L’incrocio delle informazioni contenute nelle banche dati fiscali da parte dell’amministrazione finanziaria, finalizzato all’emersione delle posizioni di rischio fiscale e alla selezione dei soggetti ai quali inviare lettere di conformità, può riguardare tutti i contribuenti e non solo quelli già interessati dagli accertamenti. Lo chiarisce il Mef con la risposta n. 5-07904 del 20 aprile 2022 a una interrogazione parlamentare.
Risposta scritta pubblicata Mercoledì 20 aprile 2022
nell’allegato al bollettino in Commissione VI (Finanze)
5-07904
Con il documento in esame gli Onorevoli interroganti fanno presente che il contrasto all’evasione è per l’Italia una questione centrale nella relazione tra finanza pubblica e sistema economico.
Gli Onorevoli evidenziano che il contrasto all’evasione costituisce una dei profili della riforma dell’Amministrazione fiscale, inserita nell’ambito del PNRR, e che rientrano in questo quadro misure approvate nei giorni scorsi dal Governo, come l’estensione della fattura elettronica ai contribuenti forfettari e le sanzioni a chi non accetta pagamenti con bancomat o carte.
A parere degli Onorevoli interroganti per la riforma, così come strutturata, risulta fondamentale la possibilità di incrociare le banche dati fiscali e finanziarie per l’analisi dei rischi per selezionare i contribuenti ai quali inviare lettere di conformità.
Gli Onorevoli segnalano che, a seguito di interventi del Garante della Privacy, sarebbe possibile incrociare i dati solo per i contribuenti già sottoposti ad accertamento.
Non sarebbe invece consentito procedere a incroci a tappeto per individuare i contribuenti da accertare. La legge di bilancio per il 2020 (dicembre 2019) ha stabilito la possibilità di effettuare incroci massivi di dati «pseudonimizzati» per individuare profili di rischio sulla base dei quali poi selezionare i contribuenti.
Infine, gli Onorevoli rilevano che il decreto-legge cosiddetto «Capienze», nella versione originaria, prevedeva che il trattamento dei dati personali da parte delle amministrazioni pubbliche fosse sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse.
Tuttavia, considerato che l’applicazione della «pseudonimizzazione» ai dati personali può ridurre ma non eliminare i rischi per gli interessati in quanto, sarebbe sempre possibile identificare una persona fisica tramite i suoi dati personali; i dati dunque non risulterebbero davvero anonimizzati, quindi non sarebbero non identificabili;
Tanto premesso, gli Onorevoli Interroganti chiedono al Ministro dell’economia e delle finanze quali siano gli orientamenti in relazione alla problematica espressa in premessa e quali necessarie iniziative, per quanto di competenza, si intenda intraprendere al fine di non ledere, attraverso il corretto obiettivo di contrasto, il diritto alla protezione dei dati personali di ogni cittadino.
Al riguardo, sentiti i competenti Uffici dell’Amministrazione finanziaria, si rappresenta quanto segue.
Giova, anzitutto, far presente che il Ministero dell’economia e delle finanze già presta particolare attenzione alla questione posta dagli Onorevoli interroganti e relativa alle misure di protezione dei dati personali da adottare nell’attività di analisi del rischio fiscale mediante l’incrocio delle banche dati.
In particolare, la questione si è posta in relazione alla predisposizione del decreto di cui all’articolo 1, comma 683, della legge di bilancio 2020 (legge n. 160 del 2020), con il quale devono essere individuate – in sintesi – le limitazioni e le modalità di esercizio dei diritti previsti dalla normativa sulla tutela dei dati personali nonché le misure a tutela di tali diritti, per lo svolgimento dell’attività di analisi del rischio fiscale, che, ai sensi del comma 682 del medesimo articolo 1, l’Agenzia delle entrate e la Guardia di finanzia possono svolgere, anche previa pseudonimizzazione, avvalendosi delle tecnologie, delle interconnessione e delle elaborazioni dei dati dell’archivio dei rapporti finanziari con altre banche dati di cui l’amministrazione fiscale dispone.
In relazione allo schema di decreto l’Agenzia delle entrate fa presente che sono tuttora in corso le interlocuzioni con il Garante per la protezione dei dati personali. Il testo del decreto contenente le limitazioni e le modalità di esercizio dei diritti da parte dei contribuenti durante la fase di elaborazione dei dati, come consentito dall’articolo 23 del Regolamento (UE) 2016/679 (Regolamento privacy), è stato esaminato dal Garante, che ha formulato alcune osservazioni sulle quali è in corso un confronto con l’Autorità.
In merito all’affermazione secondo cui «la possibilità di incrociare le banche dati fiscali e finanziarie per l’analisi dei rischi per selezionare i contribuenti ai quali inviare lettere di conformità pare (…) possibile, a seguito di interventi del Garante della Privacy, (…) solo per i contribuenti già sottoposti ad accertamento, mentre non sarebbe invece consentito procedere a incroci a tappeto per individuare i contribuenti da accertare», deve osservarsi che l’attività di analisi del rischio può riguardare tutti i contribuenti e non solo «i contribuenti già sottoposti ad accertamento».
In relazione agli «interventi del Garante della Privacy» non esiste, infatti, alcuna prescrizione che limiti il trattamento dei dati ai contribuenti già oggetto di controllo.
Le attività di incrocio delle banche dati e di elaborazione delle informazioni necessarie a far emergere posizioni di rischio fiscale dovranno, in ogni caso, essere svolte nel rispetto della normativa europea e nazionale in materia di protezione dei dati personali.
Fra le misure di sicurezza previste per il trattamento dei dati da parte dell’Amministrazione finanziaria durante l’attività di elaborazione e di analisi del rischio, è inclusa anche la procedura di pseudonimizzazione, che consente di eseguire le predette attività tutelando la riservatezza dei contribuenti interessati.
Con riferimento all’osservazione secondo cui «l’applicazione della “pseudonimizzazione” ai dati personali può ridurre ma non eliminare i rischi per gli interessati (…)»), si rappresenta che detta procedura è diversa dall’anonimizzazione.
Infatti, l’anonimizzazione – tipicamente usata in ambito statistico – consiste nell’eliminazione definitiva dei dati identificativi dei soggetti analizzati. Una soluzione di questo tipo, nell’ambito dell’attività di analisi del rischio fiscale, non potrebbe essere adottata, poiché non permetterebbe di individuare i contribuenti nei cui confronti avviare le attività di controllo e di stimolo dell’adempimento spontaneo.
Di contro, come chiarito dall’articolo 4 (Definizioni), par. 1, punto 5), del Regolamento privacy, la pseudonimizzazione è: «il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile».
In termini operativi, la pseudonimizzazione consiste in un procedimento informatico che permette di cifrare i dati identificativi (es. nome, cognome, codice fiscale et similia) delle persone fisiche, effettuare l’analisi (di rischio) di tali dati e, completata l’analisi, re-identificare solo i soggetti che presentano profili di rischio fiscale. In tal modo, i dati identificativi dei soggetti che non presentano rischi fiscali rimangono riservati. Coerentemente, il considerando 28 del Regolamento privacy attribuisce alla pseudonimizzazione la funzione di «ridurre i rischi per gli interessati e aiutare i titolari del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati».
Ciò posto, è opportuno sottolineare che tutti i trattamenti effettuati dall’Agenzia delle entrate sono corredati da una specifica valutazione di impatto privacy – ex articolo 35 del Regolamento privacy – che illustra le misure organizzative e tecnologiche volte a garantire i diritti degli interessati.
Anche nell’adozione delle misure di contrasto all’evasione fiscale da adottare nel quadro della riforma fiscale prevista dal PNRR, si procederà nel rispetto del Regolamento UE 2016/679 e delle indicazioni del Garante per la protezione dei dati personali, il quale, ai sensi dell’articolo 36, paragrafo 4, del GDPR, deve essere consultato «durante l’elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento.».
