La lotta all’evasione fiscale in Italia costituisce un proposito rinnovato in occasione di ogni legge di bilancio. La tecnologia può essere d’aiuto per combattere uno dei principali problemi endemici della nostra Nazione, ma in assenza di possibilità di rettifica dei dati acquisiti tramite la pesca a strascico ottenuta dall’incrocio delle banche dati si corre il rischio che il fisco acquisisca una falsa rappresentazione della capacità contributiva dei propri cittadini. Vediamo il contesto e le strategie per il riequilibrio a garanzia di sicurezza digitale e errori.
Lotta all’evasione, l’evoluzione della legge
Già dal 2011, con il decreto legge 201 titolato “Disposizioni urgenti per la crescita, l’equità e il consolidamento dei conti pubblici, a far corso dal 1° gennaio 2012, l’Agenzia delle entrate, anche previa pseudonimizzazione dei dati personali, è titolata ad avvalersi delle tecnologie, delle elaborazioni e delle interconnessioni con le altre banche dati di cui dispone, allo scopo di individuare criteri di rischio utili per far emergere posizioni da sottoporre a controllo e incentivare così l’adempimento spontaneo.
Le stesse informazioni possono essere tra l’altro utilizzate dalla Guardia di Finanza per le medesime finalità, anche in coordinamento con l’Agenzia delle entrate, nonché dal Dipartimento delle finanze, ai fini delle valutazioni di impatto e della quantificazione e del monitoraggio dell’evasione fiscale.
Al riguardo, come anche segnalato nella “Relazione annuale 2019 del Garante per la protezione dei dati personali”, l’attività del Parlamento e del Governo ha prodotto nel 2019 un importante intervento normativo, ritenendo la prevenzione e il contrasto all’evasione fiscale rilevanti obiettivi di interesse pubblico. Tale innovazione è stata introdotta grazie alla legge di bilancio 2020 (legge 27 dicembre 2019, n. 160) e, in particolare, dei commi da 681 a 686 dell’articolo 1, che hanno permesso l’inserimento alla lett. i), dell’art. 2-sexies del Codice privacy, prevedendo tra le condizioni di liceità per effettuare il trattamento di categorie particolari di dati personali, quelli necessari per motivi di interesse pubblico rilevante, effettuati da soggetti pubblici diretti all’applicazione, delle disposizioni in materia tributaria e doganale, comprese quelle di prevenzione e contrasto all’evasione fiscale.
Inoltre sempre con la medesima legge è stato introdotto un ulteriore importante intervento normativo in merito alle limitazioni dei diritti dell’interessato, recepito nel Codice privacy all’art. 2-undecies, comma 1, lettera (f-bis), il quale ha previsto che rispetto “agli interessi tutelati in materia tributaria e allo svolgimento delle attività di prevenzione e contrasto all’evasione fiscale”, l’esercizio dei diritti può in ogni caso essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo.
Il nodo della limitazione dei diritti
La predetta limitazione dei diritti è temperata dalla disposizione prevista all’art. 160 del Codice privacy che contempla che i diritti dell’interessato possono essere esercitati anche tramite il Garante, il quale può effettuare tutte le verifiche, comprese gli accessi alle banche dati.
Alla luce delle precedenti integrazioni normative, sostanzialmente si fa assurgere alle predette finalità non solo il rango di rilevante interesse pubblico, tale da legittimare il trattamento di particolari categorie di dati, ma anche quello di funzioni rispondenti a interessi nazionali di tale importanza da giustificare la limitazione dei diritti degli interessati.
Va ricordato che i predetti accertamenti fiscali, ai sensi della citata legge n. 160 del 2019, devono essere effettuati nel rispetto del principio di responsabilizzazione e pertanto di una valutazione unitaria di impatto sulla protezione dei dati da parte dell’Agenzia delle entrate, sentito il Garante, che dovrebbe contenere “anche le misure necessarie e ragionevoli per assicurare la qualità dei dati” (comma 684).
Si ritiene opportuno evidenziare che il Garante, nella Relazione annuale, dichiara di avere espresso alcune perplessità in merito, soprattutto circa la limitazione dell’esercizio dei diritti, e altresì dichiara che avrà modo di svolgere le proprie valutazioni di competenza in occasione dei provvedimenti che dovrà adottare in attuazione delle descritte norme.
Garanzie sulla qualità dei dati
Difatti recita la Relazione che con riferimento alle previste limitazioni dei diritti dell’interessato la modifica potrebbe risultare, paradossalmente, disfunzionale rispetto agli stessi interessi perseguiti, oltre che di dubbia legittimità se non adeguatamente circoscritta.
L’Autorità ha ritenuto necessario anche un rinvio a disposizioni attuative della stessa Agenzia delle entrate che, previo parere del Garante, prevedano, apposite misure di sicurezza, controlli sulla qualità dei dati e sulle elaborazioni logiche, nonché cautele relative al trattamento automatizzato, in modo da ridurre i rischi per gli interessati, con particolare riguardo ad erronee rappresentazioni della capacità contributiva.
Il GDPR e la profilazione
Il principio di qualità dei dati viene introdotto per la prima volta, con la Convenzione 108, la quale prevede un intero articolo sulla qualità dei dati. A seguire, i medesimi requisiti di correttezza, esattezza e pertinenza sono oggi previsti dall’art. 5 del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati “GDPR”.
Inoltre, proprio per la tutela del predetto principio, il GDPR ha inserito all’Articolo 18 il Diritto di limitazione di trattamento, che prevede al paragrafo 1 lettera a) che l’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali.
Al riguardo, va rappresentato che sebbene il “GDPR” nutra un particolare sospetto verso la profilazione, al considerando 71 contempla che “tuttavia, è opportuno che sia consentito adottare decisioni sulla base di tale trattamento, compresa la profilazione, se ciò è espressamente previsto dal diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento, anche a fini di monitoraggio e prevenzione delle frodi e dell’evasione ma in ogni caso, tale trattamento dovrebbe essere subordinato a garanzie adeguate, che dovrebbero comprendere la specifica informazione all’interessato e il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione.
Proprio in virtù di quanto indicato nel citato considerando, se certamente si ritiene corretto lo strumento della profilazione fiscale, da interessati e cittadini permane la preoccupazione di incappare erroneamente nelle maglie del fisco per errori di valutazione dell’algoritmo.
L’intervento del Garante Privacy
Non si può pertanto non plaudere al Presidente Soro che nel suo discorso di presentazione della relazione annuale 2019, ha rappresentato che rispetto alla limitazione dei diritti dell’interessato prevista dalla citata legge n. 160 del 2019, “abbiamo sottolineato la necessità di non escludere le possibilità di rettifica di dati inesatti, funzionale ad evitare valutazioni errate e quindi anche, in ipotesi, una falsa rappresentazione della capacità contributiva”; ed a quanti hanno tacciato l’azione dell’Autorità come ostativa della lotta alla evasione, il Presidente ha chiarito che,l’azione del Garante, tutt’altro che di ostacolo, si è rivelata semmai sinergica alla migliore efficacia degli accertamenti fiscali, nel rispetto peraltro del diritto dei cittadini a non essere erroneamente profilati come evasori.