Il decreto del MEF del 28 giugno 2022, pubblicato nella Gazzetta Ufficiale 1° luglio 2022 n. 157, diversamente da quanto titolato da alcuni organi di stampa, non è un provvedimento di approvazione di un “algoritmo anti evasione” ma, semplicemente, un contenitore delle diverse disposizioni che impattano sulla normativa in materia di tutela dei dati personali (il Reg. 2016/679, cd. GDPR, e, sul fronte “interno”, il D. Lgs. n. 196/2003).
Si tratta, da un lato, di una alquanto generica prospettazione delle modalità di trattamento dei dati personali che l'Agenzia delle Entrate e la Guardia di Finanza porranno in essere per le finalità di analisi del rischio e di conseguente selezione dei contribuenti da sottoporre a controllo e, dall'altra, delle limitazioni dei diritti dei contribuenti sul versante delle tutele dispiegate in materia di dati personali dai citati provvedimenti normativi.
Dati oggetto di trattamento
Il decreto prevede espressamente il novero dei dati dei contribuenti che saranno oggetto di trattamento per le descritte finalità; si tratta di:
identità anagrafica;
capacità economica (dichiarazioni fiscali; patrimonio mobiliare e immobiliare; dati contabili e finanziari; dati relativi a pagamenti, versamenti e compensazioni);
dati di profilazione relativi ad eventuali profili di rischio.
Il provvedimento, altresì, esclude che il trattamento possa riguardare le cosiddette “categorie particolari” di dati personali (quali opinioni politiche, convinzioni religiose, dati biometrici e dati relativi alla salute dell'individuo).
Conservazione dei dati
Già a questo punto si ravvisa un prima criticità: il provvedimento dispone infatti che questi dati sono conservati sino al secondo anno successivo a quello in cui matura la decadenza della potestà impositiva e, comunque, fino alla definizione di eventuali giudizi.
La previsione, oltre a profilarsi contra legem, non si spiega nemmeno razionalmente.
Il contrasto con la normativa vigente in materia di privacy si palesa in ragione di quanto dispone l'art. 5, paragrafo 1 lett. e) del GDPR, il quale stabilisce il principio della “limitazione della conservazione” in virtù del quale l'arco temporale di conservazione dei dati personali deve essere rapportato alle finalità specifiche per le quali sono stati raccolti.
Se i dati sono raccolti e trattati per la “esclusiva” finalità di analisi del rischio fiscale e successiva composizione delle liste di controllo, il decreto del MEF non pare essere consono alla legge: per quale oscura ragione questi dati dovrebbero essere mantenuti addirittura ben oltre i termini di decadenza per l'esercizio dell'azione accertatrice non è dato sapere.
Finalità preventiva del trattamento dati
Ma c'è di più.
Dalla combinazione delle previsioni degli articoli 5 e 6 del GDPR, ossia dalle condizioni di liceità e finalità nei limiti di quanto necessario per il raggiungimento dello scopo per i quali i dati sono stati raccolti, nasce il principio di “minimizzazione del trattamento”: una delle “pietre angolari” della normativa europea in materia di protezione dei dati personali, che contempla come questi ultimi debbano essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
Ma anche a voler sorvolare, si fa per dire, sul dettato del GDPR, parimenti da un punto di vista razionale i conti non tornano: se la “prevenzione” – ossia l'analisi del rischio fiscale e la genesi della lista di controllo – si arresta al tempo dell'evento fisiologicamente conseguente – ossia l'avvio del controllo o addirittura la notifica “diretta” dell'atto impositivo – a cosa serve mantenere i dati per i due anni successivi a quando matura la decadenza della potestà impositiva o, addirittura, fino alla definizione di eventuali giudizi (coi tempi che corrono, anche 7/10 anni dalla notifica del ricorso introduttivo)?
Ora, sebbene non ci siano criteri ufficiali idonei a determinare il periodo massimo di conservazione dei dati personali, nel caso che ci occupa lo spartiacque temporale dell'avvio dell'attività di controllo e/o accertamento, ovvero lo spirare del termine di decadenza per l'esercizio dell'azione accertatrice, a mio avviso “deve” rappresentare il fisiologico momento conclusivo della finalità - non mi stanco di ripeterlo esclusivamente “preventiva” - per la quale i dati sono stati trattati, così da lasciare spazio all'altrettanto fisiologica procedura di distruzione dei dataset.
Alla luce di tutto ciò, lascia fortemente perplessi anche la previsione secondo cui “nel corso dei due anni successivi a quello in cui matura la decadenza della potestà impositiva l'Agenzia e la Guardia di finanza adottano misure di garanzia adeguate ad escludere il trattamento dei dati contenuti nei dataset per finalità diverse dall'esercizio del diritto di accesso”: e ci mancherebbe pure, verrebbe da dire, che su quei dati personali possano essere effettuati trattamenti di altra natura!
Fonte: DM 28 giugno 2022 (GU 1° luglio 2022. n. 152)