Nell'ambito del decreto del MEF 28 giugno 2022 che dispone in materia di trattamento dei dati personali funzionali alle elaborazioni da archivio dei rapporti finanziari in chiave di analisi del rischio e attività di controllo, abbiamo affrontato la questione delle considerevoli limitazioni imposte al contribuente quanto ai diritti da lui esercitabili.
Limitazioni
Le limitazioni poggiano su una modifica normativa del 2019 passata pressoché inosservata nel mare magnum di una Legge di stabilità - art. 1, comma 681 della Legge 27 dicembre 2019, n. 160 – la quale ha implementato il nostro codice per la protezione dei dati personali, D. Lgs. n. 196/2003, con la previsione che i diritti di cui agli articoli da 15 a 22 del GDPR non possono essere esercitati con richiesta al “titolare del trattamento” ovvero con “reclamo” ai sensi dell'articolo 77 del Regolamento qualora dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto, tra gli altri, agli interessi tutelati in materia tributaria e allo svolgimento delle attività di prevenzione e contrasto all'evasione fiscale.
A corredo di tale disposizione di carattere generale, il decreto legislativo n. 196/2003 prevede però che detti diritti possano essere esercitati conformemente alle disposizioni di legge o di regolamento che regolano il settore.
E qui interviene il decreto MEF 28 giugno 2022 che, in materia, detta la seguente “griglia” temporale per l'esercizio del diritto:
per i contribuenti destinatari delle attività di compliance, a decorrere dal momento di ricezione degli inviti alla regolarizzazione della posizione fiscale;
per i contribuenti destinatari delle attività di controllo, a decorrere dalla consegna del processo verbale di constatazione ovvero dalla notifica dell'atto istruttorio o del provvedimento impositivo (ovviamente quando tali documenti o atti ricomprendano riferimenti ai dati finanziaria, sia “direttamente” sia “indirettamente”);
per i contribuenti non destinatari delle due precedenti tipologie di attività, a decorrere dal primo giorno successivo a quello in cui matura la decadenza della potestà impositiva.
Ma attenzione, dette decorrenze non significano affatto che il contribuente possa ottenere le informazioni desiderate, atteso che il codice per la protezione dei dati personali prevede come l'esercizio dei diritti “limitati” può, in ogni caso, essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all'interessato per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata al fine di salvaguardare gli interessi del fisco.
Diritti del contribuente
In questi casi, la normativa vigente prevede che i diritti dell'interessato, quindi del contribuente, possono essere esercitati anche tramite il Garante con le modalità di cui all'articolo 160 del D. Lgs. n. 193/2003: in altre parole, si chiede al Garante di predisporre “particolari accertamenti” nei confronti del titolare del trattamento, quindi del fisco, per riscontrare se il trattamento effettuato è conforme alle norme del GDPR ovvero alle disposizioni di legge o di regolamento.
Va però sottolineato come la richiesta di intervento del contribuente, peraltro non codificata stante la citata preclusione alla possibilità di presentare il “reclamo” ex art. 77 del GDPR, debba comunque essere formata come un atto circostanziato tramite il quale si rappresenta una violazione della disciplina rilevante in materia di protezione dei dati personali: compito decisamente arduo, se non impossibile, per il contribuente che è completamente all'oscuro del lavorio che ha preceduto la genesi dell'atto ricevuto.
Il richiamo all'articolo 160 del D. Lgs. n. 196/2003 è peraltro inconferente, in quanto si tratta di una disposizione che disciplina l'intervento del Garante per i trattamenti di dati personali effettuati per fini di sicurezza nazionale o difesa, che nulla hanno a che vedere con analisi del rischio e controlli fiscali: ma reca convenienze, guarda caso, per il fisco.
Ebbene, anche a volere ipotizzare la circostanza che la segnalazione e la richiesta del contribuente abbiano generato l'azione ispettiva del Garante, quest'ultima si caratterizza per una marcata distinzione dal procedimento ispettivo ordinario.
Infatti, per i “particolari accertamenti” vengono previste particolari cautele nella gestione dei documenti acquisiti, ravvisabili nell'idonea conservazione affinché sia garantita la generale segretezza e la conoscibilità ai soli membri del Garante e, se necessario per lo svolgimento delle funzioni dell'organo, per un numero delimitato di addetti all'Ufficio individuati dal Garante.
Non solo: per gli accertamenti relativi agli organismi di informazione e di sicurezza e ai dati coperti da segreto di Stato il componente designato dal Garante prende esclusivamente visione degli atti e dei documenti rilevanti e riferisce oralmente nelle riunioni del Garante, con ciò escludendo qualsiasi acquisizione documentale.
Il MEF, quindi, con il richiamo al procedimento in esame sembrerebbe equiparare le elaborazioni propedeutiche alla rilevazione del “rischio fiscale” alla sicurezza nazionale e alla difesa dello Stato: un po' esagerato, senza dubbio.
Ostacoli all'esercizio dei diritti del contribuente
Più pragmaticamente, grazie al descritto reticolato delle diverse disposizioni oppone al contribuente e all'esercizio dei suoi diritti due solidi ostacoli: il primo, ravvisabile nell'oggettiva difficoltà di individuare una possibile lesione dei diritti personali derivante da trattamenti effettuati in violazione di legge o di regolamento e con essa di strutturare un atto circostanziato e meritevole di essere valutato; il secondo, ravvisabile nel procedimento ispettivo “aggravato” a cura dell'Ufficio del Garante che ne potrebbe eventualmente derivare.
Al contribuente, nella migliore delle ipotesi, non resta che l'informazione del Garante di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché la comunicazione circa il diritto dell'interessato di proporre ricorso giurisdizionale.