Privacy ed evasione fiscale, quando prevale l'interesse pubblico sulla protezione dei dati | Agenda Digitale

L'approfondimento

Privacy ed evasione fiscale, quando prevale l’interesse pubblico sulla protezione dei dati

Una sentenza della Corte europea dei diritti dell’uomo permette di far chiarezza sul rapporto tra interesse pubblico e data protection, in relazione alla causa intentata da un soggetto inserito in una black list ungherese di evasori fiscali

25 Mar 2021
Riccardo Berti

avvocato Centro Studi Processo Telematico

Daria Sartori

Avvocato, già Giurista presso la Corte Europea dei Diritti dell’Uomo

Giustizia digitale

La decisione assunta dalla Corte europea dei diritti dell’uomo relativa alla pubblicazione dei dati personali di un evasore fiscale in una black list è interessante perché ammette la legittimità, nel caso concreto, della prevalenza dell’interesse pubblico al buon funzionamento del sistema contributivo (e dell’interesse dei potenziali business partners all’identificazione degli evasori fiscali) sul diritto alla riservatezza dell’individuo.

Infatti, il 12 gennaio 2021, con sentenza nel caso L.B. c. Ungheria, la Corte Europea dei Diritti dell’Uomo ha concluso che la pubblicazione dei dati personali di un evasore fiscale in una “black list” governativa ampiamente accessibile sul web non costituisce violazione del suo diritto alla privacy. La pronuncia origina nel ricorso di un cittadino ungherese che lamentava la non conformità all’articolo 8 della Convenzione Europea dei Diritti dell’Uomo (CEDU) dei metodi utilizzati dal suo governo per “incentivare” persone e imprese a rientrare dei propri debiti con il fisco.

L’antefatto e la causa

Nel 2016 la National Tax and Customs Authority ungherese aveva pubblicato i dati identificativi del ricorrente nelle liste di evasori fiscali presenti sul proprio sito. La pubblicazione, prevista da una normativa entrata in vigore nel 2003, riguarda gli evasori il cui debito col fisco sia superiore ai 10 milioni di fiorini ungheresi (al tasso attuale corrispondente a circa 30 mila Euro) accertato “con decisione definitiva” dall’Authority, nonché i c.d. “grandi evasori”, ovvero soggetti il cui debito oltre i 10 milioni di fiorini non sia rientrato entro 180 giorni. Il ricorrente era stato incluso in entrambe le liste.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

L’AI per stanare chi non paga le tasse: il progetto dell’Agenzia delle Entrate

È importante sottolineare che, in base a questa normativa, oltre al nome e cognome dell’evasore, ne è pubblicato anche il codice fiscale, l’ammontare del debito e addirittura l’indirizzo di residenza. Nel 2016 un sito web privato aveva poi realizzato, sulla base dei dati pubblicati dall’Erario, una mappa interattiva degli evasori. Cliccando sui vari punti evidenziati nella mappa era possibile ottenere i dati dell’evasore così collocato geograficamente. Sul punto era intervenuto, fin dal 2012, l’omologo ungherese del Garante Privacy, in un caso relativo ad un’amministrazione locale, richiamando la necessità di eliminare dal sito web dell’amministrazione i dati degli evasori persone fisiche e lasciando unicamente i dati delle aziende debitrici. Davanti la Corte europea dei diritti dell’uomo, il ricorrente lamentava una violazione dell’articolo 8 CEDU (diritto al rispetto della vita privata e familiare).

La normativa di riferimento

Il primo aspetto da evidenziare è che nel caso in esame non è stata presa in considerazione dalla Corte la normativa GDPR, normativa che, verosimilmente, avrebbe influito sulla decisione. Il ricorso risale infatti all’inizio del 2016 ed allora il GDPR doveva ancora essere adottato. C’è da dire però che l’attività di pubblicazione della black list degli evasori in Ungheria prosegue ancora oggi a dimostrazione del fatto che l’entrata in vigore del Reg. UE 679/2016 non ha inciso sulle pratiche dell’amministrazione fiscale del paese.

In ogni caso, all’epoca dei fatti, era in vigore in Ungheria una normativa privacy fondata sulla Direttiva 95/46/CE (che aveva portato all’istituzione di un’Autorità Garante, oppostasi, in casi analoghi, alla pubblicazione tramite internet dei dati degli evasori). La decisione della Corte si fonda dunque sulla normativa pre-GDPR in vigore in Ungheria, analizzandone la compatibilità con l’articolo 8 CEDU. L’articolo in questione tutela il diritto al rispetto della vita privata e familiare, consentendone limitazioni che abbiano un fondamento legale e siano proporzionate al raggiungimento di uno scopo legittimo tra quelli individuati dalla stessa previsione (tra cui figurano il benessere economico del paese e la tutela dei diritti di terzi).

I motivi della decisione della Corte

La Corte precisa innanzitutto che il ricorso non è rivolto a censurare la diffusione dei dati fatta tramite il sito web che aveva realizzato la “mappatura” degli evasori, ma unicamente a contestare l’attività di diffusione (a detta della Corte meno incisiva) fatta dall’Amministrazione finanziaria sul proprio sito web. La Corte non nega che l’attività dell’Erario ungherese costituisca un’interferenza nel diritto al rispetto della vita privata e familiare del ricorrente, soprattutto (ma non solo) per quanto concerne la pubblicazione del suo indirizzo di residenza.

Allo stesso tempo, la Corte sottolinea che tale interferenza trovava fondamento in una norma di legge, e si dichiara “pronta ad accettare” che essa persegua il duplice scopo legittimo avanzato dal Governo: tutela dell’interesse pubblico al “miglioramento della disciplina del pagamento delle imposte” e dell’interesse dei terzi, potenziali business partners, a conoscere la situazione finanziaria degli evasori fiscali. Il ricorrente sosteneva, invece, che questa attività dell’amministrazione finanziaria fosse tesa esclusivamente al public shaming, con il sito web che svolge, silenziosamente, il ruolo che ad esempio nella Repubblica di Venezia era affidato delle “pittime”, che con le loro grida e lamenti seguivano il debitore fino a “convincerlo” a saldare.

Evidenziata l’esistenza di un fondamento legale e di un (duplice) scopo legittimo, la Corte verifica se nel caso di specie sia stato rispettato il requisito della proporzionalità tra le limitazioni imposte al diritto alla riservatezza ed i contrapposti interessi, pubblico e di terzi. Nel fare ciò, la Corte sottolinea innanzitutto l’ampiezza del margine di apprezzamento lasciato agli Stati nell’adozione di policy e misure generali di natura economica e finanziaria. Questo punto del ragionamento è particolarmente importante, perché la Corte EDU spesso “alza le mani” dinanzi alle scelte operate degli Stati in materie (come quella fiscale) laddove essa ritiene di dover rispettare maggiormente la sovranità statale. Nel caso di specie, dunque, la Corte chiarisce che il margine di apprezzamento (ergo, lo spazio entro cui opera il bilanciamento tra interessi contrapposti) è ampio, e ciò significa che un suo intervento “censore” potrà avvenire solo laddove il bilanciamento tra interessi effettuato dallo Stato conduca a risultati “manifestamente irragionevoli”.

Per verificare la non manifesta irragionevolezza del bilanciamento, la Corte si domanda innanzitutto se la misura della pubblicazione online di dati personali degli evasori sia necessaria per ottenere lo scopo di interesse pubblico che si prefigge il governo ungherese (miglioramento della disciplina del pagamento delle imposte).

Gli aspetti critici

Ed è qui che il ragionamento della Corte mostra una prima debolezza. Essa infatti riconosce che non vi è certezza del fatto che la pubblicazione dei dati degli evasori abbia un reale impatto sulla lotta all’evasione fiscale in genere. Di fronte alle contrapposte affermazioni di ricorrente e Governo sul punto, la Corte finisce per concludere che “non è irragionevole” che l’amministrazione ungherese ritenga questa pubblicazione essenziale per ottenere una soglia di adempimento elevata nel pagamento delle imposte.

La Corte, poi, condivide l’argomento avanzato dal Governo per cui la pubblicazione dei dati degli evasori “aiuta” i privati a scegliere con chi avere rapporti economici, e quindi qualifica la diffusione sul web dei dati non come semplice strumento per la soddisfazione della curiosità dei terzi, ma come diffusione di informazioni utili nell’interesse generale del pubblico. Un elemento che la Corte ritiene importante del “non irragionevole” bilanciamento tra interessi operato dall’amministrazione ungherese, è il fatto che siano pubblicati solo i dati dei c.d. grandi evasori. Questo, secondo la CtEDU, dimostrerebbe che l’amministrazione limita il sacrificio della privacy solo nei casi di evasione fiscale più “grave”. Nel giungere a tale conclusione, tuttavia, non una parola è spesa sull’ammontare di evasione sufficiente per essere inseriti nella black list governativa secondo la normativa ungherese. 10 milioni di fiorini ungheresi al tasso attuale corrispondono a circa 30 mila Euro. Anche volendo considerare il diverso tenore di vita (in Ungheria lo stipendio medio corrisponde a circa 500 Euro al mese, a fronte dei circa 1.500 Euro italiani), si conclude facilmente che la somma individuata dalle autorità ungheresi non è poi particolarmente alta.

I dati pubblicati

Venendo alla tipologia dei dati pubblicati, la Corte, con ragionamento francamente non del tutto lineare, afferma che inserire solamente il nome e il cognome dell’evasore non è sufficiente visto lo scopo perseguito dall’amministrazione, in quanto c’è la possibilità che il soggetto non possa essere identificato o che vi siano scambi di persone. Serve quindi un’identificazione univoca del cattivo pagatore. Peccato che la Corte non si soffermi sul perché non sia sufficiente l’indicazione del nome e cognome accompagnata dal codice fiscale per ottenere l’identificazione univoca che si prefigge il legislatore ungherese, senza che sia necessario indicare l’indirizzo di residenza, dato la cui diffusione peraltro, come riconosce la Corte stessa in sentenza, può comportare gravi conseguenze per l’interessato.

L’ultimo profilo esaminato dalla Corte è quello della diffusione dei dati personali dell’evasore, diffusione potenzialmente globale e, secondo il ricorrente, del tutto sproporzionata rispetto allo scopo perseguito (una comunicazione dei dati dietro accesso consentito ai soli interessati identificati avrebbe infatti limitato gli accessi e avrebbe inoltre verosimilmente evitato iniziative come quelle del sito web che aveva offerto il servizio di mappatura degli evasori, rendendo evidente il fatto che i dati non erano suscettibili di diffusione).

La Corte osserva però che questa diffusione è necessaria per ottenere gli obiettivi che si è prefissa l’amministrazione, e che comunque la stessa non è stata fatta su un sito che gode di ampia visibilità (come ad esempio una testata giornalistica). Del resto, sottolinea la Corte, non si ha evidenza di un interesse globale all’elenco dei cattivi pagatori ungheresi, la cui conoscenza sarebbe appannaggio di un ristretto gruppo di interessati che scelgono di recarsi sul sito del fisco, di raggiungere la pagina contenente l’elenco degli evasori e di ricercare il nome degli stessi nell’elenco.

In questo modo la CEDU traccia un distinguo fondamentale, destinato ad avere ripercussioni, fra quello che viene semplicemente diffuso online e quello che è noto online, parametrando il disvalore non sulla condotta di chi diffonde, bensì sulla condotta del pubblico che sceglie se prestare attenzione o meno al contenuto diffuso. La Corte infatti conclude che la pubblicazione dei dati “solo” su una pagina ad hoc nel sito dell’Erario ungherese sia ragionevole e proporzionata rispetto agli scopi perseguiti dall’amministrazione.

Compatibilità con il GDPR

La pronuncia della CEDU, di sicuro rilievo, non affronta però la questione della compatibilità della pratica del governo ungherese con la normativa GDPR che oggi regola il diritto alla protezione dei dati personali negli stati dell’Unione Europea, perché, come detto, non applicabile ai fatti di causa. Rispetto al 2016, la normativa privacy ha subito rilevantissime innovazioni, specie con riguardo ai principi che devono essere rispettati dal titolare del trattamento.

Il principio contenuto nel GDPR e che sarebbe stato di maggior significato ove applicabile nel caso all’esame della CEDU è quello della minimizzazione del dato, che prescrive l’adozione di tutte le misure tecniche ed organizzative affinché il trattamento dei dati sia adeguato, pertinente e limitato a quanto necessario rispetto alla finalità per le quali i dati stessi sono trattati.

Alla luce di tale principio le modalità adottate dal Fisco ungherese sembrano in difetto sia nel momento in cui viene associato al dato identificativo dell’evasore il suo indirizzo di residenza, sia nel momento in cui non viene dato corso a quel filtro minimo derivante dall’identificazione del soggetto che chiede l’accesso.

Black list nel Regolamento europeo

Va però evidenziato che anche secondo la normativa GDPR è possibile pubblicare black list di cattivi pagatori ed anzi la stessa Unione Europea ha predisposto un Early Warning System (EWS) per elencare i soggetti che possono presentare un rischio finanziario per le istituzioni europee. L’elenco, predisposto per essere accessibile alle sole autorità dell’Unione, è stato sottoposto all’esame del Garante Europeo e dell’Ombudsman della Commissione e ritenuto legittimo.

Il Considerando 154 del GDPR afferma poi che: “Il presente regolamento ammette, nell’applicazione delle sue disposizioni, che si tenga conto del principio del pubblico accesso ai documenti ufficiali. L’accesso del pubblico ai documenti ufficiali può essere considerato di interesse pubblico. I dati personali contenuti in documenti conservati da un’autorità pubblica o da un organismo pubblico dovrebbero poter essere diffusi da detta autorità o organismo se la diffusione è prevista dal diritto dell’Unione o degli Stati membri cui l’autorità pubblica o l’organismo pubblico sono soggetti”. Se una legge dello stato lo consente, quindi, i documenti pubblici ufficiali (anche se contenenti dati personali) possono quindi essere oggetto di accesso e/o diffusi.

La questione non è quindi tanto se sia possibile o meno per le amministrazioni fiscali dei vari stati membri dell’Unione predisporre black list degli evasori, quanto piuttosto come questa attività debba essere implementata.

Non si dubita infatti della possibilità di pubblicazione da parte della pubblicazione di un elenco di cattivi pagatori (come avviene anche in Italia con il CRIF o il Registro dei protesti), ma la normativa europea in tema di protezione dei dati impone una valutazione preventiva che deve riguardare da un lato la certezza del dato e la possibilità di sua tempestiva rettifica o cancellazione e dall’altro lato la minimizzazione del trattamento in relazione allo scopo perseguito.

E quest’ultima valutazione sembra dover essere ben più stringente di quella fatta propria dalla CEDU nella sentenza in esame.

Nel caso italiano, ad esempio, i dati non sono disponibili pubblicamente ma sono accessibili dietro richiesta (nel caso dei Sistemi di Informazione Creditizia come il CRIF la richiesta deve provenire da parte di soggetti qualificati ed individuati dalla legge).

Va anche evidenziato che l’Ungheria non è sola in Europa in questa attività di pubblicazione “estesa” dei dati degli evasori. Anche l’Irlanda ad esempio compila liste simili (sebbene basate su diversi criteri ovvero quello dell’entità delle sanzioni fiscali comminate con sentenza o pagate con accordo) indicando, oltre all’indirizzo dell’evasore, anche il settore lavorativo.

Al di fuori dell’Unione lo strumento delle liste degli evasori è molto diffuso, ad esempio in Turchia vengono pubblicati i dati dei grandi evasori ma si evita di indicare il loro indirizzo, mentre in Cina il sistema è simile a quello ungherese, ma l’elenco delle fattispecie che possono comportare l’inserimento del nominativo nell’elenco è esteso ad un variegato numero di violazioni fiscali, invece in Messico l’interesse governativo si sposta sui soggetti che emettono fatture false, i cui dati vengono pubblicati online, comportando una presunzione di connivenza difficile da superare per la controparte contrattuale nel caso in cui l’azienda inserita in black list si dimostri recidiva.

Il “registro parallelo” su sito web privato

Anche la questione della rielaborazione dei dati relativi alla black list governativa predisposta da un terzo soggetto, pur non esaminata dalla Corte, è di sicuro interesse.

La maggior fruibilità dei dati resa possibile dalla loro presentazione su mappa, grazie all’attività di un privato, ha sicuramente contribuito ad aumentare l’invasione della privacy del soggetto inserito nell’elenco.

La pubblicazione, poi, non trova copertura nella normativa GDPR che, nel Considerando 154, fa riferimento alla sola pubblicazione da parte della pubblica autorità.

Ma il problema principale è quello relativo all’esercizio dei diritti previsti dalla normativa privacy con riferimento alla serie di “archivi paralleli” che rischiano di crearsi sulla base del dato iniziale pubblico.

Mentre l’autorità pubblica è tenuta (o almeno dovrebbe esserlo) a rigide procedure per la tempestiva rettifica e cancellazione dei dati errati o superati, le varie banche dati che prendono spunto da tali dati potrebbero non essere altrettanto solerti nell’aggiornamento e causare in questo modo disfunzioni e danni agli interessati.

Sul punto il Garante Privacy italiano ha avuto modo di confrontarsi, ancora nel 2002 (Provvedimento 29824 del 07.02.2002), con la problematica degli archivi paralleli al Registro dei Protesti i quali, gestiti da privati, a volte conservavano per maggior durata i dati dei soggetti protestati.

Nel proprio provvedimento il Garante evidenzia come alla cancellazione del dato dal Registro Ufficiale dei Protesti debba seguire la cancellazione del dato nei vari archivi paralleli che prendono spunto dalle informazioni rese pubbliche dall’amministrazione.

Conclusioni

Con questa sentenza, la Corte EDU ha sancito la legittimità ai sensi della CEDU della pubblicazione di dati personali di un evasore fiscale in una “black list” governativa pubblicata sul web e ampiamente accessibile agli internauti, che aveva consentito ad un sito privato di realizzare una mappa interattiva degli evasori identificabili geograficamente.

Sebbene rimanga all’operatore la “consolazione” per cui il GDPR, ove in vigore all’epoca dei fatti, avrebbe forse inciso sulla decisione della Corte, ciò non toglie che la pronuncia sia criticabile in quanto la sua motivazione mostra vari punti di debolezza, e soprattutto perché essa dimostra l’ampio (probabilmente eccessivo) margine di apprezzamento che la CtEDU riconosce agli Stati quando siano in gioco policy di natura economica in senso ampio.

La protezione dei dati personali, di cui la stessa Corte riconosce (almeno a parole) il ruolo fondamentale nella garanzia del rispetto del diritto alla vita privata di cui all’articolo 8 CEDU, cede miseramente di fronte ad esigenze “di interesse pubblico” relative alla materia fiscale, sebbene tali esigenze (come la stessa Corte concede nel caso di specie) non siano chiaramente dimostrate, e nonostante l’ampiezza dei dati in gioco e della loro diffusione (non solo potenziale, viste le ricadute pratiche nel caso concreto).

Pur ammettendo la legittimità della creazione di registri di evasori fiscali, il sacrificio della privacy subito dal ricorrente appare, nel caso concreto, decisamente eccessivo, e motivato in via pressoché esclusiva da un atteggiamento “non interventista” della Corte rispetto alle policy economiche degli Stati.

In parole povere, il diritto alla privacy dell’individuo non trova tutela di fronte alla Corte EDU perché allo Stato è riconosciuta pressoché totale libertà di far prevalere asseriti interessi di natura pubblica.

Il ragionamento, a tratti fallace, della Corte EDU lascia perplessi soprattutto perché tocca un ambito, quello della privacy, che assume oggi sempre maggiore rilevanza a livello nazionale e internazionale.

Avv. Riccardo Berti

Avvocato in Verona – Centro Studi Processo Telematico

Dott.ssa Daria Sartori, Ph.D

Già Giurista presso la Corte Europea dei Diritti dell’Uomo Iura Education

WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?
@RIPRODUZIONE RISERVATA

Articolo 1 di 4