La digital tax è ormai realtà a seguito dell’approvazione della legge di Bilancio 2020 (L. n. 160/2019, art. 1 comma 678). L’imposta italiana presenta spunti interessanti dal punto di vista della nuova definizione di value creation, ma innesca una serie di riflessioni, tra le altre cose, anche in ordine all’interazione con la disciplina di protezione dei dati personali, ampliando, ad esempio, l’ambito di applicazione soggettiva del GDPR anche a imprese che non sarebbero altrimenti interessate dal Regolamento o aprendo la strada a dubbi circa la proporzionalità di un trattamento massivo e preventivo degli indirizzi IP dei dispositivi degli utenti.
Facciamo il punto sugli interrogativi sollevati dalle nuove norme, che potrebbero essere risolti dai provvedimenti del direttore dell’Agenzia delle entrate che dovranno definire le modalità applicative delle disposizioni relative all’imposta sui servizi digitali.
La digital tax italiana
L’imposta, di stampo europeo, colpisce solo determinate categorie di soggetti, in ragione dello svolgimento di determinate attività e a prescindere dalla loro residenza o presenza fisica nel territorio dello Stato.
I servizi digitali “tassabili” vengono suddivisi in tre diverse tipologie:
- veicolazione di pubblicità online;
- intermediazione tra gli utenti di un’interfaccia digitale multilaterale (ad esempio molti servizi della cosiddetta gig economy, tra cui l’offerta di servizi di ristorazione, trasporto, alloggio mediante piattaforma);
- trasmissione di dati raccolti nell’ambito dell’utilizzo degli utenti di un’interfaccia digitale. Si tratta, con riferimento a tale ultima categoria, della condivisione per finalità commerciali di informazioni raccolte online dagli utenti, quando questi usano delle interfacce digitali.
Il valore dei dati degli utenti
Sebbene l’efficacia di una digital tax nazionale rimanga tutta da verificare, in assenza di interventi armonizzatori quantomeno comunitari, l’esperimento italiano è interessante dal punto di vista della nuova definizione di value creation intorno a cui ruota. Nella fornitura (anche e soprattutto gratuita) di servizi digitali il ricavo generato dai soggetti che operano attraverso la rete risiede nella partecipazione degli utenti che forniscono, più o meno consapevolmente, informazioni.
L’idea che il dato, e in particolare il dato personale, sia economicamente valutabile e tale da essere misurabile come base imponibile comincia a fare capolino anche nella giurisprudenza, come dimostra una recente sentenza del TAR Lazio (Sez. I – Sent. 260/2020), secondo la quale il dato diventa, per il solo fatto di essere stato estratto, “un “asset” disponibile in senso negoziale, suscettibile di sfruttamento economico e, quindi, idoneo ad assurgere alla funzione di “controprestazione” in senso tecnico di un contratto”.
Seguendo questa logica la digital tax individua un criterio di collegamento con l’ordinamento tributario nazionale diverso dallo stabilimento dell’impresa contribuente: il luogo nel quale si concretizza la manifestazione di ricchezza tassabile diviene quello nel quale il valore, cioè il dato, è stato generato e, quindi, quello in cui l’utente (il dispositivo dell’utente) è localizzato in un dato periodo di imposta.
Digital tax e protezione dei dati personali: i problemi
Ciò innesca una serie di riflessioni anche in ordine all’interazione della normativa tributaria in commento con la disciplina di protezione dei dati personali. Innanzitutto, la Legge di Bilancio 2019 prevede che il dispositivo che l’utente ha utilizzato per accedere all’interfaccia digitale “si considera localizzato nel territorio dello Stato con riferimento principalmente all’indirizzo di protocollo internet (IP) del dispositivo stesso o ad altro sistema di geolocalizzazione, nel rispetto delle regole relative al trattamento dei dati personali” (art. 1, comma 40bis della L. n. 145/2018).
Sul punto, il Considerando 30 del GDPR è chiaro nello stabilire che l’indirizzo IP è un dato personale se trattato da un soggetto che – come è presumibile nel caso di specie – dispone di informazioni aggiuntive, tali da poter associare detto indirizzo a un utente determinato.
Un’ulteriore conseguenza dell’introduzione della digital tax sarà che le imprese incise dall’imposta, al fine di poter dichiarare la base imponibile alle autorità fiscali, dovranno effettuare un trattamento degli indirizzi IP necessario “per adempiere un obbligo legale” che andrà, ad esempio, comunicato, agli utenti tramite idonea informativa e, si presume, protetto con adeguate misure di sicurezza. Par di capire, in aggiunta, che gli indirizzi IP in questione non potranno essere né anonimizzati né trattati previo consenso degli interessati, come dispone l’articolo 126 del D.lgs. 196/2003, determinando un’antinomia tra questa norma e quella tributaria la cui risoluzione è rimessa, in assenza di un intervento legislativo di coordinamento, all’interpretazione dei soggetti passivi dell’imposta.
Inoltre, va considerato che la norma fiscale in esame è applicabile ai soggetti che hanno superato, singolarmente o a livello di gruppo, un ammontare complessivo di ricavi ovunque realizzati non inferiore a euro 750.000.000 e un ammontare di ricavi derivanti dai servizi digitali tassabili in Italia non inferiore a euro 5.500.000 durante l’anno precedente a quello di imposta. La domanda che allora si pone è: può considerarsi proporzionato il trattamento massivo e preventivo degli indirizzi IP dei dispositivi degli utenti (o delle informazioni raccolte tramite altri sistemi di geolocalizzazione) effettuato da un’impresa che, a fine anno, potrebbe non aver raggiunto la soglia di ricavi previsti per l’applicazione dell’imposta?
Non risulta che il legislatore tributario abbia avuto questa preoccupazione nel redigere la norma, che ben avrebbe potuto trovare una corretta analisi e formalizzazione in una valutazione d’impatto preventiva sulla protezione dei dati effettuata nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione della base giuridica del trattamento, cioè la norma tributaria (art. 35, comma 10, GDPR).
Conservazione dei dati
Un ulteriore aspetto interessante in chiave data protection dell’applicazione della nuova disciplina tributaria in commento riguarda l’applicazione della regola secondo la quale le informazioni necessarie ai fini dell’accertamento tributario vanno conservate per 7 o 9 anni dalla data di raccolta (a seconda che vi sia stata o meno dichiarazione ai fini tributari, secondo il disposto dell’art. 43 del D.p.r. 600/1973). Al momento non è chiaro se nel novero di tali “informazioni” possano rientrare gli indirizzi IP dei dispositivi degli utenti e gli altri dati di geolocalizzazione. E d’altronde, come potrebbe il contribuente difendersi da una pretesa del fisco senza conservare informazioni (gli indirizzi IP e gli altri dati di localizzazione) dalle quali potrebbe emergere la prova che esclude il verificarsi del presupposto d’imposta o modifica il calcolo della base imponibile? Ove così fosse, un periodo di conservazione così lungo solleverebbe più di un dubbio di legalità comunitaria, se letto alla luce dei canoni di necessità e proporzionalità richiamati dalla Corte di Giustizia dell’UE nella celebre sentenza Digital Rights (C – 293/12), con la quale il supremo giudice europeo aveva invalidato la direttiva 2006/24/CE (cosiddetta Frattini) perché imponeva agli operatori di telecomunicazione la conservazione tra sei mesi e due anni dei dati di traffico telefonico e telematico dei loro abbonati, per finalità di prevenzione di reati.
Compliance fiscale e Gdpr
E ancora, se la digital tax si applica a tutte le imprese che generano ricavi “digitali” nel territorio dello Stato, anche se ubicate fuori dall’UE, e la verifica e rendicontazione di tali ricavi passa dal monitoraggio degli indirizzi IP dei dispositivi degli utenti (o dalla loro geolocalizzazione) il rischio è che la compliance fiscale imposta dalla norma tributaria finisca per determinare l’applicazione integrale del GDPR ad imprese che potevano anche non esservi soggette. O, in alternativa, la mera fornitura di un servizio digitale nel territorio dello Stato potrebbe integrare i requisiti della “stabile organizzazione” a fini fiscali e sovrapporsi anche alla nozione europea di “stabilimento”, dalla quale il GDPR (non unico, nella normativa europea) fa discendere la propria applicazione. In un caso o nell’altro, gli obblighi di compliance fiscale introdotti dalla digital tax potrebbero concorrere ad ampliare anche l’ambito di applicazione soggettiva del GDPR determinando, in definitiva, di un aggravio regolatorio, oltre che fiscale, per le imprese toccate dalla misura.
E’ possibile che alcuni degli interrogativi sollevati dalle nuove norme vengano risolti dalla normativa secondaria in arrivo: si attendono infatti uno o più provvedimenti del direttore dell’Agenzia delle entrate nei quali dovranno essere “definite le modalità applicative delle disposizioni relative all’imposta sui servizi digitali”.
Per il momento, la protezione dei dati (personali) che il fisco intende tassare sembra lontana.
