Il rapporto tra Fisco e Privacy secondo la Corte europea dei diritti dell’uomo

La Corte Cedu, Corte europea dei diritti dell’uomo, con sentenza 36345/16 del 12 gennaio 2021, ha affermato che non viola la privacy pubblicare sul sito internet del Fisco la black list degli evasori fiscali.

Il caso riguardava la legittimità o meno della pubblicazione sul sito web dell’Agenzia delle Entrate ungherese di dati che qualificano il ricorrente come inadempiente fiscale, con indicazione dei suoi debiti fiscali, del suo codice fiscale e dei dati anagrafici.

La Cedu smentisce il Garante privacy ungherese e consente la diffusione di dati negativi sul conto dei contribuenti, stabilendo, in sostanza, che il bilanciamento degli interessi vede prevalere l’interesse pubblico a prevenire ulteriori inadempimenti tributari sulla riservatezza individuale.

La divulgazione dell’elenco delle persone debitrici verso l’erario risponde dunque, secondo la Cedu, ad un interesse generale meritevole di tutela, non trattandosi di soddisfare la curiosità del pubblico, ma piuttosto di rendere pubblica l’identità delle persone che non rispettano i loro obblighi fiscali, anche al fine di tutelare gli interessi commerciali di terzi, incentivando così corretto funzionamento del sistema fiscale e sociale.

La Corte ha peraltro valutato la compatibilità della normativa censurata anche tenendo conto della previsione, comunque, di una soglia minima per la pubblicazione dei dati (circa 30 mila euro), della regola di attendere 180 giorni prima di pubblicare, e della cancellazione immediata della segnalazione dopo il pagamento della pendenza.

Tutti elementi che assicurano il rispetto del principio di proporzionalità della misura.

La sentenza, in ogni caso, non prescrive un obbligo di pubblicazione, limitandosi ad accertare che una black list degli evasori non viola i diritti dell’uomo. Sta, infatti, al singolo Stato, in maniera discrezionale, decidere il regime di eventuale pubblicità delle notizie sugli evasori.

Corte Europea dei Diritti dell’Uomo - Sentenza del 12 gennaio 2021

Il testo integrale della sentenza del 12 gennaio 2021 della Corte Europea dei Diritti dell’Uomo sul rapporto tra Fisco e Privacy.

Rapporto tra Fisco e privacy, la sentenza Cedu e un precedente nazionale

La sentenza in esame va in controtendenza, peraltro, ad una precedente pronuncia della Corte di Cassazione italiana, relativa ad un episodio che, anni fa, destò molto scalpore (Cassazione, Ordinanza n. 15075 dell’11/06/2018.

L’allora Direttore dell’Agenzia delle Entrate, con Provvedimento del 5 marzo 2008, aveva infatti diffuso in rete i dati delle dichiarazioni dei redditi dei contribuenti, riferiti all’anno di imposta 2005.

Con la sola informazione del Comune nel quale la persona aveva presentato la dichiarazione dei redditi, era dunque possibile conoscere nomi, date di nascita, redditi dichiarati e imposta pagata di ogni contribuente italiano.

L’Agenzia delle Entrate aveva difeso la scelta, richiamando le norme sulla pubblicità delle dichiarazioni, e sottolineando che l’informazione online, senza mediazioni di terzi e curata dalla stessa amministrazione pubblica, era sinonimo di garanzia, trasparenza e affidabilità.

Lo stesso Direttore dell’epoca sostenne anche che la pubblicazione online era anche uno stimolo a non evadere le tasse.

Il Garante per la privacy italiano (come, nel caso sopra indicato, anche quello magiaro) non era però d’accordo e censurò la pubblicazione on line dei dati fiscali, anche considerato che i contribuenti, nel consegnarli in sede dichiarativa, erano stati informati che i loro dati sarebbero stati consultabili secondo le modalità stabilite dalla normativa di riferimento (in sostanza possibilità di consultazione degli elenchi cartacei presso i Comuni), che non comprendeva però la modalità on line, utilizzata in quell’occasione dall’Agenzia delle Entrate.

Ne era quindi seguito il divieto all’Agenzia delle Entrate dell’ulteriore divulgazione dei dati, con contestazione della violazione dell’art. 13 del Dlgs. n. 196/2003 (codice della privacy) ed irrogazione della sanzione di Euro 6.000,00.

L’Agenzia delle Entrate adì quindi il Tribunale di Roma, proponendo opposizione al provvedimento emesso dal Garante il 6 maggio 2008, e contestando l’attinenza dei dati relativi ai redditi delle persone alla nozione di privacy, stanti le finalità di interesse pubblico a cui la circolazione dei dati in possesso dell’Amministrazione finanziaria assolveva.

Il Tribunale, rigettando la domanda, ritenne però sussistere, nel provvedimento dell’Agenzia delle Entrate, almeno tre profili di illegittimità:

• i) inammissibilità della pubblicazione on line, via internet, dei dati, in quanto una cosa è la diffusione dei dati a livello locale, presso ciascun ambito territoriale interessato in relazione alla residenza dei singoli contribuenti, e tutt’altra è, invece, la divulgazione sull’intero territorio nazionale, con una pubblicità ed una rapidità tali da non poter essere nemmeno lontanamente paragonabili alla mera consultazione degli elenchi presso i singoli Comuni; e comunque, quand’anche potesse ritenersi la trasmissione via internet conforme ad una ratio di sostanziale trasparenza dei dati dei contribuenti in possesso dell’Amministrazione finanziaria, trattandosi di mezzo di comunicazione allora inesistente, secondo il Tribunale non poteva non rilevarsi che, nel frattempo, era intervenuto il Dpr. n. 196/2003, che, nel regolamentare il diritto alla privacy, aveva necessariamente interferito sulla divulgazione dei dati personali delle persone fisiche, definendone le modalità e le finalità del trattamento da parte del titolare;
• ii) mancata preventiva informazione degli interessati sulle modalità di trattamento dei dati, in violazione dell’art. 13 del codice della privacy;
• iii) omessa preventiva consultazione del Garante prima della sua adozione.

Il giudice escludeva inoltre che l’art. 42 del Dl. n. 112 del 2008
(convertito, con modificazioni, dalla legge n. 113 del 2008), emanato successivamente ai fatti di causa al fine di ridisciplinare integralmente la materia, e recante, nell’ultimo comma, la previsione transitoria secondo cui, nel periodo antecedente alla sua entrata in vigore la consultazione degli elenchi già pubblicati potesse essere effettuata anche mediante l’utilizzo delle reti di comunicazione elettronica come definite dal codice in materia di protezione di dati personali dal Dlgs. 30 giugno 2003 n. 196, potesse assumere la valenza di una sanatoria del pregresso operato dell’Amministrazione finanziaria.

Avverso questa decisione ricorreva quindi per cassazione l’Agenzia delle Entrate, la quale prospettava, tra le altre, un’errata lettura, da parte del giudice di merito, degli artt. 69 del Dpr. n. 600/73 e 66-bis del Dpr. n. 633/72, così come modificati dalla legge n. 413/91 e vigenti all’epoca dei fatti di causa, la cui ratio, secondo la ricorrente, andava ricercata nell’intento di favorire gli uffici tributari nell’espletamento delle loro attività di controllo e di verifica.

Si concludeva, infine, sostenendo che “non era dunque intenzione del legislatore del 1973 porre alcun limite territoriale alla divulgazione dei dati in questione e anche il limite di ordine temporale (annuale) posto dagli articoli 69 del Dpr. n. 600/1973 e 66-bis del Dpr. n. 633/1972 alla consultazione è stato stabilito non già al fine di limitare l’accesso agli stessi, bensì, al contrario, nell’interesse del soggetto pubblico divulgatore, perché, essendo all’epoca, per forza di cose, gli elenchi consultabili esclusivamente su supporto cartaceo, non sarebbe stato possibile tenere a disposizione dei richiedenti anche le precedenti annualità, senza creare enormi problemi logistici ed organizzativi ai Comuni depositari”, e che, quindi, l’Agenzia delle Entrate era, all’epoca dei fatti di causa, legittimata non solo “a divulgare gli elenchi nominativi dei contribuenti nel modo più adatto a garantirne la massima diffusione possibile, ma aveva anche il dovere di disporne la pubblicazione on line nel rispetto dei principi introdotti dal Codice dell’Amministrazione Digitale nel 2005”.

Tali argomentazioni, secondo la Suprema Corte, erano però infondate.

Affermavano infatti i giudici di legittimità che una corretta lettura degli artt. 69 del Dpr. n. 600/73 e 66-bis del Dpr. n. 633/1972, evidenziava che la pubblicazione degli elenchi recanti i nominativi dei contribuenti, che avevano presentato le dichiarazioni relative all’imposta sui redditi ed all’IVA, doveva rispettare precisi criteri territoriali e temporali:

• a) dal punto di vista territoriale, questi elenchi, sebbene accessibili a chiunque, dovevano essere depositati solo presso i comuni interessati ed i competenti uffici dell’Agenzia delle Entrate;
• b) sotto il profilo temporale, gli stessi dovevano essere formati anno per anno e resi accessibili, ai fini della consultazione, da parte di chiunque, solo per un anno.

In tal modo, dunque, da un lato, sarebbe stato possibile per chiunque accedere, gratuitamente, a tali elenchi, soddisfacendo l’esigenza di trasparenza e di controllo degli adempimenti tributari che costituiva la ratio delle norme suddette; e dall’altro, tuttavia, con i descritti accorgimenti, volti ad introdurre limiti territoriali e temporali, si sarebbe evitato l’accesso puramente strumentale a questi elenchi, ossia per scopi diversi da quelli per i quali era prevista la pubblicazione.

Era evidente, allora, secondo la Cassazione, che l’Agenzia delle Entrate era andata ben al di là dei propri obblighi, allorquando aveva disposto l’ulteriore pubblicazione degli elenchi dei contribuenti nell’apposita sezione del proprio sito internet.

Non erano pertanto in discussione, secondo la Cassazione, le scelte discrezionali che la Pubblica Amministrazione è chiamata ad effettuare quando vi sia da contemperare il diritto alla riservatezza con l’interesse pubblico alla conoscibilità dei dati dei contribuenti, discutendosi semmai della conformità a legge del concreto operato dell’Agenzia delle Entrate.

La Cedu si esprime su rapporto tra Fisco e privacy: alcune osservazioni

In definitiva e a prescindere dagli specifici casi processuali sopra rappresentati, appare evidente che Fisco e privacy sono due concetti che sono destinati ad entrare in conflitto.

E dunque una specifica regolamentazione sarebbe senz’altro opportuna.

In base al Decreto Fiscale n. 124/2019, l’Agenzia delle Entrate e la Guardia di Finanza possono del resto oggi controllare tutti i dati delle fatture elettroniche.

I dati fiscali contenuti nelle fatture elettroniche saranno utilizzati per controlli, analisi del rischio e assolvimento delle funzioni di polizia economica e finanziaria.

Il Decreto Fiscale sancisce, tra l’altro, la possibilità di accedere a natura, qualità e quantità dei beni e dei servizi formanti oggetto dell’operazione.

E infatti, ancora una volta, il Garante della privacy ha sollevato alcune osservazioni su tali disposizioni, con particolare riferimento al rispetto del principio comunitario di proporzionalità.

In una memoria trasmessa il 5 novembre 2019 alla commissione Finanze il Garante ha infatti affermato che, nell’ambito della memorizzazione ed elaborazione massiva dei dati estratti dai file delle fatture, non dovrebbe rientrare il campo del file “xml” contenente la descrizione dell’operazione oggetto di fattura, potendo questo contenere dati personali dettagliati e quindi presentare rischi elevati per gli interessati. Nella memoria l’Authority ha dunque suggerito al governo di valutare l’effettiva necessità dell’archiviazione integrale dei dati di fatturazione e proposto di oscurare almeno i dati fiscalmente non rilevanti.

La suddetta previsione non è peraltro l’unica che impatta sul tema della privacy, laddove anche la legge di Bilancio del 2020 (L. 160/2019, art. 1, comma 682 e ss) è intervenuta sul tema, prevedendo, per l’Agenzia delle Entrate, la possibilità, “previa pseudonimizzazione dei dati personali”, di avvalersi delle banche dati di cui dispone, allo scopo di individuare criteri di rischio utili per far emergere posizioni da sottoporre a controllo.

Ma anche in questo caso il Garante non era d’accordo e il 12 novembre 2019 ha depositato in Senato una memoria, in cui evidenziava che anche tali tipi di controlli anonimi potevano violare la privacy.

La pseudonimizzazione (oscuramento temporaneo dei dati), dice il Garante, non fornirebbe garanzie, anche perchè chi sarà sottoposto a controlli generati dall’algoritmo anonimo non avrebbe il diritto di rettifica.

Tanto premesso, si evidenzia comunque che il potenziale contrasto tra esigenze di controllo fiscale e contrasto all’evasione, da una parte, e tutela della privacy, dall’altra, dovrebbe essere risolto alla luce del principio del bilanciamento di interessi contrapposti, per esempio, assicurandosi che i dati vengano trattati con le garanzie e tutele necessarie.

Insomma, un percorso, da costruire, molto complesso, dove la linea di demarcazione tra due legittime e fondamentali esigenze collettive (lotta all’evasione e tutela della privacy) è spesso molto sottile.