Tale schema è stato, poi, sottoposto all’attenzione del Garante per aver uno suo parere in merito al tema del trattamento e di protezione, al fine di rendere operativo l’utilizzo dei dati personali contenuti nel c.d. archivio dei rapporti finanziari ai fini delle analisi del rischio di evasione fiscale.
Si tratta delle c.d. attività di analisi del rischio per le quali l’Agenzia delle Entrate, che opera in qualità di titolare del trattamento, “si avvale delle tecnologie, delle elaborazioni e delle interconnessioni con altre banche dati di cui dispone, allo scopo di individuare criteri di rischio utili per far emergere posizioni da sottoporre a controllo e incentivare l’adempimento spontaneo”, ai sensi del comma 682 dell’art. 1.
Lo schema di decreto esaminato dal Garante ha lo scopo di definire:
- Le limitazioni e le modalità di esercizio dei diritti di cui agli artt. 14 (inerente ai dati personali non ottenuti presso l’interessato), 15 (inerente il diritto di accesso dell’interessato), 17 (inerente il diritto alla cancellazione), 18 (inerente il diritto di limitazione del trattamento) e 21 (inerente il diritto di opposizione) del GDPR;
- Le disposizioni specifiche relative al contenuto minimo essenziale ex art. 23, par. 2 del GDPR;
- Le misure adeguate a tutela dei diritti e delle libertà degli interessati.
Inoltre, la bozza di decreto ha previsto che, conformemente al principio di responsabilizzazione, per cui il titolare deve essere responsabile nell’assicurare che sono stati rispettai tutti i principi dettati dal GDPR, il trattamento ex comma 682 dell’art. 1 è oggetto di una valutazione unitaria di impatto sulla protezione dei dati, sentito preventivamente il Garante.
In sostanza, la bozza di decreto sottoposto al vaglio del Garante, in attuazione della legge del 2019, prevede che l’Agenzia delle Entrate, dopo la pseudonimizzazione (ossia il processo con cui i dati direttamente identificativi degli interessati vengono sostituiti con dati indirettamente indentificativi) di specifici set di dati contenuti nell’archivio dei rapporti finanziari, attraverso processi automatizzati e interconnessioni con le altre banche dati di cui dispone, individui criteri di rischio utili per far emergere le posizioni da sottoporre a controllo.
>> Leggi il Parere 22 dicembre 2021 sullo schema di decreto attuativo dell’art. 1, comma 683, della legge 27 dicembre 2019, n. 160
1. Le aree di intervento dello schema di Decreto
Innanzitutto, lo schema di decreto ha lo scopo di circoscrivere le categorie e le finalità dei trattamenti oggetto delle limitazioni. Lo schema esaminato dal Garante prevede, infatti che le limitazioni siano riferite solo ai trattamenti effettuati per i controlli di rischio ex art. 1, comma 682 e le attività con lo scopo preventivo e di contrasto all’evasione fiscale.
L’art. 4 della bozza di decreto prevede, invece, il contenuto delle limitazioni della portata di obblighi e diritti contenuti negli artt. 14, 15, 17, 18 e 21 del GDPR. Tali limitazioni vengono previste limitatamente al tempo necessario per perseguire le finalità previste dalla norma, con lo scopo di non arrecare pregiudizio alcuno.
Viene escluso, ad esempio, il diritto di conoscere se è in corso un trattamento dei propri dati personali, ovvero il diritto di opporsi al trattamento ovvero il diritto di ottenere una limitazione del trattamento.
L’art. 5, invece, prevede le misure a tutela dei diritti degli interessati.
Il citato articolo prevede, ad esempio, che i titolari del trattamento, ossia la Guardia di Finanza e l’Agenzia delle Entrate, procederanno al trattamento dei soli dati indispensabili ai fini dell’attività; gli stessi titolari dovranno escludere dati personali inesatti o non aggiornati; ancora, nell’espletamento delle attività, i titolari dovranno garantire l’integrità, la riservatezza dei dati personali trattati; infine, i titolari del trattamento dovranno altresì ridurre i ischi di accesso non autorizzati e dovranno limitare i rischi di erronea rappresentazione della capacità contributiva. In altri termini, lo schema impone ad Agenzia delle Entrate e alla Guardia di Finanza di garantire che il trattamento sia conforme ai principi generali del GDPR e che, dunque, non siano attuati trattamenti illeciti o violazioni dei dati personali dei soggetti interessati.
In considerazione di questi interventi, il Garante ha osservato che il MEF ha recepito i precedenti moniti forniti dall’Autorità.
Tuttavia, il Garante ha precisato che era necessario verificare che lo schema di decreto rispettasse, in conformità con la previsione specifica dell’art. 1, comma 683, “l’essenza dei diritti e delle libertà fondamentali”, considerato che le limitazioni ivi previste sono legittime qualora dall’esercizio dei diritti dei soggetti interessati possa derivare un rischio, agli interessi tutelati in materia tributaria, di pregiudizio effettivo e concreto.
2. Il parere finale
In conclusione, dunque, il Garante ha espresso parere favorevole alla bozza di decreto sottoposta alla sua attenzione.
Tuttavia, ha formulato osservazioni di cui il Ministero deve tener conto.
In particolare, dato che le limitazioni alla portata dei diritti dei contribuenti incidono sulla protezione dei dati personali, il Garante ha chiesto modifiche che siano in grado di assicurare la conformità del trattamento alla normativa vigente in materia di privacy a livello europeo e nazionale.
Ancora, il Ministero dovrà adottare specifiche cautele per i trattamenti automatizzati, al fine di ridurre il rischio per il contribuente, in particolare per quanto riguarda la rappresentazione della capacità contributiva.
Altra integrazione richiesta al Ministero da parte del Garante riguarda il fatto di prevedere più nel dettaglio la categoria di dati oggetto di limitazione e indicare, nell’informativa, in modo più trasparente, le attività finalizzate alla profilazione degli interessati.
L’adeguatezza delle misure dello schema di decreto alle osservazioni dell’Autorità sarà verificata dallo stesso all’interno di un esame delle valutazioni di impatto sulla protezione dei dati personali che dovranno essere predisposte dai titolari del trattamento, ossia, la Guardia di Finanza e l’Agenzia delle Entrate.
Scrivi un commento
Accedi per poter inserire un commento