Dal 1 gennaio 2020 la legge di Bilancio introduce la deroga del “legittimo interesse fiscale” come limitazione alla protezione dei dati e la “parifica” al modello di controllo globale USA della “sicurezza nazionale”
di Michele Gorga Avvocato
Quello che la UE concede in materia di privacy, la legge nazionale limita, così in tema di videosorveglianza il decreto sicurezza-bis riduce gli spazi in materia di lavoro e assimila al controllo di massa proprio come fa la National Security Agency (NSA, Agenzia per la Sicurezza Nazionale) che è l’organismo governativo degli Stati Uniti d’America che, insieme alla CIA e all’FBI, si occupa della sicurezza nazionale. Il controllo globale di sicurezza in USA si è poi ulteriormente consolidato con l’implementazione del “Clarifying Lawful Overseas Use of Data (CLOUD) Act” – approvato dal governo USA lo scorso anno – con un devastante effetto sulla privacy e sulla sicurezza globale in quanto consente alle autorità statunitensi, forze dell’ordine e agenzie di intelligence, di acquisire dati informatici dagli operatori di servizi di cloud computing a prescindere dal posto dove questi dati si trovano e per i server fuori dagli Usa la loro sottoposizione alla giurisdizione degli Stati Uniti e non europea anche per i cittadini Europei.
Nel nostro ordinamento il garante privacy ha già censurato sia il controllo dei dati biometrici dei dipendenti pubblici in quanto sproporzionati rispetto alla finalità di controllo dell’accesso al luogo di lavoro, sia l’enorme quantità di dati, che impattano sulla privacy contenuti nella fatturazione elettronica, ma a fronte di tali richiesta di limitazioni il parlamento con la legge finanziaria 2019 ha ampliato la deroga Europea prevista alla lettera g) de 2 co. Dell’art. 9 del GDPR 679/206, ossia dei trattamenti rimessi alla legislazione nazionale in materia di “legittimo interesse”, nel quale il legislatore nazionale vi ha fatto rientrare molti trattamenti che se confermati nella tendenza legislativa di lungo periodo potrebbe portare alla lesione dell’art. 8 della Carta di Nizza che riconosce la tutela dei dati personali come diritto fondamentale di ogni individuo sul territorio di uno degli stati membri dell’UE.
La legge finanzia all’art. 86, in vigore la 1 gennaio 2020,[1] introduce un’ulteriore limitazione ai diritti dei cittadini in materia di protezione dei dati per “legittimo interesse” dell’amministrazione finanziaria, che appare come una normativa di fonte impatto in quanto coordinata con quella sulla fatturazione elettronica consente un controllo invasivo di “dati particolari” che appare essere ingiustificata sotto il profilo della finalità. Il controllo dell’Agenzia delle Entrate e della GdF si inserisce, infatti, direttamente nei dati particolari dei cittadini Italiani attuando un controllo generale di sorveglianza non solo fiscale ma personale, salute, sull’orientamento politico, religioso, filosofico, sessuale di tutti i contribuenti, controllo massivo e totale ingiustificato in quando già il sistema tributario si fonda sulla presunzione di colpevolezza fiscale e quindi, non necessitato di un controllo totale preventivo su dati di spesa e di acquisto che in aggiunta alla quantità dei dati della fatturazione elettronica già censurata dal Garante Privacy, è palesemente sproporzionato rispetto alle dichiarate finalità di reperimento del gettito fiscale.
Prevede la modifica al decreto legislativo 30 giugno 2003, n. 196 che l’articolo 2-sexies, comma 2, lett. i) è modificato con la previsione espressa di una nuova deroga alla limitazione del trattamento di dati anche per la “necessità” di prevenzione e contrasto all’evasione fiscale”. Inoltre che è modificato l’articolo 2-undecies, comma 1, con l’aggiunta dopo la lettera f) la lettera “f-bis) degli interessi tutelati in materia tributaria e allo svolgimento delle attività di prevenzione e contrasto all’evasione fiscale”.
La novella introduce poi ulteriori correttivi alla già invasiva intrusione nella privacy per le finalità fiscali e tributarie laddove prevede che per le attività di analisi del rischio di cui all’articolo 11, comma 4, del decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214, ossia al potere attribuito all’Agenzia delle Entrate nell’elaborazione con procedure centralizzate di specifiche liste selettive di contribuenti a maggior rischio di evasione, che la stessa agenzia ha la “facoltà”, ma non l’obbligo, di procedere anche mediante una preventiva pseudonimizzazione dei dati personali.
L’esercizio di quest’ultima facoltà è stato, però, subordinata all’utilizzo e disponibilità da parte dell’Agenzia delle Entrate al possesso di tecnologie per l’elaborazione e l’interconnessione con le altre banche dati di cui dispone, che però non vengono declinate e che di fatto vanificano ogni esigenza di riservatezza e protezione dei dati. Rilevante, inoltre, è la modifica, sui fondamentali diritti riconosciuti a ciascun cittadino, dal GDPR 679/2016, introdotto al terzo comma della norma in esame, laddove è previsto che nel rispetto delle disposizioni di cui all’articolo 2-undecies, comma 3, del codice di cui al decreto legislativo 30 giugno 2003, n. 196, nonché dell’articolo 23, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, considerati i princìpi di necessità e di proporzionalità, limitatamente al trattamento dei dati contenuti nell’archivio dei rapporti finanziari di cui al comma 2, con decreto del Ministro dell’economia e delle finanze, da emanare entro novanta giorni dalla data di entrata in vigore della legge, sentiti il Garante per la protezione dei dati personali e l’Agenzia delle entrate, sono definite le specifiche limitazioni e le modalità di esercizio dei diritti di cui agli arti coli 14, 15, 17, 18 e 21 del regolamento (UE) 2016/679, in modo da assicurare che tale esercizio non possa arrecare un pregiudizio effettivo e concreto all’obiettivo di interesse pubblico e ciò in palese violazione dei diritti individuali riconosciuti da una norma di rango superiore a quella nazionale che rispetto alla voracità fiscale soccombe sempre a prescindere da ogni tutela costituzionale.
Sempre l’articolo 86 della legge finanziaria in esame al 3 co. alla lettera b) prevede che le disposizioni specifiche relative al contenuto minimo essenziale di cui all’articolo 23, paragrafo 2, del regolamento (UE) 2016/679 saranno disciplinate con il decreto del Ministro dell’economia e delle finanze sentiti il Garante per la protezione dei dati personali e l’Agenzia delle entrate e, quindi, dovranno essere riviste in particolare le misura legislativa relative: a) le finalità del trattamento o le categorie di trattamento; b) le categorie di dati personali; c) la portata delle limitazioni introdotte; d) le garanzie per prevenire abusi o l’accesso o il trasferimento illeciti; e) l’indicazione precisa del titolare del trattamento o delle categorie di titolari; f) i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell’ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento; g) i rischi per i diritti e le libertà degli interessati; e h) il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa; c) le misure adeguate a tutela dei diritti e delle libertà degli interessati.
E’ stato, infine, tuttavia previsto che nel rispetto del principio di responsabilizzazione, ai sensi dell’articolo 35 del regolamento (UE) 2016/679, il trattamento dovrà essere oggetto di una valutazione di impatto sulla protezione dei dati, effettuata dall’Agenzia delle entrate prima di iniziare il trattamento stesso, sentito il Garante per la protezione dei dati personali.
Nella valutazione d’impatto dovranno inoltre essere indicate anche le misure ragionevoli per assicurare la qualità dei dati e che salvo espressa autorizzazione preventiva del garante non potrà mai essere consentito il trattamento dei dati prima della valutazione di impatto (DPIA) e che per le finalità di repressione, la Guardia di finanza potrà utilizzare i dati contenuti nell’Archivio dei rapporti finanziari avvalendosi delle tecnologie, delle elaborazioni e delle interconnessioni con le altre banche dati di cui è titolare.
[1] Art. 86. (Analisi di rischio)
1. In considerazione dei rilevanti obiettivi di interesse pubblico di prevenzione e contrasto all’evasione, al codice di cui al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a) all’articolo 2-sexies, comma 2, lettera i), dopo la parola: “doganale” sono aggiunte le seguenti: “, comprese quelle di prevenzione e contrasto all’evasione fiscale”;
b) all’articolo 2-undecies, comma 1, dopo la lettera f) è aggiunta la seguente: “f-bis) agli interessi tutelati in materia tributaria e allo svolgimento delle attività di prevenzione e contrasto all’evasione fiscale”;
c) all’articolo 2-undecies, comma 3, le parole: “e) ed f)”, ovunque ricorrono, sono sostituite dalle seguenti: “e), f) e f) bis)”.
2. Per le attività di analisi del rischio di cui all’articolo 11, comma 4, del decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214, con riferimento all’utilizzo dei dati contenuti nell’archivio dei rapporti finanziari, di cui all’articolo 7, sesto comma, del decreto del presidente della Repubblica 29 settembre 1973, n. 605, e all’articolo 11, comma 2, del decreto-legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214, l’Agenzia delle entrate, anche previa pseudonimizzazione dei dati personali, si avvale delle tecnologie, delle elaborazioni e delle inter¬ connessioni con le altre banche dati di cui dispone, allo scopo di individuare criteri di rischio utili per far emergere posizioni da sottoporre a controllo e incentivare l’adempimento spontaneo.
3. Nel rispetto delle disposizioni di cui all’articolo 2-undecies, comma 3, del codice di cui al decreto legislativo 30 giugno 2003, n. 196, nonché dell’articolo 23, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, considerati i princìpi di necessità e di proporzionalità, limitatamente al trattamento dei dati contenuti nell’archivio dei rapporti finanziari di cui al comma 2, con decreto del Ministro dell’economia e delle finanze, da emanare entro novanta giorni dalla data di entrata in vigore della presente legge, sentiti il Garante per la protezione dei dati personali e l’Agenzia delle entrate, sono definite:
a) le specifiche limitazioni e le modalità di esercizio dei diritti di cui agli arti¬ coli 14, 15, 17, 18 e 21 del regolamento (UE) 2016/679, in modo da assicurare che tale esercizio non possa arrecare un pregiudizio effettivo e concreto all’obiettivo di interesse pubblico;
b) le disposizioni specifiche relative al contenuto minimo essenziale di cui all’articolo 23, paragrafo 2, del regolamento (UE) 2016/679;
c) le misure adeguate a tutela dei diritti e delle libertà degli interessati
4. Nel rispetto del principio di responsabilizzazione, ai sensi dell’articolo 35 del regolamento (UE) 2016/679, il trattamento di cui al comma 2 è oggetto di una valutazione unitaria di impatto sulla protezione dei dati, effettuata dall’Agenzia delle entrate prima di iniziare il trattamento stesso, sentito il Garante per la protezione dei dati personali. Nella valutazione d’impatto sono indicate anche le misure necessarie e ragionevoli per assicurare la qualità dei dati.
5. Salvo che non sia stato espressamente autorizzato prima dell’entrata in vigore della presente legge dal Garante per la protezione dei dati personali, non è consentito il trattamento dei dati di cui al comma 2 prima della valutazione di impatto di cui al comma 4.
6. Per le stesse finalità di cui al comma 2, la Guardia di finanza utilizza i dati con¬ tenuti nell’Archivio dei rapporti finanziari con le medesime modalità disciplinate dal presente articolo, avvalendosi delle tecnologie, delle elaborazioni e delle interconnessioni con le altre banche dati di cui è titolare.
