Garante per la protezione dei dati personali: Parere sullo schema di provvedimento del Direttore dell’Agenzia delle entrate recante “Comunicazioni per la promozione dell’adempimento spontaneo nei confronti dei contribuenti che non hanno dichiarato, in tutto o in parte, le attività finanziarie detenute all’estero nel 2016, come previsto dalla disciplina sul monitoraggio fiscale, nonché gli eventuali redditi percepiti in relazione a tali attività estere”
La richiesta dell’Agenzia delle Entrate
Il direttore dell’agenzia delle entrate ha emanato uno schema di provvedimento relativo a delle comunicazioni che l’agenzia delle entrate intende dare ai contribuenti che non hanno dichiarato, in tutto o in parte, le attività finanziarie detenute all’estero nel 2016 oppure i redditi eventualmente percepiti per lo svolgimento di tali attività estere, al fine di stimolare un loro adempimento spontaneo nel fornire la relativa dichiarazione.
In considerazione del potenziale impatto rispetto ai diritti e alle libertà degli interessati che le comunicazioni che l’agenzia delle entrate vorrebbe inviare agli interessati medesimi, il direttore ha ritenuto di sottoporre il suddetto schema alla valutazione del Garante per la protezione dei dati personali, chiedendo che quest’ultimo esprima un parere in ordine alla legittimità di tali comunicazioni e quindi del relativo provvedimento, con particolare riferimento al rispetto della normativa in materia di trattamento dei dati personali.
L’ufficio del garante privacy ha, quindi, aperto un procedimento finalizzato alla resa del parere richiesto, all’esito del quale ha ritenuto la legittimità dello schema di provvedimento del direttore dell’agenzia delle entrate sottoposto alla sua valutazione.
Volume consigliato
Il parere del Garante
Al fine di rendere il proprio parere, il Garante è partito dall’esame di un precedente parere reso il 22 giugno 2011 avente ad oggetto lo schema di provvedimento del direttore dell’agenzia delle entrate relativo alle modalità e ai termini con cui comunicare le informazioni che sono oggetto di scambio automatico obbligatorio tra le autorità fiscali secondo quanto previsto dagli accordi internazionali in materia. In particolare, in detto parere il garante privacy aveva già chiarito (ribadendo, in tal senso, quanto già aveva precedentemente espresso con un ulteriore parere in materia reso il 17 dicembre 2015) che riteneva opportuno che l’agenzia delle entrate disciplinasse le modalità con cui avrebbe trattato le informazioni raccolte attraverso lo scambio informativo con le altre autorità fiscali secondo quanto previsto dagli accordi internazionali. Il Garante, infatti, riteneva che la disciplina delle modalità di trattamento fosse necessaria per individuare il rapporto tra le nuove informazioni acquisite dall’agenzia attraverso lo scambio informativo con le altre autorità fiscali e le informazioni che la stessa già deteneva all’interno della cosiddetta anagrafe tributaria. Ciò, per garantire il rispetto dei principi in materia di trattamento dei dati personali dei contribuenti che erano interessati dalle suddette informazioni.
In secondo luogo, il Garante ha analizzato un proprio precedente parere del 15 novembre 2012, relativo ad un altro schema di provvedimento del direttore dell’agenzia delle entrate con cui quest’ultimo aveva disciplinato le modalità per effettuare la comunicazione integrativa annuale all’archivio dei rapporti finanziari. In particolare, in tale parere, il Garante aveva prescritto alla Agenzia delle entrate di sottoporre alla verifica preliminare dello stesso garante le ipotesi in cui veniva effettuata detta comunicazione annuale, ciò per poter individuare le garanzie necessarie per tutelare gli interessati dai rischi ai loro diritti e alle libertà fondamentali connessi con l’invio delle suddette comunicazioni.
Ciò detto, il Garante è passato all’analisi della base giuridica che legittima il trattamento delle informazioni fiscali e finanziarie da parte dell’Agenzia delle entrate. In particolare l’autorità di controllo ha ritenuto che le disposizioni normative che obbligano gli operatori finanziari a comunicare periodicamente all’anagrafe tributaria le movimentazioni finanziarie e ogni informazione relativa ai rapporti finanziari (in quanto tali dati sono necessari per poter effettuare i controlli fiscali e vengono altresì utilizzati dalla agenzia delle entrate per analizzare il rischio di evasione fiscale dei contribuenti), legittimano la stessa amministrazione finanziaria al trattamento dei dati personali medesimi.
Dall’esame della richiesta di parere formulata dalla agenzia delle entrate è emerso che quest’ultima, per poter individuare i contribuenti a cui inviare la comunicazione oggetto di parere, ha intenzione di utilizzare anche i dati contenuti nell’archivio dei rapporti tributari, in modo da eliminare dai destinatari della comunicazione quei soggetti che non sono tenuti a fornire la dichiarazione circa le attività finanziarie estere. In considerazione di ciò, il Garante ha ritenuto che tale operazione di individuazione dei contribuenti cui inviare le comunicazioni comporta un rischio elevato per i diritti e le libertà degli interessati, in quanto si sostanzia in un trattamento automatizzato, su larga scala, delle informazioni che l’agenzia delle entrate ha ricevuto dalle autorità fiscali estere e di quelle informazioni che la stessa amministrazione finanziaria italiana già detiene.
L’autorità di controllo ha, quindi, accertato che dall’insieme della documentazione inviata dall’agenzia delle entrate si può ritenere che quest’ultima abbia adeguatamente tenuto in considerazione i rischi per i diritti e le libertà degli interessati che possono derivare dall’invio delle suddette comunicazioni, sia rispetto alla sicurezza delle informazioni raccolte sia rispetto alla loro liceità, correttezza e trasparenza nonché rispetto alle misure individuate per attenuare detti rischi.
In particolare, con riferimento a tale ultimo aspetto, la agenzia delle entrate ha individuato le seguenti misure per attenuare i rischi connessi al trattamento:
- adozione di misure di sicurezza, anche di carattere organizzativo, volte a minimizzare i rischi di accessi non autorizzati ai dati;
- controlli sulla qualità dei dati utilizzati e sulle elaborazioni logiche effettuati;
- applicazione di garanzie al trattamento automatizzato dei dati personali per ridurre il rischio di errate rappresentazioni della capacità contributiva degli interessati;
- adeguate modalità di coinvolgimento del contribuente;
- individuazione dei tempi di conservazione dei dati.
Il garante ha, però, rilevato che lo schema di provvedimento oggetto di esame non individua in maniera adeguata i tipi di dati trattati e le relative modalità di comunicazione. Pertanto, egli ha ritenuto necessario che nel suddetto schema di provvedimento siano espressamente richiamate, eventualmente in forma sintetica, le misure di sicurezza già individuate dalla agenzia delle entrate per la tutela degli interessati (come sopra elencate) e vengano altresì specificate le informazioni e i dati di cui si tratta e le relative modalità di comunicazione.
In considerazione di ciò, il garante ha, quindi, espresso il proprio parere favorevole sullo schema di provvedimento sottoposto all’esame purché l’agenzia delle entrate inserisca al suo interno i due suddetti ulteriori elementi, conseguentemente autorizzando l’agenzia ad effettuare il trattamento dei dati personali secondo quanto previsto in detto provvedimento qualora rispetti le ulteriori due condizioni indicate dalla stessa autorità di controllo.
Scrivi un commento
Accedi per poter inserire un commento