Memoria del Presidente dell'Autorità garante per la protezione dei dati personali sul disegno di legge di bilancio 2020

Commissione 5a (Bilancio) del Senato della Repubblica

(12 novembre 2019)

1. Premessa.

Il disegno di legge contiene alcune disposizioni d'interesse sotto il profilo della protezione dei dati personali, meritevoli di talune considerazioni ai fini della piena conformità delle norme in esame con la disciplina, di fonte europea e nazionale, rilevante in materia.

In questa sede, ci si limiterà ad analizzare le sole norme meritevoli di integrazione o modifica, non considerando le pur numerose disposizioni volte a legittimare ulteriori trattamenti di dati personali, la cui applicazione dovrà, come noto, osservare la disciplina europea e nazionale di riferimento.

2. Analisi del rischio per finalità di prevenzione e contrasto dell'evasione fiscale.

Tra le norme meritevoli di particolare attenzione rileva, in primo luogo, l'art. 86, che al primo comma, con riferimento ai dati contenuti nell'Archivio dei rapporti finanziari e ai fini di cui all'art. 11, comma 4, del decreto-legge n. 201 del 2011, legittima l'Agenzia delle entrate– previa pseudonimizzazione dei dati personali – ad avvalersi delle tecnologie, delle elaborazioni e delle interconnessioni con le altre banche dati di cui dispone, per elaborare criteri di rischio utili a far emergere posizioni da sottoporre a controllo e incentivare l'adempimento spontaneo. Analoghe facoltà sono riconosciute, dal comma 3 dell'articolo, relativamente agli stessi dati, alla Guardia di finanza, pur in assenza di un'adeguata specificazione del relativo ruolo, anche in rapporto alle attività dell'Agenzia delle entrate, nonché del coordinamento tra l'Archivio dei rapporti finanziari e le altre banche dati con cui esso si interconnetta, con evidenti rischi di disallineamenti o duplicazione delle informazioni, nonché di attenuazione della qualità dei dati.

In ordine al comma 1, la prevista interconnessione delle banche dati, funzionale in particolare all'elaborazione dei parametri di rischio fiscale, non pare particolarmente innovativa, dal momento che tale possibilità era già sottesa alla riforma di cui al d.l. n. 201 del 2011, convertito, con modificazioni, dalla l. 214 del 2011, senza che peraltro il Garante avesse sul punto sollevato obiezioni né richiesto la pseudonimizzazione dei dati.

Il comma 1 dell'articolo contiene, poi, un riferimento all'art. 23 del Regolamento (UE) 2016/679 (di seguito: Regolamento), relativo alle limitazioni dei diritti degli interessati – non all'intera disciplina di protezione dati che, comunque, l'Agenzia e la Guardia di finanza sono tenute a rispettare - che risulta probabilmente fuorviante in assenza delle precisazioni, di cui si dirà, alle modifiche proposte al comma successivo.

In tale disposizione sarebbe, invece, più utile inserire un richiamo all'art. 22, par.2, lett. b) del Regolamento, nella parte in cui, per le decisioni fondate su trattamenti automatizzati normativamente previsti, impone di introdurre anche misure adeguate a tutela dei diritti e delle libertà degli interessati. In tal senso potrebbe essere adeguato anche il rinvio a disposizioni attuative della stessa Agenzia delle entrate che, previo parere del Garante, prevedano - come peraltro rappresentato anche nella stessa Relazione illustrativa - apposite misure di sicurezza, controlli sulla qualità dei dati e sulle elaborazioni logiche, nonché cautele relative al trattamento automatizzato, in modo da ridurre i rischi per gli interessati, con particolare riguardo ad erronee rappresentazioni della capacità contributiva.

Si tratta di accorgimenti che, lungi dal depotenziare l'efficacia dell'azione di contrasto dell'evasione, potrebbero invece promuoverla- correggendo potenziali errori o distorsioni nel processo decisionale automatizzato – e conferirle, anche nella percezione dei cittadini, quella più forte legittimazione che una combinazione equa di tecnologia e "fattore umano" può assicurare all'azione amministrativa.

Con riferimento, invece, alla pseudonimizzazione prevista dal medesimo comma 1 dell'articolo 86, va ricordato anzitutto che i dati personali sottoposti a pseudonimizzazione non perdono la loro caratteristica di dati "personali", appunto, riferendosi comunque a persone fisiche identificabili, sia pur in via indiretta, con conseguente applicazione della disciplina di protezione dati (cfr. art. 4, nn. 1) e 5) e cons. 26 del Regolamento).

In particolare, il ricorso alla pseudonimizzazione nell'ambito del patrimonio informativo dell'Agenzia delle entrate, che, in costante incremento, già contiene miliardi di informazioni di dettaglio relative ad ogni aspetto della vita privata di tutta la popolazione, ivi compresi i minori, non costituisce un'efficace garanzia. E ciò per due ordini di ragioni.

Innanzitutto perché, in ragione del dettaglio delle informazioni che, presso il titolare del trattamento, sarebbero associate allo pseudonimo in luogo del codice fiscale, l'interessato risulterebbe comunque identificabile.

In secondo luogo, perché le finalità per le quali verrebbe effettuato il trattamento di dati pseudonimizzati, ovvero l'individuazione delle posizioni da sottoporre a controllo e incentivare l'adempimento spontaneo, sono di per sé volte all'identificazione del contribuente, sicché in sostanza la misura prevista contrasterebbe con la finalità perseguita e si risolverebbe in un inutile aggravio per l'Agenzia.

3. Limitazioni dei diritti dell'interessato.

Il comma 2 dell'art. 86 ricomprende gli interessi tutelati in base alla disciplina in materia di prevenzione e contrasto dell'evasione fiscale tra i presupposti che, ai sensi dell'art. 2-undecies del d.lgs. n. 196 del 2003 e successive modificazioni, recante il Codice in materia di protezione dei dati personali (di seguito: Codice), consentono di limitare o escludere l'esercizio dei diritti dell'interessato, riconosciuti dalla normativa in materia di protezione dati personali e, in particolare, dal Regolamento. Tale modifica, rischia, di risultare, paradossalmente, disfunzionale rispetto agli stessi interessi perseguiti, oltre che di dubbia legittimità se non adeguatamente circoscritta. Le stesse ragioni sottese alla modifica, non esplicitate in Relazione, non appaiono di immediata evidenza, dal momento che, per come è formulata, la disposizione non pare introdurre elementi di reale utilità rispetto all'azione di prevenzione e contrasto dell'evasione fiscale. Non risultano, del resto, all'Autorità, casi di esercizio dei diritti da parte dei contribuenti tali da aver mai arrecato pregiudizio all'efficacia dell'azione dell'amministrazione finanziaria. 

Va anzitutto chiarito che, lungi dal delineare specifiche misure volte a potenziare l'efficacia dell'azione di contrasto dell'evasione, l'articolo 86, comma 2, del disegno di legge introduce una generale limitazione dei diritti esercitabili dal cittadino in ogni procedimento, anche soltanto amministrativo, attinente genericamente la materia della prevenzione e del contrasto dell'evasione fiscale, escludendo anche la possibilità di proporre un reclamo al Garante.

La preclusione dell'esercizio in via diretta, da parte degli interessati, dei diritti in relazione ai propri dati, appare in primo luogo in contrasto, a tacer d'altro, con lo Statuto dei diritti del contribuente (legge n. 212 del 2000), che ha inteso regolare i rapporti tra amministrazione finanziaria e contribuenti secondo principi massima trasparenza.

Il diritto d'accesso alle informazioni in possesso dell'amministrazione finanziaria oltre a essere stato riconosciuto dalla giurisprudenza amministrativa, anche in favore dei terzi, secondo i canoni della legge n. 241 del 1990- anche in relazione ai dati presenti nell'archivio dei rapporti finanziari- è, infatti, funzionale alla correttezza dei rapporti con il contribuente, direttamente chiamato a dichiarare al fisco le informazioni rilevanti per l'assolvimento degli obblighi tributari. E questo, soprattutto con l'introduzione della dichiarazione precompilata, fondata proprio sulla messa a disposizione del contribuente delle informazioni nella disponibilità dell'amministrazione finanziaria.

Precludere poi (o anche solo limitare) l'esercizio, direttamente da parte degli interessati, del diritto di rettificare dati inesatti, rischia di ostacolare la rilevazione di errori nelle valutazioni prodromiche alle verifiche fiscali, che rischiano di determinare una falsa rappresentazione della capacità contributiva, deviando dunque e depotenziando l'efficacia dell'azione di contrasto dell'evasione fiscale.

Anche la limitazione del diritto a richiedere in via diretta la cancellazione di dati, ad esempio illegittimamente acquisiti, lungi dall'agevolare l'azione di contrasto, rischia invece di protrarre condotte illecite, esponendo, così, l'amministrazione a ingenti richieste risarcitorie oltre che a sanzioni amministrative rilevanti. 

Risulta, pertanto, ingiustificatamente gravoso consentire l'esercizio di tali diritti unicamente, tramite il Garante, ai sensi dell'art. 2-undecies, comma 3, in quanto ciò comporta tempi e procedure ben diversi dall'istanza diretta del singolo al titolare del trattamento.

Fermi restando questi dubbi sulla stessa funzionalità ed efficacia della proposta, si consideri in ogni caso che le limitazioni dei diritti dell'interessato possono ammettersi, per espressa previsione della disciplina di protezione dati, solo se l'esercizio di tali diritti possa determinare un pregiudizio effettivo e concreto alle esigenze pubbliche perseguite e nei limiti di quanto "necessario e proporzionato in una società democratica" (art. 23 del Regolamento e 2-undecies del Codice).

Per impedire valutazioni eccessivamente disomogenee quando non addirittura decisioni scorrette, sarà necessario delineare, con la stessa legge, casi e presupposti che consentano di ravvisare il suddetto "pregiudizio effettivo e concreto". E questo, a maggior ragione se si deciderà di mantenere il riferimento alla prevenzione (oltre che al contrasto) dell'evasione fiscale tra gli obiettivi di interesse pubblico che legittimano tali limitazioni, considerando che mentre il contrasto include almeno, in parte, illeciti penali, la prevenzione per definizione allude a un novero ben più ampio di comportamenti, non necessariamente di per sé soli contra legem o comunque prodromici a più gravi illeciti.

Andrà quindi adeguatamente circoscritta la portata delle limitazioni disposte per rendere la norma conforme (almeno in parte qua) all'art. 23 del Regolamento che costituisce, peraltro, parametro di legittimità della disciplina interna anche ai sensi dell'art. 117, comma primo, della Costituzione, disciplinando, in particolare, le categorie di dati coinvolti, le garanzie per prevenire vari tipi di illeciti, i rischi per i diritti e le libertà. Qualsiasi limitazione, ancorché legislativamente imposta, non può infatti intaccare –per espressa previsione del citato art. 23 - l'essenza dei diritti e delle libertà considerati e deve rispettare i principi di necessità e proporzionalità.

Su questo, soprattutto, si invita il legislatore a valutare con rigore la modifica proposta, anche per evitare profili di incompatibilità con la disciplina europea di riferimento, che renderebbe la norma di per sé illegittima.

Nella sua generalità, infatti, la modifica proposta rischia di introdurre una limitazione eccedente le reali necessità perseguite, ostacolando l'esercizio dei diritti dei cittadini anche in ipotesi nelle quali esso non pregiudichi realmente le attività funzionali al contenimento del rischio di evasione fiscale.

Il raffronto con la disciplina delle limitazioni dell'esercizio dei diritti degli interessati, prevista in tema di riciclaggio (cui la modifica proposta accosta, anche a livello testuale, la materia degli illeciti fiscali, all'interno dell'art. 2-undecies), è in tal senso significativo.

L'art. 39 del decreto legislativo n. 231 del 2007, come modificato dal d.lgs. 125 del 1019, circoscrive infatti le limitazioni dell'esercizio dei diritti (ai trattamenti connessi) alle sole attività di segnalazione di operazioni sospette e alle comunicazioni conseguenti (ulteriori informazioni richieste dalla UIF, dati relativi all'esistenza ovvero alla probabilità di indagini o approfondimenti in materia di riciclaggio o di finanziamento del terrorismo).

Gli stessi diritti oggetto di limitazione sono, nel citato art. 39, selezionati, essendone ad esempio sottratto (con conseguente esclusione della possibilità di limitazione) il diritto di cui all'art. 19 del Regolamento, che radica in capo al titolare del trattamento l'obbligo di comunicare, a coloro ai quali i dati siano stati trasmessi, le eventuali rettifiche, cancellazioni o limitazioni effettuate sui dati stessi. Si tratta di uno strumento utile a impedire che dati inesatti (e perciò rettificati, cancellati ecc. da una banca dati) o, peggio, illecitamente trattati, permangano in altri sistemi informativi, con rischi non soltanto per l'interessato ma anche per la stessa efficacia dell'azione di contrasto. Naturalmente, si tratta di un diritto che trova la sua ragion d'essere rispetto ai casi nei quali la limitazione dei diritti di cancellazione, rettifica ecc., pur astrattamente prevista dall'art. 39 citato, non sia stata opposta per l'assenza di concreto pregiudizio per gli interessi pubblici perseguiti.

Pertanto, anche la modifica proposta all'art. 86, comma 2, dovrebbe adeguatamente circoscrivere l'ambito oggettivo di applicazione della norma derogatrice (che come tale, peraltro, sarebbe comunque insuscettibile di estensione analogica) indicando almeno, ai sensi dell'art. 23 del Regolamento e della disciplina generale di cui all'art. 2-undecies del Codice (comma 3, in particolare):

- i trattamenti (ed auspicabilmente anche i titolari) rispetto ai quali si preveda la possibilità di limitazione dell'esercizio dei diritti. Potrebbe essere, in particolare, utile riferirsi ad alcuni dei trattamenti di cui al comma 1 dell'art. 86 stesso- così da valorizzare il contenuto dell'art. 23 del Regolamento, il cui richiamo, al citato comma 1, sarebbe altrimenti poco funzionale - nonché ai trattamenti inerenti le valutazioni inferite dall'analisi dei dati originari acquisiti o comunque dati non di carattere oggettivo, che concernano giudizi o decisioni in via di assunzione;

- gli specifici diritti oggetto di limitazione, ulteriormente selezionandone solo quelli il cui esercizio sia suscettibile di pregiudicare le attività di (prevenzione e) contrasto dell'evasione fiscale, come ad esempio nel caso di rettifica o integrazione dei dati di carattere valutativo cui sopra si accennava. In tal senso potrebbe essere opportuno escludere dal novero dei diritti oggetto di limitazione quello di cui all'art. 19 del citato Regolamento, in analogia con quanto disposto in materia di riciclaggio e in ragione dell'esigenza di non mantenere, nei vari archivi, dati che siano stati, ad esempio, rettificati o cancellati proprio perché, in ipotesi, inesatti o illecitamente raccolti o conservati. Resta peraltro fermo quanto su esposto circa l'inopportunità di limitare il diritto di accesso dell'interessato e il diritto alla rettifica dei dati oggettivi, utile anche alla stessa correttezza dell'azione amministrativa fondata sull'analisi di tali dati;

- i parametri in base ai quali ritenere sussistente, in caso di esercizio dei diritti da parte dell'interessato, il pregiudizio effettivo e concreto alle esigenze indicate, al fine di meglio orientare, nella prassi, l'applicazione della norma, evitando ingiustificate disparità di trattamento.

4. Pubblicità delle procedure di reclutamento del personale pubblico.

L'articolo 18 del disegno di legge, nel novellare l'art. 19 del decreto legislativo n. 33 del 2013, impone ai soggetti tenuti all'osservanza delle norme in materia di trasparenza (art. 2-bis del decreto stesso), la pubblicazione delle tracce delle prove (non più soltanto scritte) e delle graduatorie finali delle procedure di reclutamento del personale, aggiornate con l'eventuale scorrimento degli idonei non vincitori.

Nella formulazione attuale, l'art. 19 limita la pubblicazione ai soli bandi di concorso per il reclutamento del personale, ai criteri di valutazione seguiti dalle commissioni esaminatrici e alle tracce delle prove scritte, fermi restando gli specifici obblighi di pubblicità legale previsti da altre norme di settore, attinenti in linea generale ai provvedimenti finali e alle graduatorie di procedimenti relativi a concorsi, prove selettive e progressioni di carriera (cfr. art. 7, d.P.R. 10 gennaio 1957, n. 3; nonché art. 15, d.P.R. 9 maggio 1994, n. 487, in particolare, commi 5, 6 e 6-bis e, più in generale, sulla pubblicità delle procedure di reclutamento del personale delle pubbliche amministrazioni, art. 35, comma 3, d. lgs. 30 marzo 2001, n. 165).

Tali disposizioni regolano tempi e modi della pubblicità (ad es.: affissione presso la sede dell'ente pubblico, pubblicazione nel bollettino dell'amministrazione o, per gli enti locali, all'albo pretorio) in conformità alla disciplina di settore, per consentire ai partecipanti alle procedure concorsuali o selettive, l'esercizio dei diritti loro riconosciuti dall'ordinamento, in relazione allo specifico procedimento amministrativo considerato.

La modifica proposta non soltanto duplicherebbe tali obblighi di pubblicità (facendoli, appunto, salvi), ma ne determinerebbe un significativo mutamento, correlandovi ulteriori e rilevanti implicazioni dovute all'inserimento della prevista pubblicazione all'interno del più articolato contesto della disciplina della trasparenza amministrativa, come declinata dal d.lgs. n. 33 del 2013. Le implicazioni connesse – in termini di indicizzabilità, durata della pubblicazione, riutilizzo - agli obblighi di pubblicità previsti dal decreto-trasparenza sono state, non a caso, uno degli elementi considerati dalla Consulta, in sede di scrutinio della proporzionalità e ragionevolezza della disciplina degli obblighi di pubblicità previsti per i dirigenti pubblici (sent. n. 20/2019).

La Corte ha, in quella sede, ricordato come "l'indicizzazione e la libera rintracciabilità sul web, con l'ausilio di comuni motori di ricerca, dei dati personali pubblicati, non è coerente al fine di favorire la corretta conoscenza della condotta della pubblica dirigenza e delle modalità di utilizzo delle risorse pubbliche. Tali forme di pubblicità rischiano piuttosto di consentire il reperimento "casuale" di dati personali, stimolando altresì forme di ricerca ispirate unicamente dall'esigenza di soddisfare mere curiosità".

L'attrazione, nell'ambito della disciplina della trasparenza, degli obblighi di pubblicità delle graduatorie finali delle procedure di reclutamento del personale – con le implicazioni che ne derivano in ordine all'applicabilità di istituti conseguenti quali: l'accesso civico (art. 5, c.1), l'indicizzazione (art. 7-bis, comma 1, e 9), il riutilizzo (art. 7), la durata dell'obbligo di pubblicazione (art. 8) – solleva, dunque, talune perplessità sotto il profilo del rispetto del canone di proporzionalità, assurto nella giurisprudenza della Corte di giustizia a parametro ermeneutico essenziale in materia (vds. sentenze 20 maggio 2003, nelle cause riunite C-465/00, C-138/01 e C-139/01, Österreichischer Rundfunk e altri, e 9 novembre 2010, nelle cause riunite C-92/09 e 93/09, Volker und Markus Schecke e Eifert, 8 aprile 2004, C- 203/12 e C-594/12, Digital Rights Ireland; 21 dicembre 2016, Tele2 Sverige, C-203/15 e 698/15 nonché, per quanto concerne la Corte europea dei diritti umani, in ordine al canone di proporzionalità in via generale, cfr., in particolare, sez. II, sent. 28 novembre 2017, ric. n. 70838-13; Grande Camera, 5 settembre 2017, Bărbulescu c. Romania, n. 61496/08).

Quello della necessità delle misure limitative del diritto alla protezione dati è, peraltro un principio che la Corte di giustizia (ma anche la Corte Edu) ha più volte valorizzato, ammettendo le misure più invasive solo a fronte dell'inidoneità allo scopo di sistemi meno limitativi del diritto, dal momento che "deroghe e restrizioni" ai diritti fondamentali devono intervenire "entro i limiti dello stretto necessario" (cfr., ex plurimis, CGUE, C-362/14, Maximillian Schrems c. Data Protection Commissioner [GC], 6 ottobre 2015).

La stessa Corte costituzionale, con la citata sentenza n. 20 del 2019, ha attribuito a tali principi una rilevante funzione etero-integrativa del canone di ragionevolezza di cui all'art. 3 della Costituzione, fondandovi la declaratoria di illegittimità parziale, per violazione appunto del parametro interno così integrato, dell'art. 14, comma 1-bis, del d.lgs. n. 33 del 2013.

La partecipazione a una selezione concorsuale (e il relativo esito), eventualmente anche in costanza di altro rapporto di lavoro, costituisce un dato che merita adeguata protezione (anche ai fini di cui agli artt. 8 St. lav. e 10 d. lgs. n. 276/2003), secondo modalità che possano coniugare, in maniera equilibrata, il principio di trasparenza amministrativa e il diritto alla protezione dei dati personali.

La norma in esame dovrà, pertanto, essere riconsiderata alla luce di tale esigenza di bilanciamento e della valutazione in ordine alla effettiva necessità di un simile mutamento normativo.

Antonello Soro