PDL 869

Onorevoli Colleghi! – L'amministrazione finanziaria raccoglie e gestisce quotidianamente una rilevante quantità di dati relativi ai contribuenti. La sola Agenzia delle entrate è titolare di un ampio patrimonio informativo, caratterizzato da un forte dinamismo, che si alimenta attraverso i dati acquisiti dai flussi informativi di diretta gestione nonché dai dati che provengono da enti esterni.
I dati personali dei contribuenti vengono elaborati attraverso applicativi informatici e strumenti automatizzati, al fine di ottimizzare le strategie di azione dell'amministrazione sia nell'ambito delle ordinarie attività di liquidazione e riscossione dei tributi sia, soprattutto a seguito delle recenti novità normative, per la gestione delle attività strettamente connesse all'analisi del rischio di evasione fiscale.
In un tale contesto, assumono estrema importanza le garanzie e la protezione dei dati personali del contribuente al fine di individuare l'adeguato bilanciamento con l'interesse dello Stato al corretto recupero di gettito.
Negli ultimi anni si è avuta una crescente attenzione sul tema, anche all'esito dei diversi pronunciamenti della giurisprudenza nazionale ed europea e delle innovative tecnologie di analisi di cui l'amministrazione finanziaria dispone.
Con la sentenza n. 36345/16 del 12 gennaio 2021, nel caso L.B. v. Hungary, la Corte europea dei diritti dell'uomo ha ritenuto ammissibile la pubblicazione nel sito internet istituzionale dell'autorità fiscale dei dati dei contribuenti evasori. Secondo la Corte, in un'opera di bilanciamento degli interessi, l'interesse pubblico alla trasparenza dell'affidabilità economica prevale su quello individuale alla riservatezza dei dati del contribuente.
Il principio era stato già in parte sancito in precedenza dal Consiglio di Stato, seppure non con tale estensione, nella sentenza dell'Adunanza plenaria n. 19/2020 del 25 settembre 2020, affermando che l'Agenzia delle entrate può dare copia delle informazioni tributarie al coniuge coinvolto in una causa di separazione.
Con riferimento alla protezione dei dati personali del contribuente vi sono espliciti riferimenti normativi nel regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, cosiddetto «RGDP», e nel codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, come novellato dal decreto legislativo 10 agosto 2018, n. 101.
L'articolo 23 del RGDP stabilisce un limite all'esercizio dei diritti degli interessati per ragioni di interesse tributario. Il considerando n. 71 del RGDP attesta la possibilità di adottare decisioni sulla base di un trattamento interamente automatizzato, ossia di algoritmi, se questo è espressamente previsto dal diritto comunitario o dal diritto dello Stato membro di cui fa parte il titolare del trattamento. Il considerando n. 112 del RGDP in materia di flusso transnazionale di dati prevede, inoltre, la possibilità di trasferimento all'estero degli stessi, qualora ciò sia necessario per scopi di pubblico interesse come ad esempio lo scambio internazionale di dati tra autorità di controllo quali le amministrazioni competenti in ambito fiscale.
Quanto alla normativa nazionale, l'articolo 2-sexies del codice di cui al decreto legislativo 30 giugno 2003, n. 196, considera espressamente di interesse pubblico il trattamento effettuato da soggetti pubblici in applicazione di disposizioni in materia tributaria e doganale, compresi i trattamenti volti a contrastare l'evasione fiscale. L'articolo 2-undecies del citato codice di cui al decreto legislativo n. 196 del 2003 stabilisce che i diritti di cui agli articoli 15 e 22 del RGDP non possono essere esercitati qualora l'esercizio di tali diritti possa arrecare un pregiudizio all'interesse pubblico di lotta all'evasione, facendo prevalere l'esercizio di una funzione pubblica.
Quanto, invece, all'attività di contrasto dell'evasione fiscale da parte dell'Agenzia delle entrate e della Guardia di finanza, con l'articolo 1, comma 683, della legge 27 dicembre 2019, n. 160, (legge di bilancio per l'anno 2020) si è attribuito al Ministero dell'economia e delle finanze, con il parere del Garante per la protezione dei dati personali, il compito di definire specifiche limitazioni e modalità di esercizio dei diritti riservati al contribuente in materia di acceso ai dati e opposizione al trattamento, in modo da assicurare che tale esercizio non possa arrecare un pregiudizio effettivo e concreto all'obiettivo di interesse pubblico.
In attuazione della citata disposizione, il Ministro dell'economia e delle finanze ha adottato il decreto 28 giugno 2022, pubblicato nella Gazzetta Ufficiale n. 152 del 1° luglio 2022, con il quale sono state altresì definite le misure ritenute adeguate a tutelare i diritti e le libertà degli interessati, introducendo importanti princìpi a base del trattamento dei dati personali e di limitazione all'accesso da parte dei contribuenti.
Nonostante il chiaro tenore normativo, che giustamente ammette la possibilità di comprimere le garanzie del contribuente a fronte dell'interesse pubblico al corretto esercizio della potestà di accertamento e repressione degli illeciti tributari, il Garante per la protezione dei dati personali ha ribadito in più occasioni la necessità di contemperare adeguatamente l'interesse alla riservatezza del contribuente, quale diritto strettamente connesso alle libertà fondamentali, in considerazione dei princìpi di necessità e proporzionalità delle limitazioni.
In particolare, il Garante per la protezione dei dati personali è intervenuto in materia di utilizzo delle informazioni risultanti dall'anagrafe tributaria e dall'archivio dei rapporti finanziari, orientando l'attività dell'amministrazione finanziaria al fine di garantire la massima tutela del contribuente in relazione alla protezione della riservatezza nonché, nel merito dei dati, richiedendo adeguate misure di verifica della qualità dei dati utilizzati con il fine di evitare un indiscriminato e massivo utilizzo delle informazioni ai danni dei contribuenti.
La complessità della materia e la sua continua evoluzione, grazie anche all'avanzamento tecnologico e all'introduzione di strumenti di analisi dei dati sempre più penetranti nella sfera personale del contribuente, rendono necessario un intervento normativo al fine di fissare, in linea con gli orientamenti giurisprudenziali e senza pregiudicare le migliori pratiche già in uso presso l'amministrazione, i princìpi fondamentali dell'agire pubblico per il corretto bilanciamento dei diversi interessi coinvolti, in attesa di un'organica sistemazione della materia.
Per le ragioni sopra esposte, la presente proposta di legge, composta da un articolo unico, introduce un insieme di regole di condotta a «garanzia» del contribuente nei rapporti con il fisco.
A tal fine, si introduce il nuovo articolo 12-bis in materia di garanzie e protezione dei dati personali del contribuente nell'ambito delle attività di controllo e accertamento, nella legge 27 luglio 2000, n. 212, cosiddetto «Statuto dei diritti del contribuente», le cui disposizioni costituiscono princìpi generali dell'ordinamento tributario in attuazione degli articoli 3, 23, 53 e 97 della Costituzione e possono essere derogate o modificate solo espressamente e mai da leggi speciali.
Si attribuisce in tal modo il dovuto riconoscimento con norma di rango primario al diritto alla riservatezza del contribuente, quale libertà fondamentale riconosciuta dall'ordinamento costituzionale, assicurando al contempo il concreto, efficace e pieno perseguimento dell'obiettivo di interesse pubblico in materia di prevenzione e contrasto dell'evasione fiscale.
Nel dettaglio, il comma 1 eleva a principio generale dell'ordinamento tributario la protezione dei dati personali del contribuente stabilendo che, nell'ambito delle attività di analisi del rischio di evasione, accertamento e contrasto dell'evasione fiscale, l'utilizzo di tali dati da parte dell'amministrazione finanziaria, comunque conosciuti, deve avvenire in relazione a circoscritti casi di effettivo interesse, in applicazione dei princìpi di necessità e di proporzionalità, assicurando altresì il rispetto dei diritti e delle libertà fondamentali nonché della dignità degli interessati al trattamento.
Nel perseguimento di tali princìpi, il comma 2 riconduce il trattamento dei dati personali ai soli dati indispensabili al perseguimento delle finalità di interesse pubblico limitando le operazioni di trattamento a quelle strettamente necessarie al raggiungimento degli obiettivi.
Il comma 3 prevede specifiche garanzie per il contribuente nei casi di elaborazione e analisi dei dati personali attraverso sistemi automatizzati. In particolare, l'amministrazione finanziaria ha il dovere di verificare in ogni caso la qualità, la correttezza e la coerenza dei dati a disposizione, prevedendo specifiche attività di comparazione con altre fonti disponibili, al fine di ridurre la probabilità di errori in merito all'individuazione dei casi di rischio fiscale e nella determinazione della capacità contributiva.
Il comma 4, richiamando i princìpi sanciti dal RGDP e dal codice di cui al decreto legislativo n. 196 del 2003, impone all'amministrazione finanziaria di adottare adeguate misure di sicurezza, anche di carattere organizzativo, volte a minimizzare i rischi di accessi non autorizzati ai dati utilizzati, con particolare riferimento alla pseudonimizzazione e alla cifratura dei dati personali.
In analogia alle disposizioni previste dall'articolo 7 dello Statuto dei diritti del contribuente, il comma 5 prescrive che la motivazione degli atti, a pena di nullità, deve contenere la specificazione delle modalità di acquisizione dei dati personali e dei controlli eseguiti sulla relativa qualità, dei sistemi di gestione e analisi utilizzati, delle elaborazioni logiche e della comparabilità con altre fonti effettuate ai fini dell'analisi del rischio fiscale e della capacità contributiva.
I commi da 6 a 10 regolano i doveri di informazione dell'amministrazione finanziaria a favore del contribuente.
A fine di incentivare l'adempimento spontaneo, il comma 6 riconosce al contribuente il diritto ad essere informato dall'amministrazione finanziaria, a mezzo del servizio postale o attraverso gli strumenti telematici in uso, dell'esito delle attività di elaborazione condotte sui relativi dati personali nell'ambito di attività di analisi del rischio, accertamento e contrasto all'evasione fiscale e di eventuali limitazioni all'eccesso, opposizione o limitazione al trattamento, ove tale informativa non pregiudichi il buon esito delle indagini. In tale circostanza, l'esercizio dei diritti del contribuente in materia di accesso, limitazione o opposizione al trattamento può, in ogni caso, essere ritardato, limitato o escluso per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata al perseguimento dell'interesse pubblico, tenuto conto dei diritti fondamentali e dei legittimi interessi dell'interessato.
L'amministrazione finanziaria informa senza ritardo il contribuente, a mezzo del servizio postale o attraverso gli strumenti telematici in uso, della cessazione delle limitazioni, che diventano comunque inefficaci decorsi i termini di decadenza previsti per l'esercizio della potestà impositiva.
Il comma 7 introduce il dovere dell'amministrazione finanziaria di rendere disponibili al contribuente, attraverso i servizi telematici, le informazioni relative ad eventuali analisi dei dati personali del contribuente da cui è emersa l'insussistenza di un rischio fiscale significativo. Con tale prescrizione si persegue l'obiettivo non solo di tenere aggiornato il contribuente in merito al trattamento dei relativi dati personali e sugli esiti ma anche di garantire una funzione deterrente attraverso l'esternazione dell'attività di controllo dell'Agenzia, anche se con esito positivo per il contribuente.
Il comma 8 prevede l'onere per l'amministrazione finanziaria di informare il contribuente convocato in contraddittorio in merito alla natura obbligatoria o facoltativa del conferimento dei dati personali in tale sede e alle conseguenze della mancata presentazione o del rifiuto a rispondere.
Il comma 9 estende gli obblighi di informativa del contribuente anche con riferimento alle richieste di accesso agli atti da parte di terzi.
Il comma 10, infine, attribuisce al contribuente il diritto di essere informato dall'amministrazione finanziaria in merito alla pubblicazione dei dati personali per ragioni di ordine o interesse pubblico nei casi consentiti dalla legge.
Al comma 11 trovano disciplina i limiti temporali di conservazione delle informazioni relative al contribuente conseguenti alle attività di analisi del rischio, controllo, verifica e accertamento della capacità contributiva del contribuente, che non possono eccedere i termini di decadenza in materia di accertamento delle imposte. Decorsi tali termini, la conservazione è ammessa al solo fine di consentire all'interessato l'accesso ai dati, e per il tempo strettamente necessario, o comunque fino alla definizione di eventuali giudizi aventi ad oggetto l'utilizzo dei medesimi dati. Si prevede comunque l'obbligo per l'amministrazione finanziaria di informare il contribuente dell'avvenuta cancellazione.
I commi 12 e 13, infine, stabiliscono garanzie per il contribuente in merito alla correzione dei dati personali inesatti nonché con riferimento alla possibilità di ricorrere al Garante per la protezione dei dati personali.

PROPOSTA DI LEGGE

Art. 1.

1. Al fine di assicurare il giusto bilanciamento tra l'interesse dello Stato al corretto accertamento e riscossione dei tributi e l'interesse del contribuente alla riservatezza e alla tutela dei propri dati personali, quale libertà fondamentale riconosciuta dall'ordinamento, dopo l'articolo 12 della legge 27 luglio 2000, n. 212, è inserito il seguente:

«Art. 12-bis. – (Garanzie e protezione dei dati personali del contribuente nell'ambito delle attività finalizzate al contrasto dell'evasione fiscale) – 1. Nell'ambito delle attività di analisi del rischio di evasione, di controllo e di accertamento finalizzate al contrasto dell'evasione fiscale, l'utilizzo dei dati personali del contribuente da parte dell'amministrazione finanziaria, comunque conosciuti, deve avvenire limitatamente ai casi di effettivo interesse, tenuto conto dei princìpi di necessità e di proporzionalità, assicurando il rispetto dei diritti e delle libertà fondamentali nonché della dignità degli interessati al trattamento dei dati medesimi.
2. Il trattamento dei dati personali da parte dell'amministrazione finanziaria può riguardare unicamente i dati personali indispensabili al perseguimento delle finalità di interesse pubblico, limitando le operazioni di trattamento a quelle strettamente necessarie al raggiungimento degli obiettivi.
3. Nell'elaborazione e nell'analisi dei dati personali del contribuente attraverso processi automatizzati, l'amministrazione finanziaria verifica in ogni caso la qualità e correttezza dei dati a disposizione, con particolare riferimento alla coerenza degli stessi, comparandoli con altre fonti disponibili, riferibili allo stesso contribuente, al fine di assicurare un'elevata affidabilità nella selezione dei casi di rischio fiscale significativo e nella rappresentazione della capacità contributiva.
4. In ogni fase del trattamento dei dati personali, l'amministrazione finanziaria adotta adeguate misure di sicurezza, anche di carattere organizzativo, volte a minimizzare i rischi di accessi non autorizzati ai dati utilizzati, con particolare riferimento alla pseudonimizzazione e alla cifratura dei dati personali.
5. Nella motivazione degli atti, a pena di nullità, l'amministrazione finanziaria specifica le modalità di acquisizione dei dati personali e i controlli eseguiti sulla relativa qualità, i sistemi di gestione e analisi utilizzati, le elaborazioni logiche e la comparabilità con altre fonti effettuate ai fini dell'analisi del rischio fiscale e della capacità contributiva.
6. A fine di favorire l'adempimento spontaneo, il contribuente ha diritto ad essere informato senza ritardo dall'amministrazione finanziaria, a mezzo del servizio postale o attraverso gli strumenti telematici in uso, delle anomalie riscontrate all'esito della elaborazione dei dati personali nell'ambito delle attività di analisi del rischio, di accertamento e di controllo finalizzate al contrasto dell'evasione fiscale, ove tale informativa non pregiudichi il buon esito delle indagini. In presenza di circostanze ostative all'informativa del contribuente, l'esercizio dei diritti del contribuente in materia di accesso, limitazione o opposizione al trattamento può, in ogni caso, essere ritardato, limitato o escluso per il tempo e nei limiti strettamente necessari e proporzionati al perseguimento dell'interesse pubblico. L'amministrazione finanziaria informa il contribuente, a mezzo del servizio postale o attraverso gli strumenti telematici in uso, della cessazione delle limitazioni di cui al secondo periodo. Le limitazioni all'esercizio dei diritti del contribuente in materia di accesso, limitazione o opposizione al trattamento, cessano in ogni caso decorsi i termini di decadenza previsti per l'esercizio della potestà impositiva.
7. L'amministrazione finanziaria rende comunque disponibili al contribuente, attraverso i servizi telematici, le informazioni relative ad eventuali analisi dei dati personali del contribuente da cui è emersa l'insussistenza di un rischio fiscale significativo.
8. Il contribuente convocato in contraddittorio ha il diritto di essere informato sulla natura obbligatoria o facoltativa del conferimento dei dati personali in tale sede e sulle conseguenze in caso di mancata presentazione o rifiuto a rispondere.
9. L'amministrazione finanziaria rende disponibili al contribuente, attraverso i servizi telematici, le informazioni relative ad eventuali richieste di accesso ai dati personali dei contribuenti da parte di terzi, ivi comprese le amministrazioni pubbliche di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, le autorità indipendenti e le amministrazioni inserite nell'elenco di cui all'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, nonché le società a controllo pubblico statale o, limitatamente ai gestori di servizi pubblici, locale, previste dall'articolo 16 del testo unico in materia di società a partecipazione pubblica, di cui al decreto legislativo 19 agosto 2016, n. 175. Sono escluse le richieste poste in essere nell'ambito di procedure finalizzate all'accertamento o alla repressione di condotte illecite. Le informazioni relative alle richieste di cui al secondo periodo sono in ogni caso rese disponibili al contribuente cessate le ragioni che ne consentivano la limitazione.
10. Il contribuente ha il diritto di essere informato dall'amministrazione finanziaria in merito alla pubblicazione dei dati personali per ragioni di ordine o interesse pubblico nei casi consentiti dalla legge. L'amministrazione finanziaria informa il contribuente preliminarmente alla pubblicazione dei dati personali motivando la decisione di procedere alla pubblicazione in merito alle ragioni di ordine o interesse pubblico, nonché alle modalità e ai termini di pubblicazione.
11. La conservazione delle informazioni relative al contribuente conseguenti alle attività di analisi del rischio, controllo, verifica e accertamento della capacità contributiva del contribuente non può eccedere i termini di decadenza in materia di accertamento delle imposte. Decorsi i termini di decadenza dalla potestà di controllo e accertamento, i dati personali in possesso dell'amministrazione finanziaria possono essere conservati per il tempo necessario a consentire al contribuente il diritto di accesso o comunque fino alla definizione di eventuali giudizi aventi ad oggetto l'utilizzo dei medesimi dati. L'amministrazione finanziaria informa il contribuente dell'avvenuta cancellazione.
12. Il contribuente ha il diritto, in ogni momento, di ottenere la rettifica dei dati personali inesatti in conformità alla disciplina che regola la raccolta del dato.
13. Ai sensi dell'articolo 2-undecies, comma 3, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, in presenza delle limitazioni ai diritti del contribuente, laddove ne ricorrano le condizioni, gli stessi possono essere esercitati tramite il Garante per la protezione dei dati personali, con le modalità di cui all'articolo 160 del medesimo codice, di cui al decreto legislativo 30 giugno 2003, n. 196».