Privacy e dati fiscali al centro di un difficile bilanciamento

Fisco e privacy sono due concetti che fanno spesso difficoltà a conciliarsi tra loro.

I dati fiscali contenuti nelle fatture elettroniche possono essere comunque utilizzati dall’Amministrazione finanziaria per controlli e analisi del rischio nell’assolvimento delle funzioni di polizia economica e finanziaria.

Fisco e privacy: una difficile “conciliazione”

Già la legge di Bilancio del 2020 (L. 160/2019, art. 1, comma 682 e ss.) era del resto intervenuta sul tema, prevedendo, per l’Agenzia delle Entrate, la possibilità, “previa pseudonimizzazione dei dati personali”, di avvalersi delle banche dati di cui dispone, allo scopo di individuare criteri di rischio utili per far emergere posizioni da sottoporre a controllo.

Il Garante tuttavia aveva mostrato perplessità e il 12 novembre 2019 aveva depositato in Senato una memoria, in cui evidenziava che anche tali tipi di controlli anonimi potevano comunque violare la privacy.

La pseudonimizzazione, diceva il Garante, poteva non fornire idonee garanzie, in particolare laddove si fosse verificato che chi fosse stato sottoposto a controlli generati dall’algoritmo anonimo non avesse poi il diritto di rettifica.

In un tale contesto, il potenziale contrasto tra esigenze di controllo fiscale e contrasto all’evasione, da una parte, e tutela della privacy, dall’altra, dovrebbe dunque essere risolto alla luce del principio del bilanciamento di interessi contrapposti, per esempio, assicurandosi che i dati vengano sempre trattati con le garanzie e tutele necessarie.

Contrasto all’evasione e tutela della privacy richiedono un bilanciamento

La conservazione dei dati, rilevava già la Corte di Giustizia nella causa Digital Rights Ireland (CGUE 8 aprile 2014 – cause c-293/12 e c-594/12), non è idonea, peraltro, a pregiudicare, di per sé, il contenuto essenziale del diritto alla protezione dei dati personali.

Il discrimen da tenere in considerazione è dunque dato dal fatto che la suddetta ingerenza risponda ad un obiettivo di interesse generale.

Altra pronuncia da cui possiamo ricavare principi di rilievo è poi la Sentenza della Corte di Giustizia del 27 settembre 2017, nella causa C-73/16, laddove la Corte ricorda che i dati personali devono essere:

• a) trattati lealmente e lecitamente;
• b) rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità;
• c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati;
• d) esatti e, se necessario, aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti rispetto alle finalità per le quali sono rilevati o sono successivamente trattati, cancellati o rettificati;
• e) conservati in modo da consentire l’identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati, o sono successivamente trattati.

Il tema fondamentale è dunque, si ripete, quello del bilanciamento di interessi contrapposti, laddove la stessa Corte di giustizia ha affermato che il principio di stretta proporzionalità, che può giustificare limitazioni ai diritti fondamentali qualora vengano in considerazione esigenze di pubblica sicurezza, non può delinearsi in astratto e in maniera indifferenziata rispetto a qualsiasi reato, ma, al contrario, esige una differenziazione attentamente modulata in base al tipo di delitto, alle esigenze investigative, alla tipologia dei dati e delle informazioni da acquisire e dei mezzi di comunicazione utilizzati (vedi anche Google Spain - CGUE, Sentenza del 13 maggio 2014, causa C-131/12).

Il concetto di dati personali sotto osservazione anche in UE

In un tale contesto, da ultimo, la Corte di Giustizia UE, con sentenza del 4 settembre 2025 in causa C-413/23, si è espressa sul concetto di “dati personali” in relazione al concetto di pseudonimizzazione, con affermazioni che potrebbero rilevare anche in sede tributaria.

La sentenza ha invalidato la pronuncia del Tribunale dell’Unione europea del 26 aprile 2023, promossa dal Garante europeo della protezione dei dati (GEPD) contro il SRB (Single Resolution Board, agenzia dell’Unione Europea per la gestione delle crisi bancarie), che, nel giugno 2017, aveva adottato un programma di risoluzione per il Banco Popular Español SA dichiarato in crisi, programma culminato nel trasferimento delle azioni all’acquirente Banco Santander SA.

Nell’agosto 2018 il SRB apriva una procedura per stabilire se agli azionisti/creditori del Banco Popular spettasse un indennizzo, trasferendo ad una società di revisione, quale valutatore indipendente, le osservazioni dei creditori/azionisti ricevute nella fase di consultazione, con un codice alfanumerico e senza possibilità di accesso ai dati raccolti.

Nell’ultimo trimestre del 2019 alcuni azionisti/creditori proponevano però reclami dinanzi al GEPD, rilevando che il SRB non li aveva informati che i dati raccolti sarebbero stati trasmessi alla detta società.

Il GEPD riconosceva la violazione dell’obbligo da parte del SRB, che, a sua volta, ricorreva però contro la decisione davanti al Tribunale dell’Unione Europea, sostenendo che le informazioni trasmesse non costituivano dati personali.

Il Tribunale accoglieva, sul punto, il ricorso annullando la decisione del GEPD.

Nel procedimento di impugnazione della sentenza del Tribunale dell’Unione Europea dinanzi alla Corte, il GEPD deduceva infine la violazione dell’articolo 3, punti 1 e 6, del regolamento 2018/1725, attinenti al concetto di “dati personali” e di “pseudonimizzazione”, contestando, per quanto di interesse, relativamente a questo secondo profilo, la condizione, prevista nella medesima disposizione, relativa al carattere “identificabile” della persona.

Distinzione tra anonimizzazione e pseudonimizzazione

Secondo il GEPD, la sentenza impugnata non teneva adeguato conto della distinzione tra anonimizzazione e pseudonimizzazione, laddove, secondo l’interpretazione del Tribunale, i dati personali cambierebbero natura quando sono trasmessi a un’entità esterna al titolare del trattamento che non dispone di informazioni aggiuntive che consentano di identificare l’interessato.

La Corte rileva che la pseudonimizzazione ha l’obiettivo di evitare che l’interessato possa essere identificato mediante i soli dati pseudonimizzati. Ne consegue che, a condizione che siano effettivamente attuate misure tecniche ed organizzative idonee a prevenire un’attribuzione dei dati di cui trattasi all’interessato, in modo tale che quest’ultimo non sia o non sia più identificabile, la pseudonimizzazione può incidere sul carattere personale degli stessi dati.

La Corte afferma però poi che l’identificabilità dell’interessato è da valutare al momento della raccolta dei dati e dal punto di vista del titolare del trattamento, incombendo quindi, nella specie, l’obbligo di informazione al SRB a prescindere dal fatto che dal punto di vista della società destinataria delle informazioni, dopo la loro eventuale pseudonimizzazione, i dati fossero o meno personali.

In sostanza, concludeva la Corte, il rispetto da parte del titolare dell’obbligo informativo verso l’interessato non può dipendere dalle possibilità di identificazione dell’interessato stesso da parte, eventualmente, di un eventuale destinatario dopo la comunicazione dei dati.

Il titolare del trattamento deve dunque impostare l’applicazione del proprio obbligo informativo con riferimento al momento della raccolta dei dati, prescindendo dal fatto che nel prosieguo, attraverso le operazioni che eseguirà sui dati, le informazioni suscettibili di essere trasmesse ad un destinatario potranno risultare (al destinatario stesso) sotto forma di dati anonimi.

Dati fiscali tra esigenza di controllo e rispetto della privacy

In conclusione, è auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile, laddove l’applicazione della pseudonimizzazione ai dati personali può ridurre i rischi per gli interessati ed aiutare i titolari del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati, ma non è intesa a precludere altre misure di protezione dei dati, anche considerato che i principi di trattamento corretto e trasparente dei dati implicano comunque che l’interessato sia sempre informato dell’esistenza del trattamento e delle sue finalità.

Pertanto, nei limiti in cui non è escluso che i terzi siano ragionevolmente in grado di attribuire, con mezzi quali un controllo incrociato con altri dati di cui dispongono, i dati pseudonimizzati all’interessato, quest’ultimo deve essere considerato in ogni caso identificabile per quanto riguarda tanto tale trasferimento quanto qualsiasi ulteriore trattamento di tali dati da parte di detti terzi.

In tali circostanze, i dati pseudonimizzati devono quindi essere considerati personali ai fini dell’applicazione del regolamento 2018/1725, anche se la prospettiva pertinente per valutare l’identificabilità dell’interessato, conclude la Corte, dipende comunque essenzialmente dalle circostanze che caratterizzano il trattamento dei dati in ciascun caso particolare.

Calando tali conclusioni nel contesto tributario, i dati fiscali possono spesso contenere dati personali (comuni e particolari) degli interessati-contribuenti.

E questo genera naturalmente un potenziale contrasto tra esigenze di controllo fiscale e contrasto all’evasione, da una parte, e tutela della privacy (generalmente intesa), dall’altra.

Il Regolamento Generale sulla Protezione dei Dati esplica del resto sicuramente effetti anche in materia fiscale e la rilevanza della protezione dei dati personali in materia fiscale fa sorgere quindi il problema dei limiti che il diritto alla protezione dei dati personali pone alla acquisizione/utilizzo/conservazione dei dati da parte dell’Amministrazione finanziaria.

Fisco e privacy: proporzionalità è la parola chiave

Sul tema le sentenze Digital Rights Ireland (8 aprile 2014, cause riunite C-293/12 e C-594/12) e Tele2-Sverige AB (21 dicembre 2016, C203-15) fissano peraltro un principio valido per la tutela del trattamento dei dati personali di fronte ad esigenze pubblicistiche rilevanti, quale è anche quella di contrastare l’evasione fiscale, affermando, in sostanza, che vi deve sempre essere “proporzionalità” fra trattamento del dato alla luce dell’obiettivo perseguito ed esigenza di minimizzare l’acquisizione/trattamento/conservazione dei dati personali, ivi compresi, dunque, quelli dei contribuenti.

In tutto questo non c’è dubbio che il responsabile del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali.

Misure che devono garantire un livello di sicurezza appropriato proprio rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere.

Se si vuole utilizzare la tecnologia per il contrasto all’evasione fiscale, senza violare i diritti e le libertà fondamentali dei cittadini, i dati personali (anche sensibili) devono quindi potere essere legittimamente trattati con le necessarie garanzie.

E proprio per tali motivi si prevede allora che l’utilizzo delle informazioni sulle operazioni bancarie e finanziarie possa avvenire previa pseudonimizzazione dei dati personali, al fine di garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

Questo non toglie che i principi applicabili al trattamento dei dati debbano essere sempre rispettati, in particolare quelli di:

• liceità,
• correttezza e trasparenza;
• minimizzazione dei dati rispetto alle finalità per le quali sono trattati;
• esattezza;
• limitazione della conservazione;
• integrità e riservatezza.

Oltre, naturalmente, a quello di “responsabilizzazione”, per cui il titolare del trattamento dei dati è competente per il rispetto dei principi suddetti e in grado di comprovarlo.