La lotta all’evasione non si ferma davanti alla tutela della privacy dei cittadini. La Legge di bilancio 2020 contiene disposizioni volte a migliorare le azioni volte a scovare gli evasori. Le armi messe a disposizione sia dell’Agenzia delle Entrate che della Guardia di Finanza per contrastare l’evasione fiscale diventano sempre più invasive e potenziate. Tuttavia, le nuove indicazioni accendono il dibattito in materia di privacy, per possibili profili di rischio relativamente al trattamento dei dati. Vediamo come mai.
La nuova Legge di bilancio e il GDPR
Nonostante le memorie[1] emesse del Garante per la protezione dei dati personali, l’intenso dibattito tra politici ed il presidente del Garante Antonello Soro, la nuova Legge di bilancio è stata approvata. L’articolo 1 comma 681 ha modificato l’art.2 sexies[2] del D.lgs 196/2003 e dal primo gennaio 2020 sono state introdotte nuove fattispecie che classificano tra i trattamenti di dati personali di rilevante interesse pubblico anche quelli relativi all’attività di soggetti pubblici di prevenzione e contrasto dell’evasione fiscale.
Inoltre, altra importante novità, per gli interessi tutelati in materia tributaria e nello svolgimento di attività di prevenzione e contrasto all’evasione fiscale, non potranno più essere esercitati tutti quei diritti normalmente garantiti agli interessati dagli articoli dal 15 al 22 del GDPR. Ora manca solo l’esecuzione dell’ultima fase per dare il via a questo “Fisco dai super-poteri”, in quanto per l’entrata in vigore le nuove norme della Legge di Bilancio 2020 hanno bisogno di un decreto attuativo del Ministero dell’Economia e delle Finanze, che dovrà essere emanato entro il 31 marzo 2020, sentiti il Garante e l’Agenzia delle Entrate. Il decreto dovrà specificare la portata delle limitazioni ai diritti degli interessati e le nuove disposizioni, art.1 commi 684 e 685 Legge Bilancio, relativamente alla valutazione unitaria d’impatto DPIA richiesta nel rispetto del principio di responsabilizzazione (ai sensi dell’art. 35 del GDPR). In attesa che avvenga l’emanazione del decreto, l’Agenzia delle Entrate ha messo a punto un sofisticato algoritmo per passare al setaccio i conti correnti dei contribuenti ed ha fissato al primo aprile la data di avvio nell’utilizzo del nuovo strumento.
Gli interventi del Garante della privacy
Negli ultimi due anni sono stati molteplici gli interventi del Garante della protezione dei dati personali, che attraverso provvedimenti e memorie, ha analizzato, da un punto di vista di protezione dei dati personali, le modalità di applicazione della fatturazione elettronica e l’utilizzo dei dati da parte dell’Anagrafe Tributaria per attività anti-evasione. A fine anno 2018, prima dell’entrata in vigore dell’obbligo di fatturazione elettronica, l’Autorità Garante aveva già evidenziato i molteplici problemi per la privacy dei contribuenti, lamentando anche il fatto di non essere stati coinvolti in alcuna consultazione preventiva per un’azione così delicata da un punto di vista privacy.
Lo scorso novembre, di nuovo, Il Garante Privacy aveva minuziosamente analizzato le novità introdotte dalla nuova legge[3], mettendo in luce le criticità emergenti in riferimento alla privacy. Il Presidente del Garante, Antonello Soro, ha pubblicato due memorie, facendo una disamina approfondita delle novità introdotte e delle problematiche connesse in materia di privacy del contribuente. Successivamente alla pubblicazione delle stesse è scaturito un acceso dibattito tra esponenti politici, personalità del mondo economico, dirigenti di grandi aziende o magistrati che accusavano l’Autorità Garante di bloccare la lotta all’evasione, ma in un’intervista al “Sole24Ore” del 18 novembre 2019 il Presidente Antonello Soro ha risposto in maniera diretta alle varie polemiche sollevate, dichiarando: “Non siamo noi a bloccare le entrate nell’attività di contrasto mediante l’uso dei dati. Diamo solo indicazioni per proteggere le informazioni. Una gigantesca mistificazione, una balla colossale”.
Il Presidente Soro, dunque, ha ribadito con forza che non si può pensare che l’Agenzia delle Entrate non sia in grado di svolgere la funzione di elaborazione dei dati, di analisi dei profili di rischio perché il Garante o la privacy lo impedivano, mettendo in luce non poche problematiche, e dichiarando che non vi fosse dubbio che l’obiettivo di lotta all’evasione fosse di interesse pubblico, ma che una serie di aspetti non erano stati analizzati e considerati.
Il 25 febbraio 2020 il Presidente Soro ha sentito di nuovo la necessità di replicare al Prof. Visco su presunti ostacoli privacy all’efficienza Pubblica Amministrazione, e pubblicando sul sito istituzionale una nota, ha sottolineato: “Le dichiarazioni di Vincenzo Visco sul presunto intralcio opposto dal Garante all’azione di controllo, in particolare in materia fiscale e sul lavoro, sono gravi e sconcertanti. Gravi perché denotano assoluta ignoranza di quello che è un preciso dovere degli organi di garanzia, come appunto l’Autorità, ovvero tutelare – secondo puntuali norme nazionali ed europee – le libertà rispetto allo scorretto esercizio del potere, sia esso privato o pubblico”. Non usa mezzi termini, dunque, ed aggiunge che le affermazioni di Visco esprimerebbero “una concezione totalitaria e illiberale del potere, per cui non sarebbero i cittadini a dover essere tutelati dalle ingerenze dello Stato, ma lo Stato a doversi liberare dal presunto orpello delle garanzie democratiche”.
Probabilmente, spinto dai ripetuti attacchi politici all’Autorità Garante su questo tema, il Presidente ha addirittura ricordato azioni del passato, ricordando che Visco nel 2008, allora vice-ministro dell’Economia, aveva permesso la pubblicazione on line delle dichiarazioni dei redditi 2005 di tutti i cittadini rendendoli accessibili a chiunque, in formato scaricabile e modificabile. Riepiloghiamo, dunque, quali sono le critiche del Garante che hanno sollevato tutta questa polemica. Le principali criticità poste sotto la lente d’ingrandimento dall’Autorità sono state le seguenti:
- Contrasto con il principio di proporzionalità e necessità.
- Problematiche connesse ai trattamenti automatizzati.
- Rischio disallineamenti e duplicazione informazioni tra Agenzia delle Entrate e Guardia di Finanza.
- Uso della pseudonimizzazione come misura non idonea.
- Limitazione dei diritti dell’interessato.
- Mancanza di informazioni in merito alla gestione di “data breach”.
- Contrasto con il principio di proporzionalità e necessità.
Privacy e fattura elettronica
Le nuove norme[4] sulle modalità di utilizzo e memorizzazione dei dati delle fatture elettroniche prevedono che i file .xml delle fatture elettroniche possano essere memorizzati fino al 31 dicembre dell’ottavo anno successivo a quello di presentazione delle dichiarazioni dei redditi (o fino alla definizione dei giudizi). Inoltre, è stata effettuata un’estensione dell’ambito di utilizzazione dei dati contenuti all’interno delle fatture elettroniche a tutte le funzioni di polizia economica e finanziaria (Guardia di Finanza), con l’obiettivo di potenziare l’attività di contrasto dell’illegalità, oltre che nel settore strettamente tributario, anche nella spesa pubblica, il mercato dei capitali e la tutela della proprietà intellettuale[5].
Il Garante ha fatto notare che l’estensione di memorizzazione ed utilizzo dei dati contenuti delle fatture elettroniche sarà posta in essere sulla totalità dei dati, senza esclusione ad esempio di tutti quei dati che non sono fiscalmente rilevanti, informazioni inerenti alla descrizione delle prestazioni fornite. Fattispecie questa, in contrasto con i principi di necessità e proporzionalità. Non si tratta di un problema nuovo, infatti già nei provvedimenti[6] del 2018 il Garante aveva espresso delle riserve in riferimento al provvedimento dell’Agenzia delle Entrate sulla fatturazione elettronica, ritenendo sproporzionata la memorizzazione di dati non fiscalmente rilevanti e di dati descrittivi, contenenti anche dati sulla salute o dati giudiziari (che potessero addirittura rivelare l’eventuale coinvolgimento dell’interessato a procedimenti penali), per tutte quelle fatture emesse in ambito sanitario o forense.
Spesso nel flusso di fatture elettroniche, oltre all’indicazione di beni e servizi, è riportato anche il dettaglio di informazioni che riguardano natura, qualità e quantità dei beni e servizi oggetto del documento, come il rapporto di fidelizzazione fra cliente e fornitore, le condizioni contrattuali, gli sconti applicati, le abitudini di consumo, regolarità nei pagamenti, appartenenza a particolari categorie clienti. Tutte informazioni che a livello fiscale non dovrebbero avere alcuna rilevanza. Su questa criticità, l’invito dell’Autorità mira a fare una riflessione accurata su quanto sia funzionale alle finalità da perseguire la memorizzazione di tutti i dati, auspicando l’individuazione di misure efficaci per combattere l’evasione, ma comunque meno invasive rispetto privacy dei degli individui. Ad esempio, il Garante propone di acquisire i dati proprio con l’oscuramento di quelli non rilevanti ai fini fiscali.
Dunque, per il Garante Privacy, le nuove norme evidenziano una disparità tra l’Amministrazione finanziaria ed i contribuenti, che devono condividere con lo Stato innumerevoli informazioni sulla propria vita patrimoniale, finanziaria, economica e tanto altro. Al contrario, i cittadini non hanno il diritto di conoscere quali sono i dati posseduti ed utilizzati dal Fisco per eventuali azioni di accertamento fiscale, per il controllo delle spese o per rettificare una dichiarazione errata, con il risultato di un’asimmetria informativa ed una maggiore difficoltà del contribuente a difendersi dalle azioni del Fisco. Ad ogni modo, nel testo definitivo approvato all’art. 1 comma 683 il Legislatore ha comunque posto l’accento sull’importanza del rispetto del principio di necessità e di proporzionalità, indicandolo principio essenziale da rispettare nel decreto attuativo da emanare.
Problematiche connesse ai trattamenti automatizzati
I controlli automatizzati e l’analisi del rischio richiedono la memorizzazione e l’elaborazione di enormi banche dati estratti dai dati fattura. Tra questi sarebbe stato opportuno, secondo il Garante, escludere tutti i file contenenti i dati descrittivi dell’operazione. Ai sensi dell’art. 5 del GDPR, per il principio di minimizzazione, i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati, e quando l’Agenzia delle Entrate o la Guardia di Finanza effettuano controlli automatizzati ai fini fiscali, e quindi i dati analizzati dovrebbero essere quelli fiscali. Sicuramente tra questi non rientrerebbero dati come la descrizione delle prestazioni o beni, come quei campi di testo libero.
Certamente una banca dati di testi liberi e non strutturati non si prestano ad elaborazioni massive, allora perché memorizzare ed elaborare queste informazioni? Non sarebbe stato più adeguato un oscuramento dei dati irrilevanti ai fini del perseguimento delle finalità del trattamento? Inoltre, il trattamento automatizzato richiede sempre particolari cautele nell’utilizzo, per far sì che sia garantita una combinazione equa di tecnologia e “fattore umano”, viene garantita questa caratteristica? Tutto ciò sarebbe necessario proprio per tutelare i diritti e le libertà degli interessati, come previsto dal GDPR[7], in caso alle decisioni fondate su trattamenti automatizzati.
Rischio disallineamento tra Agenzia delle entrate e GdF
Come già previsto dal 2011[8], la legge di Bilancio 2020 legittima l’Agenzia delle Entrate ad avvalersi delle tecnologie, delle elaborazioni e delle interconnessioni con altre banche dati di cui dispone, per elaborare criteri di rischio volti a fare emergere posizioni da sottoporre a controllo ed incentivare l’adempimento spontaneo. Le stesse facoltà sono attribuite, sugli stessi dati, alla Guardia di Finanza[9], causando, secondo il Garante Privacy, “evidenti rischi di disallineamento o duplicazione delle informazioni, nonché di attenuazione della qualità dei dati”. Il problema dell’estensione di tale facoltà alla Guardia di Finanza è che questo avvenga in assenza di un’adeguata specificazione del relativo ruolo, anche in rapporto alle attività dell’Agenzia delle entrate.
Pseudonimizzazione come misura non idonea
Non sono mancate da parte del Garante le critiche alla tecnica prevista dal legislatore per tutelare i dati in possesso dell’Erario: la pseudonimizzazione. Questa tecnica, che prevede la conservazione dei dati personali in una forma che impedisce l’identificazione del soggetto senza l’utilizzo di informazioni aggiuntive, non costituirebbe, infatti, una garanzia della riservatezza dei dati. Sarebbe dunque una misura di sicurezza non risolutiva perché, per il grado di dettaglio di banche dati e per l’enorme mole di dati raccolti, re-identificare l’interessato sarebbe molto facile.
Il Garante non pone obiezioni alla conservazione dei dati, in quanto l’Agenzia delle Entrate possiede numerosi dati (spese scolastiche, mutui, assicurazioni, interventi edilizi, collaboratori domestici, locazioni, utenze, spese per i viaggi, mezzi di trasporto, conti correnti) già da anni, e questi possono già essere incrociati ed analizzati. Ciò che viene criticato è l’utilizzo di questa misura, giudicata non idonea. I dati anche se pseudonimizzati non perdono la loro caratteristica di dati personali, riferendosi comunque a persone fisiche identificabili, sia pur in via indiretta. L’individuazione delle posizioni da sottoporre a controllo ha proprio l’obiettivo di identificare il contribuente, quindi la misura prevista contrasterebbe con la finalità perseguita e risulterebbe solo un inutile aggravio per l’Agenzia delle Entrate.
Limitazione dei diritti dell’interessato
Altro nodo cruciale è quello riferito alla limitazione dei diritti dell’interessato. La legge di Bilancio 2020, andando a modificare l’art. 2-undecies del d.lgs. n. 196 del 2003 del Codice in materia di protezione dei dati personali, inasprisce sensibilmente le limitazioni all’esercizio dei diritti dell’interessato (tutelati dagli artt. 15 – 22 del GDPR), applicando le limitazioni anche “alle attività di prevenzione e contrasto all’evasione fiscale”. Il Garante ha sottolineato che la preclusione dell’esercizio dei diritti, innanzitutto, risulta in contrasto con lo Statuto dei diritti del contribuente, Legge n. 212 del 2000, che, appunto, regola i rapporti tra amministrazione finanziaria ed i contribuenti in base ai principi di massima trasparenza. In secondo luogo, tali limitazioni sarebbero persino controproducenti per l‘Erario in quanto andrebbero a limitare ed impedire la possibilità per il contribuente di rettificare i dati in possesso del Titolare del trattamento. Il contribuente, ad esempio, non potrà intervenire, per correggere un dato fiscale sbagliato, ad esempio anche nel caso in cui avvenisse un attacco informatico con manipolazione dei dati, sarebbe negato il diritto di correggere informazioni inesatte. O ancora, in riferimento alla limitazione del diritto alla cancellazione di dati, se questi fossero acquisiti illegittimamente, il non esercizio del diritto in questione, potrebbe causare condotte illecite, esponendo, così, l’amministrazione a ingenti richieste risarcitorie oltre che a sanzioni amministrative rilevanti.
L’Autorità Garante aveva avanzato la proposta di circoscrivere la portata delle limitazioni disposte dalla norma in oggetto per renderla conforme all’art. 23 del GDPR, disciplinando le garanzie per prevenire vari tipi di illeciti, i rischi per i diritti e le libertà ed anche per evitare incompatibilità con il Regolamento. Tale proposta mirava ad evitare l’introduzione di limitazioni eccedenti le reali necessità perseguite, ostacolando l’esercizio dei diritti dei cittadini anche per quei casi in cui non fossero pregiudicate le attività contro l’evasione fiscale (escludendo ad esempio dalle limitazioni l’esercizio del diritto di rettifica o integrazione dei dati di carattere valutativo, di cancellazione dati inesatti o illecitamente raccolti e/o conservati). La soluzione auspicata nella memoria del Garante su questo tema era una limitazione dei diritti analoga a come già previsto ad esempio in ambito antiriciclaggio. Infatti, all’art. 39 del d.lgs. n. 231/2017 le misure vengono, circoscritte con l’individuazione di fasi del procedimento in cui i diritti dei cittadini sono limitati, senza un impedimento generalizzato, come accade con la nuova norma sui controlli fiscali.
Mancanza di informazioni sulla gestione dei data breach
Infine, nelle memorie del Garante, viene affrontato lo scottante tema della gestione dei “data breach” (violazione dei dati personali), ad esempio nel caso in cui si verifichino attacchi informatici, a seguito dei quali si potrebbero verificare gravi violazioni privacy. Il Garante ha sottolineato, data l’importanza dei dati trattati, la necessità di un atto normativo che preveda le misure adeguate e necessarie per proteggere questi dati. Il Presidente Soro ha ribadito[10] che “la sicurezza della più importante banca dati italiana è un processo che ha bisogno di un aggiornamento continuo. Non c’è mai un database che si possa considerare sicuro al cento percento. Però, l’implementazione delle misure che abbiamo suggerito nel corso delle varie ispezioni dovrebbero avere messo l’Anagrafe nelle condizioni di essere una banca dati protetta. D’altra parte, se i dati non sono protetti e sicuri, la lotta all’evasione è inefficace”.
Senza dubbio, è ormai forte la consapevolezza che l’utilizzo dei dati personali con nuove tecnologie e, addirittura, con dati diversi da quelli presenti nelle banche dati “ufficiali” sarà sempre più frequente. Basti pensare, che il Fisco andrà a pescare e setacciare non solo nel mare di dati presenti nelle dichiarazioni, nelle fatture elettroniche, negli estratti conti, ossia in tutti gli archivi ufficiali dell’Anagrafe Tributaria, ma anche nell’oceano di informazioni presenti sul web e sui social. È già una realtà che, a volte, anche le notizie sui social network possono essere utilizzate dal Fisco a supporto di accertamenti fiscali. Recenti sentenze[11] di giudici e circolari[12] dell’Agenzia delle Entrate danno spesso spazio a dati raccolti online e sono numerosissimi i contribuenti incastrati da foto pubblicate da loro stessi sui social network, cittadini smascherati da scatti che ad esempio dimostrano uno status o tenore di vita non in linea con il reddito dichiarato, oppure le caratteristiche di immobili ai fini dell’individuazione del valore di stima, o ancora falsi residenti all’estero.
Considerando le criticità sollevate dal Garante e il fatto che la legge di Bilancio 2020 sia stata approvata tenendo in considerazione solo una parte degli aspetti sollevati dall’Autorità, non ci resta che attendere i prossimi sviluppi e le consultazioni con Garante ed Agenzia delle Entrate che dovranno avvenire prima dell’emanazione del decreto attuativo del Ministero dell’Economia e delle Finanze, fissata entro 90 giorni dall’entrata in vigore della legge. Si vedrà se nelle disposizioni attuative, sentito il parere del Garante, saranno previste adeguate misure di sicurezza, controlli sulla qualità dei dati e sulle elaborazioni logiche, oltre a cautele relative al trattamento automatizzato, con l’obiettivo di ridurre i rischi per gli interessati.
_
Note
- Memoria sul disegno di legge C. 2220, di conversione in legge del decreto-legge n. 124 del 2019, recante disposizioni urgenti in materia fiscale e per esigenze indifferibili (5 novembre 2019); memoria sul disegno di legge di bilancio 2020 (12 novembre 2019). ↑
- È stata modificata la lettera “i” del comma 2 art.2 sexies del D.lgs 196/2003, novellato con il D.lgs 101/2018. ↑
- Quando ancora era disegno di legge di bilancio 2020. ↑
- Articolo 14 del decreto-legge (DL. 124/2019 pubblicato in Gazzetta Ufficiale il 24 dicembre 2019). ↑
- Relazione illustrativa AC 2220, p.19. ↑
- 6 Provvedimenti del 18 novembre e 20 dicembre 2018. ↑
- Art. 22, par.2, lett. b) del GDPR. ↑
- Art. 11 comma 4 del DL n. 201 del 2011. ↑
- La condivisione dei dati con la Guardia di Finanza ha al fine di allargare il potere delle della Guardia di Finanza e dando la possibilità di potenziare l’attività dell’arma anche “in settori diversi da quello strettamente tributario, come per esempio la spesa pubblica, il mercato dei capitali e la tutela della proprietà intellettuale”. ↑
- Fonte: Intervista del Presidente Antonello Soro al “Sole24Ore” del 18/11/2019. ↑
- Sentenza Cassazione Civile n. 308 del 10 gennaio 2020: il caso di quell’accertamento dell’imposta di pubblicità non pagata per 4 anni da un’attività commerciale in un Comune della Provincia di Teramo, dimostrato attraverso le immagini recuperate da “Google Street View”. La Cassazione ha respinto il ricorso presentato dal contribuente, che contestava l’ammissione come prova dello stazionamento di un veicolo con cartellonistica pubblicitaria, immagini scaricate dal portale di Google. ↑
- Nel 2016 l’Agenzia delle Entrate con circolare n.16/E del 28/04/2016 aveva ammesso l’utilizzo di questo tipo di dati personali come elemento a supporto degli accertamenti fiscali. ↑