[doc. web n. 9978230]

Parere del Garante su uno schema di decreto legislativo recante disposizioni in materia di accertamento tributario e di concordato preventivo biennale - 11 gennaio 2024

Registro dei provvedimenti
n. 3 dell'11 gennaio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio dei Ministri;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 36, paragrafo 4;

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

La Presidenza del Consiglio dei ministri-Dipartimento affari giuridici e legislativi ha richiesto il parere del Garante su di uno schema di decreto legislativo in materia di procedimento accertativo, adottato nell’esercizio della delega legislativa prevista dall’articolo 17 della legge 11 agosto 2023, n. 111 ed attualmente all’esame delle competenti Commissioni parlamentari, ai fini dell’espressione dei parerei previsti (AG 105).

Tra i principi e i criteri direttivi sanciti da tale articolo, ai fini dell’esercizio della delega legislativa figurano, in particolare, il perseguimento di obiettivi di razionalizzazione e riordino delle disposizioni normative inerenti l’attività di analisi del rischio, la semplificazione del procedimento accertativo anche mediante “l'utilizzo delle tecnologie digitali, con conseguente riduzione degli oneri amministrativi a carico dei contribuenti”, nonché il potenziamento dell’utilizzo delle tecnologie digitali, “anche con l'impiego di sistemi di intelligenza artificiale, al fine di ottenere, attraverso la piena interoperabilità tra le banche di dati, la disponibilità delle informazioni rilevanti e di garantirne il tempestivo utilizzo” per gli specifici scopi indicati, tra i quali la riduzione dei fenomeni di evasione ed elusione fiscale.

Nell’esercizio del criterio di delega di cui all’articolo 17, comma 1, lettera g), punto 2, viene poi introdotta la disciplina del concordato preventivo biennale per i soggetti di minore dimensione.

RILEVATO

Conformemente all’articolazione dei principi e criteri direttivi sanciti dalla legge di delegazione, lo schema di decreto legislativo si compone di tre titoli: il primo dedicato al procedimento accertativo, il secondo al concordato preventivo biennale, il terzo (che consta di un solo articolo) alle disposizioni finali.

Dal punto di vista della protezione dei dati, per ciascuno dei primi due titoli rilevano, in particolare e rispettivamente, gli articoli 2 e 9.

In attuazione dei principi e criteri direttivi di cui all’articolo 17, comma 1, lettere c) ed f), della legge di delegazione, l’articolo 2 dispone la razionalizzazione e il riordino organico delle disposizioni, talvolta risalenti e non coordinate, contenute in una pluralità di fonti, che disciplinano le attività di analisi del rischio nel settore fiscale.

Sotto il profilo della protezione dati, la norma rileva in modo particolare in quanto, oltre a individuare con valenza generale gli scopi sottesi all’attività di analisi del rischio fiscale (prevenzione e contrasto dell’evasione fiscale, della frode fiscale e dell’abuso del diritto in materia tributaria, nonché stimolo dell’adempimento spontaneo e svolgimento dei controlli preventivi), ribadisce la possibilità di utilizzare in maniera integrata, nel perseguimento di tali fini, le informazioni presenti nelle banche dati di cui dispone l’Agenzia delle entrate, anche attraverso l’interconnessione con altri archivi pubblici gestiti da enti che non appartengono all’Amministrazione finanziaria, esclusi tuttavia quelli nella disponibilità dell’autorità giudiziaria penale o delle forze di polizia.

La norma inoltre, conformemente alla disposizione introdotta dall’articolo 1, comma 683, della legge n. 160 del 2019, legittima la limitazione dell’esercizio di alcuni dei diritti degli interessati ove necessario per la tutela degli scopi di interesse pubblico perseguiti dall’amministrazione finanziaria, demandando a uno specifico regolamento ministeriale la definizione delle idonee misure di garanzia.

In particolare, il comma 1 dell’articolo 2 introduce, tra le definizioni, quella della locuzione «analisi del rischio», nonché delle sue componenti (in particolare: analisi deterministica e probabilistica), chiarendo peraltro che tale attività analitica può comportare anche l’utilizzo di soluzioni di intelligenza artificiale (art.2, c.1, lett.f).

Il comma 2 conferma che i risultati dell’analisi del rischio- oltre che per fini di prevenzione e contrasto dell’evasione fiscale, della frode fiscale e dell’abuso del diritto in materia tributaria, nonché di stimolo dell’adempimento spontaneo- possono essere utilizzati anche per lo svolgimento di controlli preventivi.

Il comma 3, in linea con il precedente e con i criteri di delega, legittima l’Agenzia delle entrate a utilizzare, nello svolgimento delle attività di analisi del rischio fiscale, di controllo e di erogazione di servizi, tutte le informazioni presenti nelle basi dati di cui dispone, ivi comprese quelle presenti nell’Archivio dei rapporti finanziari e quelle relative alle fatture elettroniche, memorizzate ai sensi dell’articolo 1, comma 5-bis, del decreto legislativo n. 127 del 2015, anche tramite interconnessione tra loro e con quelle di archivi e registri pubblici, ovvero pubblicamente disponibili.

Si escludono, tuttavia, tutte le informazioni soggette alla disciplina di cui al decreto legislativo 18 maggio 2018, n. 51, ovvero quelle relative (e funzionali) a procedimenti penali in ogni loro fase e grado, di prevenzione o ad attività di polizia nell’accezione delineata dal citato decreto legislativo.

Il comma 4,  alla stregua delle novelle apportate all’articolo 2-undecies del Codice da parte dell’articolo 1, comma 681, della legge n. 160 del 2019, legittima  l’individuazione (mediante regolamento e nel rispetto dei principi di necessità e di proporzionalità) di specifiche limitazioni e modalità di esercizio dei diritti di cui agli articoli 15, 17, 18, 21 e 22 del Regolamento, rispetto al trattamento connesso all’attività di analisi del rischio fiscale condotta dall’Agenzia delle entrate d’intesa con il Dipartimento delle finanze del Ministero dell’economia e delle finanze, per evitare pregiudizi effettivi e concreti all’obiettivo di interesse pubblico perseguito (alinea e lett.a). Allo stesso regolamento è demandata la previsione di specifiche disposizioni relative al contenuto minimo essenziale di cui all'articolo 23, paragrafo 2, del Regolamento (lett. b) e dele misure adeguate a tutela dei diritti e delle libertà degli interessati (lett.c).

Il comma 7 legittima la Guardia di finanza all’utilizzo delle informazioni presenti nelle banche dati di cui ha la disponibilità, anche tramite interconnessione tra loro e con quelle di archivi e registri pubblici, ovvero pubblicamente disponibili, per le finalità di cui all’art. 1, comma 5-bis, del decreto legislativo n. 127 del 2015, ferma restando tuttavia l’osservanza, per il trattamento dei dati personali nell’esercizio dell’attività di polizia e giustizia penale, delle disposizioni contenute nel dPR 15 gennaio 2018, n. 15 e nel decreto legislativo 18 maggio 2018, n. 51 concernenti, rispettivamente, il trattamento dei dati effettuato per le finalità di polizia, da organi, uffici e comandi di polizia e il trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.

Il comma 8 legittima la Guardia di finanza, al pari dell’Agenzia delle entrate, all’utilizzo dei dati contenuti nell’Archivio dei rapporti finanziari mediante ricorso alle tecnologie (anche “avanzate” di analisi), alle elaborazioni e alle interconnessioni con le altre banche dati di cui dispone, per le medesime finalità di cui all’art. 1, comma 5-bis, del decreto legislativo n. 127 del 2015 e sempre nel rispetto della disciplina speciale per quanto concerne il trattamento dei dati personali nell’esercizio dell’attività di polizia e giustizia penale.

Il comma 9 dispone, altresì, che l’Agenzia delle entrate e la Guardia di finanza, per le finalità di prevenzione e contrasto dell’evasione fiscale, della frode fiscale e dell’abuso del diritto in materia tributaria, possano - compatibilmente con le vigenti disposizioni in materia di trattamento di dati personali o di segretezza - condividere tutte le informazioni e le risorse informatiche di cui dispongono, anche tramite la costituzione di unità integrate di analisi del rischio, ferma restando l’esclusione (già prevista ai commi precedenti) per i dati personali soggetti alla disciplina di cui al decreto legislativo 18 maggio 2018, n. 51.

Il titolo II dello schema di decreto introduce invece, all’articolo 6, l’istituto del concordato preventivo biennale la cui applicazione è destinata ai contribuenti di minori dimensioni, titolari di reddito di impresa e di lavoro autonomo derivante dall’esercizio di arti e professioni, residenti nel territorio dello Stato.

L’articolo 8 prevede che l’Agenzia delle entrate, entro il 15 marzo di ciascun anno, metta a disposizione dei contribuenti o dei loro intermediari, anche mediante l’utilizzo delle reti telematiche, appositi programmi informatici per l’acquisizione dei dati necessari per l’elaborazione della proposta di concordato. L’individuazione delle modalità e dei dati da comunicare all’Amministrazione finanziaria è demandata a uno specifico provvedimento del direttore dell’Agenzia delle entrate.

L’articolo 9 dispone, poi, che la proposta di concordato sia elaborata, tenuto conto dei dati dichiarati dal contribuente, sulla base di una metodologia che valorizzi, anche attraverso processi decisionali di cui all’articolo 22 del Regolamento, le informazioni già nella disponibilità dell'Amministrazione finanziaria (così da limitare, quanto più possibile e conformemente ai criteri di delega), l’introduzione di nuovi oneri dichiarativi.

L’individuazione di tale metodologia, predisposta con riferimento a specifiche attività economiche, tenuto conto degli andamenti economici e dei mercati, delle redditività individuali e settoriali desumibili dagli indici sintetici di affidabilità fiscale, nonché degli “specifici limiti imposti dalla normativa in materia di tutela dei dati personali” è demandata a uno specifico decreto del Ministro dell’economia e delle finanze sentito, ove necessario, il Garante.

Il secondo comma dell’articolo 9 stabilisce, inoltre, che con il medesimo decreto dovranno essere individuate anche le specifiche cautele e le garanzie per i diritti e le libertà dei contribuenti, nonché le eventuali tipologie di dati esclusi dal trattamento. Il medesimo comma precisa inoltre che, ai fini dell’elaborazione della proposta di concordato, l’Agenzia delle entrate, oltre ai dati dichiarati dal contribuente possa acquisirne ulteriori dalle banche dati nella disponibilità dell’Amministrazione finanziaria e di altri soggetti pubblici escluse tuttavia, ancora una volta e coerentemente, quelle soggette alla disciplina di cui al decreto legislativo 18 maggio 2018 n. 51.

Il terzo e quarto comma dell’articolo 9 prevedono, infine, il termine entro il quale il contribuente possa aderire alla proposta di concordato e l’inefficacia della sua accettazione, nel caso in cui la dichiarazione dei redditi riporti dati non corrispondenti a quelli comunicati ai fini della definizione della proposta stessa.

RITENUTO

Lo schema di decreto legislativo non presenta particolari criticità sotto il profilo della protezione dei dati personali. Tuttavia, alcune disposizioni andrebbero modificate per assicurare maggiore garanzie nei trattamenti di dati personali previsti ed altre potrebbero essere ulteriormente perfezionate, segnatamente al fine di fugare possibili dubbi interpretativi ed altre

In tale prospettiva, sotto il primo profilo, all’articolo 2, comma 3, andrebbero espunte le informazioni “pubblicamente disponibili” dal novero di quelle suscettibili di utilizzo, da parte dell’Agenzia delle entrate, mediante interconnessione con altre, in quanto prive dei necessari requisiti di affidabilità e raccolte per finalità diverse da quelle sottese al trattamento considerato.

All’articolo 2, comma 4, dovrebbe, peraltro, essere espressamente previsto il parere del Garante sul (lo schema di) regolamento ivi considerato, in conformità a quanto disposto dall’articolo 36, p.4, del Regolamento.

Andrebbe, invece, soppressa la clausola limitativa di cui all’articolo 9, comma 1, secondo periodo, che appunto circoscrive l’obbligo di acquisizione del parere del Garante sul previsto decreto ai soli casi in cui ciò sia necessario. Per lo stesso oggetto demandato alla sua disciplina, infatti, il decreto considerato va comunque sottoposto al parere del Garante, in quanto suscettibile di incidere sulla protezione dei dati personali.

Sotto il secondo profilo, potrebbe essere utile in primo luogo sopprimere, all’articolo 2, comma 8, la qualificazione come “avanzate” delle tecniche di analisi cui la Guardia di finanza possa ricorrere, nell’utilizzo dei dati contenuti nell’Archivio dei rapporti finanziari. La nozione di “tecniche avanzate” di analisi sconta, infatti, un certo grado di indeterminatezza e non appare del tutto coerente con le definizioni di cui alle lettere a), e) ed f) dell’articolo 2, c.1, con i principi e criteri direttivi della legge di delegazione - che, sul punto, non contiene richiami espressi alle tecniche di “analisi avanzate” - nonché, del resto, con la fonte (legge di bilancio per il 2020) che, con la disposizione in esame, viene appunto novellata. E’, pertanto, preferibile espungere il riferimento alla natura “avanzata” delle tecniche di analisi in questione.

Un ulteriore perfezionamento potrebbe riguardare l’articolo 9, comma 2, secondo periodo, nella parte in cui delinea parte dell’oggetto del decreto ministeriale (da sottoporre a parere del Garante “ove necessario”), tenuto a disciplinare la metodologia sulla base della quale l’Agenzia delle entrate elabora la proposta di concordato preventivo biennale.

La disposizione demanda, infatti, a tale fonte l’individuazione, tra le altre, delle “specifiche cautele e (…) garanzie per i diritti e le libertà dei contribuenti”. E’ ragionevole ritenere – sulla base del tenore testuale della norma e del richiamo all’articolo 22 del Regolamento contenuto al primo comma dello stesso articolo 9- che le “garanzie per i diritti e le libertà” cui essa allude siano quelle alla cui individuazione l’articolo 22, p.2, lett.b) del Regolamento subordina la legittimità del processo decisionale automatizzato normativamente previsto. La previsione, al comma 1 dell’articolo 9, del possibile ricorso a processi decisionali automatizzati nell’elaborazione della proposta di concordato esige infatti, ai sensi del citato articolo 22, p.2, lett.b), l’individuazione di misure idonee a tutelare la situazione giuridica soggettiva degli interessati.

Pertanto, all’articolo 9, comma 2, secondo periodo, dopo la parola: “garanzie”, è opportuno inserire le seguenti: “, di cui all’articolo 22 del Regolamento (UE) 2016/679,”.

IL GARANTE

ai sensi dell’articolo 36, paragrafo 4, del Regolamento, esprime parere favorevole sul proposto schema di decreto legislativo con:

a) le condizioni, esposte nel “Ritenuto”, relative all’esigenza di:

1) sopprimere, al comma 3 dell’articolo 2, le seguenti parole: “ovvero pubblicamente disponibili”;

2) inserire, al comma 4 dell’articolo 2, dopo le parole: “con regolamento del Ministro dell’economia e delle finanze”, le seguenti: “, sentito il Garante per la protezione dei dati personali”;

3) sopprimere, all’articolo 9, comma 1, secondo periodo, in fine, le seguenti parole: “, ove necessario”;

b) le osservazioni, esposte nel “Ritenuto”, relative all’opportunità di:

1) sopprimere, al comma 8 dell’articolo 2, la parola: “avanzate”;

2) inserire, al secondo periodo del comma 2 dell’articolo 9, dopo la parola: “garanzie”, le seguenti: “, di cui all’articolo 22 del Regolamento (UE) 2016/679,”.

Roma, 11 gennaio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei