A distanza di quasi due anni dalla emanazione della norma[1], il Ministero dell’Economia e delle Finanze, sentita l’Agenzia delle Entrate, ha predisposto la bozza di Decreto da sottoporre al Garante per la protezione dei dati personali per rendere operativo l’utilizzo dei dati contenuti nel c.d. “archivio dei rapporti finanziari”[2] per le analisi del rischio di evasione.
Il Garante, con alcune puntualizzazioni che verranno appresso indicate, ha espresso parere favorevole[3] come ha scritto nella sua newsletter del 31 gennaio.
Il Decreto attuativo del citato articolo 1, comma 683, doveva essere emanato entro 90 giorni dalla data di entrata in vigore della Legge[4], ma ad oggi siamo ancora in una fase interlocutoria, considerato che il Garante, nel provvedimento sopra citato si è riservato di “valutare l’adeguatezza delle misure che verranno complessivamente adottate per mitigare i rischi elevati presentati dal trattamento per i diritti e le libertà degli interessati nell’ambito dell’esame delle valutazioni di impatto sulla protezione dei dati predisposte dall’Agenzia delle entrate e dalla Guardia di finanza e del provvedimento del Direttore dell’Agenzia”.
Lo schema di decreto attuativo per l’analisi dei dati rilevanti ai fini del rischio di evasione
Il disegno del legislatore prevede la creazione e la alimentazione un database in cui, tramite l’utilizzo del campo chiave “codice fiscale” dei contribuenti, siano disponibili all’Agenzia delle Entrate e alla Guardia di Finanza tutte le informazioni dei cittadini suscettibili di fornire un indice di capacità contributiva, e ponendo a carico degli Enti, privati e pubblici, l’obbligo di trasmissione dei dati ad essi relativi.
Lotta a evasione e riciclaggio, sarà più facile in Italia (con meno privacy)
Le informazioni comprendono, tra gli altri, dati anagrafici, anche relativi al nucleo familiare, dichiarazioni, accertamenti e controlli, successioni, atti del registro, catasto, patrimonio immobiliare e mobiliare (comprensivo della consistenza di conti correnti, depositi e altri rapporti finanziari, veicoli e natanti), rapporti di lavoro, utenze elettriche, idriche e telefoniche, canone tv, spese sostenute (ad es. sanitarie, d’istruzione, sport, erogazioni liberali, premi assicurativi, mutui, noleggi, leasing), licenze, autorizzazioni, concessioni, versamenti F24 e F23, fatture e spesometro. Insomma, una mole di dati che tuttavia non può produrre risultati apprezzabili senza l’intervento umano, dal momento che gli algoritmi e i modelli matematici che verranno utilizzati per “scremare” i dati produrranno comunque un volume di posizioni certamente non indifferente.
Gli interventi previsti dal legislatore che interferiscono col diritto alla riservatezza dei contribuenti devono essere adottati in conformità al Regolamento Privacy, avendo riguardo sia a criteri oggettivi, sia alla necessaria valutazione del rapporto costi/benefici, ove per “costo” si intende quello sociale della intromissione dello Stato nella sfera privata dei cittadini, e “beneficio” si deve intendere il vantaggio che lo Stato ricava da questa attività finalizzata alla prevenzione ed individuazione dei rischi di evasione tributaria.
In questo ambito non possiamo fare a meno di rilevare che alla storica tradizione culturale del nostro paese, che si riverbera anche nella finezza e nella penetrazione dell’attività del legislatore, spesso non corrisponde altrettanta sensibilità da parte dei cittadini, e tutto ciò è purtroppo conclamato dal primato italiano nella evasione tributaria in Europa[5]. Ovviamente gli effetti del profilo psicologico del “cittadino” non si esauriscono solo nell’attività di contribuzione fiscale, ma si espandono naturalmente a tutti i settori, anche della pubblica amministrazione, per cui ci troviamo in presenza di un circolo vizioso in cui da un lato vi è l’interesse primario e legittimo dello Stato di recuperare l’evasione, ma dall’altro vi è il diritto dei cittadini alla protezione nei confronti dello Stato, che con le sue attività “invasive” potrebbe ledere il diritto alla riservatezza e non solo. Se a questo aggiungiamo anche la inefficienza dell’apparato Statale si viene a generare un sistema perverso in cui l’evasione tributaria viene in parte giustificata – anch’essa in maniera perversa – dalla esigenza del cittadino di riequilibrare gli sprechi della Pubblica Amministrazione.
Come avviene l’incrocio dei dati per il rischio evasione
L’analisi viene svolta tramite l’incrocio tra:
- – i dati in possesso della c.d. Anagrafe Tributaria, ossia l’archivio di cui al decreto del Presidente della Repubblica 29 settembre 1973, n. 605, che raccoglie e ordina su scala nazionale i dati e le notizie risultanti dalle dichiarazioni e dalle denunce presentate agli uffici dell’amministrazione finanziaria e dai relativi accertamenti, nonché i dati e le notizie che possono comunque assumere rilevanza ai fini tributari;
- – l’archivio dei rapporti finanziari: l’apposita sezione dell’Anagrafe tributaria di cui all’articolo 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605, in cui sono contenuti i dati anagrafici dei titolari e dei soggetti che intrattengono con gli operatori finanziari qualsiasi rapporto o effettuano operazioni al di fuori di un rapporto continuativo per conto proprio ovvero per conto o a nome di terzi, compreso il codice fiscale, nonché, ai sensi dell’articolo 11, commi 2 e 3, del decreto-legge 6 dicembre 2011, n. 211, i totali di dare e avere delle movimentazioni che hanno interessato i rapporti di cui all’articolo 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605, e ogni informazione relativa ai predetti rapporti necessaria ai fini dei controlli fiscali, ivi inclusi il saldo iniziale e finale ed il valore medio di giacenza annuo di depositi e conti correnti bancari e postali.
L’indagine viene svolta previa individuazione di un “dataset di analisi”, ossia un insieme di dati preselezionati, da utilizzare mediante tecniche e modelli di analisi coerenti con gli obiettivi dell’indagine, per individuare la presenza di rischi di evasione. Questi dati, applicati alle banche dati nella disponibilità dell’Agenzia delle entrate e quelli di cui è titolare la Guardia di finanza, individuano i “dataset di controllo”, ossia l’insieme delle posizioni fiscali dei contribuenti, caratterizzate dalla ricorrenza di uno o più rischi fiscali, nei confronti dei quali potranno essere avviate le attività di controllo ovvero le attività volte a stimolare l’adempimento spontaneo.
L’Agenzia delle entrate, anche per rafforzare le garanzie connesse al trattamento dei dati personali, effettuerà le elaborazioni finalizzate a far emergere le posizioni da sottoporre a controllo su dati preventivamente pseudonimizzati, al fine di impedire, in presenza di dati finanziari, l’identificazione diretta degli interessati. In sostanza, i controlli saranno effettuati senza conoscere preventivamente il nome dei soggetti sui quali vengono applicati i filtri e le elaborazioni. Solo al termine delle elaborazioni, dopo avere effettuato le operazioni di rifinitura e di selezione, e quindi dopo avere rilevato quali sono le posizioni per cui esiste un rischio di evasione fiscale, i nomi potranno essere collegati ai dati di riferimento e verrà avviata l successiva fase istruttoria.
L’affidabilità e l’accuratezza del modello di analisi e dei criteri di rischio utilizzati sono testati per fare in modo che all’esito delle analisi siano limitati i rischi di ingerenze nei confronti dei contribuenti che non presentano un rischio fiscale significativo e, comunque, siano limitati i rischi di erronea rappresentazione della capacità contributiva.
A che serve lo schema di decreto per la privacy
Lo schema di decreto è volto a circoscrivere le categorie e le finalità dei trattamenti, prevedendo che siano limitate ai trattamenti effettuati “in relazione alle attività di analisi del rischio di cui all’articolo 1, comma 682, della legge 27 dicembre 2019, n. 160” (art. 4, comma 1), “per il perseguimento delle finalità di prevenzione e contrasto all’evasione e all’elusione fiscale, tramite l’individuazione dei criteri di rischio utili a far emergere posizioni da sottoporre a controllo da parte dell’Agenzia e della Guardia di finanza, e per incentivare l’adempimento spontaneo“ (art. 3, comma 1), in relazione alle categorie di dati riferibili a “dati personali, contenuti nelle banche dati, relativi all’identità fisica ed economica, tra cui dati comuni, patrimoniali, contabili e finanziari”. Considerato che le detrazioni fiscali potrebbero riferirsi a dati personali indicati all’articolo 9 del Regolamento Privacy[6] i dataset di analisi e di controllo possono trattare solo “i dati relativi all’ammontare delle detrazioni fiscali, in forma aggregata”. I predetti dati sono conservati, rispettivamente, “per quanto concerne il dataset di analisi, per un periodo di otto anni a decorrere dal 31 dicembre dell’anno in cui gli adempimenti rilevanti ai fini fiscali sono stati o avrebbero dovuto essere posti in essere” (art., 3, comma 3, lett. a)), mentre, “con riferimento al dataset di controllo, fino al decimo anno successivo a quello di ricezione dell’invito alla regolarizzazione della posizione fiscale ovvero fino alla ricezione del provvedimento impositivo e, comunque, fino alla definizione di eventuali giudizi” (art. 3, comma 3, lett. b)), e, decorsi i predetti periodi di conservazione, “vengono cancellati, ferma restando la conservazione dei dati contenuti nelle banche dati dell’Agenzia secondo i criteri di conservazione stabiliti in relazione alle finalità per le quali ciascun dato è stato raccolto”.
I diritti dei cittadini potranno essere “limitati” solo “per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata in una società democratica, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, in modo da assicurare che tale esercizio non arrechi un pregiudizio effettivo e concreto all’obiettivo di interesse pubblico perseguito”.
I diritti oggetto di limitazione sono:
- l’esercizio del diritto dell’interessato, previsto dall’articolo 15, paragrafo 1, del Regolamento, di avere conferma che sia o meno in corso un trattamento” (art. 4, comma 2, lett. a)) che è differito “ … fino al momento in cui l’interessato riceve l’invito alla regolarizzazione della posizione fiscale, il processo verbale di constatazione, ovvero fino alla ricezione del provvedimento impositivo, l’esercizio del diritto di accesso ai dati e alle informazioni previsti dall’articolo 15, lettere a), b), c), e) e g) del Regolamento e l’esercizio del diritto di ottenere una copia dei dati personali oggetto di trattamento”. Il diritto di conoscere la durata del trattamento è fornita negli inviti comunicati, nel processo verbale di constatazione e negli avvisi notificati (art. 4, comma 2, lett. b)).
- l’esercizio del diritto, previsto dall’articolo 18, paragrafo 1, lettere a), b) c) e d) del Regolamento, di ottenere la limitazione del trattamento” e “l’esercizio del diritto, previsto dall’articolo 21 del Regolamento, di opporsi al trattamento” (art. 4, comma 2, lett. d)), fermo restando che, “ai sensi dell’articolo 17, paragrafo 3, lettera b) del Regolamento, non si applica il diritto alla cancellazione di cui al medesimo articolo, essendo il trattamento effettuato nell’esercizio dei pubblici poteri di cui è investito il titolare del trattamento” (art. 4, comma 6).
In ogni caso viene affermato che “resta salvo l’esercizio dei diritti dell’interessato in relazione ai dati presenti nelle banche dati dell’Agenzia sulla base delle disposizioni e in coerenza con le finalità per le quali ciascun dato è stato raccolto” (art. 4, comma 7) e che “resta altresì fermo il diritto dell’interessato di ottenere la rettifica dei dati personali inesatti, in conformità alla disciplina che regola la raccolta di ciascun dato” (art. 4, comma 8).
Le osservazioni del Garante privacy
La verifica del Garante è finalizzata ad accertare in via preliminare se le limitazioni ai diritti dei cittadini rispettino “l’essenza dei diritti e delle libertà fondamentali e [… costituiscano] una misura necessaria e proporzionata in una società democratica” (art. 23, par. 1, del Regolamento) e se le garanzie individuate siano adeguate “per prevenire abusi o l’accesso o il trasferimento illeciti”, in considerazione dei rischi elevati per i diritti e le libertà degli interessati (art. 23, par. 2, del Regolamento), derivanti in re ipsa dalle suddette limitazioni, a cui si aggiungono quelli derivanti dai trattamenti oggetto delle stesse, che comportano una “valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche” anche attraverso l’uso di nuove tecnologie (art. 35, par. 2, lett. a), del Regolamento).
Le principali osservazioni del Garante possono essere come appresso sintetizzate:
- La arbitrarietà connessa ai tempi di cancellazione dei dataset, soprattutto per il dataset di controllo, che è fissata al decimo anno successivo a quello di ricezione dell’invito alla regolarizzazione della posizione fiscale ovvero fino alla ricezione del provvedimento impositivo e, comunque, fino alla definizione di eventuali giudizi (art. 3, comma 3, lett. a) e b), dello schema di decreto). Secondo il garante tale tempistica potrebbe determinare la compressione dei diritti per un periodo maggiore in ragione dell’attività amministrativa eventualmente svolta dall’amministrazione finanziaria (invio dell’invito alla regolarizzazione della posizione fiscale ovvero ricezione del provvedimento impositivo);
- Lo scarso dettaglio relativo ai dati da trattare in forma aggregata (detrazioni fiscali), considerato che la vastità del patrimonio informativo in possesso dell’Agenzia delle Entrate e della Guardia di Finanza potrebbe consentire una profilazione dei cittadini anche se i dati fossero aggregati. Per esempio, anche il solo ammontare complessivo delle diverse tipologie di spese sanitarie, presenti nel quadro relativo agli oneri deducibili o detraibili della dichiarazione dei redditi, potrebbe risultare idoneo a rivelare lo stato di salute del contribuente o dei suoi familiari;
- Potrebbe essere opportuno valutare se assumere le spese sanitarie come parametro per valutare la capacità contributiva dei contribuenti in considerazione della primaria rilevanza rivestita dalla tutela della salute (art. 9, par. 2, lett. i), del Regolamento e art. 2-sexies del Codice). Sappiamo bene tutti come in presenza di patologie particolari la provvista per effettuare le cure necessarie può essere reperita mediante il ricorso a fonti non rappresentative di capacità contributiva:
- Per quanto riguarda gli obblighi informativi dell’Agenzia delle entrate e della Guardia di finanza, il rinvio contenuto nello schema di Decreto all’art. 14, par. 5, lett. c), del Regolamento – ai sensi del quale tali obblighi non si applicano se e nella misura in cui “l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato” – non risulterebbe pertinente rispetto ai trattamenti disciplinati nello schema, in quanto l’esclusione ivi prevista si riferisce unicamente ai dati raccolti presso terzi e non a quelli raccolti presso gli interessati, come risultano invece, ad esempio, quelli contenuti nelle dichiarazioni presentate dai contribuenti all’Agenzia delle entrate, cui si applica, in ogni caso, l’art. 13 del Regolamento;
- Lo schema di Decreto prevede limitazioni ai diritti di accesso agli atti da parte dei cittadini soggetti ai controlli, che sono “sono differiti, fino al momento in cui l’interessato riceve l’invito alla regolarizzazione della posizione fiscale, il processo verbale di constatazione, ovvero fino alla ricezione del provvedimento impositivo” e “le informazioni di cui al periodo precedente sono fornite negli inviti comunicati, nel processo verbale di constatazione e negli avvisi notificati”. Tali limitazioni sembrerebbero, quindi, riferibili esclusivamente ai contribuenti i cui dati sono contenuti nel dataset di controllo e che sono risultati destinatari di inviti, atti o provvedimenti dell’amministrazione finanziaria. Lo schema di Decreto andrebbe quindi integrato prevedendo le necessarie garanzie volte a individuare le ipotesi e i termini di differimento del diritto di accesso degli interessati non destinatari di inviti, atti o provvedimenti dell’amministrazione finanziaria nei termini prescrizionali in relazione ai dati contenuti nei dataset di analisi e di controllo;
- Nelle ipotesi in cui
- il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo,
- benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria,
la bozza di decreto prevede la limitazione del diritto dell’interessato a richiedere in via diretta di non cancellare dati – ad esempio, informazioni illegittimamente acquisite (riferibili anche a condotte di soggetti terzi che hanno comunicato dati inesatti all’Agenzia) di cui l’Agenzia non ha più bisogno ai fini del trattamento, ma necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria – rischia invece di ostacolare più in generale il diritto di difesa del cittadino, protraendo anche condotte illecite ed esponendo, così, l’amministrazione a richieste risarcitorie. Ciò non appare utile rispetto alle finalità della norma e risulterebbe una misura non necessaria e sproporzionata;
- eventuali successivi provvedimenti del Direttore dell’Agenzia delle Entrate, previsti nello schema di decreto, poiché avranno per oggetto la definizione di ulteriori misure di carattere generale a tutela dei diritti e delle libertà degli interessati, dovrebbero essere emanati “sentito il Garante per la protezione dei dati personali”
- I trattamenti automatizzati sono sempre suscettibili di produrre erronee rappresentazioni della capacità contributiva. L’intervento umano sarà quindi necessario sia per correggere potenziali errori o distorsioni che potrebbero verificarsi nel processo decisionale fondato su tali trattamenti, ma, soprattutto, dovrà essere attribuita agli operatori la necessaria consapevolezza “della possibile tendenza a fare automaticamente affidamento o a fare eccessivo affidamento sull’output prodotto da un processo decisionale automatizzato utilizzato per fornire informazioni o raccomandazioni per le decisioni che devono essere prese da persone fisiche”. Per cui è necessaria una corretta interpretazione degli output dei processi decisionali automatizzati e deve essere prevista la possibilità per gli operatori “di decidere, in qualsiasi situazione particolare, di non usare il processo decisionale automatizzato o altrimenti di ignorare, annullare o ribaltare l’output dello stesso”.
Conclusione
Indipendentemente dalla necessaria e successiva interlocuzione che dovrà avvenire tra Garante e Ministero dell’Economia e delle Finanze, appare necessario attribuire allo strumento in esame un corretto inquadramento funzionale, evitando di conferirgli doti taumaturgiche. La comune esperienza porta a dire che i risultati delle elaborazioni sulle banche dati producono una serie di errori ed imperfezioni che possono essere eliminati solo con un rilevante intervento umano.
Questa innegabile verità stride fortemente con la realtà, in cui spesso i cittadini sono destinatari di atti della Pubblica Amministrazione emessi senza il necessario intervento “umano”; ciò determina uno spreco di energie e di risorse (oltre che ingiustizie) che una società civile non può permettersi anche perché la gestione e neutralizzazione dei provvedimenti illegittimi è un compito reso arduo da un sistema giuridico sbilanciato verso la tutela degli interessi Erariali talvolta anche ben oltre i limiti fissati dalla costituzionali e della ragionevolezza.
Ciò non deve portare alla conclusione che l’applicazione dell’intelligenza artificiale non sia una risorsa di primaria importanza: il problema è che ad essa devono essere attribuiti ed affidati i corretti ruoli, proporzionati e coerenti con le possibilità dei mezzi impiegati. L’analisi dei rapporti finanziari con la integrazione degli altri database in possesso delle Pubbliche Amministrazioni non è uno strumento di diagnosi, ma di pre-analisi. Se per un cittadino venisse rilevato un anomalo incremento di un conto bancario la causa potrebbe anche essere non presente in altre informazioni contenute nei database. Per esempio, potrebbe esistere un contratto preliminare di vendita di beni non registrato, potrebbe essere stato contratto un prestito o essere intervenuta una donazione da un familiare, un amico, o altro.
Lo stesso Garante per la protezione dei dati personali ha evidenziato in maniera esemplare la tentazione dell’uomo di prendere per buoni gli output delle elaborazioni, anche quando contengono errori che l’occhio umano potrebbe facilmente individuare. Così come è a dir poco encomiabile la perplessità del Garante nell’utilizzo dei dati relativi alle spese sanitarie per la profilazione della capacità contributiva: chi è passato da tragedie familiari causate da problemi di salute sa bene che la capacità contributiva viene distorta sia dal capovolgimento delle priorità di spesa, sia, grazie al cielo, dalla presenza della solidarietà umana. Un ruolo decisivo dovrà essere attribuito alla fase istruttoria, nella quale l’Agenzia delle Entrate dovrà interloquire col contribuente per verificare la congruità e la correttezza dei dati e delle conclusioni.
Esistono più che valide ragioni affinché lo strumento venga utilizzato in maniera oculata, graduata e progressiva, iniziando dalla individuazione di profili di rischio elevati, in modo da lavorare – quanto meno inizialmente – su una serie limitata di casi ed affinare i metodi di selezione. Non si può e non si deve avere fretta, tra l’altro dopo che sono trascorsi due anni dal momento in cui il legislatore aveva previsto la emanazione dei provvedimenti attuativi entro 90 giorni.
Speriamo solo che dopo il Garante per la protezione dei dati personali non dovrà entrare in campo il Garante del contribuente…
Note
[1] Articolo 1 comma 683 della Legge del 27/12/2019 n. 160
[2] Ai sensi dell’articolo 7 del DPR 605/1973 “Le banche, la società Poste italiane Spa, gli intermediari finanziari, le imprese di investimento, gli organismi di investimento collettivo del risparmio, le società di gestione del risparmio, nonché ogni altro operatore finanziario, fatto salvo quanto disposto dal secondo comma dell’articolo 6 per i soggetti non residenti, sono tenuti a rilevare e a tenere in evidenza i dati identificativi, compreso il codice fiscale, di ogni soggetto che intrattenga con loro qualsiasi rapporto o effettui, per conto proprio ovvero per conto o a nome di terzi, qualsiasi operazione di natura finanziaria ad esclusione di quelle effettuate tramite bollettino di conto corrente postale per un importo unitario inferiore a 1.500 euro; l’esistenza dei rapporti e l’esistenza di qualsiasi operazione di cui al precedente periodo, compiuta al di fuori di un rapporto continuativo e l’esistenza di qualsiasi operazione di cui al precedente periodo, compiuta al di fuori di un rapporto continuativo, nonché la natura degli stessi sono comunicate all’anagrafe tributaria, ed archiviate in apposita sezione, con l’indicazione dei dati anagrafici dei titolari e dei soggetti che intrattengono con gli operatori finanziari qualsiasi rapporto o effettuano operazioni al di fuori di un rapporto continuativo per conto proprio ovvero per conto o a nome di terzi e dei soggetti che intrattengono con gli operatori finanziari qualsiasi rapporto o effettuano operazioni al di fuori di un rapporto continuativo per conto proprio ovvero per conto o a nome di terzi, compreso il codice fiscale”.
[3] Parere sullo schema di decreto attuativo dell’art. 1, comma 683, della legge 27 dicembre 2019, n. 160 – 22 dicembre 2021 n. 9738520.
[4] Quindi entro il 1 aprile 2020
[5] Fonte: Commissione UE rapporto sull’IVA 2021
[6] Ossia “dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI Garante per la protezione dei dati personali biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.