argomento: Profili europei e Internazionali - Legislazione e prassi

PAROLE CHIAVE: diritto dell - scambio automatico di informazioni - diritto alla protezione dei dati personali - proporzionalità

di Stefano Maria Ronco

1. Il tema della protezione dei dati personali in materia tributaria è stato in passato per molti versi trascurato, ma la sua importanza è divenuta più che mai attuale ed è, probabilmente, destinata a crescere vieppiù nei prossimi anni. Invero, si può osservare che la materia della protezione dei dati personali è divenuta oggi importante anche in materia tributaria per tre ragioni, di cui due di carattere specifico e la terza di portata più generale (cfr., per una panoramica al riguardo, CONTRINO, RONCO, Prime riflessioni e spunti in tema di protezione dei dati personali in materia tributaria, alla luce della giurisprudenza della Corte di giustizia e della Corte EDU, in Diritto e pratica tributaria internazionale, 2019, pp. 599 segg.). Quanto alle ragioni specifiche, va fatto riferimento al massivo ricorso alla tecnologia per l’effettuazione degli adempimenti tributari e al mutato contesto internazionale in punto di contrasto ai fenomeni di elusione ed evasione fiscale. Sotto il primo aspetto, l’impiego esclusivo dello strumento tecnologico nella fase di adempimento dei numerosi obblighi tributari – che è, in via di principio, finalizzato alla semplificazione e alla riduzione di costi e tempi degli adempimenti fiscali posti a carico dei contribuenti – non è neutrale sotto il profilo della protezione dei dati personali. Esso consente, infatti, l’acquisizione e la conservazione in apposite banche dati di grandi quantità di dati – si pensi, a questo proposito, agli istituti della fatturazione elettronica, dell’archivio dei rapporti finanziari e dell’anagrafe tributaria – che possono essere proficuamente utilizzati anche per raffinare, sotto il duplice profilo qualitativo e quantitativo, le modalità di svolgimento delle attività di controllo e di accertamento in capo all’Amministrazione finanziaria. Questo rafforzamento dei poteri pubblici è accompagnato dalla crescente disponibilità di strumenti di intelligenza artificiale, che permettono l’effettuazione di indagini di analisi semantica e offrono la possibilità di mettere in atto una selezione dei contribuenti tramite l’individuazione di indici di potenziale irregolarità fiscale. A livello internazionale, poi, in questi ultimi anni è divenuta centrale – come noto – l’esigenza di contrastare i fenomeni di elusione ed evasione attuati su scala sovranazionale; circostanza che ha portato ad ampliare e rafforzare il ricorso agli strumenti di scambio di informazioni, la cui efficacia è grandemente cresciuta proprio grazie al progresso tecnologico. Ciò non solo ha reso possibile – come già detto – la formazione di imponenti ‘archivi’ di dati immediatamente accessibili, ma ha anche agevolato esponenzialmente i processi di trasmissione delle informazioni stesse fra le Autorità fiscali degli Stati. Ne costituisce dimostrazione concreta la diffusione del modello dello scambio di informazioni su basi automatiche. Quanto alla ragione di carattere generale, il punto di partenza è, ovviamente, rappresentato dal “Regolamento Generale sulla Protezione dei Dati” (Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016; nel prosieguo, semplicemente, “Regolamento GDPR”) che esplica effetti anche in materia tributaria, come dimostra l’applicazione fattane, di recente, dal nostro Garante per la protezione dei dati personali, a partire dai provvedimenti del 15 dicembre 2018 e del 20 dicembre 2018 in tema di fatturazione elettronica. Poste in questi termini, invero di vasta portata, le coordinate di riferimento che sospingono verso una riconsiderazione sistematica del rapporto tra la materia della protezione dei dati personali ed il diritto tributario, ci si intende soffermare nel prosieguo su un profilo di più limitata portata, relativo alla conformità con il diritto alla protezione dei dati personali di derivazione unionale di alcuni meccanismi di scambio di informazioni a livello fiscale attuati da parte dell’Italia (così come dagli altri Paesi UE) nei confronti di Stati terzi in forza di appositi trattati internazionali sottoscritti a partire dalla crisi finanziaria degli anni 2010-2011.
2. E’ noto che l’ambito di operatività dei meccanismi di scambio di informazione non si esaurisce nella dimensione intra-UE – oggi essenzialmente disciplinata, a livello di imposizione diretta, dalla direttiva 2011/16/UE come integrata successivamente dalle varie direttive c.d. ‘DAC’ (cfr., per una panoramica in merito, PISTONE, Diritto tributario europeo, Torino, 2022) - ma ha anche un’importante connotazione internazionale, che si è nel tempo sviluppata con l’adesione al Foreign Account Tax Compliance Act (nel prosieguo “FATCA”) ed al Common Reporting Standard (nel prosieguo “CRS”), che hanno una loro autonoma disciplina di derivazione prettamente internazionale (cfr., per un primo inquadramento, OBERSON, International Exchange of Information in Tax Matters: Towards Global Transparency, Edward Elgar Publishing, 2018). Ebbene, l’effettiva conformità al diritto UE di tali meccanismi di scambio di informazioni, che si svolgono in una dimensione extra-UE ed avvengono sulla base di accordi di diritto internazionale è, invero, molto dibattuta. Già nel quadro normativo previgente al Regolamento GDPR erano state sollevate perplessità circa l’insoddisfacente tutela dei dati personali nel contesto delle misure di scambio automatico di informazioni, come si può inferire dalle ‘Guidelines for Member States on the criteria to ensure compliance with data protection requirements in the context of the automatic exchange of personal data for tax purposes’ elaborate dall’organismo ‘Article 29 Data Protection Working Party’ in data 16 dicembre 2015 (in dottrina si vedano GARBARINO, The EU protection of tax data transferred to third countries, in dir. trib., 2019, pp. 93 segg.; RONCO, Data Protection in Direct Tax Matters and Developments from the EU Standpoint: The Case of Automatic Exchange of Information, in International Tax Studies, 4/2020). In tale documento si era, tra le altre cose, sottolineato che una valutazione delle misure di scambio automatico avrebbe dovuto fondarsi, per essere rispettosa del principio di proporzionalità, sul principio della minimizzazione del trattamento dei dati personali. Con la conseguenza che il meccanismo di scambio di informazioni avrebbe dovuto essere configurato tramite criteri predeterminati ex ante idonei a garantire, da un lato, l’effettuazione del trasferimento dei dati soltanto per i contribuenti nei cui confronti sussistono potenziali profili di rischio di evasione fiscale e, dall’altro lato, l’esclusione della comunicazione automatica di dati personali di contribuenti con posizioni a minore rischio fiscale. Nel citato documento, in specie, si fornivano indicazioni di rilievo (ancorché riferite alla normativa previgente al Regolamento GDPR) in merito alla compatibilità dei meccanismi di scambio di informazione di tipo automatico: in particolare, con riguardo al bilanciamento tra le esigenze di contrasto all’evasione fiscale e il principio di minimizzazione del trattamento dei dati, si sottolineava che: “While that case focused on the necessity and proportionality of certain anti-terrorism measures, the WP29 is of the opinion that the balancing exercise mandated by the ECJ ruling applies to any public policies developed (including policies on tax cooperation) which have an impact on personal data protection rights. Therefore, in the tax cooperation agreements, it is necessary to demonstrably prove the necessity of the foreseen data exchange and that the required data are the minimum necessary for attaining the stated purpose. As a consequence, tax cooperation agreements should include provisions and criteria that explicitly link information exchange and, in particular, the reporting of personal data concerning financial accounts to possible tax evasion and that exempt low-risk accounts from reporting. In this respect, such criteria should be applicable ex ante to determine which accounts (and which information) would need to be reported”. Requisiti, questi ultimi, che difficilmente potevano essere integrati con riguardo a meccanismi di scambio automatico di informazioni sulla scia di FATCA e del CRS, che impongono il trattamento e la disseminazione di dati personali di contribuenti, in assenza di alcun profilo di rischio di evasione fiscale e senza verifiche in tema di proporzionalità e minimizzazione dei dati oggetto di scambio. Ad ogni modo, la questione circa la conformità dei meccanismi di scambio di informazioni in forza degli accordi internazionali basati sui regimi FATCA e CRS con la disciplina relativa alla protezione dei dati personali di derivazione unionale è divenuta ancora più pressante a seguito dell’entrata in vigore del Regolamento GDPR. Infatti, come ha confermato uno studio di approfondimento commissionato dal Parlamento europeo, tali ultimi accordi, in ispecie quelli sottoscritti dai Paesi europei con gli Stati Uniti sulla scia di FATCA, presentano seri profili di incompatibilità con le nuove disposizioni del Regolamento GDPR (cfr. Fatca legislation and its application at international and EU level, study of the Policy Department for citizens’ rights and constitutional affairs. Directorate General for Internal Policies of the Union, PE 604.967, maggio 2018; in dottrina, GARBARINO, The EU Protection of Tax Data Transferred to Third Countries, cit.). Tale studio ha analizzato le misure sottoscritte dai Paesi europei sulla scia della disciplina FATCA e ne ha valutato la conformità alla legislazione unionale in materia di protezione dei dati personali con specifico riferimento alle neo-introdotte disposizioni del Regolamento GDPR. In particolare – dopo aver evidenziato in chiave generale i rischi per le garanzie dei contribuenti in ordine alla tutela dei dati personali che possono derivare dai meccanismi di scambio di informazione automatico e l’importanza del Regolamento GDPR ai fini del rafforzamento della sfera dei diritti alla protezione dei dati – il documento in questione ha formulato plurime considerazioni critiche soprattutto sotto il profilo della proporzionalità tra obiettivi perseguiti di contrasto all’evasione fiscale e principio della minimizzazione dei dati personali. Al riguardo, il rapporto ha inequivocabilmente concluso che l’ampiezza degli obblighi di comunicazione imposti dalla disciplina FATCA costituisce un’ingerenza non giustificata, specie nella misura in cui impone un generalizzato trasferimento di dati, relativamente a tutti gli ‘U.S. expatriates’, in assenza di un’adeguata valutazione, caso per caso, che porti a ritenere che il contribuente interessato stia effettivamente ponendo in essere una condotta di evasione fiscale. I dubbi sembrano trovare conferma nella segnalazione del 25 febbraio 2019 dell’European Data Protection Board, con la quale tale organismo ha richiamato i singoli Stati a procedere alla valutazione della conformità degli accordi intergovernativi sottoscritti in adesione a FATCA, una volta predisposte le linee guida in punto di ‘tutele adeguate’ previste per il trasferimento di dati extra-Ue ai sensi dell’art. 46 del Regolamento GDPR. Le considerazioni espresse dall’European Data Protection Board sono invero di grande interesse e mettono in evidenza che il fattore decisivo per la legalità del trasferimento di dati personali anche ai fini fiscali attiene all’esistenza di un plesso di ‘tutele adeguate’ e di garanzie defensionali effettivamente esercitabili da parte del contribuente interessato che siano espressamente indicate in "un atto giuridicamente vincolante ed esecutivo tra le autorità o gli organismi pubblici”, come previsto dall’art. 46, paragrafo 2, lettera a) del Regolamento GDPR. Tale ragionamento è, d’altra parte, rafforzato nella giurisprudenza della Corte di giustizia dell’Unione europea, che, con la sentenza Schrems (sentenza della Grande sezione del 6 ottobre 2015, C-362/14), già prima dell’introduzione del GDPR, ha chiarito, in termini generali, che deve sussistere un livello effettivo di tutela dei dati personali in caso di trasferimento verso Paesi terzi, delineando una puntuale distinzione tra il livello di protezione garantito nell’ordinamento giuridico dell'UE e quello che il Paese terzo è tenuto a fornire per soddisfare il diritto dell'UE. La Corte di giustizia nella sentenza Schrems (§ 74) ha così limpidamente concluso: “Si evince dalla formulazione espressa dell’articolo 25, paragrafo 6, della direttiva 95/46 che è l’ordinamento giuridico del paese terzo interessato dalla decisione della Commissione che deve garantire un livello di protezione adeguato. Anche se gli strumenti dei quali tale paese terzo si avvale, al riguardo, per assicurare un siffatto livello di protezione, possono essere diversi da quelli attuati all’interno dell’Unione al fine di garantire il rispetto dei requisiti risultanti da tale direttiva, letta alla luce della Carta, tali strumenti devono cionondimeno rivelarsi efficaci, nella prassi, al fine di assicurare una protezione sostanzialmente equivalente a quella garantita all’interno dell’Unione”. In sostanza, come ha osservato sempre l’European Data Protection Board (cfr. le Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679 del 25 maggio 2018, § 4), anche nell’ipotesi in cui i dati personali del contribuente siano oggetto di trattamento e trasferimento verso Paesi terzi rispetto all’UE, il contribuente interessato deve comunque poter continuare a beneficiare dei diritti e delle garanzie fondamentali che gli sarebbero applicabili se il dato non fosse oggetto di trattamento da parte di un Paese extra-UE. Il contribuente, in altre parole, non deve venire pregiudicato dal fatto che i dati sono stati oggetto di un trattamento e trasferimento verso Paesi extra-UE, ma deve poter usufruire, anche in tale circostanza, di un plesso di tutele sostanzialmente equivalenti a quelle esistenti con riguardo agli scambi di informazione che avvengono in ambito puramente intra-UE. Ed è proprio l’assenza nelle norme, sia nazionali sia di diritto derivato, relative agli scambi di informazione posti in essere nel contesto degli accordi sul modello di FATCA e del CRS di un insieme di disposizioni vincolanti, di natura sostanziale, atte ad assicurare l’esistenza di un livello di tutele equivalenti a quelle disciplinate nel Regolamento GDPR che consente di dubitare che tali meccanismi siano rispettosi della disciplina in tema di diritto alla protezione dei dati personali contenuta nel Regolamento GDPR, specie per quanto riguarda i principi di proporzionalità e minimizzazione dei dati.  Ciò in linea con quanto era stato sostenuto nello studio di approfondimento commissionato dal Parlamento europeo del maggio 2018 (cfr. Fatca legislation and its application at international and EU level, study of the Policy Department for citizens’ rights and constitutional affairs. Directorate General for Internal Policies of the Union, PE 604.967), che aveva conclusivamente affermato che gli obblighi imposti dal FATCA costituiscono un'ingerenza ingiustificata, in quanto consentono il trasferimento automatizzato generalizzato di dati personali, in assenza di un'adeguata valutazione caso per caso, in violazione dei principi di proporzionalità e minimizzazione dei dati personali dettati dal Regolamento GDPR. In tale ottica, va accolto con favore che l’European Data Protection Board abbia messo a punto una serie di linee guida sugli articoli 46(2)(a) e 46(3)(b) del Regolamento GDPR “per i trasferimenti di dati personali nei confronti di enti pubblici di Paesi extra-UE (cfr. Guidelines 2/2020 on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies, del 18 gennaio 2020). Si tratta di uno sviluppo positivo, che tenta di superare le carenze dell'attuale approccio nel quale si assiste all’attuazione di scambi di informazioni con Paesi terzi in forza di accordi che non rispettano pienamente i principi e le garanzie sulla protezione dei dati personali dettati dal Regolamento GDPR.  Le Guidelines 2/2020 on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies del 18 gennaio 2020 potrebbero, in sostanza, offrire l'opportunità di raggiungere finalmente un livello di armonizzazione che eviti incoerenze nel trattamento dei dati personali e fornisca un quadro di riferimento uniforme per i trasferimenti verso Paesi terzi, ai sensi degli accordi internazionali in ambito FATCA e CRS. Soprattutto, è interessante notare che le Guidelines 2/2020 on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies del 18 gennaio 2020 chiariscono senza ombra di dubbio che gli Stati membri sono tenuti ad includere direttamente nell’ambito degli accordi internazionali con le Autorità pubbliche di tali Paesi terzi apposite norme che prevedono l’insieme delle ‘garanzie adeguate’ relative al trattamento dei dati in ossequio alla disciplina del diritto dell’Unione. Si tratta di un contributo significativo, che potrebbe avere effetti profondi, in quanto impone ai Paesi membri, per poter continuare a dare attuazione agli scambi di informazione nell’ambito dei meccanismi basati su FATCA e sul CRS, di integrare contenutisticamente gli accordi esistenti, inserendo apposite norme che dettaglino la portata delle tutele apprestate per il trattamento dei dati personali, nonché la sfera dei diritti che il contribuente interessato può esercitare allorché voglia contestare la legittimità dello scambio di informazioni che attiene i suoi dati personali.
3. In conclusione, come si è avuto modo di evidenziare, allo stato attuale la compatibilità dei meccanismi di scambio di informazione basati sul modello FATCA e su quello del CRS con la disciplina unionale in materia di protezione dei dati personali non è scontata. Negli ultimi anni la legittimità di tali accordi è stata messa in questione ed è probabile che si renda necessario un intervento di ‘manutenzione’ importante nel solco della novellata disciplina in materia di dati personali contenuta nel Regolamento GDPR. Ancora oggi occorre quindi rilevare l’incompiutezza della normativa de qua, come ancora di recente sottolineato sempre dall’European Data Protection Board, rispondendo a due richieste di informazioni in merito avanzate, rispettivamente, da un’associazione privata e da un membro del Parlamento europeo (cfr. le lettere di risposta del Presidente dell’European Data Protection Board A. JELINEK del 4 novembre 2022, Ref: OUT2022-0074 e Ref: 2022-0075). In tale corrispondenza, l’European Data Protection Board ha infatti assunto una posizione per certi versi ‘pilatesca’, osservando, con specifico riferimento ai meccanismi di scambio di informazione basati sul modello FATCA, che eventuali problematiche in tema di data protection non rientrino nel suo ambito di competenza, trattandosi di questioni che riguardano accordi internazionali sottoscritti tra Stati membri dell’Unione e Stati terzi. Rimane, tuttavia, l’auspicio che tali profili possano essere oggetto di disamina approfondita nel prossimo futuro. Come lascerebbe intendere lo stesso European Data Protection Board nella corrispondenza appena richiamata sarebbero in corso interlocuzioni tra le Autorità competenti dei Paesi membri con l’obiettivo di individuare soluzioni condivise finalizzate a garantire il pieno rispetto di tali meccanismi con i principi del Regolamento GDPR. Infatti, dopo aver ribadito che la competenza per monitorare il rispetto della disciplina in tema di data protection ricade in capo alle Autorità dei Paesi membri, l’European Data Protection Board si è premurata di aggiungere: “ […] considering the fact that the matter concerns various Member States, the SAs decided to join in a common effort with the aim of identifying possible questions which could be addressed to their respective competent national authorities concerning the consistency of transfers based on IGAs with GDPR principles, including those of necessity and proportionality. Please be assured that the EDPB is aware of the problematics raised by different stakeholders on this matter and it continues to offer a forum for the exchange on this topic between the different SAs” (cfr., in particolare, la lettera di risposta del Presidente dell’European Data Protection Board A. JELINEK del 4 novembre 2022, Ref: 2022-0075). Non rimane, in conclusione, che continuare ad attendere fiduciosi una definitiva risoluzione delle problematiche ancora aperte.