argomento: Attuazione del tributo - Legislazione e prassi

PAROLE CHIAVE: tutela dei dati personali - principio di proporzionalità - contrasto all

di Luigi Izzo

1. La società italiana e il suo sistema economico-tributario sono caratterizzati da una propensione all’evasione particolarmente rilevante. Quale conseguenza di tale fenomeno e dell’entità dello stesso, la riduzione del cd. tax gap (ossia la differenza tra le imposte dovute e le imposte effettivamente versate, attualmente quantificato in oltre 96 Miliardi di euro nel Rapporto sull’evasione allegato alla NADEF 2023) è divenuta un obiettivo specifico del PNRR (cfr. Presidenza del Consiglio dei Ministri, Piano Nazionale di Ripresa e Resilienza, Riforma “Riduzione del Tax Gap”, p. 70).

Per tale ragione, a partire dal Governo Draghi, sono state avviate una serie di iniziative che hanno inciso sul rapporto tra le scelte in materia tributaria e le prerogative del Garante della Privacy.

Prima di procedere oltre, però, è bene evidenziare una serie di aspetti.

Innanzitutto, a seconda della dottrina economica prescelta, le finanze pubbliche possono avere un fabbisogno variabile ma, in entrambi i casi rimane la necessità di raccogliere le risorse necessarie. Giustamente, più l’importo totale del fabbisogno è ridotto, meno complessa e problematica è la questione relativa al come ottenerlo, sfruttando una o più delle classiche “leve” economiche a disposizione degli Stati (indebitamento, leva monetaria, tassazione).

L’analisi che segue sarà svolta considerando che, nell’attuale contesto economico e monetario europeo, l’unica “leva” realmente a disposizione di qualsiasi Stato membro dell’UE (specie se già indebitato, come l’Italia) è la tassazione. Ma si tratta di uno strumento che va usato con estrema attenzione, sia quando si riduce la pressione fiscale, sia quando la si incrementa.

Ciò in quanto non è affatto scontato che una tassazione ridotta incoraggi la compliance dei consociati (M. G. Allingham e A. Sandmo, Income tax evasion: a theoretical analysis, in Journal of Public Economics, 1 (1972) 323-338, p. 324; J. Alm, What Motivates Tax Compliance?, in Tulane Economic Working Paper Series, Working Paper 1903 – aprile 2019, p. 16). Al contempo, un eccesso di pressione fiscale neppure è ottimale in un contesto economico complessivo (Joseph E. Stiglitz, In praise of Frannk Ramsey’s contribution to the theory of taxation, in The Economic Journal, 2015).

Ciò comporta la necessità di intervenire soprattutto sul contrasto all’evasione e di rispondere a specifici quesiti: come va accertato l’imponibile? Come va accertata in concreto la presenza di un caso di evasione?

2. L’attività delle Agenzie Fiscali, successivamente alla riforma operata con la Legge di Stabilità 2015 (Art. 1, co. 634-637, l. n. 190/2014) si è concentrata sul favorire la compliance spontanea dei contribuenti.

Fu allora che si evidenziò la possibilità di sfruttare i dati presenti nella cd. “super anagrafe” dei conti correnti, prevista dal Decreto Legge n. 201/2011, unitamente ai dati provenienti dall’INPS. Poi, con la Legge di Bilancio 2020, si ipotizzò di interconnettere tutte le banche dati a disposizione dell’Agenzia delle Entrate e della Guardia di Finanza, per individuare quanti più criteri che fossero idonei allo svolgimento di una analisi di rischio dell’evasione.

Trattasi di un impianto di monitoraggio preventivo, volto (in teoria) a prevenire l’incancrenirsi di casi di evasione e finalizzato ad “invogliare” i contribuenti alla compliance.

A ciò va aggiunto il complesso di dati provenienti dal sistema di fatture elettroniche, il cui accesso non era pienamente libero, atteso che era necessario consultare il Garante per la protezione dei dati personali e disporre misure adeguate a garantire i diritti dei singoli contribuenti. 

Tuttavia, ciò conduceva a un sistema particolarmente farraginoso e con il rischio di rallentare l’azione di contrasto all’evasione.

Per tale ragione, si è giunti, con il D.L. n. 139/2021, all’abrogazione del terzo comma dell’art. 22, d.lgs. n. 101/2018, il quale, a sua volta, ha comportato l’abrogazione dell’intero art. 2 quindecies del D.L. n.196/2003.

Esse erano le disposizioni che regolavano il potere di intervento del Garante nei confronti di tutte le Pubbliche Amministrazioni. Anzi, l’art. 2 quindecies del D.L. n.196/2003 consentiva al Garante di intervenire d’ufficio, imponendo l’adozione di misure ritenute necessarie.

Al contrario, ora il Garante è particolarmente depotenziato, come si evince dal contenuto dell’art. 9, co. 3, D.L. n 139/2021. Da un lato le Pubbliche Amministrazioni possono chiedere ancora i pareri del Garante con riferimento alle riforme implementate nell’ambito del PNRR, del PNIC (Piano nazionale per gli investimenti complementari) e del PNIEC (Piano nazionale integrato per l'energia e il clima). Tuttavia, il Garante deve rendere i pareri richiesti entro il termine non prorogabile di 30 giorni, trascorsi i quali è possibile procedersi indipendentemente dal contenuto del parere.

Ne consegue che il Garante ha, ora, un ruolo de facto consultivo, nonostante conservi una certa autorevolezza, dal momento che la Pubblica Amministrazione opera chiedendone comunque i pareri in relazione a riforme di particolar rilevanza. Inoltre, detti pareri hanno l’effetto di “vincolare” l’attività della P.A. solo laddove vengano resi entro il termine perentorio innanzi detto.

Invero, va evidenziato come l’applicazione del GDPR non osti a una normativa nazionale che, semplicemente, non persegue il raggiungimento di standard normativi e di tutela di livello superiore a quello previsto dal medesimo diritto comunitario. Vale a dire che, in una prospettiva di armonizzazione, gli Stati membri devono raggiungere un determinato standard di tutela fissato dalle Direttive oppure imposto direttamente da un Regolamento. Ma andare oltre tale standard e perseguirne uno più elevato è una scelta discrezionale dei singoli Stati, i quali possono benissimo ripensare scelte che abbiano effettuato in tal senso, a condizione che non si violino gli standard minimi di tutela a livello comunitario.

3. Si analizza, ora, la ben nota posizione del Garante con riferimento alle attività di contrasto all’evasione e di accertamento dell’imponibile mediante l’uso delle banche dati (C. Laudanna, Norme privacy in rapporto alla lotta all’evasione fiscale, in Data Protection Law, n. 1/2021, p. 34 ss.).

Innanzitutto, si consideri la questione della cd. “super anagrafe”, un archivio contenente i rapporti finanziari, il cui accesso da parte della Guardia di Finanza e dell’Agenzia delle Entrate – pur automatizzato – è previsto nei confronti di soggetti o gruppi di soggetti già sottoposti ad accertamenti e, quindi, previamente individuati nel corso delle indagini.

Sul punto il Garante si è espresso con il provvedimento n. 145/2012, individuando una serie di criticità relative agli aspetti gestionali e organizzativi, nonché in merito alla concentrazione dei dati, all’attuazione del piano di “accesso automatizzato” a tale banca dati, costantemente aggiornata dagli operatori finanziari.

La questione, quindi, era sempre relativa alla quantità di dati cui si sarebbe dato accesso, con rischi di data breach in caso di misure tecniche non adeguate e di tutela della privacy in assenza di sistemi di cifratura dei dati.

Il Garante ha riconosciuto poi la necessità della lotta all’evasione – sempre più stringente se si considera anche l’ammontare del non riscosso e se si guarda al periodo storico, caratterizzato dal Governo tecnico di Monti e da una crisi economica spaventosa – così giungendo all’approvazione del provvedimento dell’Agenzia delle Entrate.

Tuttavia, fu necessario implementare una serie di misure tecniche e organizzative per la gestione dei dati, nonché in relazione alla definizione dei criteri di valutazione di detti dati, di modo da evitare un processo decisionale fondato unicamente su un trattamento automatizzato dei database.

Allo stesso modo si è espresso in merito al Provvedimento dell’Agenzia delle Entrate relativo alla “Partecipazione all’accertamento fiscale e contributivo da parte dei Comuni”, il quale aveva sollevato incertezze analoghe e al quale è stato dato un assenso con il provv. N 144/2012.

Successivamente, con i provv. N. 321/2017 e 58/2019, il Garante ha affrontato l’analisi dei sistemi proposti dall’Agenzia delle Entrate per la gestione dei flussi di dati, al fine di verificare se fosse stata minimizzato il rischio per la tutela dei dati personali.

Ancora, proprio in merito all’interconnessione tra le banche dati introdotta con la legge di bilancio 2020, il Garante ha presentato una memoria il cui punto focale era l’analisi dell’art. 86 del DDL, poi modificato per evitare due particolari criticità:

• Sussisteva una duplicazione delle attività di trattamento dei dati in ragione della parificazione tra l’Agenzia delle Entrate e la Guardia di Finanza;
• Si prevedeva come precauzione tecnica la mera pseudonimizzazione dei dati personali.

Al contempo, sussisteva una forte criticità nel secondo comma dell’art. 86 del DDL, che “ricomprende gli interessi tutelati in base alla disciplina in materia di prevenzione e contrasto dell'evasione fiscale tra i presupposti che, ai sensi dell'art. 2-undecies del d.lgs. n. 196 del 2003 e successive modificazioni, recante il Codice in materia di protezione dei dati personali (di seguito: Codice), consentono di limitare o escludere l'esercizio dei diritti dell'interessato, riconosciuti dalla normativa in materia di protezione dati personali e, in particolare, dal Regolamento.”.

Effettivamente, la scelta di limitare l’esercizio dei diritti dell’interessato era in contrasto non solo con lo Statuto dei diritti del contribuente, ma anche con il principio di proporzionalità – come riconosciuto a livello europeo e nazionale – e con le posizioni ermeneutiche dei giudici dei TAR e del Consiglio di Stato (ex multis, Cons. Stato, Ad. Plen., Sent. n. 19/2020; Cons. Stato, Sent. n. 6964/2021) in materia di trasparenza e accesso ai documenti detenuti dalla P.A., le quali erano perfino favorevoli ad estendere l’applicazione del diritto di accesso ex l. 241/90 e atti connessi (vedasi anche F. Sergio, Riflessioni sul diritto d’accesso agli atti tributari: la dialettica fra la tutela della privacy del contribuente ed il perseguimento dell’interesse fiscale dell’amministrazione finanziaria, in European Journal of Privacy Law and Technologies, n. 1/2022).

Ancora, una simile disposizione avrebbe condotto al mantenimento, nelle banche dati, di dataset errati senza la possibilità di contestarli e rettificarli, in tal modo conducendo a invalidare in sede giudiziaria l’eventuale accertamento compiuto. Può anche avvenire che i medesimi dataset presentino errori – scusabili tra l’altro – commessi da contribuenti non particolarmente usi all’utilizzo di norme, ulteriormente ingigantendo il fenomeno complessivo e i rischi connessi per i contribuenti medesimi.

Però, è pur vero che – pur mantenendo tutte le cautele possibili – non era possibile rinunciare all’opportunità di mettere a sistema il complesso di banche dati, pena l’inutilità pratica di quegli stessi dati.

Al contempo, sussisteva e sussiste ancora il rischio di data breach, aggravato da una tendenziale inadeguatezza delle risorse tecniche e umane preposte alla gestione di detti dati. A ciò va aggiunto che ogni fattura elettronica è corredata dalla descrizione dell’operazione oggetto di fatturazione.

Ma non è possibile applicare il principio di precauzione, così come conosciuto nel nostro Ordinamento, in una prospettiva totalizzante quale era quella che ha caratterizzato la gestione della pandemia nel corso del 2020. Operare in tal senso equivarrebbe a considerare le attività di trattamento dati condotte dalle P.A. rischiose e dannose allo stesso livello di una emergenza sanitaria.

Piuttosto, andrebbe considerato che, sfruttando la limitazione all’uso del contante e la presenza di descrizioni per le singole operazioni fatturate, sarebbe possibile sviluppare algoritmi di analisi particolarmente precisi e con un margine di errore molto ridotto, creando un ausilio assai utile per chi deve ricercare e portare alla luce il sommerso.

Ovviamente, sarebbe un tool che affiancherebbe il complesso di funzionari preposti, i quali dovrebbero verificare la correttezza dell’output prodotto da tale sistema e sarebbe necessario adottare una serie di cautele (sul punto vedasi D. Conte, Accertamento tributario e modelli predittivi del rischio di evasione fiscale: il ruolo dell’IA tra tutela dei dati personali e principio del “giusto” procedimento, in Riv. dir. trib,, 2024/1; vedasi anche A. Contrino, Digitalizzazione dell’amministrazione finanziaria e attuazione del rapporto tributario: questioni aperte e ipotesi di lavoro nella prospettiva dei princìpi generali, in Riv. dir. Trib., 2023/2; F. Farri, Digitalizzazione dell’amministrazione finanziaria e diritti dei contribuenti, in Riv. dir. Trib., 2020/6). Ma, invero, è innegabile quanto possa essere utile un simile sistema, oltre che idoneo a velocizzare le attività di accertamento e di analisi di masse immense di dati, specie in un contesto di carenza di risorse umane negli organici delle PA.

Eppure, nell’ottica di una precauzione “paralizzante”, il Garante era più propenso ad evidenziare i rischi dell’analisi dei dati personali (peraltro per fini particolarmente rilevanti, non per profilazione pubblicitaria!) anziché i benefici della stessa. Tuttavia, così facendo, non solo si limita il potenziale delle Autorità fiscali ma si introduce anche una forte disparità di trattamento tra i contribuenti che siano dipendenti (pubblici e privati) – funzionari, dirigenti, impiegati, docenti, militari, ecc. – e i contribuenti privati e le persone giuridiche, che hanno modo di “non dichiarare” il dovuto.

E proprio per tale ragione, in un ideale eterno ritorno dell’infinito, si ripropone l’impossibilità di ridurre il carico fiscale, di cui non pochi beneficerebbero.

Non sorprende, quindi, che in vista dell’attuazione del PNRR, si sia deciso di limitare fortemente l’ambito di operatività del Garante e peraltro rimanendo nella scia della tutela minima prevista dal GDPR. Anzi, non sarebbe errato affermare che proprio il Garante, assieme ai TAR, sia uno di quegli attori che più condizionano – spesso in senso limitante – l’azione della P.A..

Fatto sta che, a seguito della novella di cui sopra, il Garante ha poteri fortemente limitati nei confronti della P.A.

Un esempio è il provv. N. 239/2004., in relazione al cd. “Redditometro”, uno strumento particolarmente contestato. Il parere in questione è in senso positivo, in ragione delle garanzie previste a favore del contribuente in tema di contraddittorio, trattamenti automatizzati, profilazione dei singoli e presunzione di reddito.

Molte delle garanzie previste sono antecedenti alla novella legislativa che ha potenziato il Garante ma, in ragione della relativa autorevolezza che esso conserva, non sono state smantellate.

In sintesi, detto parere prende atto del sistema delineato nel Decreto attuativo del MEF – posto all’esame in quanto rientrante tra le riforme strategiche per il PNRR – e non dispone ulteriori misure.  

4. Vero è, però, che la posizione tenuta dal Garante va analizzata alla luce di quanto emerge in sede europea in tema di trattamento dei dati personali in ambito tributario.

Sul punto, essenziali sono le decisioni Digital Right Ireland (CGUE, Sent. 8 aprile 2014, Cause riunite C‑293/12 e C‑594/12) e Tele2 Sverige AB (CGUE, Sent. 21 dicembre 2016, Cause riunite C-203/15 e C-698/15), che hanno fatto uso del principio di proporzionalità per valutare la legittimità di una Direttiva europea e di un atto interno di un Paese UE in relazione alla tutela dei singoli (G. Palumbo, Fisco e Privacy – Il difficile equilibrio tra lotta all’evasione e tutela dei dati personali, Pacini Giuridica, 2021, pp. 99 ss.).

In entrambi i casi la CGUE ha ritenuto che, ferma restando la rilevanza delle esigenze pubblicistiche evidenziate in sede di giudizio, vi fosse una ingerenza sproporzionata rispetto al fine perseguito, dal momento che le finalità pubbliche non possono giustificare una raccolta generalizzata e indifferenziata dei dati personali, fosse anche per ragioni di contrasto al terrorismo.

Tuttavia, ciò non significa certo – per ritornare all’ambito tributario – che le banche dati fiscali non possano assolutamente acquisire e trattare dati personali dei contribuenti.

Anzi, la CGUE si è espressa in senso quasi favorevole con una recentissima pronuncia (CGUE, Sent. 24 febbraio 2022, Causa C-175/20), relativa a una richiesta di dati da parte dell’amministrazione tributaria lettone nei confronti di una società fornitrice di servizi di annunci online.

In tale occasione la CGUE si espresse statuendo che “Le disposizioni del regolamento 2016/679 devono essere interpretate nel senso che non ostano a che l’amministrazione tributaria di uno Stato membro imponga a un fornitore di servizi di annunci pubblicati su Internet di comunicarle informazioni relative ai contribuenti che abbiano pubblicato annunci in una delle sezioni del suo portale Internet, purché, segnatamente, tali dati siano necessari rispetto alle finalità specifiche per le quali sono raccolti e il periodo oggetto della raccolta di detti dati non oltrepassi la durata strettamente necessaria per raggiungere l’obiettivo di interesse generale perseguito.”, fermo restando – in ogni caso – il rispetto del disposto dell’art. 5, par. 1, GDPR.

Pertanto, la medesima CGUE ha ammesso che, a determinate condizioni, è possibile effettuare il contrasto all’evasione mediante il trattamento massivo di banche dati.

Ci sono stati, però, casi estremi, come quello trattato nel 2023 davanti alla Corte EDU (Caso L.B contro Ungheria, sul punto cfr. A. Contrino, Spinte evolutive (sul piano sovranazionale) e involutive (a livello interno) in tema di bilanciamento fra diritto alla protezione dei dati dei contribuenti ed esigenze di contrasto dell’evasione fiscale, in Riv. dir. Trib., n. 3/2023), in cui le Pubbliche Amministrazioni avevano prodotto delle liste pubbliche – nel senso di accessibili a chiunque – contenenti tutti gli evasori (a prescindere dalla cifra contestata, peraltro), perseguendo una finalità ulteriore e diversa rispetto a quella del contrasto all’evasione. Nella pratica, si trattava quasi di vere e proprie “liste di proscrizione” in stile sillano, in relazione alle quali è impossibile non ammettere che il principio di proporzionalità non ha riconosciuto alcuna applicazione nell’esercizio delle prerogative legislative e amministrative di uno Stato.

Ciò, però, consente, ragionando a contrario, di ricavare una regola unitaria da parte della giurisprudenza europea: laddove la P.A. richieda e utilizzi dati personali in misura proporzionata alle sue necessità (su tal criterio vedasi A. Viotto, Il “diritto al rispetto della vita privata e familiare” nell’ambito delle indagini tributarie, nel quadro della giurisprudenza della corte europea dei diritti dell’uomo, in Riv. Trim. Dir. Trib., 2019/1.; A. Viotto, Recenti modifiche normative in tema di accertamenti bancari: tra tutela del diritto alla riservatezza ed interesse generale alla repressione dell’evasione, in Riv. Trim. Dir. Trib., 2017/3-4), adottando misure tecniche adeguate per la loro protezione, disponendo il pieno rispetto dell’art. 5, par. 1, GDPR (soprattutto evitando di produrre “liste di proscrizione”) e prevedendo adeguate garanzie a tutela del contribuente (come il contraddittorio e la rettifica dei dati anche al di fuori dei termini), allora è possibile per essa sfruttare qualsiasi tecnica moderna per individuare gli evasori.

Il problema, di fatto, è l’applicazione di tale regola. È possibile adattarla alle specificità dell’attività in esame ovvero, come avvenuto in passato nelle pronunce del Garante, applicarla con un rigore particolarmente severo.

5. Pertanto, come evidenziato dalla dottrina (si vedano i numerosi contributi presenti in La digitalizzazione dell’amministrazione finanziaria tra contrasto all’evasione e tutela dei diritti del contribuente, A. Contrino, E. Marello (a cura di), Vol. II, Giuffrè, 2023) la proporzionalità è la chiave per la legittimità delle attività di contrasto all’evasione e, in senso lato, di accertamento e riscossione delle imposte, che la giurisprudenza europea – nei fatti – “trascura” per concentrarsi sui limiti e sulle condizioni per il trattamento dei dati personali (vedasi proprio il Commento di A. Contrino, Banche dati tributarie, scambio di informazioni fra autorità fiscali e “protezione dei dati personali”: quali diritti e tutele per i contribuenti?, in Riv. dir. Trib., 2019), con inevitabile effetto anche sulla postura del Garante nazionale.

Rimane comunque una perplessità, di ordine pratico – applicativo.

Infatti, in ragione di quanto evidenziato finora, si può comunque immaginare che, in un approccio data-driven che sia veramente efficace e pure rispettando i principi posti dalla CGUE nelle ultime statuizioni:

• i dati richiesti non possano essere pochi;
• il tempo necessario al trattamento possa esser limitato, ma sempre avendo riguardo alle tempistiche complessive per la fase dell’accertamento, quella della composizione dell’eventuale contrasto in sede giudiziaria/amministrativa e la fase della riscossione, materialmente parlando, del dovuto.

In caso contrario, applicando il principio di proporzionalità senza considerare le peculiarità delle attività fiscali, si viene a negare valenza stessa al concetto di proporzione, vanificando qualsiasi possibilità di porre rimedio a situazioni di illegalità che, per la società, sono inaccettabili.

Parlando in astratto, qualsiasi dato è utilizzabile per il contrasto all’evasione e può, quindi, esser definito personale in quanto conduce necessariamente all’individuazione del singolo contribuente.

Al contempo, restringere la richiesta di dati solo ed esclusivamente ad alcune tipologie di essi, renderebbe solo più complesso svolgere attività di accertamento fiscale, determinando una situazione paradossale in cui i singoli evasori potrebbero fruire di qualsiasi stratagemma e tecnologia per nascondere l’imponibile mentre, all’opposto, le Agenzie Fiscali verrebbero costrette a rinunciare a determinate possibilità in ragione dei rischi sussistenti nell’attività di trattamento dei dati personali.

Ne consegue, quindi, la necessità di applicare gli orientamenti ermeneutici della CGUE di modo tale che abbiano un qualche impatto pratico in senso positivo per l’ordinamento giuridico e la società, ossia richiedendo alle P.A. l’adozione delle misure necessarie a fornire le tutele contro data breach e accessi illeciti, nonché le garanzie in tema di contraddittorio e rettifica.

Tuttavia, tali richieste dovrebbero essere misurate in relazione alle caratteristiche concrete della situazione, onde evitare che si crei una situazione simile a quella che ha condotto i Paesi UE a proporre una regolamentazione per un European Health Data Space.

Invero, il cd. trattamento secondario dei dati personali sanitari è stato spesso impedito o fortemente ostacolato proprio temendo rischi analoghi a quelli che sono stati paventati in relazione al trattamento dei dati personali in ambito tributario, conducendo a forti disarmonie a livello europeo in ragione delle differenti sensibilità sul tema e costringendo, appunto, a preparare una proposta di Regolamento che risolvesse la questione.

Ora, a lungo andare una situazione simile potrebbe riproporsi in materia di contrasto all’evasione, con i vari Paesi europei che performano differentemente, a seconda di come venga considerata tale tematica all’interno delle rispettive pubbliche opinioni.