanza in ambito tributario dei principi di propozionalità, accountability e minimizzazione, in Dir. prat. trib. int., 2022, 2, 908 ss.
Tomo A., Liste evasori e CEDU: riflessioni in merito alla (dubbia) proporzionalità delle misure di public shame, in Riv. tel. dir. trib., 2021, 2, I, 677 ss.
Viotto A., Il “diritto al rispetto della vita privata e familiare” nell’ambito delle indagini tributarie, nel quadro della giurisprudenza della Corte Europea dei Diritti dell’Uomo, in Riv. trim. dir. trib., 2019, 1, 153 ss.
Zagrebelsky V. – Chenal R. – Tomasi L., Manuale dei diritti fondamentali in Europa, Bologna, 2019, 247 ss.
Informativa sul trattamento dei dati personali (ai sensi dell’art. 13 Regolamento UE 2016/679)
La vigente normativa in materia di trattamento dei dati personali definita in conformità alle previsioni contenute nel Regolamento UE 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati, di seguito “Regolamento Privacy UE”) contiene disposizioni dirette a garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali delle persone fisiche, con particolare riguardo al diritto alla protezione dei dati personali.
Finalità del Trattamento e base giuridica
Il trattamento dei dati personali è finalizzato a:
– fornire il servizio e/o prodotto richiesto dall’utente, per rispondere ad una richiesta dell’utente, e per assicurare e gestire la partecipazione a manifestazioni e/o promozioni a cui l’utente ha scelto di aderire (richiesta e acquisto abbonamento periodici; richiesta e acquisto libri; servizio di fatturazione; invio periodici in abbonamento postale, invio newsletter rivolte a studiosi e professionisti).
– inviare newsletter promozionale di pubblicazioni a chi ne ha fatto richiesta; ferma restando la possibilità per l’utente di opporsi all’invio di tali invii in qualsiasi momento.
– inviare all’utente informazioni promozionali riguardanti servizi e/o prodotti della Società di specifico interesse professionale ed a mandare inviti ad eventi della Società e/o di terzi; resta ferma la possibilità per l’utente di opporsi all’invio di tali comunicazioni in qualsiasi momento.
– gestire dati indispensabili per espletare l’attività della società: clienti, fornitori, dipendenti, autori. Pacini Editore srl tratta i dati personali dell’utente per adempiere a obblighi derivanti da legge, regolamenti e/o normativa comunitaria.
– gestire i siti web e le segreterie scientifiche per le pubblicazioni periodiche in ambito medico-giuridico rivolte a studiosi e professionisti;
Conservazione dei dati
Tutti i dati di cui al successivo punto 2 verranno conservati per il tempo necessario al fine di fornire servizi e comunque per il raggiungimento delle finalità per le quali i dati sono stati raccolti, e in ottemperanza a obblighi di legge. L’eventuale trattamento di dati sensibili da parte del Titolare si fonda sui presupposti di cui all’art. 9.2 lett. a) del GDPR.
Il consenso dell’utente potrà essere revocato in ogni momento senza pregiudicare la liceità dei trattamenti effettuati prima della revoca.
Tipologie di dati personali trattati
La Società può raccogliere i seguenti dati personali forniti volontariamente dall’utente:
nome e cognome dell’utente,
il suo indirizzo di domicilio o residenza,
il suo indirizzo email, il numero di telefono,
la sua data di nascita,
i dettagli dei servizi e/o prodotti acquistati.
La raccolta può avvenire quando l’utente acquista un nostro prodotto o servizio, quando l’utente contatta la Società per informazioni su servizi e/o prodotti, crea un account, partecipa ad un sondaggio/indagine. Qualora l’utente fornisse dati personali di terzi, l’utente dovrà fare quanto necessario perchè la comunicazione dei dati a Pacini Editore srl e il successivo trattamento per le finalità specificate nella presente Privacy Policy avvengano nel rispetto della normativa applicabile, (l’utente prima di dare i dati personali deve informare i terzi e deve ottenere il consenso al trattamento).
La Società può utilizzare i dati di navigazione, ovvero i dati raccolti automaticamente tramite i Siti della Società. Pacini editore srl può registrare l’indirizzo IP (indirizzo che identifica il dispositivo dell’utente su internet), che viene automaticamente riconosciuto dal nostro server, pe tali dati di navigazione sono utilizzati al solo fine di ottenere informazioni statistiche anonime sull’utilizzo del Sito .
La società utilizza i dati resi pubblici (ad esempio albi professionali) solo ed esclusivamente per informare e promuovere attività e prodotti/servizi strettamente inerenti ed attinenti alla professione degli utenti, garantendo sempre una forte affinità tra il messaggio e l’interesse dell’utente.
Trattamento dei dati
A fini di trasparenza e nel rispetto dei principi enucleati dall’art. 12 del GDPR, si ricorda che per “trattamento di dati personali” si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. Il trattamento dei dati personali potrà effettuarsi con o senza l’ausilio di mezzi elettronici o comunque automatizzati e comprenderà, nel rispetto dei limiti e delle condizioni posti dal GDPR, anche la comunicazione nei confronti dei soggetti di cui al successivo punto 7.
Modalità del trattamento dei dati: I dati personali oggetto di trattamento sono:
trattati in modo lecito e secondo correttezza da soggetti autorizzati all’assolvimento di tali compiti, soggetti identificati e resi edotti dei vincoli imposti dal GDPR;
raccolti e registrati per scopi determinati, espliciti e legittimi, e utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
esatti e, se necessario, aggiornati;
pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati;
conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati;
trattati con il supporto di mezzi cartacei, informatici o telematici e con l’impiego di misure di sicurezza atte a garantire la riservatezza del soggetto interessato cui i dati si riferiscono e ad evitare l’indebito accesso a soggetti terzi o a personale non autorizzato.
Natura del conferimento
Il conferimento di alcuni dati personali è necessario. In caso di mancato conferimento dei dati personali richiesti o in caso di opposizione al trattamento dei dati personali conferiti, potrebbe non essere possibile dar corso alla richiesta e/o alla gestione del servizio richiesto e/o alla la gestione del relativo contratto.
Comunicazione dei dati
I dati personali raccolti sono trattati dal personale incaricato che abbia necessità di averne conoscenza nell’espletamento delle proprie attività. I dati non verranno diffusi.
Diritti dell’interessato.
Ai sensi degli articoli 15-20 del GDPR l’utente potrà esercitare specifici diritti, tra cui quello di ottenere l’accesso ai dati personali in forma intelligibile, la rettifica, l’aggiornamento o la cancellazione degli stessi. L’utente avrà inoltre diritto ad ottenere dalla Società la limitazione del trattamento, potrà inoltre opporsi per motivi legittimi al trattamento dei dati. Nel caso in cui ritenga che i trattamenti che Lo riguardano violino le norme del GDPR, ha diritto a proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali ai sensi dell’art. 77 del GDPR.
Titolare e Responsabile per la protezione dei dati personali (DPO)
Titolare del trattamento dei dati, ai sensi dell’art. 4.1.7 del GDPR è Pacini Editore Srl., con sede legale in 56121 Pisa, Via A Gherardesca n. 1.
Per esercitare i diritti ai sensi del GDPR di cui al punto 6 della presente informativa l’utente potrà contattare il Titolare e potrà effettuare ogni richiesta di informazione in merito all’individuazione dei Responsabili del trattamento, Incaricati del trattamento agenti per conto del Titolare al seguente indirizzo di posta elettronica: privacy@pacinieditore.it. L’elenco completo dei Responsabili e le categorie di incaricati del trattamento sono disponibili su richiesta.
Ai sensi dell’art. 13 Decreto Legislativo 196/03 (di seguito D.Lgs.), si informano gli utenti del nostro sito in materia di trattamento dei dati personali.
Quanto sotto non è valido per altri siti web eventualmente consultabili attraverso i link presenti sul nostro sito.
Il Titolare del trattamento
Il Titolare del trattamento dei dati personali, relativi a persone identificate o identificabili trattati a seguito della consultazione del nostro sito, è Pacini Editore Srl, che ha sede legale in via Gherardesca 1, 56121 Pisa.
Luogo e finalità di trattamento dei dati
I trattamenti connessi ai servizi web di questo sito hanno luogo prevalentemente presso la predetta sede della Società e sono curati solo da dipendenti e collaboratori di Pacini Editore Srl nominati incaricati del trattamento al fine di espletare i servizi richiesti (fornitura di volumi, riviste, abbonamenti, ebook, ecc.).
I dati personali forniti dagli utenti che inoltrano richieste di servizi sono utilizzati al solo fine di eseguire il servizio o la prestazione richiesta.
L’inserimento dei dati personali dell’utente all’interno di eventuali maling list, al fine di invio di messaggi promozionali occasionali o periodici, avviene soltanto dietro esplicita accettazione e autorizzazione dell’utente stesso.
Comunicazione dei dati
I dati forniti dagli utenti non saranno comunicati a soggetti terzi salvo che la comunicazione sia imposta da obblighi di legge o sia strettamente necessario per l’adempimento delle richieste e di eventuali obblighi contrattuali.
Gli incaricati del trattamento che si occupano della gestione delle richieste, potranno venire a conoscenza dei suoi dati personali esclusivamente per le finalità sopra menzionate.
Nessun dato raccolto sul sito è oggetto di diffusione.
Tipi di dati trattati
Dati forniti volontariamente dagli utenti
L’invio facoltativo, esplicito e volontario di posta elettronica agli indirizzi indicati su questo sito comporta la successiva acquisizione dell’indirizzo del mittente, necessario per rispondere alle richieste, nonché degli eventuali altri dati personali inseriti nella missiva.
Facoltatività del conferimento dei dati
Salvo quanto specificato per i dati di navigazione, l’utente è libero di fornire i dati personali per richiedere i servizi offerti dalla società. Il loro mancato conferimento può comportare l’impossibilità di ottenere il servizio richiesto.
Modalità di trattamento dei dati
I dati personali sono trattati con strumenti manuali e automatizzati, per il tempo necessario a conseguire lo scopo per il quale sono stati raccolti e, comunque per il periodo imposto da eventuali obblighi contrattuali o di legge.
I dati personali oggetto di trattamento saranno custoditi in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Diritti degli interessati
Ai soggetti cui si riferiscono i dati spettano i diritti previsti dall’art. 7 del D.Lgs. 196/2003 che riportiamo di seguito:
1. L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L’interessato ha diritto di ottenere informazioni:
a) sull’origine dei dati personali;
b) sulle finalità e modalità del trattamento;
c) sulla logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
d) sugli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2;
e) sui soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
3. L’interessato ha diritto di ottenere:
a) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
4. L’interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
Dati degli abbonati
I dati relativi agli abbonati sono trattati nel rispetto delle disposizioni contenute nel D.Lgs. del 30 giugno 2003 n. 196 e adeguamenti al Regolamento UE GDPR 2016 (General Data Protection Regulation) a mezzo di elaboratori elettronici ad opera di soggetti appositamente incaricati. I dati sono utilizzati dall’editore per la spedizione della presente pubblicazione. Ai sensi dell’articolo 7 del D.Lgs. 196/2003, in qualsiasi momento è possibile consultare, modificare o cancellare i dati o opporsi al loro utilizzo scrivendo al Titolare del Trattamento: Pacini Editore Srl – Via A. Gherardesca 1 – 56121 Pisa. Per ulteriori approfondimenti fare riferimento al sito web http://www.pacinieditore.it/privacy/
Subscriber data
Subscriber data are treated according to Italian law in DLgs, 30 June 2003, n. 196 as updated with the UE General Data Protection Regulation 2016 – by means of computers operated by specifically responsible personnel. These data are used by the Publisher to mail this publication. In accordance with Art. 7 of the above mentioned DLgs, 30 June 2003, n. 196, subscribers can, at any time, view, change or delete their personal data or withdraw their use by writing to Pacini Editore S.r.L. – Via A. Gherardesca 1, 56121 Ospedaletto (Pisa), Italy. For further information refer to the website: http://www.pacinieditore.it/privacy/
Cookie
Che cos’è un cookie e a cosa serve?
Un cookie e una piccola stringa di testo che un sito invia al browser e salva sul tuo computer quando visiti dei siti internet. I cookie sono utilizzati per far funzionare i siti web in maniera più efficiente, per migliorarne le prestazioni, ma anche per fornire informazioni ai proprietari del sito.
Che tipo di cookie utilizza il nostro sito e a quale scopo? Il nostro sito utilizza diversi tipi di cookie ognuno dei quali ha una funzione specifica, come indicato di seguito:
TIPI DI COOKIE
Cookie di navigazione
Questi cookie permettono al sito di funzionare correttamente sono usati per raccogliere informazioni su come i visitatori usano il sito. Questa informazione viene usata per compilare report e aiutarci a migliorare il sito. I cookie raccolgono informazioni in maniera anonima, incluso il numero di visitatori del sito, da dove i visitatori sono arrivati e le pagine che hanno visitato.
Cookie Analitici
Questi cookie sono utilizzati ad esempio da Google Analytics per elaborare analisi statistiche sulle modalità di navigazione degli utenti sul sito attraverso i computer o le applicazioni mobile, sul numero di pagine visitate o il numero di click effettuati su una pagina durante la navigazione di un sito.
Questi cookie sono utilizzati da società terze. L’uso di questi cookie normalmente non implica il trattamento di dati personali. I cookie di terze parti derivano da annunci di altri siti, ad esempio messaggi pubblicitari, presenti nel sito Web visualizzato. Possono essere utilizzati per registrare l’utilizzo del sito Web a scopo di marketing.
Come posso disabilitare i cookie?
La maggior parte dei browser (Internet Explorer, Firefox, etc.) sono configurati per accettare i cookie. Tuttavia, la maggior parte dei browser permette di controllare e anche disabilitare i cookie attraverso le impostazioni del browser. Ti ricordiamo però che disabilitare i cookie di navigazione o quelli funzionali può causare il malfunzionamento del sito e/o limitare il servizio offerto.
Per avere maggiori informazioni
l titolare del trattamento è Pacini Editore Srl con sede in via della Gherardesca n 1 – Pisa.
Potete scrivere al responsabile del trattamento Responsabile Privacy, al seguente indirizzo email rlenzini@pacinieditore.it per avere maggiori informazioni e per esercitare i seguenti diritti stabiliti dall’art. 7, D. lgs 196/2003: (i) diritto di ottenere la conferma dell’esistenza o meno di dati personali riguardanti l’interessato e la loro comunicazione, l’aggiornamento, la rettificazione e l’integrazione dei dati, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge; (ii) diritto di ottenere gli estremi identificativi del titolare nonché l’elenco aggiornato dei responsabili e di tutti i soggetti cui i suoi dati sono comunicati; (iii) diritto di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati relativi all’interessato, a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazioni commerciali.
Per modificare le impostazioni, segui il procedimento indicato dai vari browser che trovi alle voci “Opzioni” o “Preferenze”.
Per saperne di più riguardo ai cookie leggi la normativa.