Con gli “avvertimenti” dello scorso 15 novembre alla Agenzia delle entrate circa la possibilità che i trattamenti relativi alla fatturazione elettronica violino una serie di disposizioni del GDPR, il Garante privacy ha stabilito una serie importante di punti fermi, che configurano un sostanziale “allargamento” del suo ruolo.
Posizione poi confermata ieri con un provvedimento che stabilisce “niente banca dati delle fatture dell’Agenzia delle entrate, memorizzati solo i dati fiscali necessari per i controlli automatizzati, no alla fatturazione elettronica per le prestazioni sanitarie” (si legge nella nota del Garante). “L’Agenzia potrà archiviare le fatture solo su richiesta dei contribuenti che avranno necessità di consultarle”.
Vediamo quali sono le basi giuridiche che l’Autorità ha invocato a fondamento del suo intervento e le conseguenze che ne derivano.
Il provvedimento
Già nel provvedimento del 15 novembre sulla fatturazione elettronica il Garante privacy sostiene che i trattamenti relativi alla fatturazione elettronica, previsti dalle norme oggetto di due provvedimenti direttoriali del 27 aprile e del 5 novembre 2018, violano una serie di disposizioni del GDPR, puntualmente elencate (cfr. punto a) del dispositivo).
Contestualmente è stato “ingiunto” alla Agenzia di “far conoscere all’Autorità le iniziative assunte per rendere conformi i predetti trattamenti alle disposizioni citate allorché gli obblighi di fatturazione elettronica divengano pienamente operativi (cfr. punto b) del dispositivo).
Infine il Garante ha trasmesso copia del Provvedimento al Presidente del Consiglio e al Ministero dell’economia e delle finanze “per le valutazioni di competenza”.
Le basi giuridiche dell’intervento del Garante
I problemi sostanziali affrontati nel provvedimento sono certamente molto importanti e, per quanto si dice, sarebbero in corso incontri specifici tra la Agenzia delle entrate e il Garante per superare i possibili vizi di illegittimità rispetto al GDPR che il Garante stesso ha indicato.
Qui tuttavia non interessa entrare nello specifico del provvedimento e dei rilievi fatti.
Quello su cui merita concentrare l’attenzione, anche in vista di sviluppi futuri, sono le basi giuridiche che il Garante ha invocato a fondamento del suo intervento e le conseguenze che ne derivano.
Va innanzitutto detto che fin dalla premessa del suo provvedimento, il Garante sottolinea di non essere stato consultato dal Direttore della Agenzia delle entrate prima di adottare il provvedimento direttoriale n.89757 del 30 aprile 018 e quello n.291241 del 5 novembre 2018.
La base giuridica invocata dal Garante per censurare la mancata consultazione è l’art. 154, comma 4, del vecchio codice privacy contenuto nel d.lgs. n. 196 del 2003 ma abrogato dal successivo d.lgs. n. 101 del 2018, entrato in vigore il 15 settembre di quest’anno, e dunque prima della adozione del secondo provvedimento direttoriale citato dal Garante.
In realtà il richiamo all’abrogato art. 154, quarto comma del vecchio Codice privacy, e il Garante ne è perfettamente consapevole perché di questa violazione non fa cenno nel dispositivo se non, ma in modo volutamente implicito, al punto c), quando predispone l’invio di copia del provvedimento al Presidente del Consiglio e al Ministro, è molto discutibile. Lascia molto perplessi, infatti, che si invochi in un provvedimento del Garante in data 15 novembre 2018, una disposizione del vecchio Codice, abrogata dall’entrata in vigore del d.lgs. n.101, il quale esplicitamene sopprime questa disposizione perché non conforme al GDPR.
Non vi è dubbio che il comma 4 dell’art. 154 del vecchio Codice stabiliva che “il Presidente del Consiglio dei ministri e ciascun ministro consultano il Garante all’atto della predisposizione delle norme regolamentari e degli atti amministrativi suscettibili di incidere sulle materie disciplinate nel presente Codice”.
Tuttavia questa norma, al momento dell’adozione del provvedimento del Garante era stata già abrogata da due mesi e anche il secondo provvedimento del Direttore dell’Agenzia delle entrate oggetto di censura era stato adottato dopo la abrogazione della disposizione richiamata.
E’ più che ragionevole ritenere che sarebbe stato comunque opportuno non invocare questa disposizione.
E’ evidente, dunque, che, nel richiamare una norma abrogata a sostegno della doglianza di non essere stato sentito preliminarmente, il Garante manifesta implicitamente la volontà di non perdere, almeno di fatto, la possibilità di esprimere anche in via preliminare, il proprio parere su regolamenti relativi alle materie di sua competenza.
Consapevole tuttavia della debolezza di fondare la pretesa di essere sentito in via preliminare su una norma ormai abrogata, il Garante utilizza, come base giuridica dei poteri esercitati adottando il provvedimento in esame, altre due disposizioni, richiamate nella parte conclusiva del provvedimento, ed espressamente indicate nel dispositivo.
Esse sono l’art. 58, paragrafo 1, lettera a) e l’art. 58, paragrafo 2, lettera a) del GDPR.
L’art. 58, paragrafo 1, lettera a) stabilisce che ogni Autorità di controllo ha tra i suoi poteri di indagine anche quello, previsto dalla lettera a), di “ingiungere al titolare del trattamento e al responsabile del trattamento e, ove applicabile, al rappresentante del titolare del trattamento o del responsabile del trattamento, di fornirle ogni informazione di cui necessiti per l’esecuzione dei suoi compiti”.
Si tratta, come è evidente, di un potere di indagine conferito alle Autorità per poter meglio conoscere, prima di valutare se un provvedimento è o meno conforme al GDPR, tutte le informazioni utili.
In questo caso, invece, questo potere è utilizzato per così dire “a valle” di una valutazione che il Garante dimostra chiaramente di avere già fatto.
Infatti l’Autorità, subito prima di richiamare l’art. 58, paragrafo 1, lettera a) del GDPR afferma esplicitamente che “l’attuazione del nuovo obbligo di fatturazione elettronica è avvenuta senza individuare, in ossequio ai principi di privacy by design e by default, misure adeguate, anche di carattere organizzativo, per garantire la protezione dei dati, anche appartenenti a categorie particolari in ogni fase del trattamento, ivi comprese quelle appropriate per assicurare un trattamento corretto e trasparente nei confronti degli interessati, coinvolti in qualità di operatori economici” (artt. 5, 6, paragrafo 3, lettera b), 9, paragrafo 2, lettera g), 13,14 e 25 del Regolamento).
Dunque il Garante non ha bisogno di utilizzare il potere assegnatogli dall’art. 58, paragrafo 1, lettera a) per svolgere una attività di indagine, considerato che esso ha già individuato in modo puntuale ed esplicito molti aspetti dei provvedimenti della Agenzia che determinano la violazione di numerose disposizioni del GDPR.
Per quanto riguarda poi l’altra base normativa invocata dal Garante, quella cioè relativa all’art. 58, paragrafo 2, lettera a), merita ricordare che questa norma specifica che ogni Autorità di controllo “rivolge avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento”.
Il richiamo a questa norma serve al Garante per motivare l’ “avvertimento” lanciato alla Agenzia delle entrate, così come il riferimento alla norma precedente serve a motivare la “ingiunzione” di far conoscere al Garante le iniziative assunte per rendere conformi i trattamenti alle disposizioni del GDPR precedentemente citate.
Peccato però che, come si è detto, il Garante di fatto ha già rilevato, in modo esplicito e perentorio, che tali violazioni vi sono e sono numerose.
Diventa dunque eufemistico e puramente strumentale utilizzare al punto a) del dispositivo un potere di “avvertimento” finalizzato a segnalare la possibilità di violazioni relativamente a un ampio spettro di norme del GDPR quando il fatto che tali violazioni sussistano è esplicitamente dichiarato nella parte motiva del provvedimento ed è ribadito nella ingiunzione contenuta alla lettera b) del dispositivo.
Infine non si può tacere del fatto che l’invio del provvedimento al Presidente del Consiglio e al Ministro dell’economia e delle finanze, previsto al punto c) del dispositivo, pare quasi una “foglia di fico”, utile a giustificare la doglianza relativa al fatto che, contrariamente a quanto previsto dall’ormai abrogato art. 154, comma 4 del vecchio Codice, il Garante non è stato preliminarmente sentito.
Gli aspetti interessanti del provvedimento
Così ricostruito il quadro è giusto dire che questo provvedimento presenta molti aspetti interessanti che possono giocare un ruolo importante anche rispetto all’evoluzione futura del ruolo del Garante.
In primo luogo è ragionevole chiedersi perché il Garante, che pure dichiara in modo esplicito e senza grandi incertezze, che i provvedimenti adottati configurano numerose violazioni del GDPR, non abbia esercitato direttamente i poteri conferiti all’Autorità di controllo dall’art.58, paragrafo 2, lettera f) del Regolamento.
Questa disposizione, infatti, consente alle Autorità di controllo, e per l’Italia al Garante, di “imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto del trattamento”.
Oggettivamente, considerata la apprezzabile e articolata dimostrazione delle numerose violazioni del GDPR da parte dei provvedimenti oggetto della decisione del Garante, sarebbe stato ragionevole attendersi che l’Autorità, come già avvenne con la decisione del 6 maggio 2008 rispetto al non dimenticato provvedimento dell’allora Direttore dell’Agenzia delle entrate che impose la pubblicazione on line delle dichiarazioni dei redditi di tutti i contribuenti italiani, provvedesse immediatamente al divieto di trattamento, non essendo in questo caso necessario il blocco perché ancora i trattamenti in questione non erano iniziati.
La decisione adottata dalla Autorità nel 2008 fece molto discutere e causò non poche critiche al Garante dell’epoca, ma quel provvedimento superò ogni successivo vaglio giurisprudenziale ed ebbe apprezzamenti non timidi anche a livello europeo.
Un “allargamento” del ruolo del Garante
In questo caso, invece, il Garante ha seguito una via molto più tortuosa, solo in apparenza più elastica e dialogante.
Infatti se la si considera in tutte le sue parti, col provvedimento in questione il Garante ha stabilito una serie importante di punti fermi, che configurano un sostanziale “allargamento” del suo ruolo.
Da un lato l’Autorità ha segnalato la sua insofferenza per non essere stata preliminarmente sentita, anche a costo di citare una norma ormai abrogata. Da un altro lato, esercitando i poteri di cui all’art. 58, paragrafo 2, lettera a) (anziché quelli di cui alla lettera f) afferma una lettura “forte” dei suoi poteri monitori. Di fatto il Garante avvisa che, se non sentito prima, si riserva di “avvertire” della possibilità di una o più violazioni, anche quando, in base all’approfondito esame dei provvedimenti sviluppata nella parte motiva, è chiarissimo che per il Garante non si tratta di violazioni possibili ma manifestamente esistenti. E’ chiaro che in questo modo si “ritaglia” un ampio margine di manovra ex post, non inferiore a quello che, in vigenza dell’art. 154, comma 4 ora abrogato, aveva prima in fase di consultazione ex ante.
Da un terzo lato, infine, utilizzando lo strumento della “ingiunzione”, impone alla Agenzia, peraltro senza fissare alcun termine, l’obbligo di fornire chiarimenti, invocando una norma (l’art.58 paragrafo1, lettera a) che presupporrebbe non una già raggiunta certezza delle violazioni, evidente nella parte motiva, ma una attività istruttoria ancora in corso.
Dell’invio al Presidente del Consiglio e al Ministro di copia del provvedimento, peraltro di natura direttoriale, si è già detto.
Quali considerazioni trarre dall’analisi svolta
Per un verso non ci si può non domandare perché tanta attenzione del Garante a dare all’Agenzia ogni possibilità di replica e di dialogo invece di adottare un provvedimento inibitorio ai sensi dell’art. 58, paragrafo2, lettera f). Per un altro verso è evidente che la costruzione normativo-sistematica seguita dal Garante per motivare sia l’”avvertimento” che l’”ingiunzione” a fornire chiarimenti, è piuttosto elaborata e, forse, anche un poco “forzata”.
Tuttavia vi sono almeno tre risposte possibili a questi interrogativi.
La prima, che il Garante, forse anche giustamente, sia stato volutamente “prudente” e, anche seguendo una strategia collaborativa certamente apprezzabile, tanto più se mirata alla sostanza e non alla forma dei provvedimenti, abbia preferito avviare ex post il dialogo che la mancanza di consultazione preliminare, aveva impedito potesse avvenire ex ante.
Insomma una consapevole rinuncia a utilizzare uno strumento inibitorio per avviare una collaborazione virtuosa, sia pure ex post. Aspetto apprezzabile, anche tenendo conto che al contrario del caso del 2008, i provvedimenti in questione non stavano ancora producendo effetti.
La seconda, che con questo provvedimento il Garante abbia voluto lanciare un segnale “chiaro e forte”, finalizzato a recuperare, attraverso una via certamente complicata e discutibile, il potere e il ruolo che l’abrogato art. 154, comma 4 del vecchio Codice gli assicurava, prevedendo esplicitamente l’obbligo di sentirlo ogni qual volta un regolamento riguardasse materie di sua competenza.
Una terza, più benevola, conclusione, potrebbe essere, infine, che il Garante da un lato abbia voluto essere “prudente” ma dall’altro anche “determinato” nel rivendicare un ruolo di vigilanza sempre possibile (e dovuto) rispetto ad ogni provvedimento che possa, ex ante o ex post rispetto alla sua adozione, prefigurare violazioni del GDPR, anche esercitando poteri di indagine e poteri monitori in modo forte e incisivo.
Quali che siano le conclusioni che ciascuno voglia trarre, certo è che questo provvedimento costituisce un “precedente” molto importante, che va assai oltre anche il merito, peraltro rilevantissimo, dei provvedimenti censurati.
Insomma, un Garante prudente ma molto determinato da “allargarsi”, anche a prezzo di usare un poco spregiudicatamente le norme dell’art. 58 GDPR.
Una linea innovativa che solo il tempo, e il ruolo che in concreto il Garante vorrà svolgere, potrà consentire di valutare a pieno.
Quello che è certo è che da un Garante che rinuncia ad adottare un sacrosanto provvedimento monitorio per riaffermare, anche pro futuro, un suo potere forte di alert e di indagine, ci aspettiamo molto.
Benissimo un Garante pragmatico e sostanzialista, come quello che emerge da questo provvedimento, purché poi in altri provvedimenti non torni a prevalere un atteggiamento puramente formalistico e burocratico.
Un Garante audace e sostanzialista è quello che vogliamo. E a questo Garante siamo disposti anche perdonare la “prudente audacia” di cui questo provvedimento è la conseguenza.
