g-docweb-display Portlet

Parere sullo schema di decreto attuativo dell’art. 1, comma 683, della legge 27 dicembre 2019, n. 160 - 22 dicembre 2021 [9738520]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

- VEDI ANCHE NEWSLETTER DEL 31 GENNAIO 2022

[doc. web n. 9738520]

Parere sullo schema di decreto attuativo dell’art. 1, comma 683, della legge 27 dicembre 2019, n. 160 - 22 dicembre 2021

Registro dei provvedimenti
n. 453 del 22 dicembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

Il Ministero dell’economia e delle finanze, con nota del 15 novembre 2021, ha sottoposto al Garante lo schema di decreto attuativo dell’art. 1, comma 683, della legge 27 dicembre 2019, n. 160.

1. Il quadro normativo.

La legge n. 160 del 2019 ha previsto che “per le attività di analisi del rischio di cui all’articolo 11, comma 4, del decreto-legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214, con riferimento all’utilizzo dei dati contenuti nell’archivio dei rapporti finanziari, di cui all’articolo 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605, e all’articolo 11, comma 2, del decreto-legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214, l’Agenzia delle entrate, anche previa pseudonimizzazione dei dati personali, si avvale delle tecnologie, delle elaborazioni e delle interconnessioni con le altre banche dati di cui dispone, allo scopo di individuare criteri di rischio utili per far emergere posizioni da sottoporre a controllo e incentivare l’adempimento spontaneo” (art. 1, comma 682).

Lo schema trasmesso dal Ministero, nel rispetto delle disposizioni di cui all’art. 2 undecies, comma 3, del Codice, nonché dell’art. 23, par. 1, del Regolamento, “considerati i princìpi di necessità e di proporzionalità, limitatamente al trattamento dei dati contenuti nell’archivio dei rapporti finanziari di cui al comma 682, […] sentiti il Garante per la protezione dei dati personali e l’Agenzia delle entrate”, in attuazione del comma 683 del citato art. 1, deve, quindi, definire:

“a) le specifiche limitazioni e le modalità di esercizio dei diritti di cui agli articoli 14, 15, 17, 18 e 21 del regolamento (UE) 2016/679, in modo da assicurare che tale esercizio non possa arrecare un pregiudizio effettivo e concreto all’obiettivo di interesse pubblico;

b) le disposizioni specifiche relative al contenuto minimo essenziale di cui all’articolo 23, paragrafo 2, del regolamento (UE) 2016/679;

c) le misure adeguate a tutela dei diritti e delle libertà degli interessati”.

È stato, inoltre, previsto che “nel rispetto del principio di responsabilizzazione, ai sensi dell’articolo 35 del regolamento (UE) 2016/679, il trattamento di cui al comma 682 è oggetto di una valutazione unitaria di impatto sulla protezione dei dati, effettuata dall’Agenzia delle entrate prima di iniziare il trattamento stesso, sentito il Garante per la protezione dei dati personali. Nella valutazione d’impatto sono indicate anche le misure necessarie e ragionevoli per assicurare la qualità dei dati” (art. 1, comma 684), e che “per le stesse finalità di cui al comma 682, la Guardia di finanza utilizza i dati contenuti nell’Archivio dei rapporti finanziari con le medesime modalità disciplinate dai commi da 681 a 685, avvalendosi delle tecnologie, delle elaborazioni e delle interconnessioni con le altre banche dati di cui è titolare” (art. 1, comma 686).

2. Lo schema di decreto in esame.

2.1 Le definizioni.

Lo schema di decreto prevede all’art. 1, in primo luogo, la definizione di:

“Dataset di analisi: insieme dei dati selezionati ai fini di cui all’articolo 1, commi da 682 a 686, della legge 27 dicembre 2019, n. 160, per verificare, applicando tecniche e modelli di analisi coerenti con i criteri di rischio prescelti, la presenza di rischi fiscali”;

“Dataset di controllo: insieme delle posizioni fiscali dei contribuenti, caratterizzate dalla ricorrenza di uno o più rischi fiscali, nei confronti dei quali potranno essere avviate le attività di controllo ovvero le attività volte a stimolare l’adempimento spontaneo”;

“Rischio fiscale: il rischio di comportamenti attuati in violazione di norme di natura tributaria ovvero in contrasto con i principi o con le finalità dell’ordinamento tributario”;

“Banche dati: gli archivi dei dati nella disponibilità dell’Agenzia delle entrate e quelli di cui è titolare la Guardia di finanza, richiamati, rispettivamente, dall’articolo 1, comma 682 e comma 686, della legge 27 dicembre 2019, n. 160”;

“Titolari del trattamento: l’Agenzia delle entrate e la Guardia di finanza”.

Al successivo art. 2, viene precisato che il suddetto schema di decreto individua:

“a) le disposizioni specifiche relative al contenuto minimo essenziale di cui all’articolo 23, paragrafo 2, del Regolamento;

b) le limitazioni relative alla portata degli obblighi e dei diritti di cui agli articoli 14, 15, 17, 18 e 21 del Regolamento, nonché le relative modalità di esercizio, nel rispetto dei diritti e delle libertà fondamentali degli interessati;

c) le misure adeguate a tutela dei diritti e delle libertà degli interessati, incluse le misure di sicurezza, i controlli sulla qualità dei dati e sulle elaborazioni logiche utilizzate, nonché le misure volte a ridurre il rischio di erronea rappresentazione della capacità contributiva”.

2.2 Le limitazioni alla portata dei diritti degli interessati.

2.2.1 I trattamenti oggetto di limitazione.

Innanzitutto, lo schema è volto a circoscrivere le categorie e le finalità dei trattamenti oggetto delle limitazioni, prevedendo che siano riferite ai trattamenti effettuati “in relazione alle attività di analisi del rischio di cui all’articolo 1, comma 682, della legge 27 dicembre 2019, n. 160” (art. 4, comma 1), “per il perseguimento delle finalità di prevenzione e contrasto all’evasione e all’elusione fiscale, tramite l’individuazione dei criteri di rischio utili a far emergere posizioni da sottoporre a controllo da parte dell’Agenzia e della Guardia di finanza, e per incentivare l’adempimento spontaneo“ (art. 3, comma 1), in relazione alle categorie di dati riferibili a “dati personali, contenuti nelle banche dati, relativi all’identità fisica ed economica, tra cui dati comuni, patrimoniali, contabili e finanziari. Con riferimento alle categorie di cui all’articolo 9 del Regolamento, nell’ambito dei dataset sono trattati solo i dati relativi all’ammontare delle detrazioni fiscali, in forma aggregata e in coerenza con quanto previsto dal successivo articolo 5, comma 5” (art. 3, comma 2).

In particolare, le limitazioni individuate dallo schema in esame si riferiscono ai dati contenuti nei citati “dataset di analisi” e “dataset di controllo”, sopra definiti, che sono conservati, rispettivamente, “per quanto concerne il dataset di analisi, per un periodo di otto anni a decorrere dal 31 dicembre dell’anno in cui gli adempimenti rilevanti ai fini fiscali sono stati o avrebbero dovuto essere posti in essere” (art., 3, comma 3, lett. a)), mentre, “con riferimento al dataset di controllo, fino al decimo anno successivo a quello di ricezione dell’invito alla regolarizzazione della posizione fiscale ovvero fino alla ricezione del provvedimento impositivo e, comunque, fino alla definizione di eventuali giudizi” (art. 3, comma 3, lett. b)), e, decorsi i predetti periodi di conservazione, “vengono cancellati, ferma restando la conservazione dei dati contenuti nelle banche dati dell’Agenzia secondo i criteri di conservazione stabiliti in relazione alle finalità per le quali ciascun dato è stato raccolto” (art. 3, comma 4).

Nella relazione illustrativa, viene descritto, poi, il processo di analisi che si articola nelle seguenti fasi: individuazione della platea di riferimento; scelta delle basi dati; creazione del dataset di analisi; analisi della qualità dei dati; definizione del criterio di rischio; scelta ed implementazione dei modelli e delle tecniche di analisi deterministica e/o stocastica; verifica della corretta applicazione delle tecniche di analisi; creazione del dataset di controllo; test su un campione casuale rappresentativo della popolazione. Nella medesima relazione viene, altresì, rappresentato che nell’ambito del processo è sempre garantito l’intervento umano.

2.2.2 La portata delle limitazioni.

Il successivo art. 4 dello schema in esame si occupa di disciplinare il contenuto delle limitazioni della portata degli obblighi e dei diritti di cui agli artt. 14, 15, 17, 18 e 21 del Regolamento “per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata in una società democratica, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, in modo da assicurare che tale esercizio non arrechi un pregiudizio effettivo e concreto all’obiettivo di interesse pubblico perseguito” (art. 4, comma 1).

In particolare, è escluso “l’esercizio del diritto dell’interessato, previsto dall’articolo 15, paragrafo 1, del Regolamento, di avere conferma che sia o meno in corso un trattamento” (art. 4, comma 2, lett. a)) e “sono differiti, fino al momento in cui l’interessato riceve l’invito alla regolarizzazione della posizione fiscale, il processo verbale di constatazione, ovvero fino alla ricezione del provvedimento impositivo, l’esercizio del diritto di accesso ai dati e alle informazioni previsti dall’articolo 15, lettere a), b), c), e) e g) del Regolamento e l’esercizio del diritto di ottenere una copia dei dati personali oggetto di trattamento. Il diritto di conoscere la durata del trattamento è assicurato dalle disposizioni del presente decreto. Le informazioni di cui al periodo precedente sono fornite negli inviti comunicati, nel processo verbale di constatazione e negli avvisi notificati” (art. 4, comma 2, lett. b)).

Sono, altresì, esclusi “l’esercizio del diritto, previsto dall’articolo 18, paragrafo 1, lettere a), b) c) e d) del Regolamento, di ottenere la limitazione del trattamento” e “l’esercizio del diritto, previsto dall’articolo 21 del Regolamento, di opporsi al trattamento” (art. 4, comma 2, lett. d)), fermo restando che, “ai sensi dell’articolo 17, paragrafo 3, lettera b) del Regolamento, non si applica il diritto alla cancellazione di cui al medesimo articolo, essendo il trattamento effettuato nell’esercizio dei pubblici poteri di cui è investito il titolare del trattamento” (art. 4, comma 6).

Viene, inoltre, affermato che “resta salvo l’esercizio dei diritti dell’interessato in relazione ai dati presenti nelle banche dati dell’Agenzia sulla base delle disposizioni e in coerenza con le finalità per le quali ciascun dato è stato raccolto” (art. 4, comma 7) e che “resta altresì fermo il diritto dell’interessato di ottenere la rettifica dei dati personali inesatti, in conformità alla disciplina che regola la raccolta di ciascun dato” (art. 4, comma 8).

2.2.3 Le misure previste a tutela dei diritti e delle libertà degli interessati.

L’art. 5 dello schema di decreto individua “le misure poste a tutela dei diritti e delle libertà degli interessati”, prevedendo, in particolare, che:

i titolari del trattamento “trattano esclusivamente i dati personali indispensabili ed effettuano le operazioni di trattamento strettamente necessarie al raggiungimento delle finalità di cui all’articolo 1, comma 682, della legge 27 dicembre 2019, n. 160, nel rispetto dei princìpi di cui all’articolo 5 del Regolamento” (comma 1);

i titolari del trattamento “adottano tutte le misure necessarie per escludere i dati personali inesatti o non aggiornati dai trattamenti conseguenti all’analisi del rischio fiscale” (comma 2);

“l’Agenzia e la Guardia di finanza interconnettono le informazioni contenute nell’Archivio dei rapporti finanziari con le altre banche dati avvalendosi di opportune tecnologie informatiche e applicando le metodologie più appropriate” (comma 3);

“a tutela dei diritti e delle libertà degli interessati, l’Agenzia e la Guardia di finanza adottano le misure di sicurezza tecniche e organizzative idonee a garantire la riservatezza, l’integrità, la disponibilità dei dati e la sicurezza dei sistemi, nonché quelle necessarie ad assicurare che i dati utilizzati siano attuali, coerenti, completi, tracciabili e ripristinabili, nel rispetto di quanto previsto dall’articolo 32 del Regolamento” (comma 4);

l’Agenzia delle Entrate “effettua le elaborazioni finalizzate a far emergere le posizioni da sottoporre a controllo su dati preventivamente pseudonimizzati, al fine di impedire, in presenza di dati finanziari, l’identificazione diretta degli interessati. Parimenti, l’Agenzia non procede a profilazioni basate sulle categorie di dati di cui all’articolo 9 del Regolamento eventualmente presenti nel dataset di analisi e di controllo, fatti salvi i limiti previsti nell’art. 3, comma 2. L’affidabilità e l’accuratezza del modello di analisi e dei criteri di rischio utilizzati sono testati per fare in modo che all’esito delle analisi siano limitati i rischi di ingerenze nei confronti dei contribuenti che non presentano un rischio fiscale significativo e, comunque, siano limitati i rischi di erronea rappresentazione della capacità contributiva” (comma 5);

“al fine di ridurre i rischi di accessi non autorizzati o non conformi alle finalità di trattamento, l’accesso agli strumenti informatici di trattamento è consentito ai soli soggetti specificatamente autorizzati”, ai sensi dell’art. 29 del Regolamento e dell’art. 2-quaterdecies del Codice, “deputati a svolgere le attività di misurazione della qualità dei dati e di analisi del rischio fiscale” (comma 6);

“il personale specificatamente autorizzato dal Titolare o dal Responsabile verifica, tramite controlli puntuali condotti su campioni rappresentativi della platea di riferimento, la corretta applicazione del modello di analisi e la coerenza degli esiti delle elaborazioni svolte in attuazione della metodologia adottata” (comma 7);

“al fine di impedire che si verifichino trattamenti illeciti o violazioni dei dati personali ai sensi dell’articolo 4, paragrafo 1, n. 12, del Regolamento, l’Agenzia procede al controllo degli accessi ai dati e alle informazioni presenti nelle banche dati tramite misure idonee a verificare, anche a posteriori, le operazioni eseguite da ciascun soggetto autorizzato” (comma 8);

“ulteriori misure di garanzia sono definite con apposito provvedimento del Direttore dell’Agenzia” (comma 9).

OSSERVA

La versione dello schema di decreto in esame tiene conto di alcune indicazioni fornite dall’Ufficio nel corso delle interlocuzioni informali intercorse con il Ministero e con l’Agenzia delle entrate volte a assicurarne la conformità al Regolamento e al Codice, con particolare riferimento a:

la puntuale individuazione dei trattamenti oggetto della limitazione dei diritti (art. 3), in ossequio a quanto previsto dall’art. 23, par. 2, lett. a) e b), del Regolamento, che sono stati circoscritti a quelli effettuati nell’ambito dei c.d. dataset di analisi e di controllo utilizzabili, definiti nelle loro caratteristiche, in conformità a quanto previsto dal citato art. 1, comma 682, della legge n. 160 del 2019, per l’individuazione di criteri di rischio utili a far emergere posizioni da sottoporre a controllo da parte dell’Agenzia delle entrate e della Guardia di finanza, e per incentivare l’adempimento spontaneo;

la necessità di garantire l’esercizio del diritto di ottenere la rettifica dei dati personali inesatti (art. 4, comma 8), considerato che precludere, o anche solo limitare, l’esercizio di tale diritto rischierebbe di ostacolare la rilevazione di errori nelle valutazioni prodromiche alle verifiche fiscali, che rischiano di determinare una falsa rappresentazione della capacità contributiva, deviando e depotenziando l’efficacia dell’azione di contrasto dell’evasione fiscale;

la precisazione che resta ferma la possibilità di esercitare gli altri diritti di cui agli artt. 15 e ss. del Regolamento in relazione ai dati presenti nelle banche dati dell’Agenzia (art. 4, comma 7).

Preliminarmente, si osserva che lo schema di decreto in esame disciplina fattispecie caratterizzate da un rilevante impatto sulla protezione dei dati personali dei contribuenti. In primo luogo, infatti, vengono perimetrati il contenuto e l’oggetto delle limitazioni alla portata degli obblighi e dei diritti di cui agli artt. 14, 15, 17, 18 e 21 del Regolamento in relazione ai trattamenti effettuati dall’Agenzia delle entrate e dalla Guardia di finanza per le attività di analisi del rischio di cui all’art. 1, commi 682 e 686, della legge n. 160 del 2019, allo scopo di individuare criteri di rischio utili per far emergere posizioni da sottoporre a controllo e incentivare l’adempimento spontaneo. In secondo luogo, sono individuate alcune misure di garanzia che devono essere adottate in relazione a tali trattamenti – da effettuarsi avvalendosi “delle tecnologie, delle elaborazioni e delle interconnessioni con le altre banche dati” – che, in ragione delle loro caratteristiche, presentano rischi elevati per i diritti e le libertà degli interessati.

Nell’esaminare lo schema di decreto, pertanto, occorre verificare, in particolare, se, come disposto dall’art. 1, comma 683 della citata legge n. 160 del 2019 di cui lo schema di decreto in esame è attuazione, tali limitazioni rispettino “l'essenza dei diritti e delle libertà fondamentali e [… costituiscano] una misura necessaria e proporzionata in una società democratica” (art. 23, par. 1, del Regolamento) e le garanzie individuate siano adeguate “per prevenire abusi o l'accesso o il trasferimento illeciti”, in considerazione dei rischi elevati per i diritti e le libertà degli interessati (art. 23, par. 2, del Regolamento), derivanti in re ipsa dalle suddette limitazioni, a cui si aggiungono quelli derivanti dai trattamenti oggetto delle stesse, che comportano una “valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche” anche attraverso l’uso di nuove tecnologie (art. 35, par. 2, lett. a), del Regolamento).

In ogni caso, tali limitazioni, in ossequio a quanto previsto dall’art. 2-undecies del Codice (richiamato dal medesimo art. 1, comma 683), possono ritenersi legittime solo qualora dall’esercizio dei diritti degli interessati che si intendono circoscrivere possa derivare un “pregiudizio effettivo e concreto” agli “interessi tutelati in materia tributaria e allo svolgimento delle attività di prevenzione e contrasto all'evasione fiscale”, senza comprimerli in modo eccedente rispetto alle reali necessità perseguite. Inoltre, il legame tra le restrizioni previste e l’obiettivo perseguito dovrebbe essere chiaramente stabilito e dimostrato nella misura legislativa o in documenti supplementari (cfr. Linee Guida n. 10/2020 sulle limitazioni di cui all’art. 23 adottate dal Comitato europeo per la protezione dei dati il 13 ottobre 2021, punto 19).

Al riguardo, con specifico riferimento all’ambito fiscale, in tali Linee guida è stato specificato che restrizioni al diritto di accesso ai dati detenuti dall’amministrazione finanziaria possono essere ammissibili in caso di accertamenti in corso, nei limiti in cui l’esercizio di tale diritto potrebbe compromettere l’indagine stessa. La predetta restrizione dovrebbe in ogni caso essere limitata al tempo necessario e cessare non appena l’indagine venga conclusa dall’amministrazione finanziaria. L’interessato dovrebbe essere informato senza ritardo anche del momento a partire dal quale può essere esercitato il diritto di accesso (cfr. in particolare, il punto 27).

3. L’individuazione delle categorie di trattamenti e di dati personali oggetto delle limitazioni.

L’art. 23, par. 2, lett. b), del Regolamento prevede che vengano definite le categorie di trattamenti e di dati personali oggetto delle limitazioni.

Lo schema di decreto prevede che le categorie di trattamento oggetto di limitazione siano circoscritti a quelli effettuati nell’ambito dei dataset di analisi e di controllo per l’individuazione di criteri di rischio utili a far emergere posizioni da sottoporre a controllo, da parte dell’Agenzia delle entrate e della Guardia di finanza, e per incentivare l’adempimento spontaneo dataset di analisi e di controllo le categorie di trattamenti.

Occorre osservare che i trattamenti effettuati nell’ambito dei predetti dataset presentano caratteristiche diverse che devono essere tenute in considerazione al fine di valutare la conformità al Regolamento e al Codice delle limitazioni in esame, che risultano, in parte, modulate in modo differente rispetto ai due insiemi di dati.

Ai dati contenuti nei due distinti dataset, in particolare, è previsto che si applichino diversi tempi di conservazione: per il dataset di analisi, otto anni a decorrere dal 31 dicembre dell’anno in cui gli adempimenti rilevanti ai fini fiscali sono stati o avrebbero dovuto essere posti in essere, mentre per il dataset di controllo, fino al decimo anno successivo a quello di ricezione dell’invito alla regolarizzazione della posizione fiscale ovvero fino alla ricezione del provvedimento impositivo e, comunque, fino alla definizione di eventuali giudizi (art. 3, comma 3, lett. a) e b), dello schema di decreto). Tale distinzione nei tempi di conservazione dei dati comporta conseguenze differenti per le limitazioni dei diritti degli interessati, prevedendone, per quelli presenti nel dataset di controllo, la compressione per un periodo maggiore in ragione dell’attività amministrativa eventualmente svolta dall’amministrazione finanziaria (invio dell’invito alla regolarizzazione della posizione fiscale ovvero ricezione del provvedimento impositivo).

Non risulta, tuttavia, chiaro, con evidenti ricadute in termini di protezione dei dati personali, il regime applicabile ai diritti degli interessati i cui dati dovessero essere presenti nel dataset di controllo ma che non dovessero risultare destinatari di inviti o provvedimenti nei termini prescrizionali. Occorre, pertanto, che nello schema di decreto siano individuate le opportune garanzie in relazione a tale aspetto.

Sotto altro profilo, come sopra riportato, nella relazione illustrativa vengono descritte le fasi relative all’analisi del rischio, precisando, in particolare, che nell’ambito del processo decisionale è sempre garantito l’intervento umano.

Al riguardo si osserva che, al fine di assicurare la conformità del decreto all’art. 23, par. 2, lett. a), d) e f), del Regolamento, nonché di garantire che il processo decisionale che porta all’avvio dei controlli fiscali non risulti fondato esclusivamente su trattamenti automatizzati, occorre che l’intervento umano sia espressamente previsto nello schema di decreto in esame, precisando - in seguito ad un’adeguata valutazione delle conseguenze e dei rischi per i diritti e le libertà degli interessati, riferibili anche alle limitazioni oggetto dello schema in esame - se tale intervento sia preliminare o meno all’inserimento dei dati nel dataset di controllo e individuando, se del caso, le opportune garanzie, come di seguito illustrato al punto 7 del presente provvedimento, anche ai sensi dell’art. 22 del Regolamento.

Con riferimento, invece, alle categorie di dati, lo schema in esame stabilisce che le limitazioni si riferiscono a “i dati personali, contenuti nelle banche dati, relativi all’identità fisica ed economica, tra cui dati comuni, patrimoniali, contabili e finanziari. Con riferimento alle categorie di cui all’articolo 9 del Regolamento, nell’ambito dei dataset sono trattati solo i dati relativi all’ammontare delle detrazioni fiscali, in forma aggregata”.

In proposito, si rappresenta che tale disposizione non risulta sufficientemente dettagliata per assicurare la necessaria prevedibilità e trasparenza dei trattamenti di dati presenti nei dataset di analisi e di controllo, oggetto di limitazione, in ossequio a quanto disposto dagli artt. 5, par. 1, lett. a), e 23, par. 2, lett. b), del Regolamento, a fronte del vastissimo patrimonio informativo dell’Agenzia delle entrate, ma anche della Guardia di finanza, che comprende, tra gli altri, dati anagrafici, anche relativi al nucleo familiare, rappresentanze, dichiarazioni, accertamenti e controlli, successioni, atti del registro, catasto, patrimonio immobiliare e mobiliare (comprensivo della consistenza di conti correnti, depositi e altri rapporti finanziari, veicoli e natanti), rapporti di lavoro, utenze elettriche, idriche e telefoniche, canone tv, spese sostenute (ad es. sanitarie, d’istruzione, sport, erogazioni liberali, premi assicurativi, mutui, noleggi, leasing), licenze, autorizzazioni, concessioni, versamenti F24 e F23, fatture e spesometro.

Occorre, pertanto, che l’art. 3, comma 1, dello schema di decreto sia integrato individuando con maggior dettaglio le tipologie di informazioni che si intendono utilizzare in tale contesto, rinviando alle valutazioni di impatto sulla protezione dei dati, che dovranno essere redatte dall’Agenzia delle entrate e dalla Guardia di finanza, la puntuale individuazione delle banche dati che si intendono utilizzare.

Con riguardo alle informazioni di cui all’art. 9 del Regolamento, lo schema prevede che “nell’ambito dei [predetti] dataset sono trattati solo i dati relativi all’ammontare delle detrazioni fiscali, in forma aggregata in coerenza con quanto previsto dal successivo articolo 5, comma 5” (art. 3, comma 2). Al riguardo non risultano chiare le modalità di aggregazione di tali informazioni, atteso che, ad esempio, anche il solo ammontare complessivo delle diverse tipologie di spese sanitarie, presenti nel quadro relativo agli oneri deducibili o detraibili della dichiarazione dei redditi, potrebbe risultare idoneo a rivelare lo stato di salute del contribuente o dei suoi familiari.

Non risulta, inoltre, chiara la misura contenuta nel successivo art. 5, comma 5, dello schema di decreto volta ad escludere “operazioni di profilazione fondate su tali categorie di dati”, atteso che le stesse risultano presenti nel dataset di analisi (ancorché riferiti a importi di spesa aggregati), che sarà oggetto delle prospettate elaborazioni che comportano la profilazione dei contribuenti, da effettuarsi anche attraverso l’impiego di specifiche soluzioni tecnologiche.

Occorre, pertanto, specificare meglio quali siano le misure appropriate che si intendono adottare a tutela dei diritti e delle libertà degli interessati in relazione ai trattamenti di dati appartenenti alle categorie particolari di cui all’art. 9 del Regolamento, con specifico riguardo a quelli sulla salute, tenuto conto anche del fatto che sarebbe necessario valutare l’opportunità di assurgere le spese sanitarie a parametro per valutare la capacità contributiva dei contribuenti in considerazione della primaria rilevanza rivestita dalla tutela della salute (art. 9, par. 2, lett. i), del Regolamento e art. 2-sexies del Codice).

Nello schema in esame non risultano indicate specifiche garanzie in relazione ai minori, che dovessero risultare presenti all’interno dei dataset di analisi e, soprattutto, di controllo. Si invita, pertanto, il Ministero dell’economia e delle finanze a valutare tale aspetto e, se del caso, a integrare lo schema individuando misure adeguate a tutelare tali soggetti vulnerabili.

4. La trasparenza del trattamento e gli obblighi informativi nei confronti degli interessati.

Nel contesto in esame il principio di trasparenza e gli obblighi informativi nei confronti degli interessati rivestono una duplice rilevanza riferibile, da un lato, alla portata delle limitazioni all’esercizio dei diritti e, dall’altro, alle caratteristiche dei trattamenti effettuati nell’ambito dell’attività di analisi del rischio di cui al citato art. 1, comma 682.

All’art. 4, comma 4, dello schema di decreto in esame viene previsto che “a norma dell’articolo 14, paragrafo 5, lett. c), del Regolamento è escluso l’obbligo del titolare del trattamento di fornire all’interessato le informazioni di cui al medesimo articolo 14. Sul sito dell’Agenzia delle Entrate è pubblicata un’informativa generale sulle limitazioni contemplate dal presente decreto per le finalità di cui all’articolo 1, comma 682, della legge 27 dicembre 2019, n. 160”.

La pubblicazione sul sito web dell’Agenzia delle entrate di “un’informativa generale” sulle limitazioni risulta in linea con quanto disposto dall’art. 23, par. 2, lett. h), del Regolamento in materia di trasparenza del trattamento.

Per quanto riguarda, invece, gli obblighi informativi dell’Agenzia delle entrate e della Guardia di finanza, si rappresenta che il rinvio all’art. 14, par. 5, lett. c), del Regolamento – ai sensi del quale tali obblighi non si applicano se e nella misura in cui “l'ottenimento o la comunicazione sono espressamente previsti dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell'interessato” – non risulta pertinente rispetto ai trattamenti disciplinati nello schema in esame, in quanto l’esclusione ivi prevista si riferisce unicamente ai dati raccolti presso terzi e non a quelli raccolti presso gli interessati, come risultano invece, ad esempio, quelli contenuti nelle dichiarazioni presentate dai contribuenti all’Agenzia delle entrate, cui si applica, in ogni caso, l’art. 13 del Regolamento.

Inoltre, la predetta esclusione può ritenersi applicabile solo laddove il diritto individui misure appropriate per tutelare gli interessi legittimi dell'interessato, con particolare riferimento alla trasparenza del trattamento, non puntualmente rinvenibili nello schema in esame.

In particolare, tra gli aspetti che meritano maggiore trasparenza nei confronti degli interessati, vi sono quelli relativi all’attività di profilazione, in considerazione dei potenziali rischi e delle interferenze che tale attività pone in relazione ai diritti degli interessati, fornendo agli interessati un quadro sulla logica sottostante al processo decisionale fondato su trattamenti automatizzati, come di seguito illustrato al punto 7 del presente provvedimento (cfr. artt. 13, par. 2, lett. f), e 14, par. 2, lett. g), del Regolamento).

5. Il diritto di accesso.

Anche in relazione alle limitazioni imposte dallo schema di decreto all’esercizio dei diritti di accesso emergono significative distinzioni in relazione ai dati trattati nell’ambito del dataset di analisi e di quello di controllo. Infatti, ai sensi dell’art. 4, comma 2, lett. b), dello schema, l’esercizio del diritto di accesso ai dati e alle informazioni previsti dall’art. 15, par. 1, lett. a), b), c), e) e g), del Regolamento e l’esercizio del diritto di ottenere una copia dei dati personali oggetto di trattamento “sono differiti, fino al momento in cui l’interessato riceve l’invito alla regolarizzazione della posizione fiscale, il processo verbale di constatazione, ovvero fino alla ricezione del provvedimento impositivo” e “le informazioni di cui al periodo precedente sono fornite negli inviti comunicati, nel processo verbale di constatazione e negli avvisi notificati”. Tali limitazioni sembrerebbero, quindi, riferibili esclusivamente ai contribuenti i cui dati sono contenuti nel dataset di controllo e che sono risultati destinatari di inviti, atti o provvedimenti dell’amministrazione finanziaria.

Occorre, pertanto, integrare lo schema in esame prevedendo le necessarie garanzie volte a individuare le ipotesi e i termini di differimento del diritto di accesso degli interessati non destinatari di inviti, atti o provvedimenti dell’amministrazione finanziaria nei termini prescrizionali in relazione ai dati contenuti nei dataset di analisi e di controllo.

6. Il diritto di limitazione di trattamento.

Ai sensi dell’art. 4, comma 2, lett. c), dello schema, viene limitato il diritto di limitazione di trattamento da parte dell’interessato in relazione a tutte le ipotesi previste dall’art. 18 del Regolamento e segnatamente quando:

a) l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;

b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;

c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

d) l’interessato si è opposto al trattamento ai sensi dell’art. 21, par. 1, del Regolamento, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

Con riferimento alle ipotesi di cui alle precedenti lett. b) e c), come già rappresentato nella memoria del 12 novembre 2019 del Presidente dell’Autorità Garante per la protezione dei dati personali sul disegno di Legge di Bilancio 2020 (doc. web n. 9184376), la limitazione del diritto a richiedere in via diretta di non cancellare dati - ad esempio, informazioni illegittimamente acquisite (riferibili anche a condotte di soggetti terzi che hanno comunicato dati inesatti all’Agenzia) di cui l’Agenzia non ha più bisogno ai fini del trattamento, ma necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria - rischia invece ostacolare più in generale il diritto di difesa del cittadino, protraendo anche condotte illecite ed esponendo, così, l'amministrazione a richieste risarcitorie. Ciò, senza provocare un pregiudizio effettivo e concreto alle attività di contrasto all’evasione fiscale e risultando, di conseguenza, una misura non necessaria e sproporzionata. Pertanto, si invita il Ministero a rivalutare la limitazione del diritto di cui all’art. 18, par. 1, lett. b) e c), del Regolamento.

7. Le misure a tutela dei diritti e delle libertà degli interessati.

All’art. 5 dello schema vengono individuate alcune misure di carattere generale a tutela dei diritti e delle libertà degli interessati, rinviando la definizione di ulteriori misure di garanzia a un apposito provvedimento del Direttore dell’Agenzia (art. 5, comma 9) e alle valutazioni di impatto sulla protezione dei dati che l’Agenzia delle entrate e la Guardia di finanza effettueranno, procedendo periodicamente al relativo aggiornamento e al loro riesame (art. 5, comma 10).

Sarà, pertanto, esaminata nell’ambito delle valutazioni di impatto sulla protezione dei dati, redatte ai sensi dell’art. 1, comma 684, della legge 160 del 2019, e del provvedimento di cui all’art. 5, comma 9, dello schema, l’adeguatezza del complesso di misure tecniche e organizzative che si intendono adottare per assicurare la conformità dei trattamenti al Regolamento e al Codice; misure che dovranno tenere conto anche delle garanzie in termini di protezione dei dati personali da adottarsi nell’ambito della convenzione che verrà stipulata con la Guardia di finanza ai sensi dell’art. 6 dello schema in esame. A tal riguardo, si invita, quindi, a inserire la locuzione “sentito il Garante per la protezione dei dati personali” nell’art. 5, commi 9 e 10, dello schema.

Si ritiene, tuttavia, sin da ora utile sottolineare che, nel contesto in esame, il ricorso alla pseudonimizzazione “al fine di impedire, in presenza di dati finanziari, l’identificazione diretta degli interessati” (cfr. art. 5, comma 5) deve fondarsi su tecniche efficaci rispetto all’ingente mole di informazioni detenute dall’Agenzia delle entrate nelle proprie banche dati, mascherando adeguatamente l’identità delle persone fisiche e riducendo effettivamente i rischi di re-identificazione degli interessati. Infatti, la semplice modifica dell’identità di una persona non impedisce la sua identificazione se l’insieme di dati continua a contenere i cc.dd. “quasi-identificatori” o se altre informazioni ad essi riferibili ivi contenute consentono comunque di re-identificare l’interessato.

In ogni caso, se la pseudonimizzazione può consentire di ridurre i rischi per i diritti e le libertà degli interessati in talune fasi del trattamento, questo non esclude la necessità di adottare altre misure di protezione dei dati. Più in generale, si evidenzia, infatti, che le ulteriori misure che dovranno essere individuate, nel rispetto dei principi di privacy by design e by default ai sensi dell’art. 25 del Regolamento, dovranno assicurare in modo efficace l’attuazione, in particolare, dei principi di minimizzazione, esattezza e integrità e riservatezza (art. 5, par. 1, lett. c), d) e f), del Regolamento).
Attese, inoltre, le caratteristiche dei trattamenti che si intendono porre in essere, dovranno essere introdotte specifiche cautele per i trattamenti automatizzati, in modo da ridurre i rischi per gli interessati, con particolare riguardo ad erronee rappresentazioni della capacità contributiva. Ciò, correggendo potenziali errori o distorsioni che potrebbero verificarsi nel processo decisionale fondato su tali trattamenti.

Al riguardo, si rappresenta che, come illustrato nelle Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del Regolamento 2016/679 (adottate dal Gruppo di lavoro articolo 29 per la protezione dei dati il 3 ottobre 2017 e successivamente aggiornate il 6 febbraio 2018, WP 251 rev.01), fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, “esistono potenzialmente tre modalità d’uso della profilazione: i) profilazione generale; ii) processo decisionale basato sulla profilazione; iii) decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici o incide in modo analogo significativamente sull’interessato, che ricade nell’ambito di applicazione dell’art. 22 del Regolamento”. Il titolare del trattamento può svolgere attività di profilazione e processi decisionali automatizzati “purché sia in grado di soddisfare tutti i principi e disponga di una base legittima per il trattamento che prevedendo nella stessa adeguate misure supplementari nel caso di decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione”, ai sensi dell’art. 22 del Regolamento.

Come rilevato al punto 3 del presente provvedimento, la scelta della fase in cui collocare il prospettato intervento umano nel processo decisionale determina la necessità di adottare, a valle di un’adeguata valutazione dei rischi per i diritti e le libertà degli interessati, misure diverse volte a garantire il rispetto del Regolamento.

Anche sulla base di quanto indicato nelle predette Linee guida e nella proposta di “Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'Unione” del 21 aprile 2021 (COM(2021) 206 final), si evidenzia l’esigenza che siano, in ogni caso, adottate misure per assicurare:

la registrazione del grado di coinvolgimento umano nel processo decisionale;

la comprensione, da parte degli operatori alle quali è affidato l’intervento umano, delle capacità e dei limiti del processo decisionale automatizzato, monitorandone debitamente il funzionamento, in modo che i segnali di anomalie, disfunzioni e prestazioni inattese possano essere individuati e affrontati quanto prima;

la consapevolezza degli operatori della possibile tendenza a fare automaticamente affidamento o a fare eccessivo affidamento sull’output prodotto da un processo decisionale automatizzato utilizzato per fornire informazioni o raccomandazioni per le decisioni che devono essere prese da persone fisiche;

la corretta interpretazione dell’output del processo decisionale automatizzato, tenendo conto in particolare delle caratteristiche del sistema e degli strumenti e dei metodi di interpretazione disponibili;

la possibilità per gli operatori di decidere, in qualsiasi situazione particolare, di non usare il processo decisionale automatizzato o altrimenti di ignorare, annullare o ribaltare l'output dello stesso.

RITENUTO

Alla luce di quanto sopra rappresentato, si ritiene pertanto di poter esprimere un parere favorevole sullo schema di provvedimento in esame a condizione che vengano rispettate le previsioni indicate nei punti 3, 4, 5, 6 e 7 del presente parere, riferibili, rispettivamente, all’individuazione delle categorie di trattamenti e di dati personali oggetto delle limitazioni, alla trasparenza del trattamento e agli obblighi informativi nei confronti degli interessati, al diritto di accesso, al diritto di limitazione di trattamento, nonché alle misure a tutela dei diritti e delle libertà degli interessati.

Il Garante si riserva di valutare l’adeguatezza delle misure che verranno complessivamente adottate per mitigare i rischi elevati presentati dal trattamento per i diritti e le libertà degli interessati nell’ambito dell’esame delle valutazioni di impatto sulla protezione dei dati predisposte dall’Agenzia delle entrate e dalla Guardia di finanza e del provvedimento del Direttore dell’Agenzia.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 2, lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto del Ministro dell’economia e delle finanze attuativo dell’art. 1, comma 683, della legge 27 dicembre 2019, n. 160, con le condizioni indicate nei punti 3 (l’individuazione delle categorie di trattamenti e di dati personali oggetto delle limitazioni)  4 (la trasparenza del trattamento e gli obblighi informativi nei confronti degli interessati), 5 (il diritto di accesso), 6 (il diritto di limitazione di trattamento) e 7 (le misure a tutela dei diritti e delle libertà degli interessati) del presente provvedimento.

Roma, 22 dicembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei