Spinte evolutive (sul piano sovranazionale) e involutive (a livello interno) in tema di bilanciamento fra diritto alla protezione dei dati dei contribuenti ed esigenze di contrasto dell’evasione fiscale 

Di Angelo Contrino -

Abstract (*)

Muovendo dai risultati di una precedente indagine sul tema, e in ideale continuità con essa, nel saggio si analizzano gli sviluppi dell’ultimo lustro, sul duplice piano sovranazionale e interno, in tema di protezione dei dati dei contribuenti nei confronti dell’Amministrazione finanziaria, nella prospettiva di un corretto bilanciamento tra esigenze di contrasto all’evasione fiscale e tutela del diritto alla protezione dei dati personali.

Evolutionary (on a supranational level) and involutionary (at an internal level) pressures regarding the balance between the right to protection of taxpayers’ data and the needs to combat tax evasion. – Building on the results of a previous survey on the subject, and in ideal continuity with it, the essay analyses the developments of the last five years – at both supranational and domestic levels – on the subject of taxpayers’ data protection vis-à-vis the tax authorities, with a view to striking a proper balance between the need to combat tax evasion and the protection of the right to personal data protection.

Keywords:

 

 

Sommario: 1. La protezione dei dati personali dei contribuenti quale limite all’acquisizione, conservazione e all’utilizzo degli stessi da parte dell’Amministrazione finanziaria: una breve introduzione. – 2. Il principio di “proporzionalità” fra trattamento del dato alla luce dell’obiettivo perseguito ed esigenza di minimizzare la raccolta dei dati personali dei contribuenti: sintesi di una prima indagine. – 3. (Segue). Sulle conclusioni raggiunte in ambito fiscale con il contributo della giurisprudenza sovranazionale eminentemente “non tributaria”. Un sommario delle direttrici evolutive e involutive dell’ultimo lustro. – 4. La prima direttrice: la conclusione raggiunta in relazione alle banche dati fiscali continua a trovare conferma indiretta nella successiva giurisprudenza della Corte di Giustizia sempre in materie non tributarie. – 5. La seconda direttrice: il tema delle interrelazioni tra protezione dei dati personali e banche dati fiscali è entrato adesso nella sfera di azione della Corte di Giustizia e dalla Corte EDU, sia pur con risultati ancora in fase di assestamento. – 5.1. La sentenza della Corte di Giustizia nel caso SS. SIA: le corrette conclusioni raggiunte sono offuscate dal depotenziamento, sia pur in un obiter dictum, del principio della riserva di legge in materia fiscale. – 5.2. Le sentenze della Corte EDU nel caso L.B. c. Ungheria: gli spiragli di notevole interesse aperti dalla Grande Camera per il rafforzamento della tutela del diritto alla protezione dei dati personali in materia tributaria. – 5.2.1. Sui fattori da ponderare per assicurare un bilanciamento tra interessi erariali e tutela dei diritti fondamentali del contribuente. – 5.2.2. I profili di rilevanza e interesse della decisione della Grande Camera della Corte EDU in relazione al tema oggetto d’indagine. – 6. La terza direttrice: a livello interno, in controtendenza, è stata intrapresa la strada pro-fisco della svalutazione della normativa sulla protezione dei dati personali e del principio di legalità tributaria. – 6.1. Sull’eliminazione del vaglio preventivo del Garante e gli effetti sul ruolo attivo assunto nel corso degli anni in punto di valutazione della proporzionalità delle leggi fiscali – 6.2. Sui riflessi negativi in materia tributaria della legittimazione di trattamenti dei dati personali radicati in “atti amministrativi generali” e meramente necessari all’adempimento di  compiti di pubblico interesse. – 7. Osservazioni conclusive: i passi in avanti a livello sovranazionale e all’indietro a livello interno (con problemi di tenuta della normativa nazionale) in punto di bilanciamento fra tutela del diritto di protezione dei dati personali ed esigenze di contrasto dell’evasione fiscale.

1. La “protezione dei dati personali” dei contribuenti nei confronti dell’Amministrazione finanziaria (ancorché aventi tecnicamente diversa portata, nel prosieguo saranno utilizzati come sinonimi “privacy” e “riservatezza”: v., per tutti, Patrono P., [voce] Privacy, in Enc. dir., XXXV, 1986, 575 ss.; Cerri A., Riservatezza [diritto alla], III, Diritto costituzionale, in Enc. giur., XXVII, 1995, 3 e, più di recente, Kokott J. – Sabotta C., The distinction between privacy e data protection in the jurisprudence of the CJJEU and the ECtHR, in Int’l Data Prrivacy, 2013, 222 ss.) è tema abbastanza trascurato nella nostra materia, nonostante la sua importanza sia non solo attuale ma destinata a crescere esponenzialmente in tempi brevi: il sempre maggiore ricorso alla tecnologia per gli adempimenti tributari consente, infatti, l’acquisizione e la conservazione in apposite banche dati di enormi quantità di informazioni dei contribuenti (v. la fatturazione elettronica, l’archivio dei rapporti finanziari, l’anagrafe tributaria, ecc.) da utilizzare nelle attività di controllo e di accertamento.

Qual è il problema? E’ che la protezione dei dati personali pone dei limiti alla acquisizione, alla conservazione e all’utilizzo dei suddetti dati da parte dell’Amministrazione finanziaria, e ciò nella prospettiva di un corretto bilanciamento tra esigenze di contrasto all’evasione fiscale e tutela del diritto alla protezione dei dati personali.

E infatti, il diritto del contribuente alla protezione dei dati può affermarsi, da un lato e innanzitutto, come limite al massivo utilizzo di adempimenti che comportano l’acquisizione e la conservazione di grandi quantità di dati personali, non sempre di stretto e diretto interesse fiscale; e, dall’altro lato, come limite all’utilizzo di dati personali comunque acquisiti dall’Amministrazione per selezionare i contribuenti da assoggettare a controllo e ad accertamento (di recente sulla tematica in esame, Pitruzzella G., Dati fiscali e diritti fondamentali, in Dir. prat. trib. int., 2022, 2, 666 ss.).

2. Di questo tema mi ero occupato cinque anni fa, nel 2019, in occasione di un convegno organizzato presso l’Università di Salerno, e su lungimirante sollecitazione di Pasquale Pistone che lo aveva organizzato, giungendo alla conclusione che la tutela del trattamento dei dati personali di fronte a esigenze pubblicistiche – qual è quella di contrastare l’evasione fiscale – non può che passare dal principio di “proporzionalità”: vi deve sempre essere “proporzionalità” fra trattamento del dato alla luce dell’obiettivo perseguito ed esigenza di minimizzare l’acquisizione, il trattamento e la conservazione dei dati personali dei contribuenti (per la relazione al citato convegno, Contrino A., Banche dati tributarie, scambio di informazioni fra autorità fiscali e “protezione dei dati personali”: quali diritti e tutele per i contribuenti?, in Riv. tel. dir. trib., 2019, 1, I, 7 ss.; il tema è stato poi approfondito in Contrino A. – Ronco S.M., Prime riflessioni e spunti in tema di protezione dei dati personali in materia tributaria, alla luce della giurisprudenza della Corte di giustizia e della Corte EDU, in Dir. prat. trib. int., 2019, 3, 599 ss.).

Per raggiungere tale conclusione l’indagine era stata svolta sia a livello interno sia a livello sovranazionale.

A livello interno, erano stati di ausilio alcuni Provvedimenti del Garante della Privacy (quelli in tema di fatturazione elettronica del 15 dicembre 2018 e del 20 dicembre 2018), che – proprio con la lente della “proporzionalità” – aveva escluso la legittimità della memorizzazione di massa di dati del contribuente fiscalmente poco rilevanti (dati strettamente personali, commerciali ecc.), se non con il consenso espresso del contribuente. Non altrettanto si può dire della giurisprudenza della Cassazione: nell’unica sentenza pronunciatasi sul tema dei dati personali del contribuente acquisiti/trattati/conservati nel contesto del “redditometro” (n. 17485/2018), sia il profilo concernente l’esigenza di protezione dei dati personali in quanto tali, sia la proporzionalità e l’adeguatezza dell’archiviazione dei suddetti dati rispetto alle finalità della disciplina del redditometro, sono rimasti totalmente in ombra.

A livello sovranazionale, la ricerca della giurisprudenza della Corte di Giustizia e della Corte EDU in materia fiscale non è stata molto fruttuosa, poiché la grande parte delle sentenze rivenute riguardava i rimedi procedimentali/processuali in caso di contestazione da parte del contribuente del diritto e delle modalità di effettuazione di uno scambio di informazioni (fra le sentenze successive al 2019 in punto di tutela dei dati personali nell’ambito della cooperazione e dell’assistenza reciproca nel settore della fiscalità, si segnala, in modo particolarea, CGUE, 6 ottobre 2020, cause riunite C-245/19 e C-246/19, Etat Luxembourgeois; sul tema, v. specificamenee Ronco S.M., Data Protection in Direct Tax Matters and Developments from the EU Standpoint: The Case of Automatic Exchange of Information, in International Tax Studies, 2020, 4, 20 ss.; Costanzo L., La tutela dei diritti del contribuente al crocevia tra cooperazione amministrativa e integrazione euruotributaria, in Riv. tel. dir. trib., 2020, 2, XIV, 988 ss.); nell’unica sentenza soffermatasi sulla possibilità di contestazione da parte del contribuente dell’acquisizione di dati personali per l’archiviazione in banche dati fiscali (sent. 27 settembre 2017, causa C-73/16, Puskar, che riguardava, in particolare, l’inserimento in un elenco fiscale di persone che rivestivano fittizie funzioni direttive di molteplici società, predisposto per garantire la riscossione delle imposte e la lotta alle frodi fiscali), la Corte di Giustizia si è pronunziata a favore della iscrizione, rinviando al giudice nazionale la valutazione di “proporzionalità” dell’adempimento rispetto agli obiettivi.

Determinante, invece, è stato il vaglio della giurisprudenza della Corte di Giustizia in talune materie non fiscali (in particolare, il contrasto al terrorismo e alla criminalità internazionale): nelle sentenze Digital Rights Ireland (8 aprile 2014, cause riunite C-293/12 e C-594/12) e Tele2-Sverige AB (21 dicembre 2016, C-203-15), la Corte di Giustizia ha annullato integralmente una Direttiva (caso rarissimo) e dichiarato incompatibile con il diritto UE una normativa interna che prevedevano, seppur per rilevanti fini di interesse pubblico (appunto, il contrasto al terrorismo e alla criminalità internazionale), una raccolta e il trattamento di dati personali su base generalizzata (senza distinzioni, limitazioni o eccezioni di carattere soggettivo ed oggettivo) che consentiva di trarre conclusioni molto precise circa la vita privata delle persone i cui dati erano acquisiti e conservati, ritenendole in contrasto con il principio di proporzionalità.

3. In definitiva, soprattutto grazie alla giurisprudenza sovranazionale “non tributaria” si è potuto trarre la conclusione, che poteva leggersi solo in filigrana nei provvedimenti del Garante della Privacy, che anche in ambito fiscale una banca dati può ritenersi legittima se, e solo se, la raccolta dei dati ivi contenuti non determini un’ingerenza grave nei diritti fondamentali al rispetto della vita privata e alla tutela dei dati personali, di cui agli artt. 7 e 8 della Carta europea, e sia, dunque, limitata a quanto strettamente necessario al conseguimento degli obiettivi di interesse pubblico perseguito (sulla diversa intensità dell’ingerenza, che può essere “non grave”, “grave” e “molto grave”, e i riflessi sull’applicazione del principio di proporzionalità, v. CGUE, 6 ottobre 2020, causa C-511/18, La Quadrature du Net)

Nell’indagine condotta, questa conclusione era accompagnata da una constatazione: l’inesistenza, a quel momento, di un’adeguata elaborazione dei limiti e delle condizioni di legittimità, in termini di “proporzionalità”, del trattamento di rilevanti quantità di dati personali nelle banche dati fiscali. E infatti, nella sentenza Puskar, pur richiamando il principio di proporzionalità e ammonendo che le deroghe e le restrizioni alla tutela dei dati personali debbano avvenire entro i limiti dello stretto necessario, la Corte di Giustizia si è astenuta dall’illustrare a quali condizioni l’iscrizione di un contribuente in una banca dati possa essere ritenuta idonea e necessaria al raggiungimento degli obiettivi perseguiti dal legislatore fiscale, lasciando al giudice nazionale il compito di verificare la proporzionalità dell’adempimento rispetto agli obiettivi voluti dal legislatore.

Cosa è successo in questi cinque anni? Sul tema vi sono state molte novità, soprattutto in tempi recenti, che possono essere sintetizzate lungo tre direttrici.

La prima: la conclusione raggiunta in relazione alle banche dati fiscali, e sopra sintetizzata, continua a trovare conferma indiretta nella successiva giurisprudenza della Corte di Giustizia sempre in materie non tributarie. La seconda: il tema delle interrelazioni tra protezione dei dati personali e banche dati fiscali è stato specificamente affrontato dalla Corte di Giustizia e dalla Corte EDU, sia pur – come vedremo – con risultati ancora in fase di assestamento. La terza: a livello interno, in controtendenza, ci si è incamminati sulla strada della svalutazione della normativa sulla protezione dei dati personali per facilitare, nella sostanza, l’attività di controllo e di accertamento della Amministrazione finanziaria.

4. La necessità che, in forza del diritto fondamentale dei contribuenti alla protezione dei dati personali, l’acquisizione e la conservazione dei dati personali da parte dell’Amministrazione debbano essere valutati sempre con il parametro della proporzionalità ha trovato indiretta conferma nella più recente giurisprudenza della Corte di Giustizia in materia di obblighi antiriciclaggio.

Il riferimento è alla sentenza 22 novembre 2022, cause riunite n. C-37/20 e C-601/20 (annotata da Lassalle M., Who cares about financial privacy?: the Court of Justice in WM, Sovim SA v Luxembourg Business Registers [C-37/20 and C-601/20], in EU Law Live, 16 dicembre 2022), con cui la Corte di Giustizia ha dichiarato l’invalidità di alcune disposizioni della Direttiva antiriciclaggio (la n. 2015/849, come modificata dalla Direttiva n. 2018/843) che prevedevano l’accessibilità al pubblico, senza condizioni, di tutte le informazioni contenute in un Registro dei titolari effettivi delle società e delle altre entità giuridiche costituite nel territorio dello Stato (nella specie, il Lussemburgo), ritenendo che ciò determinasse un’ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, rispettivamente sanciti agli artt. 7 e 8 della Carta, non proporzionata rispetto all’obiettivo di prevenire il riciclaggio di denaro e il finanziamento del terrorismo.

E in effetti, in relazione a tale obiettivo era palesemente eccessivo il riconoscimento dell’accesso alla banca dati a numero potenzialmente illimitato di persone, con possibilità altrettanto illimitata di conservazione e ulteriore divulgazione, di tutte le informazioni ivi contenute riguardanti la situazione personale, materiale e finanziaria del titolare effettivo.

Se nel caso delle banche dati fiscali il primo problema – l’accessibilità a un pubblico indiscriminato – non si pone, non altrettanto si può dire per il secondo: in materia fiscale, l’acquisizione e la conservazione devono riguardare sempre e solo i dati personali del contribuente strettamente rilevanti per le attività di controllo e di accertamento, e non su base generalizzata, senza distinzioni e limiti, determinandosi in caso contrario un’ingiustificata ingerenza anche nella vita privata (abitudini, luoghi di soggiorno, spostamenti, relazioni sociali, orientamenti sessuali, ambienti frequentati, ecc.) in contrasto con gli artt. 7 e 8 della Carta europea.

5. Oltre a confermare indirettamente la conclusione raggiunta in sede di prima indagine del tema, la recente giurisprudenza della Corte di Giustizia e della Corte EDU ha iniziato ad approfondire specificamente la questione della compatibilità delle misure nazionali di carattere tributario con il diritto alla protezione dei dati personali.

Il riferimento è, per un verso, alla sentenza della CGUE 24 febbraio 2022, C-175/20, SS SIA, e, per altro verso, alle sentenze della Corte EDU 21 gennaio 2021 e della Grande Camera della Corte EDU 9 marzo 2023, entrambe nel caso L.B. c. Ungheria.

5.1. La sentenza SS. SIA della Corte di Giustizia affronta specificamente il tema del bilanciamento fra il diritto alla riservatezza dei dati personali dei contribuenti e il dovere delle Autorità fiscali nazionali di adempiere ai propri compiti avvalendosi anche di informazioni sensibili sotto il profilo della privacy (la sentenza è stata annotata da Tomo A., La “forza centripeta” del diritto alla protezione dei dati personali: la Corte di giustizia sulla rilevanza in ambito tributario dei principi di propozionalità, accountability e minimizzazione, in Dir. prat. trib. int., 2022, 2, 908 ss.; sul tema in generale, v., per tutti e in modo specifico, Marcheselli A. – Ronco S.M., Dati personali, Regolamento GDPRR e indagini dell’amministrazione finanziaria: un modello moderno di tutela dei diritti fondamentali?, in Riv. dir. trib., 2022, 2, I, 98 ss.).

Nel caso di specie, la domanda di pronuncia pregiudiziale del giudice nazionale verteva sulla corretta interpretazione dell’art. 5, par. 1 del “Regolamento Generale sulla Protezione dei Dati” (Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 – “GDPR”), nell’ambito di una controversia tra l’Amministrazione finanziaria e una società sulla richiesta della prima di comunicazione mensile (senza limitazione temporale) di tutti i dati dei contribuenti (senza limitazioni quantitative) che pubblicavano annunci di vendita di veicoli sul sito internet gestito dalla seconda, per l’esecuzione di misure specifiche concernenti la riscossione delle imposte.

La Corte di Giustizia ha sancito che le disposizioni del GDPR non ostano a che l’Amministrazione finanziaria di uno Stato membro imponga a una società di comunicare informazioni relative ai contribuenti che sono clienti della stessa, a condizione che i dati (i) siano necessari rispetto alle finalità specifiche per le quali sono raccolti; (ii) il periodo oggetto della raccolta non oltrepassi la durata strettamente necessaria per raggiungere l’obiettivo di interesse generale perseguito.

Il problema di questa sentenza riguarda la premessa su cui è assisa la conclusione.

E infatti, dopo aver chiarito che la raccolta di una quantità significativa di dati personali come quella in esame è senz’altro soggetta ai requisiti imposti dal GDPR, in particolare a  quelli di cui al citato 5, par. 1, la Corte di Giustizia ha sancito che le relative norme sono inderogabili per l’Amministrazione finanziaria di uno Stato membro, a meno che la deroga non sia espressamente prevista da una “misura legislativa” nazionale adottata ai sensi dell’art. 23 del GDPR, che consente limitazioni della portata degli obblighi e dei diritti previsti dal Regolamento qualora la limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare importi obiettivi di interesse pubblico generale dell’Unione o dello Stato interessato, come, in particolare, un rilevante interesse economico o finanziario, anche in materia di bilancio e tributaria. Con la precisazione che “il riferimento in tale Regolamento a una «misura legislativa» non richiede necessariamente l’adozione di un atto legislativo da parte del Parlamento”.

E’ quest’ultimo obiter dictum il punto dolente della sentenza, perché, leggendolo dalla prospettiva italiana, ciò si traduce nel depotenziamento del principio della riserva di legge costituzionalmente tutelata, che – come evidenziato in occasione del primo convegno del PRIN svoltosi a Napoli lo scorso ottobre (i contenuti della relazione a tale convegno sono stati ripresi e approfonditi in Contrino A., Digitalizzazione dell’amministrazione finanziaria e attuazione del rapporto tributario: questioni aperte e ipotesi di lavoro nella prospettiva dei princìpi generali, in Riv. dir. trib., 2023, 2) – è presidio di garanzia per un corretto bilanciamento degli interessi pubblici e privati anche nei rapporti tributari digitalizzati.

Non va dimenticato, d’altronde, che tra gli antecedenti storici della riserva di legge recepita dalla nostra Costituzione vi è anche l’art. 14 della Dichiarazione Universale dei Diritti dell’Uomo e del Cittadino del 1789, ove è chiaro il riferimento anche al versante dall’attuazione (“recouvrement de l’impôt”) come ambito coperto dalla riserva di legge in materia tributaria.

E’, dunque, da stigmatizzare, ancorché si tratti – come detto – di un obiter dictum – la precisazione che il riferimento nel GDPR a una “misura legislativa” non richiede necessariamente l’adozione di un atto legislativo da parte di un Parlamento per derogare ai principi generali in materia di protezione dei dati personali quando si tratta di utilizzo per fini di contrasto all’evasione.

Tale assunto può, forse, avere un senso nella prospettiva del diritto europeo, ma è indubbio che, laddove gli ordinamenti costituzionali degli Stati membri la prevedano in materia fiscale, la maggiore garanzia della riserva di legge richiesta deve essere soddisfatta.

5.2. Se la sentenza della Corte di Giustizia, appena esaminata, presenta aspetti problematici sotto il profilo del principio di legalità tributaria, la recentissima giurisprudenza della Corte EDU, nel caso L.B. c. Ungheria, apre spiragli di notevole interesse nella prospettiva del rafforzamento della tutela del diritto alla protezione dei dati personali in materia tributaria.

Nella relativa vertenza, è stata esaminata la compatibilità con il diritto alla protezione dei dati personali di una legislazione nazionale, quella ungherese, che prevedeva la pubblicazione sul sito della Autorità fiscale della lista dei “grandi evasori”, individuati nei contribuenti che avevano debiti certi col Fisco per un importo superiore a circa 30.000 euro, e in particolare dei seguenti dati personali: nome, cognome, indirizzo di residenza, codice fiscale e ammontare del debito tributario (lista che, per inciso, era stata poi ripubblicata da un sito web privato, il quale aveva realizzato una mappa interattiva che individuava geograficamente gli evasori mediante punti e che, cliccandoci sopra, forniva i loro dati personali).

Con la sentenza 21 gennaio 2021 (annotata da Chiarizia G., La pubblicazione della lista di evasori [caso L.B. c. Ungheria]: il fine giustifica sempre i mezzi, in Giustizia insieme.it, 6 maggio 2021; Tomo A., Liste evasori e CEDU: riflessioni in merito alla (dubbia) proporzionalità delle misure di public shame, in Riv. tel. dir. trib., 2021, 2, I, 677 ss.; Marinello A., Pubblicazione di dati personali dei contribuenti e rispetto della vita privaa secondo la Corte EDU: la difficile ricerca di un equilibrio tra interesse fiscale e diritto alla riservatezza, in Riv. dir. trib., 2022, 1, IV, 12 ss.), la Corte EDU aveva sancito, in via generale, che la valutazione di proporzionalità delle misure legislative nazionali fosse rimessa essenzialmente alla discrezionalità degli Stati, salvo i casi di manifesta irrazionalità, e, in modo specifico, che la pubblicazione su internet dei dati personali dei “grandi evasori” da parte dell’Amministrazione finanziaria non violasse l’art. 8 della CEDU in materia di protezione della riservatezza, ritenendo tale ingerenza nella vita privata giustificata e proporzionale in una società democratica, ossia rientrante nel margine di apprezzamento concesso agli Stati in materia di scelte di politica sociale ed economica, al cui interno rientra quella fiscale (sul tema del “margine di apprezzamento”, v., fra gli altri, Brauch J.A., The Margin of Apprecitaion and the Jurisprudence of the European Court of Human Rights: Threat to the Rule of Law, in Columbia Journal of European Law, 2004, 113 ss.; Tanzarella P., Il margine di apprezzamento, in Cartabia M., a cura di, I diritti in azione, Bologna, 2007, 149 ss.; Bindi E., La Corte EDU alla ricerca del giusto equilibrio tra politica fiscale e tutela dei diritti fondamentali [sentenza 1° maggio 2013, N.K.M v. Ungheria], in Ianus, 2016, 22 ss.).

Com’è evidente, questa sentenza annientava il diritto alla protezione dei dati personali in materia tributaria, accordando, in via pressoché generalizzata, prevalenza all’interesse erariale al contrasto dell’evasione fiscale rispetto al diritto alla riservatezza dei contribuenti, ancorché evasori.

La conclusione di questa sentenza è stata, tuttavia e per fortuna, ribaltata dalla Grande Camera della Corte EDU, con una pronuncia resa il 9 marzo 2023, che ha riconosciuto la sussistenza nel caso di specie di una violazione dell’art. 8 della CEDU in materia di protezione della riservatezza, argomentando che il margine di apprezzamento riconosciuto agli Stati in materia anche tributaria non è illimitato, ma subordinato al rispetto di alcuni requisiti idonei ad assicurare un bilanciamento tra interessi erariali e tutela dei diritti fondamentali del contribuente.

5.2.1. Per la Grande Camera della Corte EDU, in particolare, i fattori da ponderare nella valutazione di bilanciamento sono i seguenti:

(i) l’interesse pubblico legato alla disseminazione delle informazioni fiscali dei contribuenti;

(ii) la natura e tipologia delle informazioni che vengono rese pubbliche;

(iii) le ripercussioni in capo al contribuente e i rischi per la sua vita privata in conseguenza della pubblicazione di tali informazioni;

(iv) la tipologia del ‘mezzo di comunicazione’ tramite il quale sono rese note le informazioni (se in formato cartaceo o su Internet con libero accesso da parte del pubblico), in quanto, a seconda del mezzo di comunicazione utilizzato, i dati possono avere una diffusione più o meno ampia a livello nazionale e globale;

(v) le principali norme in materia di protezione dei dati personali che si rendono applicabili, quali, ad esempio, quelle relative alla minimizzazione dei dati resi pubblici e al periodo massimo di conservazione dei dati.

Nell’introdurre l’obbligo di pubblicazione dei dati personali dei contribuenti-evasori, il legislatore ungherese non aveva ponderato bene i suddetti fattori.

E infatti, non aveva fatto alcuna valutazione dei possibili effetti di tale obbligo sulla vita privata dei contribuenti, né dell’efficacia dei presidi esistenti per assicurare la tutela l’interesse erariale senza pregiudicare l’interesse dei contribuenti alla tutela della propria vita privata. Inoltre, non aveva fatto alcuna valutazione della proporzionalità di tale obbligo di pubblicazione con il principio della tutela privata del debitore, in considerazione sia dei rischi connessi all’utilizzo abusivo da parte di terzi dell’indirizzo di casa del debitore, sia della diffusione a livello non solo nazionale, ma addirittura globale, che avrebbero avuto i dati, con elevati danni reputazionali in capo ai contribuenti interessati,

In breve, il legislatore tributario non aveva, a monte, neanche cercato di trovare un giusto equilibrio tra i contrapposti interessi individuali e pubblici nella doverosa prospettiva di garantire la proporzionalità dell’ingerenza predisposta.

5.2.2. In relazione al nostro tema, la decisione della Grande Camera della Corte EDU nel caso L.B. c. Ungheria è molto interessante e rilevante sotto diversi profili.

Innanzitutto, essa getta “un ponte” tra giurisprudenza sovranazionale in materie non tributarie e giurisprudenza sovranazionale in ambito tributario, rendendo comune il principio secondo cui la raccolta e la conservazione di dati personali devono essere limitate, in ogni materia, a quanto strettamente necessario al conseguimento degli obiettivi di interesse pubblico perseguito.

In secondo luogo, essa afferma, per la prima volta in modo netto, che anche in ambito tributario gli obiettivi di tutela degli interessi erariali devono essere oggetto di bilanciamento con il diritto alla protezione dei dati personali, e che le norme nazionali relative alla raccolta e all’utilizzo di dati dei contribuenti debbono essere vagliate alla luce di un sindacato di proporzionalità attento a contemperare gli interessi contrapposti.

Da ultimo, è interessante osservare che, pur riconoscendo l’esistenza di un ampio margine di apprezzamento in materia da parte degli Stati, per la Corte EDU essi sono comunque tenuti a valutare in concreto, e prima dell’introduzione della normativa, se gli obblighi di raccolta e trattamento di dati personali, che con essa si prevedono, sono realmente indispensabili o se non vanno al di là di quanto necessario in una società democratica.

6. La terza e ultima direttrice di novità, nell’arco dell’ultimo lustro preso in considerazione, riguarda il piano interno, ove – neanche a dirlo – il cammino intrapreso, in punto di tutela dei dati personali in materia fiscale, è esattamente opposto a quello percorso dalla giurisprudenza sovranazionale.

Come si è evidenziato in apertura, a livello interno l’unico e importante contributo sulla questione della proporzionalità di talune banche dati fiscali era stato dato dal Garante della Privacy (l’occasione era stato il vaglio del sistema di fatturazione elettronica), che, in linea con la giurisprudenza sovranazionale nelle materie non tributarie, aveva valorizzato l’obiettivo la minimizzazione dei dati personali che si acquisiscono in materia tributaria nel contesto di un bilanciamento orientato ai canoni della proporzionalità.

Questo primo approccio aveva aperto scenari interessanti, e potenzialmente fecondi di sviluppi, laddove la posizione si fosse evoluta fino al punto di legittimare una maggiore intrusività del sindacato di proporzionalità del trattamento massivo di dati ai fini delle attività di selezione e controllo dei contribuenti. In tale prospettiva, ad esempio, sarebbe stato possibile mettere in discussione la legittimità dell’Archivio dei rapporti finanziari – che, così come oggi costituito, accoglie una mole elevatissima di dati – alla luce dei criteri di proporzionalità e di adeguatezza del trattamento, pur a fronte degli obiettivi istituzionali di contrasto all’evasione e alla repressione degli illeciti fiscali.

Cosa ha fatto il nostro legislatore? In un trend di generalizzata deferenza verso le istanze di provenienza pubblica, e specificamente in occasione delle modifiche apportate dal D.L. 8 ottobre 2021, n. 139 al Codice della Privacy, ha depotenziato il ruolo del Garante della Privacy e aggirato il principio di legalità in materia tributaria a tutto (e solo) beneficio delle attività di controllo e accertamento dell’Amministrazione finanziaria.

6.1. Quanto al primo profilo, con l’art. 9, comma 1, lett. b), è stato abrogata la disposizione (in ispecie, l’art. 2-quinquesdecies, D.Lgs. n. 196/2003) che prevedeva, con riferimento ai trattamenti svolti per l’esecuzione di compiti di interesse pubblico e con rischi elevati per la tutela dei dati personali (nel quadro dell’art. 35, Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016), la possibilità per il Garante di adottare provvedimenti di carattere generale atti a prescrivere misure e accorgimenti a tutela degli intessati (nel nostro caso, i contribuenti), che il titolare del trattamento era poi tenuto ad adottare (nel nostro caso, l’Amministrazione finanziaria).

L’abrogazione di tale vaglio preventivo produrrà, inevitabilmente, l’effetto di modificare, obliterandolo, il ruolo sempre più attivo che, nel legittimo esercizio delle sue prerogative, il Garante aveva assunto negli ultimi anni quale Autorità deputata a vagliare la rispondenza, specie in termini di proporzionalità, tra gli obiettivi delle misure legislative e le esigenze di tutela dei dati personali anche nel settore fiscale, com’è stato in occasione della fatturazione elettronica.

Nell’attuale modello, il Garante della Privacy può essere coinvolto dal titolare del trattamento soltanto dopo un filtro basato sull’auto-valutazione dell’esistenza di rischi elevati nel trattamento dei dati personali, con l’effetto che il titolare del trattamento (nel nostro caso, sempre l’Amministrazione) potrebbe sottostimare il livello di rischio, per errore o in maniera intenzionale, impedendo conseguentemente all’Autorità di controllo di venire a conoscenza del trattamento e poter approntare eventuali correttivi in via preventiva.

6.2. Quanto al secondo profilo, con l’art. 9, comma 1, lett. a), n. 1), del medesimo D.L. n. 139/2021 è stato previsto che il trattamento dei dati personali deve ritenersi lecitamente effettuato anche qualora la relativa base giuridica sia contenuta in un “atto amministrativo generale”, come sostanzialmente affermato anche dalla Corte di Giustizia nella già illustrata sentenza SS SIA del 2002 (le critiche effettuate sul punto s’intendono, per ciò, qui richiamate). E in aggiunta, al successivo n. 2) della stessa lett. a), è stato previsto che il trattamento dei dati personali da parte delle Amministrazioni pubbliche è consentito se necessario per  l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad esse attribuiti, nel rispetto dell’art. 6 del GDPR (su cui, v., per tutti, Poletti D., Sub Art. 6, Regolamento generale sulla protezione dei dati, in D’Orazio R. – Finocchiaro G.D. – Pollicino O. – Resta G., a cura di, Codice della privacy e data protection, Milano, 2021, 199 ss.)

Cosa prevede, in sintesi, quest’ultima disposizione? Che il trattamento dei dati personali è lecito solo se e nella misura in cui ricorra una sola delle sei fattispecie ivi elencate.

Ora, poiché la quinta fattispecie prevede il caso in cui il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, è ben evidente che, in materia fiscale, il trattamento dei dati personali da parte dell’Amministrazione finanziaria finisce con l’essere sempre lecito, anche se assiso su un “atto amministrativo generale” che si colloca naturaliter al di fuori del principio di legalità di cui all’art. 23 Cost., essendo sempre funzionale al contrasto dell’evasione finale. Con buona pace, in definitiva, del diritto dei contribuenti alla protezione dei dati personali e del canone di proporzionalità nella prospettiva di un doveroso equilibrio tra i contrapposti interessi pubblico e privato.

7. Tirando le fila del discorso, e in conclusione, si può affermare che, rispetto a cinque anni fa, significati passi avanti sono stati fatti a livello sovranazionale, essendosi rafforzato nella giurisprudenza in materie non tributarie e divenuto comune alla giurisprudenza in materia fiscale il principio secondo cui la tutela del trattamento dei dati personali di fronte a esigenze pubblicistiche – qual è anche quella di contrasto l’evasione fiscale – va sempre garantita attraverso il giudizio di proporzionalità, i cui contorni, a differenza del passato, risultano oggi tracciati nella sentenza resa il 9 marzo 2023 dalla Grande Camera della Corte EDU.

Per converso, significativi passi indietro sono stati fatti a livello interno, dove, se la giurisprudenza apicale è rimasta ferma alla sentenza su redditometro, sostanzialmente elusiva del problema in esame, il legislatore nazionale si è prodigato: (i) nel ridimensionare l’importante ruolo assunto dal Garante della Privacy in tema di bilanciamento delle opposte esigenze di protezione dei dati personali e di contrasto dell’evasione fiscale, impedendogli di agire in via preventiva di propria iniziativa; (ii) nel mortificare il principio di riserva di legge in materia tributaria, consentendo trattamenti di dati personali fondati su atti amministrativi generali; e, in definitiva, (iii) nel legittimare, sempre e a prescindere, il trattamento dei dati da parte dell’Amministrazione finanziaria, riconoscendo prevalenza all’interesse pubblico al contrasto dell’evasione fiscale

Se si considera – e concludo – che nel caso LB c. UNGHERIA l’argomento principe che ha portato la Corte EDU a sancire l’illegittimità della normativa ungherese era l’approvazione “a scatola chiusa” da parte del Parlamento della normativa, scrutinata senza domandarsi se fosse davvero proporzionata e se vi fossero soluzioni alternative meno intrusive nella vita privata del contribuente, è ben evidente che – se in Italia si depotenzia il ruolo del Garante e si ammette che misure di grande intrusività nella vita privata dei contribuenti possano essere demandate addirittura ad atti amministrativi generali – la normativa nazionale si pone, forse, in rotta di collisione con i principi affermati dalla Corte EDU.

(*) Testo, con l’aggiunta della bibliografia essenziale, della relazione svolta dall’Autore al Webinar “In-Visibili: poteri, dati e modelli di business nella digitalizzazione tributaria”, organizzato dall’Università degli Studi di Torino e svoltosi il 14 aprile 2023, nell’ambito del progetto di ricerca  “PRIN 2020 – La digitalizzazione dell’Amministrazione finanziaria tra contrasto all’evasione e tutela dei diritti del contribuente”.

BIBLIOGRAFIA ESSENZIALE

Baker P. – Pistone P., General Report, in The Practical Protection of Taxpayers’ Fundamental Rights, in IFA Cahiers, vol. 100B, 2015

Brauch J.A., The Margin of Apprecitaion and the Jurisprudence of the European Court of Human Rights: Threat to the Rule of Law, in Columbia Journal of European Law, 2004, 113 ss.

Bindi E., La Corte EDU alla ricerca del giusto equilibrio tra politica fiscale e tutela dei diritti fondamentali (sentenza 1° maggio 2013, N.K.M v. Ungheria), in Ianus, 2016, 22 ss.

Califano L., La protezione dei dati personali e il ruolo del Garante in ambito pubblico, in Busia – Liguori L. – Pollicino O. (a cura di), Le nuove frontiere della privacy nelle tecnologie digitali, Roma, 2016, 25 ss.

Caporale M., Sub Art. 23, Regolamento generale sulla protezione dei dati, in D’Orazio R. – Finocchiaro G.D. – Pollicino O. – Resta G. (a cura di), Codice della privacy e data protection, Milano, 2021, 391 ss.

Carinci A., Il sistema multilivello dei diritti del contribuente, tra pluralità di fonti e molteplicità di modelli di tutela, in Carinci A. – Thassani T. (a cura di), I diritti del contribuente. Principi, tutele e modelli di difesa, Milano, 2022, 3 ss.

Carinci A., Fisco e privacy: storia infinita di un apparente ossimoro, in il fisco, 2019, 46, 4407 ss.

Cerri A., Riservatezza (diritto alla), III, Diritto costituzionale, in Enc. giur., XXVII, 1995, 3

Chiarizia G., La pubblicazione della lista di evasori (caso L.B. c. Ungheria): il fine giustifica sempre i mezzi, in Giustizia insieme.it, 6 maggio 2021

Chiti E. – Marchetti B. – Rangone N., L’impiego di sistemi di intelligenza artificiale nelle pubbliche amministrazioni italiane: prove generali, in Pajno A. – Donati F. – Perucci F.A. (a cura di), Intelligenza artificiale e diritto: una rivoluzione, Bologna, 2022, 43 ss.

Ciciriello M.C., Il principio di proporzionalità nel diritto comunitario, Napoli, 1999

Contrino A., Banche dati tributarie, scambio di informazioni fra autorità fiscali e “protezione dei dati personali”: quali diritti e tutele per i contribuenti?, in Riv. tel. dir. trib., 2019, 1, I, 7 ss.

Contrino A. – Ronco S.M., Prime riflessioni e spunti in tema di protezione dei dati personali in materia tributaria, alla luce della giurisprudenza della Corte di giustizia e della Corte EDU, in Dir. prat. trib. int., 2019, 3, 599 ss.

Contrino A., Digitalizzazione dell’amministrazione finanziaria e attuazione del rapporto tributario: questioni aperte e ipotesi di lavoro nella prospettiva dei princìpi generali, in Riv. dir. trib., 2023, 2

Costanzo L., La tutela dei diritti del contribuente al crocevia tra cooperazione amministrativa e integrazione euruotributaria, in Riv. tel. dir. trib., 2020, 2, XIV 988 ss.

Crespi S., Sicurezza nazionale e diritti fondamentali alla luce della giurisprudenza UE in materia di tutela dei dati personali, in Riv. it. dir. pub. com., 2017, 5, 983 ss.

Dell’Utri M., Principi generali e condizioni di liceità del trattamento dei dati personali, in Cuffaro V. – D’Orazio R. – Ricciuto V. (a cura di), I dati personali nel diritto europeo, Torino, 2019, 179 ss.

Donati F. – Milazzo P. La dottrina del margine di apprezzamento nella giurisprudenza della Corte europea dei Diritti dell’Uomo, in Rivista AIC, 2002, 21 ss.

D’Orazio R. – Finocchiaro G.D. – Pollicino O. – Resta G. (a cura di), Codice della privacy e data protection, Milano, 2021

Farace D., Progettazione, conformità e sostenibilità del trattamento dei dati personali, in Cuffaro V. – D’Orazio R. – Ricciuto V. (a cura di), I dati personali nel diritto europeo, Torino, 2019, 731 ss.

Farri F., Digitalizzazione dell’amministrazione finanziaria e diritti dei contribuenti, in Riv. dir. trib., 2020, 6, V, 115 ss.

Giuliani F. – Chiarizia G., Diritto tributario, CEDU e diritti fondamentali dell’UE, Milano, 2017, 243 ss.

Kokott J. – Sabotta C., The distinction between privacy e data protection in the jurisprudence of the CJJEU and the ECtHR, in Int’l Data Prrivacy, 2013, 222 ss.

Lassalle M., Who cares about financial privacy?: the Court of Justice in WM, Sovim SA v Luxembourg Business Registers [C-37/20 and C-601/20], in EU Law Live, 16 dicembre 2022

Mantelero A., Personal data for decisional purposes in the age of analytics: from an individual perspective to a collective dimension of data protection, in Computer Law & Security Review, 2016, 238 ss.

Marcheselli A. – Contrino A., Il redditometro 2.0, tra esigenze di privacy, efficienza dell’accertamento e tutela del contribuente, in Dir. prat. trib., 2014, 4, I, 679 ss.

Marcheselli A. – Ronco S.M., Dati personali, Regolamento GDPRR e indagini dell’amministrazione finanziaria: un modello moderno di tutela dei diritti fondamentali?, in Riv. dir. trib., 2022, 2, I, 98 ss.

Marinello A., Pubblicazione di dati personali dei contribuenti e rispetto della vita privaa secondo la Corte EDU: la difficile ricerca di un equilibrio tra interesse fiscale e diritto alla riservatezza, in Riv. dir. trib., 2022, 1, IV, 12 ss.

McGoldrick D., A defence of the margin of appreciation and an argument for its application by the Human Rights Committee, in International and Comparative Law Quarterly, 2016, 21 ss.

Moschetti G., Il principio di proporzionalità come “giusta misura” del potere nel diritto tributario, Padova, 2017, 96 ss.

Mowbray A., A Study of the Principle of Fair Balance in the Jurisprudence of the European Court of Human Rights, in Human Rights Law Review, 2010, 10, 289 ss.

Nastri M.P., Lo scambio di informazioni in materia fiscale: la tutela giurisdizionale effettiva e il diritto alla protezione dei dati, in Dir. prat. trib. int., 2020, 4, 1720 ss.

Pajno A. – Donati F. – Perucci F.A. (a cura di), Intelligenza artificiale e diritto: una rivoluzione, Bologna, 2022

Paparella F., L’ausilio delle teconologie digitali nella fase di attuazione dei tributi, in Riv. dir. trib., 2022, 6, I, 617 ss.

Patrono P., (voce) Privacy, in Enc. dir., XXXV, 1986, 575 ss.

Petrillo G., Il principio di proporzionalità nell’azione amministrativa di accertamento tributario, Roma, 2015, 65 ss.

Pitruzzella G., Dati fiscali e diritti fondamentali, in Dir. prat. trib. int., 2022, 2, 666 ss.

Pizzetti F., La protezione dei dati personali e la sfida dell’Intelligenza Artificiale, in Pizzetti F. (a cura di), Intelligenza artificiale, protezione dei dati personali e regolazione, Torino, 2018, 5 ss.

Pizzetti F., Privacy e diritto europeo alla protezione dei dati personali: dalla direttiva 95/46 al nuovo Regolamento europeo, vol. I, Torino, 2016

Pizzetti F., Privacy e diritto europeo alla protezione dei dati personali: il Regolamento europeo 2016/679, vol. III, Torino, 2016

Poletti D., Sub Art. 6, Regolamento generale sulla protezione dei dati, in Cuffaro V. – D’Orazio R. – Ricciuto V. (a cura di), I dati personali nel diritto europeo, Torino, 2019

Quarta L., L’impiego di sistemi di IA da parte di Amministrazioni finanziarie e Agenzie fiscali. Interesse erariale versus privacy, trasparenza, proporzionalità e diritto di difesa, in Uricchio A.F. – Riccio G. – Ruffolo U. (a cura di), Intelligenza artificiale tra etica e diritti, Bari, 2020, 230 ss.

Ragucci G., L’analisi del rischio di evasione in base ai dati dell’archivio dei rapporti con gli intermediari finanziari: prove generali dell’accertamento “algoritmico”?, in Riv. tel. dir. trib., 2019, 2, III, 261 ss.

Rodotà S., Persona, libertà, tecnologia. Note per una discussione, diritto&questioni pubbliche, 2005, 5, 25 ss.

Rodotà S., Intervista su privacy e libertà, Bari, 2005

Ronco S.M., Data Protection in Direct Tax Matters and Developments from the EU Standpoint: The Case of Automatic Exchange of Information, in International Tax Studies, 2020, 4, 20 ss.

Salvatore V., Il diritto al rispetto della vita privata: le sfide digitali, una prospettiva di diritto comparato. Unione Europea, Studio del Servizio Ricerca del Parlamento Europeo, ottobre 2018, 25 ss. (in http://www.europarl.europa.eu/thinktank)

Scaccia G., Il principio di proporzionalità, S. Mangiameli (a cura di), L’ordinamento europeo. Tomo II. L’esercizio delle competenze, Milano, 2006, 225 ss.

Scarcella L., Tax compliance and privacy rights in profiling and automated decision making, in Internet Policy Rev., 2019, 1 ss.

Selicato G., Il nuovo accertamento sintetico dei redditi, Bari, 2014, passim

Tanzarella P., Il margine di apprezzamento, in Cartabia M. (a cura di), I diritti in azione, Bologna, 2007, 149 ss.

Tomo A., La “forza centripeta” del diritto alla protezione dei dati personali: la Corte di giustizia sulla rilevanza in ambito tributario dei principi di propozionalità, accountability e minimizzazione, in Dir. prat. trib. int., 2022, 2, 908 ss.

Tomo A., Liste evasori e CEDU: riflessioni in merito alla (dubbia) proporzionalità delle misure di public shame, in Riv. tel. dir. trib., 2021, 2, I, 677 ss.

Viotto A., Il “diritto al rispetto della vita privata e familiare” nell’ambito delle indagini tributarie, nel quadro della giurisprudenza della Corte Europea dei Diritti dell’Uomo, in Riv. trim. dir. trib., 2019, 1, 153 ss.

Zagrebelsky V. – Chenal R. – Tomasi L., Manuale dei diritti fondamentali in Europa, Bologna, 2019, 247 ss.

Scarica il commento in formato pdf

Tag:, , , , ,