Per il contribuente ridotto il diritto di accesso ai dati

In un precedente intervento sono state esaminate le incongruenze del decreto MEF 28 giugno 2022, diramato in materia di trattamento dei dati contenuti nell'archivio dei rapporti finanziari, quanto al periodo di conservazione delle risultanze delle relative attività: questa volta affrontiamo il “diritto di accesso” del contribuente e le limitazioni imposte dal Ministero dell'Economia e delle Finanze.

Diritto di accesso e la relativa tempistica per l'archivio dei rapporti finanziari

Il GDPR, Regolamento europeo n. 2016/679, prevede che l'interessato, nel caso che ci occupa il contribuente persona fisica, ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni:

a) le finalità del trattamento;

b) le categorie di dati personali in questione;

c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

e) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;

f) il diritto di proporre reclamo a un'autorità di controllo;

g) qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;

h) l'esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

La norma intende tutelare la persona fisica che, ipotizzando o avendo consapevolezza che i suoi dati sono oggetto di trattamento, ha il diritto di conoscere le “manovre” in atto che lo riguardano.

Per quanto riguarda i trattamenti che verranno effettuati nell'archivio dei rapporti finanziari, il decreto del MEF ha previsto una griglia diversificata soggettivamente per la decorrenza dell'esercizio del diritto.

Segnatamente, il diritto d'accesso può essere esercitato:

• per i contribuenti destinatari delle attività di compliance, a decorrere dal momento di ricezione degli inviti alla regolarizzazione della posizione fiscale;
• per i contribuenti destinatari delle attività di controllo, a decorrere dalla consegna del processo verbale di constatazione ovvero dalla notifica dell'atto istruttorio o del provvedimento impositivo (ovviamente quando tali documenti o atti ricomprendano riferimenti ai dati finanziaria, sia “direttamente” sia “indirettamente”);
• per i contribuenti non destinatari delle due precedenti tipologie di attività, a decorrere dal primo giorno successivo a quello in cui matura la decadenza della potestà impositiva.

“Depotenziamento” del diritto di accesso

L'articolazione del diritto di accesso descritta in precedenza è quella prevista dal GDPR: il decreto ministeriale, però, si guarda bene dal “concederla” integralmente e dispone due considerevoli limitazioni.

È infatti possibile l'esercizio del diritto limitatamente all'acquisizione delle informazioni relative a:

• le finalità del trattamento;
• le categorie di dati personali in questione;
• i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
• l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
• qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine.

Ne deriva, quindi, che il contribuente diversamente da quanto ordinariamente previsto non potrà esercitare il diritto di proporre reclamo a un'autorità di controllo e, soprattutto, non potrà acquisire informazioni in ordine all'esistenza di un processo decisionale automatizzato, compresa la “profilazione”, che lo riguardi nonché, in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per la sua persona.

Ritengo necessario ricordare che la “profilazione”, secondo il GDPR, è qualsiasi forma di trattamento automatizzato di dati personali consistente nel loro utilizzo per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica.

Siamo di fronte, evidentemente, ad un trattamento dei dati decisamente invasivo, ragione per cui il GDPR impone che la profilazione, nei casi in cui sia ammessa, venga svolta utilizzando i soli dati strettamente necessari per la finalità indicata, in ossequio al principio di pertinenza e di proporzionalità previsti dal citato Regolamento europeo.

Ebbene, atteso che il fisco tratterà anche “i dati di profilazione relativi agli eventuali indicatori di rischio desunti o derivati attribuiti ai soggetti” (art. 3, comma 2, del decreto) e che le asserite “Misure a tutela dei diritti e delle libertà degli interessati” di cui all'articolo 5 occupano addirittura quasi una pagina intera di Gazzetta Ufficiale, è legittimo chiedersi quale sia la ragione, anche in questo caso “oscura”, che depone per il mantenimento di questa preoccupante zona d'ombra.

In fondo, una volta completato il “dataset di controllo”, quale pregiudizio effettivo e concreto al sacrosanto obiettivo di interesse pubblico di prevenzione e contrasto all'evasione fiscale potrebbe arrecare il diritto di accesso del contribuente ormai entrato nel mirino del fisco?

Viene da dire che se il passato – GDPR - lo si padroneggia tutto sommato niente male, è il presente - decreto MEF - che davvero non si capisce.