Il trattamento dei dati personali nella lotta all’evasione fiscale: possibilità e tutele
La privacy e il diritto alla protezione dei dati personali sono diritti fondamentali riconosciuti da molteplici norme comunitarie ed internazionali, oltre che da numerose sentenze delle corti sovranazionali. Ciononostante, come ogni altro diritto, si trovano talvolta a dover far fronte all’applicabilità di interessi parimenti meritevoli di tutela e, a seconda degli esiti del bilanciamento, rischiano di essere “sacrificati”. Uno di questi casi è la lotta all’evasione fiscale, la quale risponde ad un interesse pubblico dello Stato.
Privacy e interesse pubblico: il caso specifico dell’applicazione delle norme fiscali
L’interesse pubblico è uno dei concetti giuridici più utilizzati come contrappeso nel bilanciamento tra diversi diritti. Al contempo, però, si caratterizza per essere di difficile definizione anche a causa del fatto che, negli anni, si sono susseguite visioni e orientamenti diversi. Generalmente, viene accettata la definizione secondo la quale l’interesse pubblico rappresenterebbe l’interesse proprio della comunità intesa come collettività dei soggetti che ne fanno parte. Tuttavia, oggi viene rigettata l’ipotesi di una nozione unitaria, in virtù dell’emergere di una pluralità di interessi pubblici “particolari” che col tempo hanno affiancato gli interessi pubblici “generali”.
Il caso specifico della lotta all’evasione non pone però grossi problemi interpretativi, potendo in questo caso parlare di un interesse pubblico dello Stato inteso come “somma” degli interessi della comunità a prevenire e contrastare l’evasione sulla base dell’assunto che ciò rappresenterebbe al contempo la garanzia del diritto dei consociati a non subire le conseguenze delle condotte illecite altrui.
Tutto piuttosto chiaro, senonché la lotta all’evasione presuppone ovviamente l’individuazione degli evasori, ossia coloro che pongono in essere i comportamenti incriminati. Questo può rendere necessario il ricorso a determinate procedure invasive della riservatezza, ed è in questo contesto che l’interesse pubblico in esame si scontra con il diritto alla tutela dei dati personali, con la necessità di diventare oggetto di bilanciamento con lo stesso, onde evitare – quantomeno nelle intenzioni – che la garanzia dell’uno determini un’eccessiva compressione dell’altro.
In tal senso, l’art. 2-ter del Codice della Privacy come novellato dal D. Lgs n. 101/2018 regola la questione relativa alla “Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri”, sfruttando lo spazio di discrezionalità consentito dall’art. 6, comma 2, del Regolamento UE 2016/679 (GDPR) che lascia agli Stati membri la possibilità di mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del regolamento con riguardo ai trattamenti compiuti in conformità al paragrafo 1, lettere c) ed e), ossia quelli legittimati – rispettivamente – dall’adempimento ad un obbligo legale e dall’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.
La materia viene poi ripresa anche dall’art 2-sexies del Codice che detta le condizioni richieste per il “Trattamento di categorie particolari di dati necessario per motivi di interesse pubblico rilevante”. In particolare, suddetto trattamento è ammissibile soltanto laddove sia previsto dal diritto dell’Unione europea o dal diritto nazionale. In quest’ultimo caso, la base giuridica è solo una disposizione di legge o di regolamento che assicuri le condizioni di proporzionalità del trattamento, la salvaguardia del diritto alla protezione dei dati, preveda misure idonee a tutelare gli interessati, e specifichi i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante. Su quest’ultimo punto, l’articolo 2-sexies elenca quei trattamenti che possono ritenersi effettuati per motivi di rilevante interesse pubblico, includendo al comma 2, lett. i), le attività dei soggetti pubblici dirette all’applicazione – anche tramite loro concessionari – delle disposizioni in materia tributaria e doganale, comprese quelle di prevenzione e contrasto all’evasione fiscale.
Quando la riservatezza “soccombe” alla lotta all’evasione: la sentenza della CEDU e il Decreto Capienze
In tema di bilanciamento tra tutela dei dati personali e della riservatezza e necessità di assicurare l’interesse pubblico della lotta all’evasione, la Corte Europea dei Diritti dell’Uomo (Corte EDU) si è pronunciata con la sentenza sul caso L. B. contro Ungheria del 12 gennaio 2021 la quale però, è necessario precisarlo, non ha potuto tenere conto del GDPR essendo fondata su un ricorso del 2016. Nel caso di specie, l’Amministrazione finanziaria ungherese aveva pubblicato sul proprio sito internet i dati – nello specifico quelli anagrafici e quelli inerenti al debito tributario – dei “grandi” evasori fiscali, in applicazione di una norma nazionale del 2003 che prevedeva proprio la possibilità di pubblicare sul web una lista di quei contribuenti che non avessero versato le imposte dovute sulla base di un accertamento diventato definitivo e per un importo superiore a dieci milioni di fiorini ungheresi entro il termine di 180 giorni. Dopodiché, tale lista consentiva di elaborare una mappa degli evasori volta ad individuarli geograficamente e nominativamente. Ora, nella sentenza la Corte aveva accertato che le informazioni pubblicate rientrassero effettivamente nella definizione di “dati personali” ai sensi della Convenzione 108 sulla protezione dei dati personali del 1981, riconducendo la tutela anche all’art. 8 della CEDU. Ciononostante, ha ritenuto – non senza stupore – che la pubblicazione su internet di una lista di “grandi” evasori fiscali da parte dell’Amministrazione finanziaria ungherese non violasse suddetto articolo, in quanto si tratterebbe di una ingerenza nella vita privata giustificata e proporzionale, anche tenendo conto dell’ampia discrezionalità riconosciuta agli Stati in materia di politica sociale ed economica – ivi compresa quella fiscale – che giustifica la decisione di far prevalere l’interesse pubblico erariale sul diritto alla privacy dei soggetti. Occorre precisare però che la Corte non ha affermato che la pubblicazione dei dati in una lista di evasori non sia un’interferenza nella vita privata, ma ha solo precisato che in questo caso tale ingerenza trova fondamento in una norma di legge che persegue più scopi legittimi, ossia la tutela dell’interesse pubblico al miglioramento della disciplina del pagamento delle imposte e la tutela dell’interesse dei terzi a conoscere la situazione finanziaria degli evasori fiscali onde valutare con chi intraprendere rapporti economici. Quindi, quella che per il ricorrente era una umiliazione pubblica lesiva della sua privacy, per la Corte è invece il semplice prevalere dell’interesse pubblico della collettività sulla protezione dei dati di un singolo, tra l’altro con un solido fondamento normativo.
Nel nostro ordinamento un esempio di bilanciamento tra interesse pubblico e diritto alla tutela dei dati personali che vede la soccombenza di quest’ultimo, è quello che ritroviamo nel D.L. n. 139/2021 – c.d. Decreto Capienze – pubblicato in Gazzetta Ufficiale l’8 ottobre scorso. L’art. 9 comma 1 lett. a) num. 1) prevede che il trattamento dei dati personali da parte di un’amministrazione pubblica, comprese le autorità indipendenti e le amministrazioni inserite nell’elenco Istat (comprese le agenzie fiscali), nonché da parte di una società a controllo pubblico statale o di un organismo di diritto pubblico, è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri. Non solo, ma è stato anche interamente abrogato un articolo del Codice della Privacy che, con riguardo ai trattamenti ad alto rischio svolti per l’esecuzione di un compito di interesse pubblico, riconosceva al Garante il potere di prescrivere misure e accorgimenti a garanzia del soggetto interessato. Si tratta quindi un rafforzamento delle procedure di competenza della PA, ivi comprese quelle aventi ad oggetto le indagini fiscali volte all’individuazione degli evasori, con conseguente sacrificio – per tale scopo – del diritto alla privacy.
Conclusioni: quali tutele?
Come si è potuto vedere, il concetto di interesse pubblico rappresenta un elemento caratterizzato da un peso considerevole quando viene messo a confronto con tutti quei diritti che – almeno a primo impatto – riguardano in primo luogo il singolo. Si tratta quindi di situazioni nelle quali incombe la necessità di tutelare la collettività, al punto da giustificare la soccombenza di diritti fondamentali quali, per l’appunto, il diritto alla riservatezza. Di conseguenza, visto che in più occasioni ciò è effettivamente avvenuto sulla base di soluzioni tanto legislative quanto giurisprudenziali, occorre porsi il problema di quali principi e misure possano assumere rilevanza per tutelare il già di per sé sacrificato diritto alla tutela dei dati personali. Un primo spunto in tal senso lo si può rinvenire nella citata sentenza della Corte europea dei diritti dell’uomo, la quale ha ritenuto che il trattamento posto in essere dal fisco ungherese non fosse lesivo della privacy degli evasori. Sta di fatto, però, che un elemento importante al quale fare riferimento per limitare le attività di trattamento finalizzate alla lotta all’evasione è il principio di minimizzazione previsto all’art. 5, par. 1, lett. c) del GDPR, il quale esige che i dati trattati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità.
Alla luce di ciò, ricollegandosi alla sentenza della CEDU, si potrebbe dubitare dell’adeguatezza delle modalità realizzate dal fisco ungherese, e questo per due ragioni: la pubblicazione dell’indirizzo di residenza che viene collegato ai dati identificativi dell’evasore, e l’assenza di una forma di identificazione dei soggetti che potevano accedere a tali dati, visto che questi erano disponibili a chiunque si collegasse al sito in cui erano pubblicati. Ciononostante, l’UE non vieta la pubblicazione di liste di evasori, anzi, la stessa Unione ha un elenco di soggetti che rappresentano una minaccia per la finanza e le istituzioni europee; tuttavia, tale elenco è accessibile solo a queste ultime e non a chiunque.
Quanto invece ad ipotesi diverse concernenti soprattutto l’utilizzo di tecnologie per “scovare” gli evasori, anche qui occorre tenere conto dei principi cardine del diritto della privacy, a partire dal rispetto della condizione essenziale dell’interesse pubblico che non deve diventare un escamotage per forme di sorveglianza incondizionata. Occorre cioè che lo scopo sia effettivamente quello di tutelare l’interesse dello Stato a scongiurare quanto più possibile i danni derivanti dall’elusione dei doveri fiscali, prevedendo al contempo misure idonee per non eccedere nelle attività di trattamento. Dopodiché, qualora questo sfociasse nella pubblicazione di “liste nere” dei contribuenti, è necessario che queste siano – come ormai è chiaro – accessibili con limiti stringenti e chiari ai soli soggetti che esercitano i pubblici poteri. Altro aspetto da monitorare è quello relativo al diritto all’oblio ex art. 17 del GDPR, il quale permette all’interessato di ottenere la cancellazione dei dati qualora divenissero non più necessari rispetto alle finalità o fossero stati trattati illecitamente. Vediamo quindi che se da un lato la direzione intrapresa dalla legge è quella di una forte pressione dell’interesse pubblico erariale sul diritto alla privacy e sulla tutela dei dati personali, ci sono degli accorgimenti che possono regolare le attività dell’Amministrazione finanziaria consentendo comunque di conseguire le finalità perseguite.
Articolo a cura di Marco Martorana
Avvocato presso il Foro di Lucca, Professore a contratto di Diritto della Privacy presso Universitas Mercatorum, Presidente dell’associazione ASSODATA e Data Protection Officer. Esperto diritto della privacy e delle nuove tecnologie, ha organizzato e partecipato come relatore su questi argomenti in numerosi seminari ed eventi e ha pubblicato articoli, saggi e monografie su temi connessi alla tutela della privacy.