L’amministrazione finanziaria agisce, nell’esercizio delle proprie funzioni istituzionali di controllo, mediante una serie di poteri che le consentono di venire a conoscenza di informazioni coperte da “segreti” e obblighi di riservatezza di vario genere. Tali poteri sono “codificati” soprattutto nei settori impositivi “paralleli” dell’IVA e delle imposte sui redditi.
Inoltre occorre tenere conto delle disposizioni normative che a livello nazionale e comunitario tutelano il diritto alla riservatezza (privacy) di ciascuno.
L’ampia gamma di strumenti che, grazie all’utilizzo delle tecnologie informatiche, sono a disposizione del Fisco, insieme alla disponibilità di vaste banche dati, fa del controllo fiscale un’attività formalizzata, che trae impulso non da un arbitrio del soggetto pubblico, ma da una selezione puntuale compiuta su una platea di soggetti connotati da indici di “pericolosità fiscale”.
Questa attività autoritativa, tradizionalmente vista soprattutto sotto il profilo dei poteri (del fisco) e dei diritti di difesa (del contribuente) deve ormai misurarsi anche con le ragioni della tutela delle situazioni soggettive dei cittadini, sia in sede di controllo (ambito caratterizzato da previsioni derogatorie rispetto alla disciplina generale), sia in tutte le altre attività che possono riguardare i dati e le informazioni dei cittadini, raccolte e amministrate dalla PA – in particolare, in misura massiccia, dal fisco – sempre nella prospettiva dell’esercizio delle attività istituzionali previste.
Privacy: aspetti generali
Prima di approfondire il tema della privacy tributaria ricordiamo che, con il D.Lgs. 30.06.2003, n. 196, è stato introdotto il codice in materia di protezione dei dati personali (codice della privacy), il cui art. 1 dispone che:
“il trattamento dei dati personali avviene secondo le norme del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 …, e del presente codice, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona”.
Per effetto delle recenti innovazioni apportate dal D.Lgs. 10.08.2018 n. 101, i principi e le regole in materia di protezione dei dati personali delle persone fisiche sono quelli stabiliti dal regolamento UE 27.04.2016 n. 679 (GDPR – General Data Protection Regulation).
Tale regolamento, “parallelo” alla direttiva 27.04.2016 n. 680, relativa al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, è entrato in vigore il 24.05.2016 ed è direttamente applicabile in tutti gli Stati membri UE.
Secondo l’art. 2-sexies del citato D.Lgs. n. 101/2018 (“Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante”):
“1. I trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
2. Fermo quanto previsto dal comma 1, si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie:
(omissis)
dd) instaurazione, gestione ed estinzione, di rapporti di lavoro di qualunque tipo, anche non retribuito o onorario, e di altre forme di impiego, materia sindacale, occupazione e collocamento obbligatorio, previdenza e assistenza, tutela delle minoranze e pari opportunità nell’ambito dei rapporti di lavoro, adempimento degli obblighi retributivi, fiscali e contabili, igiene e sicurezza del lavoro o di sicurezza o salute della popolazione, accertamento della responsabilità civile, disciplinare e contabile, attività ispettiva”.
Dati personali
I dati personali, secondo l’art. 5 del regolamento GDPR, devono essere:
- trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
- raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
- adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
- esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
- conservati in una forma che consenta l’identificazione degli interessati per un arco di tem