a cura di Roberto Tieghi e Giulio Chiarizia
Il crescente sviluppo tecnologico e le nuove modalità di trattamento dei dati personali non sono passati inosservati al legislatore fiscale, che ha inteso avvalersene introducendo la fattura elettronica con l’art. 1 del d.lgs. n. 127/2015, poi attuata con successivi provvedimenti del Direttore dell’Agenzia delle Entrate e, da ultimo, resa obbligatoria – salvo talune eccezioni – per le cessioni di beni e prestazioni di servizi effettuate tra soggetti residenti o stabiliti in Italia dall’art. 1, comma 916, della legge n. 205/2017 (legge di bilancio 2018).
La raccolta e la conservazione delle fatture elettroniche, comprensive della descrizione dell’oggetto della operazione ai sensi dell’art. 21 del d.p.r. n. 633/1972, comporta un generalizzato, obbligatorio e automatico trattamento di dati personali, anche di dettaglio, da parte della Agenzia delle Entrate.
Da ciò è sorto il problema del rispetto dei diritti (diversi, sebbene strettamente correlati) alla riservatezza della vita privata e, più in particolare, alla protezione dei dati personali dei contribuenti, che, oltre a essere protetti da una “costellazione” di articoli della Costituzione (gli artt. 2, 3, 13, 14, 15 e 21), sono tutelati, in ambito europeo, dall’art. 8 della Convenzione dei Diritti Fondamentali dell’Uomo del 4 novembre 1950, dalla Convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale del 28 gennaio 1981 e dal suo protocollo addizionale dell’8 novembre 2001, dagli artt. 7 e 8 della Carta dei Diritti Fondamentali dell’U.E. del 7 dicembre 2000, dal Regolamento U.E. 2016/679 del 27 aprile 2016 (GDPR) e dalla Direttiva 2016/680 in materia di protezione dei dati personali con riguardo al trattamento delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati.
Non stupisce, pertanto, l’attenzione che il Garante della Privacy ha dedicato dalla fattura elettronica.
Il Garante, del resto, già in passato era intervenuto a tutela dei diritti alla riservatezza della vita privata dei contribuenti con il parere del 21 novembre 2013, con il quale ha affievolito l’efficacia del c.d. “spesometro”, come risultante dal decreto ministeriale del 24 dicembre 2012. Con detto parere, infatti, il Garante della Privacy ha inibito l’Agenzia delle Entrate a utilizzare le spese medie ISTAT per ricostruire voci di spesa non connesse a elementi certi, riducendo notevolmente le ipotesi di scostamento che potessero legittimare l’emanazione di un atto impositivo mediante l’utilizzo dello strumento di accertamento in parola. Le indicazioni del Garante sono state recepite dapprima dall’Agenzia delle Entrate con la circolare 11 marzo 2014, n. 6/E e, poi, dal decreto ministeriale 16 settembre 2015, che ha eliminato definitivamente il riferimento alle spese medie ISTAT ai fini della determinazione del reddito complessivo determinato mediante lo strumento del c.d. “spesometro”.
Tornando alla fattura elettronica, con il provvedimento del 15 novembre 2018, il Garante ha avvertito l’Agenzia delle Entrate del fatto che i trattamenti di dati personali effettuati nell’ambito della fatturazione elettronica possono violare gli artt. 5, 6, § 3, lett. b), 9, § 2, lett. g), 13, 14, 25 e 32 del Regolamento GDPR, applicabile dal 25 maggio 2018, e quindi ha ingiunto all’Agenzia delle Entrate di far conoscere le iniziative assunte per rendere conformi al Regolamento i predetti trattamenti al momento dell’entrata in vigore della fattura elettronica, a partire dal 1° gennaio 2019.
Con il provvedimento citato è stato, infatti, sottolineato che la disciplina attuativa dell’obbligo di fatturazione elettronica, così come delineata nei provvedimenti del Direttore dell’Agenzia delle Entrate n. 89757 del 30 aprile 2018 e n. 291241 del 5 novembre 2018, prevede un trattamento generalizzato di dati personali, anche ulteriori rispetto a quelli necessari a fini fiscali, che finisce per essere non proporzionato all’obiettivo di interesse pubblico, di per sé legittimo, perseguito.
Il Garante ha altresì rilevato che l’attuazione della fattura elettronica è avvenuta senza individuare, in ossequio ai nuovi principi di privacy by design e by default ora imposti dal Regolamento, misure adeguate, anche di carattere organizzativo, per garantire la protezione dei dati in ogni fase del trattamento, ivi comprese quelle appropriate per assicurare un trattamento corretto e trasparente nei confronti degli interessati, coinvolti anche in qualità di operatori economici (artt. 5, 6, § 3, lett. b, 9, § 2, lett. g, 13, 14 e 25 del Regolamento).
L’Autorità ha, inoltre, sottolineato che il trattamento sistematico di dati personali su larga scala riguarda anche dati che rientrano nelle categorie particolari di cui all’art. 9 del Regolamento e dati relativi a condanne penali e reati di cui al successivo art. 10, potenzialmente riferibili a ogni aspetto della vita quotidiana. Tali dati, presentando un rischio elevato per i diritti e le libertà degli interessati, richiedono un’adeguata valutazione di impatto, ai sensi dell’art. 35 del Regolamento.
A seguito delle risposte fornite dell’Agenzia delle Entrate nel corso del “tavolo di lavoro” instaurato con il Garante della Privacy, quest’ultimo ha autorizzato la prima, con il successivo provvedimento del 20 dicembre 2018, n. 511, ad avviare, a partire dal 1° gennaio 2019, i trattamenti di dati personali a rischio elevato connessi all’obbligo di fatturazione elettronica, nel rispetto dei presupposti e delle condizioni indicate. L’Autorità ha tuttavia ingiunto all’Agenzia delle Entrate di comunicare, entro determinate date: un’analisi relativa alla possibilità di introdurre tecniche di cifratura, anche parziale, del file XML trasmessi tramite SDI; i modelli di accordi di adesione al servizio di consultazione e download delle fatture; una rivalutazione dei dati fattura inseriti nell’allegato B al provvedimento del Direttore dell’Agenzia delle Entrate del 30 aprile 2018; una nuova versione della valutazione di impatto, in ragione della circostanza che spetta all’Agenzia garantire, ed essere in grado di dimostrare, il rispetto del Regolamento e ponderare i rischi che si annidano in ogni singola fase del trattamento, in ossequio al principio di accountability, con particolare riguardo agli obblighi di sicurezza e alle eventuali operazioni di comunicazione di dati a terzi.
L’Autorità ha inoltre confermato che l’integrale memorizzazione delle fatture prevista dall’impianto originario dell’Agenzia delle Entrate, seppure possa apparire una soluzione efficiente per dare attuazione all’obbligo previsto dal legislatore, è una misura sproporzionata: un siffatto trattamento, sistematico e generalizzato, relativo a miliardi di fatture emesse e ricevute, e dei relativi allegati, eccede quanto è necessario per perseguire l’obiettivo di interesse pubblico perseguito. Ciò, avuto riguardo anche ai rischi elevati per i diritti e le libertà degli interessati che un simile trattamento inevitabilmente determina. Il Garante ha pertanto ingiunto all’Agenzia delle Entrate di dare idonee istruzioni ai soggetti che erogano prestazioni sanitarie, affinché in nessun caso sia emessa una fattura elettronica attraverso lo SDI concernente l’erogazione di una prestazione sanitaria, a prescindere dall’invio dei dati attraverso il sistema Sistema Tessera Sanitaria (“TS”). Tale ingiunzione è stata, infine, recepita dall’art. 1, comma 53 della legge di bilancio 2019, che ha stabilito che, per l’anno 2019, è vietata l’emissione di fatture in formato elettronico se i relativi dati sono “da inviare” al Sistema TS.
Così sintetizzato il confronto, ancora in corso, tra il Garante della Privacy e la Agenzia delle Entrate in ordine al rispetto del diritto alla protezione dei dati personali dei contribuenti in occasione dei trattamenti conseguenti alla introduzione della fattura elettronica, è opportuno esaminare i precedenti della Corte di Giustizia dell’U.E. (ECJ) e della Corte Europea dei Diritti dell’Uomo (Corte EDU), che hanno esaminato fattispecie analoghe. Ciò per comprendere la necessità di prevedere limitazioni e garanzie contro i possibili abusi e arbitri delle autorità nonché specifici obblighi positivi di protezione necessari in una società libera, al fine di rispettare i diritti alla riservatezza della vita privata e alla protezione dei dati personali dei contribuenti.
*
Trattamento generalizzato di dati personali ai fini di prevenzione e repressione di reati e i principi di legalità e proporzionalità: il caso Digital Rights.
Con il caso Digital Rights la ECJ ha esaminato una fattispecie simile a quella che si verifica con il trattamento di dati personali generalizzato, automatico e obbligatorio derivante dalla introduzione della fattura elettronica, ossia la conservazione una vasta gamma di dati relativi alle comunicazioni (sebbene non anche il contenuto delle medesime), tale da trarre informazioni molto precise riguardo alla vita privata delle persone, al fine di renderli accessibili alle autorità nazionali competenti per fini di prevenzione e repressione di gravi reati.
Con la sentenza dell’8 aprile 2014, cause riunite C-293/12 e C-594/12, Digital Rights, la ECJ ha dunque verificato il rispetto dei diritti fondamentali di protezione della vita privata e dei dati personali nonché il corretto bilanciamento tra i diritti suddetti con l’interesse pubblico alla prevenzione, accertamento e punizione di reati da parte della direttiva 2006/24/CE, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica, e delle conseguenti normative di recepimento emanate dall’Irlanda e dall’Austria.
La normativa irlandese imponeva ai fornitori di servizi di telefonia di conservare i dati relativi al traffico e all’ubicazione per un lasso di tempo specificato dalla legge a fini di prevenzione, accertamento, indagini o perseguimento dei reati e di protezione della sicurezza dello Stato. La normativa austriaca prevedeva, invece, che i fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione procedessero alla conservazione indiscriminata di una massa di dati relativi a un numero illimitato di persone per un lungo tempo (da sei mesi a due anni), con la possibilità da parte delle autorità di ricercare tali dati, venire a conoscenza del relativo contenuto, informarsi sulla vita privata degli interessati e utilizzare tali dati per molteplici fini.
La ECJ ha ritenuto che la conservazione una vasta gamma di dati relativi alle comunicazioni (sebbene non anche il contenuto delle comunicazioni medesime), tale da trarre conclusioni molto precise riguardo alla vita privata delle persone, al fine di renderli all’occorrenza accessibili alle autorità nazionali competenti, solleva questioni relative (i) alla protezione della vita privata e delle comunicazioni, sancita dall’articolo 7 della Carta di Nizza, (ii) alla tutela dei dati personali, prevista dall’articolo 8 della stessa, nonché (iii) al rispetto della libertà di espressione, garantita dall’articolo 11 della Carta medesima, poiché la conservazione di tali dati incide sulla libertà di utilizzo da parte degli utenti dei mezzi di comunicazione in questione.
I giudici di Lussemburgo hanno poi chiarito che detta conservazione di dati costituisce un trattamento di dati personali ai sensi dell’art. 8 della Carta di Nizza e deve, pertanto, rispondere ai requisiti di protezione dei dati derivanti da tale articolo (cfr. ECJ, Volker und Markus Schecke e Eifert, C‑92/09 e C‑93/09, p. 47).
La conservazione dei dati in esame costituisce infatti una ingerenza nel rispetto dei diritti al rispetto della vita privata e della tutela dei dati personali, risultando a tal fine irrilevanti la circostanza che i dati in questione non siano sensibili ovvero che gli interessati non abbiano subito inconvenienti da tali ingerenze (cfr. ECJ, Österreichischer Rundfunk e a., C‑465/00, C‑138/01 e C‑139/01, p. 75). Anche l’accesso da parte delle autorità nazionali competenti ai dati in questione costituisce un’ingerenza supplementare nel diritto al rispetto della vita privata (cfr. Corte EDU, Leander c. Svezia, 26 marzo 1987, § 48; Rotaru c. Romania [GC], n. 28341/95, § 46; Weber e Saravia c. Germania [dec.], n. 54934/00, § 79), che è nella fattispecie particolarmente incisiva in ragione della vastità dati trattati, in modo automatico e senza che gli interessati ne siano informati.
Ciò può ingenerare nelle persone interessate, ha sottolineato letteralmente la Corte, la sensazione che la loro vita privata sia oggetto di costante sorveglianza.
In tale contesto, la ECJ ha precisato che i diritti alla riservatezza della vita privata e alla protezione dei dati personali possono essere limitati dalla legge (principio di legalità), laddove le limitazioni siano necessarie e rispondano effettivamente a finalità di interesse generale o all’esigenza di proteggere i diritti e le libertà altrui, quale è l’esigenza di contrastare gravi reati.
Ai fini del rispetto del principio di legalità, recependo l’influenza della giurisprudenza della Corte EDU, anche i giudici di Lussemburgo hanno sottolineato che la legge deve prevedere regole chiare e precise volte a disciplinare la portata e l’applicazione della ingerenza de qua, imponendo dei requisiti minimi e assicurando che le persone i cui dati sono stati conservati dispongano di garanzie sufficienti che permettano di proteggere efficacemente i loro dati personali contro il rischio di abusi nonché contro eventuali accessi e usi illeciti dei suddetti dati (cfr. C.EDU, Liberty e altri c. Regno Unito, 1° luglio 2008, n. 58243/00, §§ 62 e 63; Rotaru c. Romania, 4 maggio 2000, n. 28342/95, §§ da 57 a 59; S e Marper c. Regno Unito [GC], 4 dicembre 2008, nn. 30562/04 e 30566/04, §§ 99 e 103; M.K. c. Francia, 18 aprile 2013, § n. 19522/09, § 35).
Rimane in ogni caso ferma la necessità che la legge, con le qualità sopra indicate e diretta a perseguire una valida finalità di interesse generale, rispetti il contenuto essenziale dei diritti fondamentali in parola e il principio di proporzionalità, secondo cui tra più strumenti idonee a raggiungere un certo risultato, le autorità devono scegliere quello meno lesivo per gli interessi dei destinatari, sulla base di un bilanciamento tra l’utilità generale e il sacrificio imposto al singolo, valutando l’idoneità, la necessità e la proporzionalità in senso stretto della misura adottata.
Sulla base di tali presupposti, la ECJ ha ritenuto contraria ai diritti fondamentali della tutela del rispetto della vita privata e dei dati personali la direttiva 2006/24/CE, che conseguentemente è stata annullata.
La ECJ ha, infatti, sottolineato che detta direttiva ha previsto un’ingerenza nella vita privata di qualsiasi persona in occasione dell’utilizzo di un qualsiasi mezzo di comunicazione elettronica, senza alcuna distinzione, limitazione o eccezione in ragione dell’obiettivo di lotta contro i reati gravi. In particolare, la direttiva si applica anche a persone per le quali non esiste alcun indizio di un loro collegamento, ancorché indiretto o lontano, con reati gravi e, inoltre, si applica anche a persone le cui comunicazioni sono soggette, in base alle norme del diritto nazionale, al segreto professionale. La conservazione dei dati in questione non è correlata, inoltre, a una minaccia per la sicurezza pubblica e, in particolare, non limita la conservazione dei dati a quelli relativi a un determinato periodo di tempo e/o a un’area geografica determinata e/o a una cerchia di persone determinate che possono essere collegate a gravi reati.
La direttiva non prevede neppure alcun criterio oggettivo o condizioni sostanziali e procedurali che permettano di delimitare l’accesso delle autorità nazionali competenti ai dati e il loro uso ulteriore a fini di prevenzione, di accertamento o di indagini penali per gravi reati; non è previsto neppure che l’accesso ai dati conservati da parte delle autorità sia subordinato a un previo controllo effettuato da un giudice o da un’entità amministrativa indipendente, la cui decisione sia diretta a limitare l’accesso ai dati e il loro uso a quanto strettamente necessario per raggiungere l’obiettivo perseguito.
La direttiva non ha, infine, individuato i criteri obiettivi per circoscrivere la durata della conservazione al fine di garantire che sia limitata allo stretto necessario e neppure previsto garanzie sufficienti che permettano di assicurare una protezione efficace dei dati conservati contro i rischi di abuso nonché contro eventuali accessi e usi illeciti dei suddetti dati.
Sulla base di tali argomenti i giudici di Lussemburgo hanno ritenuto che la citata direttiva non fosse una misura necessaria in una società democratica e, comunque, sproporzionata rispetto ai fini perseguiti.
Dal caso Digital Rights, si può, dunque, desumere che i trattamenti su larga scala di dati personali, seppure giustificati da un rilevante interesse generale, debbono comunque essere compatibili con la società democratica (che richiede in ogni caso la salvaguardia della essenza dei diritti e delle libertà fondamentali) e rispettare il principio di proporzionalità, operando un corretto bilanciamento dei contrapposti interessi.
***
Trasmissione di dati fiscali dall’amministrazione finanziaria ad altra amministrazione pubblica: il caso Smaranda Bara.
Con il caso Smaranda Bara, la ECJ ha altresì esaminato le condizioni che legittimano la trasmissione di dati personali da una amministrazione pubblica di uno Stato membro ad altra amministrazione pubblica del medesimo Stato.
La questione esaminata dalla ECJ con la sentenza del 1° ottobre 2015, C-201/14, Smaranda Bara, consisteva, in sostanza, nel verificare se la normativa europea in materia di trattamento di dati personali (all’epoca dei fatti, gli articoli 10, 11 e 13 della direttiva 95/46) osti o meno a misure nazionali, come quelle adottate dalla Romania, che consentono a un’amministrazione pubblica di uno Stato membro, nella specie quella finanziaria, di trasmettere in base a un mero protocollo interno dati personali a un’altra amministrazione pubblica, nella specie quella sanitaria, a fini di trattamento, senza che le persone interessate siano state informate né di tale trasmissione né del successivo trattamento.
La ECJ ha ribadito che i “dati fiscali” trasmessi all’amministrazione sanitaria dall’amministrazione finanziaria costituiscono “dati personali”, poiché si tratta di «informazion[i] concernent[i] una persona fisica identificata o identificabile» (cfr. ECJ, Satakunnan Markkinapörssi e Satamedia, C‑73/07, p. 35). La loro trasmissione da parte dell’amministrazione finanziaria, organismo incaricato della gestione della banca dati che li contiene, e il loro susseguente trattamento da parte dell’amministrazione sanitaria presentano pertanto carattere di «trattamento di dati personali» (cfr. ECJ, Österreichischer Rundfunk e a., C‑465/00, C‑138/01 e C‑139/01, p. 64; Huber, C‑524/06, p. 43).
Qualsiasi trattamento di dati personali deve essere conforme ai principi che regolano la qualità dei dati e la legittimazione del trattamento dei dati. Inoltre, il responsabile del trattamento dei dati, o il suo rappresentante, è soggetto a un obbligo d’informazione, le cui modalità variano a seconda che i dati siano, o meno, stati raccolti presso la persona interessata, fatte salve le eventuali deroghe.
In linea di principio, la condizione del trattamento leale dei dati personali obbliga un’amministrazione pubblica a informare le persone interessate della trasmissione di tali dati a un’altra amministrazione pubblica, che li tratterà in qualità di destinataria di detti dati.
Tale obbligo di informazione è particolarmente rilevante, poiché condiziona l’esercizio da parte degli interessati dei diritti di accesso ai dati trattati e della rispettiva rettifica nonché di opposizione al loro trattamento, previsti dalla normativa europea in materia di trattamenti di dati personali.
L’art. 13 della direttiva 95/46 (corrispondente al vigente art. 23 del Regolamento 2016/679) prevede, tuttavia, che gli Stati membri possono limitare la portata dei diritti previsti a tutela degli interessati qualora tale restrizione costituisca una misura necessaria alla salvaguardia «di un rilevante interesse economico o finanziario di uno Stato membro (…) anche in materia monetaria, di bilancio e tributaria» o «di un compito di controllo, ispezione o disciplina connesso, anche occasionalmente, con l’esercizio dei pubblici poteri» in taluni casi specifici. In ogni caso, il citato articolo 13 richiede espressamente che tali restrizioni siano adottate con legge.
Sulla base di tali presupposti, la ECJ ha ritenuto contrario al diritto dell’Unione la normativa rumena che, pur prevedendo la trasmissione da parte dell’amministrazione finanziaria dei dati necessari affinché l’amministrazione sanitaria possa svolgere la sua attività istituzionale, non ha disciplinato mediante un provvedimento legislativo, bensì con un mero protocollo mai pubblicato, la definizione delle informazioni trasmissibili e le modalità di attuazione della trasmissione medesima.
Dal caso Smaranda Bara si desume, dunque, che tutte le trasmissioni di dati personali, compresi quelli fiscali, da una amministrazione pubblica a un’altra devono essere analiticamente disciplinate dalla legge, indicando le informazioni concretamente trasferibili, le relative modalità e soprattutto le eventuali limitazioni dei diritti degli interessati, quali il diritto alla informazione (che è di fondamentale importanza per il rispetto dei diritti di accesso, di rettifica e di opposizione al trattamento dei dati in questione), fermi in ogni caso il rispetto dell’essenza dei diritti e delle libertà fondamentali e del principio di proporzionalità.
***
Accordo di mutua assistenza in materia fiscale esteso anche a dati bancari relativi ad annualità precedenti alla data di adesione: il caso G.S.B.
Con il caso G.S.B., la Corte EDU ha verificato il rispetto del diritto alla riservatezza della vita privata di cui all’art. 8 della CEDU in occasione della trasmissione alle autorità fiscali statunitensi da parte delle autorità svizzere dei dati bancari di un cittadino statunitense, in relazione a un accordo di cooperazione amministrativa tra la Svizzera e gli Stati Uniti d’America.
La questione trae origine dalla scoperta, nel 2008, da parte delle autorità fiscali statunitensi che la banca UBS SA aveva permesso a molti contribuenti statunitensi di nascondere le loro attività e il loro reddito, fornendo consiglio ai clienti che non avevano dichiarato i loro redditi negli Stati Uniti.
Essendo esposta al rischio di un procedimento penale, la UBS concludeva un “accordo per sospendere l’azione penale” con il Dipartimento di Giustizia degli Stati Uniti, a fronte del pagamento di 780 milioni di dollari.
Successivamente, l’Internal Revenue Service (IRS) avviava un procedimento civile per ordinare a UBS di rilevare le identità dei suoi 52.000 clienti statunitensi, oltre a una serie di dati bancari a essi pertinenti.
La Svizzera, preoccupata delle possibili conseguenze della controversia sorta tra le autorità statunitensi e la UBS, concludeva un accordo con gli Stati Uniti al fine di identificare i contribuenti in questione, denominato “Accordo 09”. L’amministrazione finanziaria svizzera intimava conseguentemente alla banca di fornire i dati in questione, prima che il suddetto accordo fosse approvato dal Parlamento.
Il Tribunale amministrativo federale accoglieva, con sentenza del 21 gennaio 2010, un ricorso contro il suddetto provvedimento dell’amministrazione finanziaria.
Poiché la decisione pregiudicava l’attuazione dell’“Accordo 09”, in seguito a nuovi negoziati con gli Stati Uniti, la Svizzera concludeva un Protocollo di modifica del precedente accordo, noto come “Protocollo 10”.
A seguito di tale accordo con l’autorità fiscale statunitense, denominato nella sua forma definitiva e integrata “Convenzione 10”, l’autorità fiscale federale svizzera ordinava nuovamente a UBS di trasmettere i fascicoli dei soggetti interessati nel contesto della cooperazione con le autorità americane.
Il sig. G.S.B., i cui dati bancari erano stati trasmessi alla autorità statunitense da quella svizzera, impugnava il provvedimento dinanzi all’autorità giurisdizionale di tale ultimo Stato, lamentando che detta divulgazione di dati violasse il suo diritto al rispetto della sua vita privata, ritenendosi altresì vittima di una discriminazione, come cliente di UBS con status di contribuente statunitense, rispetto ai clienti di altre banche che, al momento dei fatti, non erano oggetto della cooperazione amministrativa in materia fiscale.
Il giudice svizzero respingeva l’impugnazione, ritenendo la “Convenzione 10” vincolante e prevalente rispetto alla precedenti convenzioni o alla legge interna svizzera.
La Corte di Strasburgo, con la sentenza G.S.B. c. Svizzera del 22 dicembre 2015, n. 28601/11, ha ritenuto che nel caso in esame non vi fosse stata alcuna violazione dell’art. 8 della CEDU, sotto il profilo del diritto al rispetto della vita privata.
In particolare, la Corte EDU ha dapprima verificato se la misura impugnata, che costituisce una ingerenza nel rispetto della vita privata del ricorrente, avesse una base giuridica nazionale, compatibile con lo Stato di diritto. A tal fine la legge deve essere accessibile e prevedibile, ovvero formulata con sufficiente precisione per consentire all’individuo – se necessario con un consiglio appropriato – di regolare la propria condotta.
Per rispettare tali requisiti, la legge deve indicare lo scopo e la portata dei poteri conferiti alle autorità competenti, comprese le modalità del loro esercizio e l’uso delle informazioni conservate, con sufficiente chiarezza per fornire all’individuo un’adeguata protezione contro interferenze arbitrarie (cfr. Amann c. Svizzera [CG], 16 febbraio 2000, n. 27798/95, §§ 65, 69, 78-80).
A tal fine la Corte ha riconosciuto che gli accordi intervenuti tra Svizzera e Stati Uniti sono stati adottati secondo le procedure per l’adozione dei trattati internazionali previsti dalla costituzione svizzera. Inoltre, per quanto riguarda la prevedibilità di una simile norma, la Corte ha sottolineato che la CEDU debba essere interpretata tenuto conto dei principi indicati dalla Convenzione di Vienna sul diritto dei trattati del 1969, la quale, all’art. 28, accorda alle parti di un trattato internazionale la possibilità di derogare al principio di irretroattività, decidendo di prendere in considerazione di fatti verificatosi prima che le parti aderissero a quel trattato. Tuttavia, considerato che la CEDU si caratterizza per essere uno strumento effettivo e immediato di tutela dei diritti fondamentali dell’interessato, la possibilità di applicare retroattivamente un trattato internazionale deve essere verificata con riguardo alle garanzie assicurate dall’art. 8 della CEDU.
Pertanto, premesso che è pacifico che i trattati di assistenza amministrativa reciproca in materia fiscale sono norme di diritto processuale, nella specie non è leso il principio di legalità, neppure sotto il dedotto profilo della prevedibilità della norma, in quanto è principio generalmente riconosciuto che, salvo deroghe espresse, le norme procedurali si applicano immediatamente, anche ai procedimenti incorso. Né si può sostenere che la precedentemente prassi restrittiva (di non collaborazione) delle autorità svizzere in materia di assistenza amministrativa in campo fiscale avrebbe potuto indurre il ricorrente a prevedere di poter investire in Svizzera le sue attività al riparo dal controllo delle competenti autorità statunitensi o, più semplicemente, da un eventuale mutamente retroattivo della prassi delle autorità svizzere.
I giudici di Strasburgo hanno, inoltre, esaminato se i nuovi accordi internazionali, che hanno previsto la trasmissione dei dati in questione, fossero giustificati da uno scopo legittimo.
In proposito, la Corte ha ritenuto che la protezione della confidenzialità di determinati tipi di dati personali possa essere limitata dall’interesse a indagare e perseguire i reati e nella pubblicità dei procedimenti giudiziari, riconoscendo un margine di apprezzamento alle autorità nazionali competenti nel trovare un giusto equilibrio tra i contrapposti interessi.
Del resto, l’intensità della protezione concessa ai dati personali dipende da una serie di fattori, tra cui la natura del diritto tutelato dalla garanzia della riservatezza della vita privata, la sua importanza per la persona in questione e la natura e scopo dell’interferenza. Il margine di apprezzamento di uno Stato tenderà, pertanto, a essere più ristretto laddove il diritto in gioco è cruciale per il godimento effettivo da parte dell’individuo di diritti intimi o di fondamentale importanza per l’esistenza o l’identità di un individuo. Viceversa, laddove l’ingerenza riguarda dei dati bancari, vale a dire informazioni puramente finanziarie, che non implicano la trasmissione di dettagli o dati strettamente legati alla sua identità, come nella fattispecie, non è richiesta una protezione rafforzata ed è riconosciuto un ampio margine di apprezzamento in favore dello Stato contraente.
In tale prospettiva, i giudici europei hanno ammesso che la Svizzera avesse un rilevante interesse ad aderire alla richiesta di cooperazione amministrativa degli Stati Uniti, al fine di consentire alle autorità statunitensi di identificare eventuali beni che potrebbero essere stati nascosti in Svizzera.
A livello procedurale, la Corte ha inoltre rilevato che la ricorrente avesse avuto accesso a diverse garanzie procedurali, effettive e praticabili, al fine di contestare la trasmissione delle sue coordinate bancarie e di garantire la protezione contro l’attuazione arbitraria degli accordi conclusi tra la Svizzera e gli Stati Uniti.
Dal caso G.S.B., dunque, si desume che le ingerenze delle autorità fiscali nel diritto alla protezione della vita privata devono essere chiaramente disciplinate dalla legge, anche con effetti retroattivi, fermo restando che l’esigenza della retroattività deve essere adeguatamente giustificata e che la legge indichi con chiarezza lo scopo e la portata dei poteri conferiti alle autorità competenti, le modalità del loro esercizio, l’uso e la conservazione delle informazioni trattate nonché, per il principio dello Stato di diritto, le eventuali garanzie procedurali, che debbono essere effettive e praticabili. Ciò al fine di proteggere contro eventuali abusi o arbitri delle autorità.
Al rispetto di tali condizioni, devono ritenersi legittime le ingerenze per ragioni fiscali nel rispetto della vita privata, fermo in ogni caso il principio di proporzionalità.
***
Conclusioni.
Applicando i principi sopra esposti, affermatisi con i casi Digital Rights, Smaranda Bara e G.S.B., al trattamento dei dati personali effettuato dall’amministrazione finanziaria a seguito dell’introduzione della fattura elettronica (ma si pensi, pure, alla banca dati dell’Anagrafe Tributaria o alla procedura di scambio automatico di informazioni finanziarie prevista dall’OCSE), si osserva quanto segue.
Pur riconoscendo che al trattamento di dati finanziari debba essere riconosciuto in linea di principio un livello di protezione inferiore rispetto ad altre tipologie di dati personali (cfr. C.EDU, GSB c. Svizzera, n. 28601/11, § 93), tale trattamento costituisce una ingerenza nella vita privata e, quindi, per essere legittimo, deve rispettare sia il principio di legalità, con i suoi corollari in ordine alla qualità della legge e alla previsione di adeguati limiti e salvaguardie effettive contro gli eventuali abusi o arbitri delle autorità, sia il principio di proporzionalità tra l’interesse generale alla lotta contro l’evasione fiscale e i diritti al rispetto della vita privata e alla protezione dei dati personali.
In tale prospettiva, considerato che, secondo la Corte di Giustizia, la conservazione generale e indiscriminata di qualsiasi dato personale, anche eccedenti l’interesse generale perseguito, non è consentita e che le banche dati fiscali sono deputate a trattare dati personali, senza distinzione, di tutti i contribuenti, prescindendo da eventuali collegamenti anche indiretti a ipotesi di reato e/o di violazioni tributarie, deve ritenersi che, sia per rispettare i corollari del principio di legalità, sia per rispettare il principio di proporzionalità, debbono essere previsti con legge i criteri, oggettivi e precisi, per stabilire una connessione tra i dati da trattare e l’obiettivo perseguito (i.e., la lotta alla evasione fiscale), al fine di circoscrivere, concretamente, l’entità della misura.
La legge deve altresì prevedere garanzie adeguate contro gli abusi e gli arbitri, disciplinando rigorosamente le condizioni sostanziali e processuali al ricorrere delle quali le autorità fiscali possano accedere alla banca dati, trattare i relativi dati e/o trasmetterli ad altre amministrazioni statali (anche di altri Stati membri o terzi), circoscrivendo in modo adeguato e pertinente le finalità del loro utilizzo. Il tutto prevedendo adeguate forme di informazione dell’interessato, anche al fine di consentirgli la possibilità concreta di rettificare gli eventuali dati erronei o inesatti, per prevenire contestazioni defatiganti e costose da parte dell’amministrazione finanziaria.
Il rispetto delle citate garanzie a tutela degli interessati deve essere poi soggetto ad adeguata verifica preventiva da parte di una autorità indipendente o, per lo meno, a un controllo giurisdizionale a posteriori, in merito alla sussistenza delle condizioni di legittimità del trattamento, con la previsione di una riparazione adeguata in favore dell’interessato in caso di violazioni, che deve consistere per lo meno nella inutilizzabilità dei dati trattati illegittimamente, come sancito dalla Corte EDU con riguardo agli elementi di prova raccolti a seguito di una perquisizione domiciliare illegittima per violazione delle medesime garanzie di cui all’art. 8 della CEDU (cfr. C.EDU, Trabajo Rueda c. Spagna, n. 32600/12, § 37; Uzun c. Germania, n. 35623/05, §§ 71 e 72).
Il rispetto dei diritti fondamentali in esame esige, inoltre, che le autorità competenti adempiano a specifici obblighi positivi di protezione, che nella specie si possono sintetizzare nell’adozione di tutte le misure tecniche necessarie per evitare o, comunque minimizzare il rischio di furto o dispersione dei dati in questione.
Gli interventi, ancora in corso, del Garante della Privacy in ordine al corretto trattamento dei dati personali conseguenti all’introduzione della fattura elettronica sembrano perseguire i principi affermati in materia dalla ECJ e dalla Corte EDU. E’ auspicabile, tuttavia, che analoghi interventi siano estesi anche ai trattamenti di dati personali conseguenti alla gestione delle altre banche dati fiscali e/o delle procedure di scambio di informazioni con gli Stati membri o terzi.
Sempre applicando i suddetti principi di matrice europea, sembra corretto ritenere che debbano essere riesaminate, invece, molteplici posizioni della Corte di Cassazione, ai fini di assicurare una efficace protezione della riservatezza della vita privata, del domicilio e della corrispondenza, nonché dei dati personali, contro il rischio di comportamenti illegittimi e di abusi delle autorità, nonché contro eventuali usi illeciti dei dati trattati.
E’ infatti frequente nella giurisprudenza della Corte di Cassazione l’affermazione che le condizioni procedurali previste per l’utilizzo di determinati strumenti di accertamento, che costituiscono ingerenze nei diritti garantiti dall’art. 8 della CEDU e dagli artt. 7 e 8 della Carta di Nizza, sarebbero dirette esclusivamente a esplicare una funzione organizzativa, per cui la loro eventuale violazione non comporterebbe alcuna conseguenza sulla utilizzabilità dei dati trattati quali elementi di prova nei confronti degli interessati.
Seguendo tale ordine di idee, la Corte di Cassazione, anche di recente, con l’ordinanza n. 30786 del 28 novembre 2018, ha ritenuto che l’autorizzazione prescritta dall’art. 51, comma 2, n. 7, del d.p.r. n. 633/1972 (nel testo applicabile ratione temporis), ai fini dell’espletamento delle indagini bancarie, esplicherebbe una funzione organizzativa, incidente nei rapporti tra uffici, per cui non richiede alcuna motivazione. Da ciò discenderebbe, secondo i giudici di legittimità, che l’illegittimità dell’avviso di accertamento fondato sulle risultanze delle movimentazioni bancarie acquisite in assenza della autorizzazione prescritta per legge (da non confondere con la irrilevante mancata sua allegazione ed esibizione all’interessato) possa derivare solo se da detta mancanza materiale “sia derivato un concreto pregiudizio” per il contribuente (cfr., tra le altre, Cass. 10 febbraio 2017 n. 3628, 4 maggio 2010 n. 10675, 21 luglio 2009 n. 16874).
Dunque, secondo i giudici di legittimità, un accertamento basato sulle risultanze delle movimentazioni bancarie sarebbe legittimo anche se effettuato in assenza della necessaria autorizzazione, salvo che tale omissione abbia prodotto un “concreto pregiudizio per il contribuente” (diverso dalla violazione della riservatezza della vita privata e dei dati personali, nonché dagli effetti dell’accertamento bancario).
Tale orientamento giurisprudenziale sembra tuttavia porsi in contrasto con gli obblighi impliciti a tutela della riservatezza della vita privata e della protezione dei dati personali, che richiedono la previsione di garanzie adeguate ed effettive contro i possibili abusi e gli arbitri delle autorità. Tra le garanzie adeguate che debbono essere assicurate assume un ruolo particolarmente importante la possibilità di conseguire un controllo giurisdizionale effettivo della legittimità delle misure che interferiscono sul rispetto dei diritti fondamentali in esame, cioè un controllo che sia idoneo a verificare il rispetto di tutte le condizioni previste dalla legge e assicurare un’adeguata riparazione dell’interessato in caso di accertate violazioni, quale è l’esclusione dal conseguente processo degli elementi illegittimamente raccolti.
