IT
EN
La tutela della privacy del contribuente sembra subire una battuta d’arresto a causa delle recenti modifiche apportate dal D.L. n. 139/2021, pubblicato in G.U. l’8 ottobre 2021 e convertito con modificazioni dalla Legge n. 205/2021 (c.d. “Decreto Capienze”), al D.Lgs. n. 196/2003 (c.d. “Codice della Privacy”), volte ad implementare i poteri dell’Amministrazione Finanziaria, relativi al trattamento dei dati personali dei contribuenti, e, conseguentemente, a ridurre i controlli preventivi del Garante per la protezione dei dati personali (di seguito, “Garante”). Segnatamente, l’art. 9 del Decreto Capienze, come modificato, inserisce all’art. 2-ter del Codice Privacy, il nuovo comma 1-bis, prevede testualmente che “Fermo restando ogni altro obbligo previsto dal Regolamento e dal presente codice, il trattamento dei dati personali da parte di un'amministrazione pubblica […] è anche consentito se necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri ad esse attribuiti. In modo da assicurare che tale esercizio non possa arrecare un pregiudizio effettivo e concreto alla tutela dei diritti e delle libertà degli interessati, le disposizioni di cui al presente comma sono esercitate nel rispetto dell'articolo 6 del Regolamento”. La norma in commento estende, dunque, i poteri dell’amministrazione pubblica (ivi incluse le autorità indipendenti, le amministrazioni inserite nell’elenco ISTAT (1), come le agenzie fiscali, nonché le società a controllo pubblico statale (2) e gli organismi di diritto pubblico), relativi al trattamento dei dati personali degli interessati, conferendo alla stessa maggiore discrezionalità, rispetto al passato, nel trattamento di particolari categorie di dati personali, come, ad esempio, i dati sensibili (economico-patrimoniali) del contribuente. In particolare, ai sensi dell’art. 9 cit., l’Amministrazione finanziaria può, anche, trattare (3) i dati personali (4) dei contribuenti, per finalità di interesse pubblico (i.e. la lotta all’evasione) o per l’esercizio di pubblici poteri, anche in assenza di una disposizione normativa che lo preveda, contrariamente a quanto disciplinato dal primo comma dell’art. 2 ter del Codice Privacy, che individua la basa giuridica, per il trattamento di dati personali, esclusivamente in una legge o, nei casi previsti dalla legge, in un regolamento; con la conseguenza che, in assenza di una specifica previsione normativa, sarà la stessa amministrazione finanziaria a dover individuare, con un proprio atto amministrativo, la finalità del trattamento. In tale panorama normativo, il Garante non può intervenire, in via preventiva, sui trattamenti dei dati, effettuati dalla P.A., relativi a riforme, misure e progetti del Piano nazionale di ripresa e resilienza (5), del Piano nazionale per gli investimenti complementari (6), nonché del Piano nazionale integrato per l'energia e il clima 2030, potendo fornire il proprio parere, facoltativo ed ex post, nel termine, non prorogabile, di trenta giorni dalla richiesta, decorso il quale si procederà indipendentemente dalla acquisizione di tale parere. Le citate novità in materia di privacy, destano perplessità: un ampliamento della discrezionalità della P.A. nei termini suddetti rischia di facilitare abusi da parte della stessa a danno degli interessati, che potrebbero vedere utilizzati i propri dati personali (anche economici-patrimoniali) in forza di una valutazione di interessi compiuta dalle Agenzie Fiscali. L’esigenza di protezione dei dati personali, anche in materia fiscale, imporrebbe, invece, a parere di chi scrive, l’adozione di maggiori limiti all’acquisizione, al trattamento e alla conservazione dei suddetti dati da parte dell’Amministrazione Finanziaria, nella doverosa e imprescindibile prospettiva di un corretto bilanciamento tra le esigenze di contrasto all’evasione fiscale e di protezione dei dati personali degli interessati, a livello sia interno sia sovranazionale. Limiti, questi, che, solo in parte, sono previsti dall’art. 9 citato, il quale prescrive alla P.A., nel trattare i dati personali degli interessati, di (i) non arrecare un pregiudizio, effettivo e concreto, alla tutela dei diritti degli interessati e (ii) garantire la liceità del trattamento (ex art. 9 GDPR). Limitazioni, queste, necessarie ma non sufficienti a garantire una piena tutela degli interessi e diritti dei contribuenti in materia di privacy e data protection. Un futuro intervento correttivo che apporti significative modifiche al testo in commento, al fine di garantire un maggiore dialogo tra la P.A. e il Garante ed, altresì, a salvaguardare l’interesse del contribuente alla protezione e non divulgazione dei dati, se non nei limiti strettamente necessari, si impone, ma, ove ciò non si verificasse, al contribuente, qualora ritenesse violati dalla P.A. i diritti ad esso spettanti, sulla base della normativa in materia di protezione dei dati personali, resta il diritto di proporre reclamo al Garante o, in alternativa, ricorso dinnanzi all’autorità giudiziaria, anche in relazione alle specifiche motivazioni in concreto adottate dalla P.A. a giustificazione del proprio comportamento. Pubblicato da: Avv. Olga Aldinio Ph: designed by Rawpixel (1) Cfr. art. 1, comma 3, della Legge n. 196/2009. (2) Cfr. art. 16 del D. Lgs. n. 175/2016. (3) Per «trattamento» si intende “Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione” (art. 4 n. 2) del Regolamento (UE) 2016/679, di seguito “GDPR”) (4) Per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4 n. 1) del GDPR). (5) Cfr. Regolamento (UE) 2021/241 del Parlamento Europeo e del Consiglio. (6) Cfr. D.L. n. 59/2021.
-----
Ti possiamo aiutare?
Oppure compila il modulo per essere ricontattato