Privacy e Legge di Bilancio 2020: necessari interventi del Garante

L’Autorità Garante per la protezione dei dati personali è intervenuta di recente con una Memoria sul disegno di legge di bilancio 2020, esponendo alcune perplessità sulla legittimità delle previsioni in tema di lotta all’evasione fiscale contenute nell’art. 86 (intitolato “Analisi di rischio”). Si prevede infatti che il Fisco possa fare ricorso all’elaborazione dei dati contenuti nei propri archivi, in particolare quello dei rapporti finanziari e delle loro interconnessioni, per scovare gli evasori fiscali.

Tuttavia il Garante ha avuto modo di rilevare la necessità di modificare alcuni punti del testo del ddl, poiché non in linea con la disciplina europea in materia di protezione dei dati. Esaminiamo i vari aspetti.

 

Pseudonimizzazione e  vulnerabilità dei dati  

Il primo aspetto che giunge all’attenzione del Garante riguarda l’attività di psedudonimizzazione dei dati svolta dall’Agenzia delle Entrate.

Stando al testo della legge di bilancio, l’art. 86 comma 1 riconosce ad AE (con riferimento ai dati contenuti nell’Archivio dei rapporti finanziari) la facoltà di avvalersi, previa pseudonimizzazione dei dati personali,  delle tecnologie, elaborazioni e interconnessioni con le altre banche dati di cui dispone, allo scopo di individuare i criteri di rischio fiscale utili per far emergere posizioni da sottoporre a controllo e incentivare l’adempimento spontaneo del contribuente, in considerazione degli  obiettivi di interesse pubblico di prevenzione e contrasto all’evasione fiscale.

L’Autorità Garante oltre a specificare che l’interconnessione delle banche dati, funzionale per l’elaborazione dei criteri di rischio fiscale, non è un elemento innovativo (in quanto già prevista dal D.L 201/2011 Decreto Salva Italia), esprime le proprie perplessità in merito all’attività di pseudonimizzazione dei dati, che mantengono la loro caratteristica di “dato personale” essendo riferiti in via indiretta a persone fisiche identificabili, applicandosi dunque la disciplina in materia di protezione dati.

Di conseguenza tale tecnica non rappresenta una garanzia adeguata visto che, secondo quanto espresso dal Garante, l’uso dello pseudonimo al posto del codice fiscale, rende ugualmente identificabile l’interessato, senza tralasciare che lo scopo di individuare “le posizioni da sottoporre a controllo e incentivare l’adempimento spontaneo” sono di per sé volte all’identificazione del contribuente. Attraverso l’uso della pseudonimizzazione i dati dunque non sarebbero al riparo da vulnerabilità.

 

Limitazione dei diritti dell’interessato

Un altro aspetto affrontato è quello relativo alla limitazione dei diritti dell’interessato: il comma 2 dell’art. 86 introduce la prevenzione e il contrasto all’evasione fiscale, da collocare, secondo la previsione del ddl, quale presupposto dell’articolo 2 undecies del Codice sulla protezione dei dati personali che esclude o limita l’esercizio dei diritti da parte dell’interessato.

Limitazioni che secondo l’Autorità Garante, risultano fuorvianti e disfunzionali rispetto agli stessi interessi perseguiti, consigliando una più precisa delimitazione della portata applicativa della norma e non una generale limitazione dei diritti esercitabili dall’interessato in ogni procedimento.

Pertanto sarebbe necessario indicare: i trattamenti rispetto ai quali si prevede la limitazione dell’esercizio dei diritti; i diritti oggetto di limitazione il cui esercizio sia suscettibile di pregiudicare il contrasto all’evasione fiscale e i parametri in base ai quali ritenere sussistente il pregiudizio reale e concreto.

Inoltre, secondo il Garante, la limitazione dell’esercizio dei diritti (come il diritto di accesso alle informazioni in possesso dell’amministrazione finanziaria, precludere il diritto di rettifica dei dati inesatti e il diritto alla cancellazione di dati illegittimamente acquisiti, e limitare la possibilità di proporre reclamo)  non solo  non agevola l’azione dì contrasto all’evasione fiscale (rischiando al contrario di  ridurne la sua efficacia), ma è possibile solo qualora l’esercizio di tali diritti possa determinare un pregiudizio concreto ed effettivo alle esigenze pubbliche perseguite (art 23 GDPR e 2-undecies del Codice).

 

Conclusioni

La lotta all’evasione fiscale è un tema delicato caro all’Autorità Garante, che in una recente intervista rilasciata al “IlSole24Ore” ha chiarito come l’impegno volto alla tutela delle informazioni dei cittadini non deve essere considerato come “un freno alla lotta all’evasione fiscale”.

Secondo il Garante sarebbe dunque necessaria una riscrittura dell’art. 86 in modo da renderlo conforme alla disciplina europea in materia di protezione dati.

[Fonte immagine: pexels.com]