Parere del Garante Privacy sullo schema di decreto attuativo dell’art. 1, comma 683, della legge 27 dicembre 2019, n. 160 (Legge di bilancio 2020) sulle procedure per l’analisi del rischio fiscale – (22 dicembre 2021 [9738520])

Chiamato ad esprimere il proprio parere sullo schema di decreto attuativo dell’art. 1, comma 683, della legge 27 dicembre 2019, n. 160, trasmessogli dal Ministero dell’economia e delle finanze il 15 novembre 2021, il Garante Privacy fornisce il proprio assenso alla relativa emanazione non rinunciando, tuttavia, ad alcune osservazioni nell’ottica di innalzamento della tutela degli interessati dal trattamento dei dati personali. 

Il decreto, in particolare, è finalizzato a stabilire le modalità attraverso le quali Agenzia delle Entrate e Guardia di Finanza possono procedere, così come previsto dall’art. 1, co. 682 della Legge di bilancio 2020, all’individuazione del rischio fiscale, quale “rischio di comportamenti attuati in violazione di norme di natura tributaria ovvero in contrasto con i principi o con le finalità dell’ordinamento tributario”. 

Ciò al fine di “far emergere posizioni da sottoporre a controllo e incentivare l’adempimento spontaneo”.

1. LO SCHEMA DI DECRETO.

Lo schema proposto dal Ministero delle Finanze prevede, da parte dei titolari del trattamento, individuati nell’Agenzia delle entrate e nella Guardia di finanza, l’utilizzo di: 

• Dataset di analisi al fine di verificare, applicando tecniche e modelli di analisi coerenti con i criteri di rischio prescelti, la presenza di rischi fiscali rispetto ai contribuenti;
• Dataset di controllo, cioè, l’insieme delle posizioni fiscali dei contribuenti, caratterizzate dalla ricorrenza di uno o più rischi fiscali, nei confronti dei quali potranno essere avviate le attività di controllo ovvero le attività volte a stimolare l’adempimento spontaneo.

Considerata la portata limitante del provvedimento in esame rispetto ai dati personali ed ai relativi diritti degli interessati (cfr. art. 23 GDPR che consente a determinate condizioni limitazioni in tal senso da parte del “diritto dell’Unione e dello Stato membro”), lo stesso ha la funzione, secondo quanto disposto dal Par. 2 dell’art. 23 GDPR, citato di individuare:

1. Il perimetro entro cui è ammessa la limitazione dei diritti degli interessati ;
2. Le limitazioni relative alla portata degli obblighi e dei diritti di cui agli articoli 14, 15, 17, 18 e 21 del Regolamento, nonché le relative modalità di esercizio, nel rispetto dei diritti e delle libertà fondamentali degli interessati;
3. Le misure adeguate a tutela dei diritti edelle libertà degli interessati, incluse le misure di sicurezza, i controlli sulla qualità dei dati e sulle elaborazioni logiche utilizzate, nonché le misure volte a ridurre il rischio di erronea rappresentazione della capacità contributiva.

a) Le limitazioni.

Con riferimento all’ambito di estensione (o di tolleranza) delle limitazioni, lo schema ne circoscrive i confini:

1. Circa la portata, alle “attività di analisi del rischio di cui all’articolo 1, comma 682, della legge 27 dicembre 2019, n. 160”, in relazione alla “prevenzione e contrasto all’evasione e all’elusione fiscale, tramite l’individuazione dei criteri di rischio utili a far emergere posizioni da sottoporre a controllo da parte dell’Agenzia e della Guardia di finanza, e per incentivare l’adempimento spontaneo”;
2. Quanto alle categorie di dati personali a quelli concernenti l’identità fisica ed economica tra cui i dati comuni, patrimoniali, contabili e finanziari, nonché – tra i dati particolari ex art. 9 GDPR – quelli inerenti le detrazioni fiscali, anche se solo in forma aggregata;
3. Circa il periodo di conservazione, rispettivamente, 8 anni per i dati trattati nel dataset di analisi, mentre 10 anni per quelli trattati nel dataset di controllo; al termine di tali scadenze i dati sono cancellati. 

b) Le misure previste a tutela dei diritti e delle libertà degli interessati.

Per ciò che concerne le misure poste a tutela dei diritti e delle libertà degli interessati, lo schema di decreto prevede, che:

• In linea con il principio di minimizzazione del contenuto oggetto del trattamento, i titolari “trattano esclusivamente i dati personali indispensabili ed effettuano le operazioni di trattamento strettamente necessarie al raggiungimento delle finalità di cui all’articolo 1, comma 682, della legge 27 dicembre 2019, n. 160, nel rispetto dei princìpi di cui all’articolo 5 del Regolamento” (comma 1);
• e ancora, nel rispetto del principio di esattezza del dato trattato, i titolari del trattamento “adottano tutte le misure necessarie per escludere i dati personali inesatti o non aggiornati dai trattamenti conseguenti all’analisi del rischio fiscale” (comma 2). 
• In particolare, si sottolinea come “a tutela dei diritti e delle libertà degli interessati, l’Agenzia e la Guardia di finanza adottano le misure di sicurezza tecniche e organizzative idonee a garantire la riservatezza, l’integrità, la disponibilità dei dati e la sicurezza dei sistemi, nonché quelle necessarie ad assicurare che i dati utilizzati siano attuali, coerenti, completi, tracciabili e ripristinabili, nel rispetto di quanto previsto dall’articolo 32 del Regolamento” (comma 4).
• L’Agenzia delle Entrate elabori informazioni finalizzate a far emergere le posizioni da sottoporre a controllo su dati “preventivamente pseudonimizzati” così da impedire, in presenza di dati finanziari, l’identificazione diretta degli interessati, ed evitando profilazioni basate sulle categorie di dati eventualmente presenti nel dataset di analisi e di controllo. 
• Al fine di ridurre i rischi di accessi non autorizzati o non conformi alle finalità di trattamento, l’accesso agli strumenti informatici di trattamento è consentito ai soli soggetti specificatamente autorizzati;
• L’Agenzia effettui un “controllo degli accessi ai dati e alle informazioni presenti nelle banche dati tramite misure idonee a verificare, anche a posteriori, le operazioni eseguite da ciascun soggetto autorizzato” (comma 8); tanto nell’ottica di impedire trattamenti illeciti o violazioni dei dati personali.

2. LE OSSERVAZIONI DEL GARANTE PRIVACY.

Nel proprio parere il Garante rileva come lo schema del decreto eserciti un forte impatto sulla protezione dei dati personali dei contribuenti, venendo in rilievo diverse limitazioni ai diritti ed alle prerogative connessi ai dati personali. 

L’Autorità sostiene come in effetti il MEF abbia definito “alcune misure di garanzia […]in relazione a […] trattamenti – da effettuarsi avvalendosi “delle tecnologie, delle elaborazioni e delle interconnessioni con le altre banche dati” – che, in ragione delle loro caratteristiche, presentano rischi elevati per i diritti e le libertà degli interessati”.

Tuttavia, al fine di fornire previsioni adeguate “per prevenire abusi o l’accesso o il trasferimento illeciti” di dati, in considerazione dei rischi elevati per i diritti e le libertà degli interessati il Garante osserva che: 

• In primo luogo, non risulti chiaro il regime applicabile ai diritti degli interessati i cui dati dovessero essere presenti nel dataset di controllo senza però risultare destinatari di inviti o provvedimenti nei termini prescrizionali;
• Con riferimento, invece, alle categorie di dati trattati la disposizione che ne circoscrive l’ambito (dati comuni, patrimoniali contabili, finanziari e relativi alle detrazioni fiscali) non risulti sufficientemente dettagliata per assicurare la necessaria prevedibilità e trasparenza dei trattamenti di dati presenti nei dataset di analisi e di controllo, oggetto di limitazione.

Invero, per via dell’enorme patrimonio informativo dell’Agenzia delle entrate e della Guardia di finanza, che comprende, tra gli altri, dati anagrafici, anche relativi al nucleo familiare, ed altri dati sensibili, occorre che l’art. 3, comma 1, dello schema di decreto sia integrato individuando con maggior dettaglio le tipologie di informazioni oggetto di utilizzo in tale contesto con la puntuale individuazione delle banche dati di cui si intende servirsi. 

Occorre, inoltre, specificare meglio quali siano le misure appropriate che verranno adottate a tutela dei diritti e delle libertà degli interessati in relazione ai trattamenti di dati appartenenti alle categorie particolari di cui all’art. 9 del Regolamento, con specifico riguardo a quelli sulla salute;

• Nello schema in esame non risultano indicate specifiche garanzie in relazione ai minori, le cui informazioni dovessero risultare presenti all’interno dei dataset di analisi e, soprattutto, di controllo. Sul punto l’invito del Garante è a prevederedelle specifiche tutele per detti soggetti vulnerabili.
• Infine, risulta necessario integrare lo schema in esame prevedendo le indispensabili garanzie volte ad individuare le ipotesi e i termini di differimento del diritto di accesso degli interessati non destinatari di inviti, atti o provvedimenti dell’amministrazione finanziaria in relazione ai dati contenuti nei dataset di analisi e di controllo.

3. CONCLUSIONI (PROVVISORIE).

In conclusione, il Garante – come anticipato innanzi – esprime un parere favorevole sullo schema di provvedimento in esame a condizione che vengano rispettate le previsioni indicate nel proprio documento, riferibili, rispettivamente, all’individuazione delle categorie di trattamenti e di dati personali oggetto delle limitazioni, alla trasparenza del trattamento e agli obblighi informativi nei confronti degli interessati, al diritto di accesso, al diritto di limitazione di trattamento, nonché alle misure a tutela dei diritti e delle libertà degli interessati.

Leggi qui il parere

Avv. Adamo Brunetti