GIUSTIZIA INSIEME

ISBN 978-88-548-2217-7 ISSN 2036-5993-Registrazione: 18/09/2009 n.313 presso il Tribunale di Roma

    La pubblicazione della lista di evasori (caso L.B. c. Ungheria): il fine giustifica sempre i mezzi?

    di Giulio Chiarizia

    Sommario: 1.Premessa - 2. Il caso L.B. contro Ungheria - 3. Il rispetto della riservatezza e dei dati personali secondo la CEDU e la Carta di Nizza - 4. La posizione della Corte Costituzionale - 5. Considerazioni conclusive in ordine ai profili di contrasto tra i principi europei e la disciplina fiscale nazionale.          

    1. Premessa

    La Corte Europea dei Diritti dell’Uomo (Corte EDU), con la recente sentenza del 12 gennaio 2021 sul caso L.B. contro Ungheria (n. 36345/2016), ha ritenuto che la pubblicazione su internet di una lista di “grandi” evasori fiscali da parte dell’Amministrazione finanziaria ungherese non violi l’art. 8 della Convenzione Europea dei Diritti dell’Uomo (CEDU), in materia di protezione della riservatezza, ritenendo tale ingerenza nella “vita privata” giustificata e proporzionale in una “società democratica”.

    Tale sorprendente decisione costituisce lo spunto per esaminare la portata delle garanzie dei diritti fondamentali alla riservatezza e alla protezione dei “dati personali”, di cui all’art. 8 CEDU e agli artt. 7 e 8 della Carta dei Diritti Fondamentali dell’U.E. (Carta di Nizza), in relazione ai poteri conferiti all’Amministrazione finanziaria per eseguire le attività di analisi, prevenzione e accertamento dell’evasione fiscale.

    Infatti, il tema della protezione dei “dati personali” e, in generale, della riservatezza del contribuente nonché del corretto bilanciamento della protezione dei diritti fondamentali con l’interesse generale alla lotta all’evasione fiscale merita una crescente attenzione, soprattutto a seguito dei nuovi e potentissimi strumenti tecnologici, in continua evoluzione, a disposizione dell’Amministrazione finanziaria (italiana, come quelle degli altri paesi sviluppati), ormai utilizzati massivamente e ulteriormente implementati dallo sviluppo della intelligenza artificiale (si pensi alla fattura elettronica, alle varie banche dati fiscali - quali l’archivio dei rapporti finanziari e l’anagrafe tributaria - nonché ai diversi strumenti internazionali di scambio di informazioni, anche automatici).

    2. Il caso L.B. contro Ungheria

    Nell’anno 2016, l’Amministrazione finanziaria ungherese ha pubblicato sul proprio sito internet i “dati personali” – segnatamente, nome, cognome, indirizzo di residenza, codice fiscale e ammontare del debito tributario – dei “grandi” evasori fiscali. Ciò in applicazione di una norma nazionale del 2003, che, per l’appunto, prevedeva la pubblicazione su internet della lista dei contribuenti che non avevano versato le imposte dovute sulla base di un accertamento diventato definitivo, per un importo superiore a dieci milioni di fiorini ungheresi (pari a circa 30.000,00 euro), entro il termine di 180 giorni.

    A seguito della pubblicazione di tale lista “nera” di evasori, un sito web privato ha ripubblicato i dati in questione, realizzando una “mappa” interattiva degli evasori, diretta a individuare geograficamente i soggetti interessati mediante dei punti sulla mappa, cliccando i quali era possibile accedere ai “dati personali” degli evasori.

    Premesso che il caso in esame non riguarda la ripubblicazione dei dati da parte del sito web privato (che costituisce un’ingerenza nella “vita privata” e nella protezione dei “dati personali”, difficilmente giustificabile quale “attività giornalistica”[1]), la Corte di Strasburgo, respingendo il ricorso di uno dei contribuenti indicati nella predetta lista predisposta dall’Amministrazione finanziaria, ha ritenuto che l’ampio margine di discrezione riconosciuto agli Stati contraenti in materia di scelte di politica sociale ed economica (nell’ambito della quale rientra quella fiscale) giustifichi, nel caso di specie, la prevalenza dell’interesse erariale alla pubblicazione della lista rispetto al diritto alla riservatezza della persona.

    La Corte ha, in primo luogo, ribadito che i dati pubblicati dall’Amministrazione finanziaria (in particolare, il nome, l’indirizzo dell’abitazione e il codice fiscale) costituiscono “dati personali”, come definiti dall’art. 2 della Convenzione di Strasburgo n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale del 28 gennaio 1981, e la relativa protezione rientra nell’ambito della tutela della riservatezza assicurata dall’art. 8 CEDU (§ 19).

    Nel presupposto che, nella fattispecie, si fosse realizzata una ingerenza dell’Amministrazione finanziaria nella riservatezza del ricorrente, la Corte EDU ha poi verificato se tale ingerenza fosse giustificata, ai sensi del secondo paragrafo dell’art. 8 CEDU. A tal fine ha accertato se detta ingerenza nella vita privata (a) trovasse fondamento in una norma di legge, che avesse sufficienti requisiti qualitativi per proteggere gli interessati da eventuali abusi o arbitri delle Autorità, (b) perseguisse uno dei legittimi scopi indicati dall’art. 8 citato e (c) fosse necessaria in una “società democratica” (§ 43), vale a dire la misura fosse proporzionata tenuto conto del margine di apprezzamento che deve essere riconosciuto agli Stati contraenti nel caso di specie (§ 48).

    Accertata agevolmente la base legale della interferenza nel diritto nazionale ungherese, la Corte di Strasburgo ha riscontrato la sussistenza di un legittimo scopo, ravvisato nella tutela del benessere economico del paese, per quanto concerne la finalità di contrasto e prevenzione dell’evasione fiscale, nonché nella esigenza di protezione dei diritti degli altri, in ordine all’interesse che gli operatori economici possano conoscere le pendenze fiscali delle loro potenziali controparti commerciali, al fine di poter valutare la solidità della loro situazione finanziaria (§ 46).

    Più articolata è, poi, la valutazione della necessità della misura in esame in una “società democratica”, considerato che sono necessarie solo le ingerenze che costituiscono una risposta a un pressante bisogno sociale e sono altresì proporzionate rispetto al legittimo scopo perseguito, sulla base di giustificazioni adeguate e sufficienti delle Autorità (§ 47). Nel fare tale valutazione la Corte ha ricordato che la questione fondamentale consiste nel verificare se la misura rientri nel margine di apprezzamento concesso agli Stati (§ 48), vale a dire lo spazio in cui deve reputarsi rispettato il bilanciamento tra i contrapposti interessi.

    In proposito la Corte ha sottolineato che detto margine di apprezzamento è ampio in relazione a misure di politica economica o sociale. Di conseguenza, per consolidata giurisprudenza della Corte EDU, quest’ultima ritiene che le Autorità nazionali siano in linea di principio in una migliore posizione rispetto a essa per valutare la proporzionalità delle misure di politica economica o sociale, che dunque devono essere rispettate salvo che siano manifestamente senza un fondamento ragionevole (§ 49).

    Sulla base di tali premesse, la Corte ha innanzitutto ritenuto che rientri nel margine di apprezzamento degli Stati la scelta di rendere pubblici i “dati personali” degli evasori fiscali, nell’ottica di prevedere una misura di contrasto all’evasione, pur nella consapevolezza che non è affatto sicuro che una simile misura sia effettivamente idonea a contrastare l’evasione fiscale (§ 52). Analogamente, la Corte ha ritenuto che non sia manifestamente irragionevole ritenere che la misura in parola sia diretta anche a tutelare le persone nella scelta dei soggetti con cui avere rapporti economici (§ 53).

    Inoltre, la misura è per la Corte proporzionata in quanto sufficientemente “circoscritta”, riguardando solo i “grandi” evasori, cioè coloro che sono debitori dell’Erario per oltre € 30.000,00 (somma ritenuta non troppo modesta per le condizioni economiche del tempo in Ungheria) e per un periodo di tempo sufficientemente lungo (oltre 180 giorni), i quali sono altresì repentinamente cancellati dalla lista in caso di pagamento (§§ 56 e 57).

    In merito ai “dati personali” pubblicati, la Corte ritiene che quelli di carattere finanziario non sarebbero strettamente collegati all’identità personale degli interessati, mentre invece ha riconosciuto che la pubblicazione dell’indirizzo potrebbe avere ripercussioni  anche gravi sulla vita privata (§ 58). Tuttavia, anche in questo caso, la Corte ha ritenuto che la misura rientri nel margine di discrezionalità in quanto necessaria per assicurare la precisione delle informazioni fornite e superare eventuali omonimie (§ 59). Tale passaggio delle decisione suscita notevoli perplessità, in quanto l’indicazione della residenza sembra invero eccedere quanto necessario per raggiungere lo scopo, essendo a tal fine sufficiente l’indicazione del codice fiscale; inoltre, la presenza di tale indicazione dimostra altresì che il vero scopo della misura, al di là delle “etichette” formali, è quello di prevedere una moderna “gogna mediatica” nei confronti degli evasori (come pure ritenuto dalla dissenting opinion, § 2), difficilmente compatibile con gli scopi che legittimamente possono perseguire le ingerenze nella “vita privata”[2].

    Infine, la Corte ha escluso la violazione dell’art. 8 CEDU, respingendo anche l’argomento per cui la pubblicazione dei dati su internet non sarebbe necessaria, in quanto li rende potenzialmente conoscibili in tutto il mondo, cioè oltre il bacino di interesse individuato dagli scopi perseguiti dalla misura medesima. La Corte, infatti, pur riconoscendo la maggiore pericolosità della pubblicazione di dati su internet (§ 62), ha ritenuto che nel caso di specie ciò è conforme con il principale proposito della pubblicazione stessa, ossia informare il pubblico delle persone interessate, rendendo agevolmente accessibili i dati in questione (§ 64). I giudici europei hanno poi aggiunto che, sebbene la pubblicazione fosse liberamente accessibile, essa è avvenuta su una pagina del sito web dell’Amministrazione finanziaria, che non attrae particolare attenzione del pubblico, soprattutto a livello mondiale (§ 68), ed è avvenuta in modo “neutro”, ossia senza denigrare gli interessati (§ 69).      

    In definitiva, per la Corte EDU prevale l‘interesse alla prevenzione e al contrasto dell’evasione rispetto a quello della protezione della riservatezza dell’individuo.

    Se tale ultima affermazione possa essere senz’altro condivisa in linea di principio, sembra tuttavia preferibile l’opinione contraria della minoranza dei giudici, che hanno preso le distanze dalla decisione in esame, ritenendo non necessaria la pubblicazione dell’indirizzo degli interessati, in considerazione dei rischi che ciò potrebbe comportare, soprattutto utilizzando la rete internet (§ 4).

    I giudici di minoranza hanno innanzitutto rimarcato la sufficienza della pubblicazione del codice fiscale al fine di individuare con precisione l’evasore (§ 7). Poi, con riguardo alla pubblicazione dei dati in questione sul sito internet dell’Amministrazione finanziaria, essi hanno ritenuto che ciò non sarebbe necessario, né idoneo a perseguire lo scopo della lotta all’evasione, considerato che, eccetto per le persone famose, la mera pubblicazione, a livello nazionale o mondiale, dei dati identificativi delle persone interessate non permette di individuarli in concreto, attribuendo “una faccia al nome” (§ 11).

    Infine, la minoranza dei giudici ha pragmaticamente sottolineato che, sebbene la ripubblicazione dei dati da parte di un sito privato fosse estranea alla controversia in esame, era perfettamente prevedibile, se non probabile che ciò accadesse, con la conseguenza che le Autorità nazionali non possono essere mandate esenti da responsabili per aver permesso che ciò accadesse, con la conseguenza che non è condivisibile l’assunto che la pubblicazione su un sito con pochi lettori non sarebbe paragonabile alla pubblicazione su un sito largamente visualizzato (§ 12).

    3. Il rispetto della riservatezza e dei dati personali secondo la CEDU e la Carta di Nizza

    La sentenza in esame costituisce l’occasione per riflettere sulla protezione del diritto fondamentale alla protezione dei “dati personali” dei contribuenti nei confronti dell’Amministrazione finanziaria, confrontando il livello di protezione assicurato dalle fonti europee (art. 8 della CEDU e artt. 7 e 8 della Carta di Nizza) e quello riconosciuto in materia tributaria dal diritto interno, come interpretato e applicato dalla Corte di Cassazione.

    Il punto di partenza della riflessione consiste nella circostanza che, secondo la giurisprudenza della Corte di Strasburgo confermata anche dal caso L.B., i “dati fiscali”[3] del contribuente, compresi quelli bancari[4], costituiscono “dati personali”, i quali rientrano nell’ambito della tutela della riservatezza della “vita privata” assicurata dall’art. 8 della CEDU. Ciò a prescindere dalla circostanza che detti dati fossero eventualmente già di pubblico dominio o memorizzati su un server[5], se fossero relativi ad attività professionali o commerciali ovvero dalla modalità con cui è realizzata l’ingerenza delle Autorità nella sfera di riservatezza, ossia mediante sequestro ovvero copia dei dati in questione.

    Pertanto, seppure l’art. 8 della CEDU non preveda espressamente la protezione dei “dati personali” (in quanto detta Convenzione è stata redatta anteriormente allo sviluppo dei computer, di internet e, in generale, dell’ascesa della “società delle informazioni”), bensì il diverso ma affine diritto al “rispetto” della “vita privata e familiare”, del “domicilio” e della “corrispondenza” (e-mail comprese[6]), la Corte EDU ha ricondotto la tutela dei “dati personali” alla tutela della riservatezza di cui all’art. 8 citato, facendo leva sulla Convenzione di Strasburgo n. 108 del 1981 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, che nel preambolo richiama il diritto al rispetto della “vita privata” e all’art. 2 definisce i “dati personali” come ogni informazione concernente “una persona fisica identificata o identificabile”.

    Anche la Corte di Giustizia ha, dal canto suo, sottolineato  che i “dati fiscali” costituiscono “dati personali”, poiché si tratta di «informazion[i] concernent[i] una persona fisica identificata o identificabile»[7], con la conseguenza che la loro trasmissione da un’Amministrazione (quale quella finanziaria) a un’altra costituisce un «trattamento di dati personali»[8].

    Del resto, nell’ambito del diritto dell’U.E., la tutela dei “dati personali” assume particolare importanza, considerato che la Carta di Nizza - proclamata nel 2000 e, poi, divenuta parte integrante del diritto primario dell’U.E. con l’art. 6 del TUE, come modificato a seguito del Trattato di Lisbona – prevede espressamente, tra i diritti fondamentali riconosciuti dall’Unione, quello alla protezione dei “dati personali” (art. 8 della Carta di Nizza). A ciò si aggiunga che l’art. 16 del TFUE ha riconosciuto la competenza dell’Unione a legiferare in materia di protezione e circolazione dei “dati personali”[9]. Ciò ha permesso l’emanazione del Regolamento U.E. 2016/679 del 27 aprile 2016 (General Data Protection Regulation - GDPR[10]), con cui l’Unione Europea ha previsto un moderno, dettagliato e coerente sistema di protezione dei “dati personali”, direttamente applicabile in tutti gli Stati membri e prevalente rispetto ai rispettivi diritti interni, a cui si deve aggiungere la Direttiva 2016/680, in materia di protezione dei dati personali con riguardo al trattamento delle Autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati.

    Pertanto, la raccolta, la conservazione e in generale ogni trattamento di “dati personali”, anche di carattere fiscale e finanziario, da parte dell’Amministrazione finanziaria costituisce una ingerenza nella “vita privata” e nel diritto alla protezione dei “dati personali” in particolare, sia per la CEDU (che si applica a tutti gli Stati contraenti e in Italia ha rilevanza costituzionale in virtù dell’art. 117 Cost.), sia per il diritto dell’U.E. (che si applica ai soli Stati membri, ma prevale sul diritto interno eventualmente incompatibile, per il principio del primato del diritto dell’Unione).

    Del resto, il concetto di “vita privata” in ambito CEDU è ampio, non suscettibile di una definizione esaustiva, e ricomprende anche le attività professionali ed economiche e, più in generale, quelle intraprese in un contesto pubblico. Ciò in quanto la “vita privata” non concerne solo la vita privata in senso stretto, bensì anche la riservatezza della vita sociale, da intendersi quale possibilità per l’individuo di sviluppare la sua identità sociale, nel cui ambito è ricompresa la possibilità di intraprendere e sviluppare rapporti sociali con altre persone. Da ciò consegue che la “vita privata” concerne anche la vita lavorativa, che per la maggioranza delle persone costituisce una significativa, se non la più grande, opportunità di sviluppare relazioni sociali con il mondo esterno[11].

    In tale prospettiva, ogni ingerenza dell’Amministrazione finanziaria nella “vita privata” e nel diritto al rispetto dei “dati personali”, non essendo questi diritti assoluti, è legittima nel rispetto dei principi generali sanciti dagli artt. 8 CEDU e 7 e 8 Carta di Nizza, che possono essere trattati congiuntamente nei loro aspetti generali, considerato che, da un lato, la Corte EDU ha sottolineato più volte l’importanza del dialogo con la Corte di Giustizia, oltre che con le corti nazionali, ai fini della protezione dei diritti fondamentali[12]  e, dall’altro, in quanto il diritto dell’Unione deve essere necessariamente interpretato tenendo in considerazione i diritti fondamentali, che fanno parte integrante dei principi generali del diritto ex art. 6, par. 3 TUE, nonché l’art. 52, par. 3 della Carta di Nizza, che prevede il c.d. “principio di equivalenza”, per cui laddove la Carta contenga “diritti corrispondenti” a quelli garantiti dalla CEDU, il significato e la portata degli stessi sono uguali” a quelli conferiti dalla suddetta convenzione, salva la possibilità per il diritto dell’Unione di riconoscere una protezione più estesa.

    Sempre a sostegno dello stretto rapporto tra tutela dei “dati personali” assicurata dalla CEDU e dal diritto dell’Unione, si aggiunge che la Corte di Giustizia ha affermato che «le limitazioni che possono essere legittimamente apportate al diritto alla protezione dei dati personali corrispondano a quelle tollerate nell’ambito dell’art. 8 della CEDU»[13] e, in generale, che le norme di diritto derivato dell’Unione che disciplinano «il trattamento di dati personali che possono arrecare pregiudizio alle libertà fondamentali e, segnatamente, al diritto al rispetto della vita privata, devono essere necessariamente interpretate alla luce dei diritti fondamentali garantiti dalla Carta» di Nizza[14].

    Pertanto, sia per la CEDU, sia per il diritto dell’Unione, ogni ingerenza nella “vita privata” o nella protezione dei “dati personali”, anche se realizzata dalle Autorità fiscali o per motivi fiscali in generale, deve innanzitutto rispettare il principio di legalità; essa deve cioè avere una sufficiente “base legale”, che rispetti determinati requisiti di “qualità”, vale a dire sia accessibile, precisa e prevedibile nella sua applicazione. Tali requisiti qualitativi sono necessari, da un lato, per fornire un’adeguata protezione contro le interferenze arbitrarie e gli abusi delle Autorità e, dall’altro lato, per fare in modo che gli individui possano regolare adeguatamente la propria condotta, eventualmente con l’ausilio di un parere legale[15].

    L’interpretazione della legge nazionale è tuttavia rimessa prioritariamente alle Autorità nazionali e in particolare ai giudici, che hanno il compito di interpretare e applicare la legge. Anche per la Corte EDU, infatti, essa deve prendere atto dell’interpretazione della legge da parte dei giudizi nazionali, riconoscendogli altresì la possibilità di una graduale precisazione dei concetti giuridici (salvo il limite della arbitrarietà[16]), dovendo solo verificare se la legge nazionale, come interpretata dalle Autorità nazionali, rispetti i diritti fondamentali tutelati dalla Convenzione.

    Con specifico riguardo al livello della protezione dei “dati personali”, la Corte EDU richiede che la legge indichi lo scopo e la portata dei poteri conferiti alle Autorità competenti, comprese le modalità del loro esercizio e l’uso delle informazioni conservate. Ciò in quanto è uno dei principi basilari di una “società democratica” che i poteri discrezionali attribuiti alle Autorità non siano senza restrizioni[17]. Analogamente, anche il diritto dell’Unione richiede regole chiare e precise che disciplinino la portata e l’applicazione delle ingerenze nella protezione dei “dati personali”, imponendo requisiti minimi per assicurare garanzie sufficienti alle persone interessate contro il rischio di abusi, accessi e usi illeciti dei dati, soprattutto in caso di trattamenti automatizzati, sebbene la Corte di Giustizia riconduce l’esame di tali aspetti al principio di proporzionalità[18].

    In secondo luogo, l’ingerenza deve essere giustificata da uno o più scopi legittimi, tra i quali, per la CEDU, rientra l’interesse alla tutela del benessere dell’economia nazionale, oltre all’interesse alla prevenzione e repressione dei reati e alla tutela dei terzi, mentre la Carta di Nizza richiede, in senso analogo, che i dati personali debbano essere trattati “per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge”.

    Conseguentemente sono di norma giustificate le ingerenze (previste dalla legge) nella riservatezza e nella protezione dei “dati personali”, aventi rilevanza fiscale, al fine di verificare la compliance fiscale, l’efficienza dei controlli dell’Amministrazione finanziaria (che nella fasi preliminari non richiede necessariamente la sussistenza di sospetti nei confronti del soggetto verificato), lo scambio di informazioni fiscali tra Stati nonché la prevenzione e lotta all’evasione fiscale[19]. A questi interessi se possono essere altri, quale quello alla trasparenza e al controllo diffuso della spesa pubblica[20]. E’ stato pertanto sottolineato che «in tutti i sistemi fiscali i contribuenti debbono fornire le informazioni necessarie per permettere il calcolo delle impose»[21].

    Infine, ogni ingerenza (prevista dalla legge e per uno o più scopi legittimi) deve essere altresì necessaria in una “società democratica”. A tal fine si deve esaminare la serietà delle ragioni a giustificazione dell’ingerenza nonché se essa sia diretta a soddisfare una esigenza sociale imperiosa e se sia proporzionata rispetto allo scopo perseguito[22].

    Al tale riguardo, secondo la costante giurisprudenza della Corte di Lussemburgo, il principio di proporzionalità, che è parte integrante dei principi generali del diritto dell’Unione, esige che la misura sia idonea a realizzare l’obiettivo perseguito e che non vada oltre quanto sia strettamente necessario per raggiungerlo[23], specificando che «non può riconoscersi alcuna automatica prevalenza dell’obiettivo di trasparenza sul diritto alla protezione dei dati personali (v., in tal senso, sentenza Commissione/Bavarian Lager, cit., punti 75‑79), anche qualora siano coinvolti rilevanti interessi economici»[24].

    Ai fini di tale valutazione, la Corte EDU riconosce agli Stati contraenti un diverso margine di apprezzamento a seconda della natura e della serietà degli interessi in gioco nonché della gravità dell’interferenza[25].

    In tale prospettiva, i giudici di Strasburgo hanno riconosciuto un ampio margine di apprezzamento in caso di ingerenze concernenti dati puramente finanziari, in quanto non strettamente collegati alla identità del titolare degli stessi, a differenza di altri “dati personali” maggiormente collegati all’identità e all’esistenza della persona[26].

    Ne consegue che la riservatezza della “vita privata” ovvero dei “dati personali” è generalmente superata dall’interesse erariale (diverso è il tema, che esula dal presente lavoro, della legittimità di eventuali sanzioni in caso di “silenzio” del contribuente nel corso di verifiche fiscali, che concerne segnatamente il diritto a non autoincriminarsi, tutelato dall’art. 6 CEDU).

    Viceversa, le ingerenze nella vita privata “gravi”, in quanto riguardano dati (quali, la data, l’ora, la durata, i destinatari delle comunicazioni effettuate, i luoghi in cui tali comunicazioni sono avvenute o la frequenza delle stesse con determinate persone nel corso di un dato periodo[27]) dai quali è possibile trarre conclusioni precise sulla “vita privata” degli interessati, non sono giustificate dall’interesse di prevenire e perseguire i “reati in generale”[28], potendo essere invece giustificate solo dall’esigenza della lotta contro “reati gravi” (segnatamente, la criminalità organizzata, il terrorismo, gli abusi sessuali su minori)[29].

    Tuttavia, in linea di principio, neppure la lotta ai “gravi reati” può autorizzare la conservazione automatica di tutti i “dati personali” di tutte le persone, senza alcuna distinzione, limitazione o eccezione in relazione all’obiettivo perseguito, permettendo alle Autorità il successivo accesso e uso dei dati in questione senza porre condizioni, rigorosamente ristrette e idonee a giustificare l’ingerenza[30]. Ciò, infatti, eccede lo stretto necessario, creando l’inaccettabile «sensazione che la […] vita privata sia oggetto di costante sorveglianza»[31].  

    Nel solco di tale orientamento, il Garante per la Protezione dei Dati Personali italiano ha più volte sottolineato che «un trattamento obbligatorio, generalizzato e di dettaglio di dati personali, anche ulteriori rispetto a quelli necessari a fini fiscali, relativo a ogni aspetto della vita quotidiana della totalità della popolazione, non appare proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito» con la disciplina della fattura elettronica prevista dall’art. 1 del d.lgs. n. 127/2015, come modificata dall’art. 1, comma 909 della legge n. 205/2017[32].

    Pertanto, «pur rilevando che l’integrale memorizzazione delle fatture prevista dall’impianto originario dell’Agenzia potrebbe apparire prima facie la soluzione più efficiente e rapida per dare attuazione al nuovo obbligo previsto dal legislatore», il Garante ha sottolineato che l’archiviazione integrale di tutte le fatture emesse e ricevute costituisce un «trattamento, sistematico e generalizzato, relativo a miliardi di fatture emesse e ricevute, e dei relativi allegati» manifestamente sproporzionato[33]. Infatti, «la previsione di un obbligo di memorizzazione (e potenzialmente di utilizzazione) di dati personali sproporzionato – per quantità e qualità delle informazioni – rispetto alle reali esigenze perseguite renderebbe […] la norma illegittima per contrasto con il principio di proporzionalità del trattamento dei dati», tenuto conto altresì che le «“deroghe e restrizioni” ai diritti fondamentali devono intervenire “entro i limiti dello stretto necessario” (cfr., ex plurimis, CGUE, C-362/14, Maximilian Schemes c. Data Protection Commisssioner [GC], 6 ottobre 2015»[34].

    Inoltre, ai fini della valutazione della proporzionalità dell’ingerenza nella “vita privata”, è in genere fondamentale la sussistenza e la disponibilità di adeguate ed effettive garanzie contro i possibili arbitri e abusi, volti a evitare che i poteri discrezionali delle Autorità non siano senza limiti[35].

    A tal fine, pur non essendo prescritta alcuna informativa nei confronti del contribuente nella fase delle indagini, al fine di non frustrare l’efficacia di quest’ultime[36], la Corte EDU richiede generalmente, salvo casi di urgenza, un’autorizzazione preventiva da parte di un giudice o un’Autorità indipendente[37], che tuttavia può anche mancare ed essere sostituita da un controllo giudiziale successivo, laddove, in ragione delle circostanze del caso concreto, vi siano effettive e adeguate salvaguardie[38], anche in ordine a una adeguata “selezione” dei dati trattati[39].

    Detto controllo giudiziale successivo non può, tuttavia, limitarsi alla possibilità di stabilire un risarcimento dei danni per l’ingerenza nella “vita privata”, essendo invece richiesto un effettivo controllo in merito alla sussistenza delle condizioni di legittimità della ingerenza[40], che sia altresì in grado di assicurare una riparazione adeguata in favore dell’interessato in caso di violazioni. Pertanto, ferma l’autonomia degli Stati in ordine alla disciplina delle prove, l’esigenza di assicurare una riparazione adeguata può richiedere, anche in ragione delle circostanze del caso concreto, l’inutilizzabilità dei dati trattati illegittimamente dalle Autorità, analogamente a quanto sancito dalla Corte EDU con riguardo agli elementi di prova raccolti a seguito di una perquisizione domiciliare illegittima, per violazione delle garanzie di cui all’art. 8 della CEDU[41].

    Inoltre, l’art. 8, par. 3 della Carta di Nizza stabilisce espressamente, da canto suo, che le garanzie previste in materia di protezione dei “dati personali” siano soggette al controllo di un’“autorità indipendente”, da intendersi un giudice o un’entità amministrativa indipendente.

    L’indipendenza dell’Autorità deputata al controllo è funzionale ad assicurare l’efficacia e l’affidabilità del controllo medesimo, con la conseguenza che tale requisito è un elemento essenziale per rispettare sia la tutela delle persone con riguardo al trattamento dei “dati personali”, sia il principio dello Stato di diritto[42].

    Pertanto, affinché le Autorità nazionali possano accedere ai dati conservati da soggetti privati, la legge nazionale deve prevedere con sufficiente precisione le condizioni sostanziali e procedurali che disciplinano tale accesso e l’utilizzo da parte delle Autorità[43].

    In particolare, al fine di garantire effettivamente la tutela ai diritti fondamentali in esame, soprattutto in caso di gravi ingerenze, in presenza dati “sensibili” e nell’ambito della prevenzione e accertamento dei reati, il controllo in questione, da effettuarsi da parte di un’Autorità indipendente, deve essere preventivo (salvo giustificate urgenze), sulla base di una richiesta motivata delle Autorità procedenti[44].

    L’indipendenza dell’Autorità comporta non solo che essa deve essere al riparo da qualsiasi influenza esterna, ma anche che deve essere neutrale rispetto alle parti coinvolte e, quindi, non deve essere coinvolta nella conduzione dell’indagini. Ne deriva che il Pubblico Ministero, in quanto Autorità deputata a dirigere l’indagine e a esercitare l’azione penale sulla base delle prove eventualmente raccolte, non è una “autorità indipendente” ai fini del controllo delle condizioni sostanziali e procedurali per l’accesso e l’utilizzo dei “dati personali” da parte delle Autorità[45].

    Infine, in caso di violazione delle prerogative della tutela della “vita privata” e della protezione dei “dati personali” in particolare, la Corte di Giustizia ha ritenuto che, in virtù del principio dell’autonomia procedurale, spetti in linea di principio al diritto nazionale stabilire le regole relative all’ammissibilità e alla valutazione degli elementi di prova eventualmente ottenuti, nei limiti del rispetto dei principi di equivalenza ed effettività del diritto dell’Unione[46]. Tuttavia, per il principio di effettività, il giudice nazionale deve valutare la necessità della esclusione degli elementi di prova eventualmente ottenuti, laddove il loro utilizzo comporterebbe il rischio di compromettere i principi del contraddittorio e del giusto processo[47] (il quale, è bene sottolinearlo, per il diritto dell’Unione riguarda anche la materia tributaria in senso stretto, ossia l’accertamento dell’obbligazione tributaria, non essendo prevista alcuna limitazione in tal senso nell’art. 47 della Carta di Nizza).

    4. La posizione della Corte Costituzionale

    I principi sopra illustrati, soprattutto in relazione al bilanciamento tra il diritto alla riservatezza e alla protezione dei “dati personali” e i contrapposti interessi generali, sono stati oggetto di analisi e condivisione anche da parte della Corte Costituzionale.

    Infatti, con la sentenza n. 20/2019, la Corte Costituzionale ha analizzato il bilanciamento tra il diritto costituzionalmente tutelato alla riservatezza dei “dati personali” (i cui riferimenti sono ravvisati negli artt. 2, 14, 15 Cost.) e il diritto dei cittadini al libero accesso ai dati e alle informazioni detenute dalla P.A., che discende dai principi di pubblicità e trasparenza e buon funzionamento dell’amministrazione (artt. 1 e 97 Cost.).

    A tal proposito la Consulta ha applicato in modo esemplare il principio di proporzionalità di matrice europea, sottolineando che il giudizio di ragionevolezza sulle scelte legislative si avvale del c.d. “test di proporzionalità”, che «richiede di valutare se la norma oggetto di scrutinio, con la misura e le modalità di applicazione stabilite, sia necessaria e idonea al conseguimento di obiettivi legittimamente perseguiti, in quanto, tra più misure appropriate, prescriva quella meno restrittiva dei diritti a confronto e stabilisca oneri non sproporzionati rispetto al perseguimento di detti obiettivi»[48].

    Con specifico riguardo alla rilevanza della protezione della riservatezza dei “dati personali”, la Corte Costituzionale ha dato atto che la Corte di Giustizia ha ripetutamente affermato che le esigenze di controllo democratico non possono travolgere il diritto fondamentale alla riservatezza delle persone fisiche, dovendo sempre essere rispettato il principio di proporzionalità, definito cardine della tutela dei “dati personali”. Pertanto, le deroghe e limitazioni alla protezione dei “dati personali” devono operare «nei limiti dello stretto necessario, e prima di ricorrervi occorre ipotizzare misure che determinino la minor lesione, per le persone fisiche, del suddetto diritto fondamentale e che, nel contempo, contribuiscano in maniera efficace al raggiungimento dei confliggenti obiettivi» legittimamente perseguiti. Il tutto, fermo restando che, come precisato dalla giurisprudenza europea, non può riconoscersi alcuna automatica prevalenza dell’obiettivo di trasparenza sul diritto alla protezione dei “dati personali”.

    Ai fini del giudizio di proporzionalità rilevano i principi di base che governano il trattamento dei “dati personali” sanciti dall’art. 5, comma 1 del regolamento GDPR (con norma sostanzialmente sovrapponibile a quella dell’art. 6 della previgente direttiva 95/46/CE), e, tra di essi, assumono particolare rilievo quelli afferenti la limitazione della finalità del trattamento (lettera b) e la “minimizzazione dei dati”, che si traduce nella necessità di acquisizione di dati adeguati, pertinenti e limitati a quanto strettamente necessario alla finalità del trattamento (lettera c).

    Muovendo da tali presupposti, la Consulta ha ravvisato il rispetto del principio di proporzionalità in presenza di una “connessione funzionale” tra i dati oggetto di pubblicazione ai sensi dell’art. 14 del d.lgs. n. 33/2013 e l’incarico affidato ai dirigenti; laddove tale connessione manchi, infatti, non si verrebbe a soddisfare legittime esigenze di controllo diffuso sulla gestione della cosa pubblica, ma solamente la c.d. “sete di informazioni sulla vita privata”, che la Corte EDU ha chiarito essere inidonea a far prevalere sul diritto alla riservatezza della vita privata l’interesse all’accesso a “dati personali” per fini di interesse pubblico[49].

    Di conseguenza, con la sentenza in esame, la Consulta ha ritenuto che fosse rispettato il principio di proporzionalità in relazione all’obbligo imposto a ciascun titolare di incarico dirigenziale di pubblicare i dati relativi ai compensi di qualsiasi natura connessi all’assunzione della carica, nonché gli importi di viaggi di servizio e missioni pagati con fondi pubblici (art. 14, comma 1, lett. c, del d.lgs. n. 33/2013) in quanto funzionale a consentire, in forma diffusa, il controllo sull’impiego delle risorse pubbliche; viceversa, è stato accertato che non rispetta il “test di proporzionalità” la generalizzata pubblicazione di dichiarazioni e attestazioni contenenti dati reddituali e patrimoniali dei dirigenti e dei più stretti congiunti, ulteriori rispetto alle retribuzioni e ai compensi connessi alla prestazione dirigenziale (art. 14, comma 1, lett. f, del d.lgs. n. 33/2013), in quanto non necessariamente e direttamente connessi con l’espletamento dell’incarico affidato.

    5. Considerazioni conclusive in ordine ai profili di contrasto tra i principi europei e la disciplina fiscale nazionale

    Dall’esaminato caso L.B. contro Ungheria così come dai principi sopra illustrati ed affermati dalla Corte EDU e dalla Corte di Giustizia, recepiti anche dalla Corte Costituzionale, si evince che, nell’ambito del rapporto tra fisco e contribuente, non è certamente possibile invocare la riservatezza quale “scudo” contro i controlli della Amministrazione finanziaria, certamente necessari in qualsiasi “società democratica”, e, più in generale, contro le diverse possibili ingerenze giustificate da rilevanti esigenze o interessi fiscali.

    Ciò non deve tuttavia far ritenere che i diritti fondamentali della riservatezza della “vita privata” e della protezione dei “dati personali” siano sempre soccombenti nei confronti degli interessi erariali, per quanto rilevanti e meritevoli di attenzione.

    Non si deve, dunque, cadere nella tentazione – rectius, nell’errore – di legittimare, in nome della lotta all’evasione, raccolte e trattamenti di “dati personali” che si dimostrino indiscriminati ed eccessivamente pervasivi, finendo per oltrepassare lo scopo del trattamento, considerato il principio consolidato secondo cui le deroghe e restrizioni ai diritti fondamentali - quale quello alla riservatezza e alla protezione dei “dati personali” - debbano intervenire entro i limiti dello stretto necessario, ossia nel rispetto dei principi di pertinenza, adeguatezza e minimizzazione dei dati (art. 5 del GDPR).

    Deve, pertanto, escludersi che l’interesse fiscale possa legittimare eventuali trattamenti generalizzati, indistinti, illimitati, incondizionati e automatici dei “dati personali” dei contribuenti, che sarebbero all’evidenza sproporzionati in una “società democratica” e incompatibili con le garanzie assicurate dagli artt. 8 CEDU e 7 e 8 Carta di Nizza, come si evince dalla giurisprudenza della Corte di Giustizia sorta con il caso Digital Rights e poi costantemente ribadita (cfr., in particolare, i casi Tele2 Sveringe, La Quadrature e H.K.).

    Infatti, seppure il trattamento dei dati finanziari in quanto tali non costituisca una ingerenza grave nella “vita privata”, a conclusioni diverse si dovrebbe giungere in caso di profilazione massiva, indiscriminata e continua dei contribuenti, mediante l’utilizzo dell’intelligenza artificiale e la costante analisi incrociata delle numerose banche dati possedute dall’Amministrazione finanziaria, a cui si è aggiunta da ultimo la fattura elettronica. Ciò in quanto esaminando, ad esempio, gli acquisti dei contribuenti - sotto i diversi profili del “cosa”, “quando” e “quanto” acquistato nonché del “dove” - si possono trarre conclusioni di una certa precisione sulle abitudini e sullo stile di vita della persona, vale a dire conclusioni precise in ordine alla “vita privata” dei singoli contribuenti. In altre parole, si potrebbe realizzare una situazione non molto diversa rispetto a quella del trattamento dei dati del “traffico” delle telecomunicazioni (escluso il relativo contenuto), che ha caratterizzato il caso Digital Rights e le sentenze successive in materia, che secondo la Corte di Giustizia realizza un’ingerenza “grave” nella vita privata, non ammissibile in una “società democratica”, se non in presenza di rigorose condizioni.

    Pertanto, una simile sorveglianza di massa, generalizzata, costante e indiscriminata, anche se effettuata dall’Amministrazione finanziaria al fine di prevenire e contrastare l’evasione fiscale, verrebbe a creare una società di tipo “orwelliano”, in cui l’individuo sarebbe costantemente sotto il controllo delle Autorità e ciò non è accettabile e giustificabile neppure per prevenire e reprimere i “gravi reati” (quali la criminalità organizzata, il terrorismo o gli abusi sessuali sui minori) e, dunque, a fortiori non è giustificato nemmeno dall’interesse alla lotta all’evasione fiscale, che del resto è difficilmente sussumibile nell’alveo dei “gravi reati”.

    Deve essere dunque valutata positivamente l’attenzione posta dal Garante per la Protezione dei Dati Personali, quale autorità indipendente ai sensi dell’art. 8 della Carta di Nizza, alla istituzione e al continuo sviluppo della disciplina della fattura elettronica, il quale, da ultimo nel 2020, ha espresso nuovamente parere negativo alla memorizzazione integrale, per sostanzialmente nove anni, dei file delle fatture elettroniche, al fine di svolgere le diverse attività di analisi del rischio e di controllo fiscale, come previsto dall’art. 14 del d.l. n. 124/2019.

    Altrettanta attenzione deve essere rivolta anche con riguardo alle altre forme di trattamento di “dati personali” dei contribuenti, contenuti nelle numerose banche dati del Fisco, e propedeutici agli accertamenti fiscali.

    In proposito, già in passato il Garante ha rilevato criticità nel bilanciamento tra l’interesse generale alla lotta contro l’evasione fiscale e il diritto alla riservatezza della “vita privata” dei contribuenti in relazione alla disciplina del c.d. “spesometro”, come riformata dal d.m. 24 dicembre 2012. Infatti, con il parere del 21 novembre 2013, il Garante ha inibito l’Agenzia delle Entrate a utilizzare le spese medie ISTAT per ricostruire voci di spesa non connesse a elementi certi, riducendo notevolmente le ipotesi di scostamento che potessero legittimare l’emanazione di un atto impositivo mediante l’utilizzo dello strumento di accertamento in parola. Le indicazioni del Garante sono state, poi, recepite dapprima dall’Agenzia delle Entrate con la circolare 11 marzo 2014, n. 6/E e, poi, dal decreto ministeriale 16 settembre 2015, che ha eliminato definitivamente il riferimento alle spese medie ISTAT ai fini della determinazione del reddito complessivo determinato mediante lo strumento dello “spesometro”[50].

    Particolare attenzione deve essere rivolta pure alle procedure di scambio di informazioni tra Stati, soprattutto automatici e con paesi extra-U.E.[51]

    A tale riguardo si pongono i problemi del rispetto delle finalità del trattamento e dei limiti all’utilizzo dei dati ricevuti da parte dello Stato estero, che comportano il rischio che sia oltrepassata la finalità dell’originaria trasmissione prevista dalla legge. A ciò si aggiunge il tema dell’eventuale successivo ritrasferimento dei dati medesimi a Stati extra-U.E., che potrebbero non rispettare standard di tutela dei diritti fondamentali compatibili con quelli assicurati dal GDPR, come dichiarato dalla Corte di Giustizia nei casi Schrems e Schems II, concernenti il potenziale utilizzo da parte delle Autorità statunitensi dei “dati personali” trasferiti e conservati negli Stati Uniti da Facebook Ireland Ltd. [52]

    In tale contesto, del tutto peculiare è il caso in cui, a seguito di scambi automatici di informazioni, uno Stato riceva “dati personali” che lo Stato che li ha trasmessi ha raccolto in modo illegittimo o comunque a seguito di atti illeciti di terzi, come nel noto caso della c.d. “lista Falciani”.  

    In proposito, gli artt. 8 della CEDU e 7 e 8 della Carta di Nizza, non imponendo il riconoscimento della “fruit of the poisonous tree doctrine” (cioè, la dottrina del frutto dell’albero “avvelenante”, che rende inutilizzabili i frutti – vale a dire le prove - che da esso provengono), non sembrano impedire l’utilizzo di tali dati da parte delle Autorità dello Stato ricevente, a cui non è imputabile la violazione della riservatezza del contribuente interessato. Analogamente, anche in un’ottica di bilanciamento tra contrapposti interessi, fintanto che le Autorità dello Stato ricevente non siano responsabili di alcuna violazione dei presupposti sostanziali o processuali che legittimano il trattamento dei dati ricevuti, sembra prevalente l’interesse di tale Stato a utilizzare i dati ricevuti per contrastare l’evasione fiscale rispetto al contrapposto diritto alla riservatezza del contribuente (salvo ovviamente il suo diritto a una efficacia tutela nei confronti dello Stato a cui è imputabile la violazione). E’ pertanto condivisibile la consolidata giurisprudenza della Corte di Cassazione in ordine all’utilizzabilità, da parte delle Autorità fiscali italiane, della “lista Falciani”, così come delle altre liste che si sono susseguite nel tempo[53].

    Con riguardo, invece, alle circoscritte e mirate ingerenze nella “vita private” e nella protezione dei “dati personali” giustificate dall’esigenza di controlli tributari puntuali, sussiste l’esigenza che la legge nazionale preveda con sufficiente precisione adeguate condizioni sostanziali e procedurali, compreso il controllo da parte di una Autorità indipendente, per legittimare l’ingerenza delle Autorità fiscali nella sfera di riservatezza del contribuente, al fine di assicurare una efficace protezione dei diritti fondamentali di matrice europea contro il rischio di comportamenti illegittimi e di abusi delle Autorità.

    Si pensi alla disciplina degli accertamenti bancari prevista dall’art. 51, comma 2, n. 7) del d.p.r. n. 633/1972 in materia Iva e dall’art. 32, comma 1, n. 7) del d.p.r. n. 600/1973 ai fini delle imposte dirette, in relazione ai quali la legge richiede - soltanto - la “previa autorizzazione del direttore centrale dell’accertamento dell’Agenzia delle entrate o del direttore regionale della stessa, ovvero, per il Corpo della guardia di finanza, del comandante regionale”.

    I vertici centrali o locali dell’Agenzia delle Entrate e/o della Guardia di Finanza non sembrano soddisfare il requisito di “indipendenza” richiesto dalla Corte di Giustizia con il caso H.K., poiché non sono certamente Autorità neutrali rispetto alle parti contrapposte, essendo interessate ai risultati delle relative indagini. Ciò comporta che l’attuale disciplina dei controlli bancari (anche ai fini delle imposte dirette, in ragione dell’attribuzione all’Unione della materia della protezione dei “dati personali” ai sensi dell’art. 16 del TFUE) presenta rilevanti dubbi di compatibilità con le garanzie europee[54].

    Un secondo profilo di attrito della disciplina degli accertamenti bancari con le garanzie europee concerne il consolidato orientamento della Corte di Cassazione[55], secondo cui un accertamento basato sulle risultanze delle movimentazioni bancarie sarebbe legittimo anche se effettuato in assenza della suddetta autorizzazione, sebbene prescritta dalla legge, in quanto questa esplicherebbe una funzione organizzativa incidente esclusivamente nei rapporti tra uffici, salvo che tale omissione abbia prodotto un concreto pregiudizio per il contribuente, secondo la concezione sostanzialistica dell’interesse del privato alla legittimità del provvedimento amministrativo prevista dall’art. 21-octies della legge n. 241/1990, dunque diversa dal mancato rilascio della autorizzazione, ovvero venga in discussione la tutela di diritti fondamentali di rango costituzionale del contribuente, come l’inviolabilità della libertà personale o del domicilio (tra cui, evidentemente, a  giudizio della Cassazione, non è ricompresa la protezione dei “dati personali”, con buona pace degli artt. 2, 14 e 15 Cost. nonché dell’art. 117 Cost.).

    Tale orientamento rende, dunque, ancora più evanescente, apparente e illusorio il controllo preventivo da parte delle Autorità preposte, tanto che potrebbe addirittura mancare, svilendo pure il controllo giurisdizionale successivo, posto che la mancata autorizzazione è considerata irrilevante[56]. Ciò dimostra una evidente carenza di garanzie procedurali previste dalla legge; il tutto ulteriormente aggravato dall’assenza di specifiche condizioni sostanziali per l’accesso ai dati bancari, essendo la relativa scelta rimessa all’esclusiva e indiscriminata discrezionalità degli organi procedenti. Infatti, il diritto alla protezione della riservatezza risulta violato laddove l’ordinamento nazionale riconosca alle Autorità preposte poteri eccessivamente ampi e discrezionali in merito alla valutazione dell’opportunità della misura che incide sulla riservatezza, al numero delle ingerenze, alla loro ampiezza e lunghezza temporale nonché al rapporto con altre misure istruttorie alternative e meno lesive dei diritti dell’interessato[57].

    Ciò comporta che la legge nazionale in materia sembra essere priva di quelle garanzie necessarie per proteggere effettivamente i contribuenti da eventuali abusi o arbitri delle Autorità, con la conseguente inadeguatezza “qualitativa” della relativa “base legale”, che risulta quindi inidonea a legittimare l’ingerenza, secondo la giurisprudenza della Corte EDU, ovvero a soddisfare il principio di proporzionalità, per la Corte di Giustizia.

    Dette “frizioni” con le prerogative europee della riservatezza non sono superabili con la mera possibilità di conseguire un risarcimento del danno subito per l’illegittima ingerenza nella “vita privata” (per altro di difficile, se non impossibile quantificazione). Ne consegue che, sul piano processuale, si deve valutare l’inutilizzabilità quali prove dei dati così recepiti, estendendo anche alla protezione dei “dati personali” l’orientamento giurisprudenziale in ordine alla inutilizzabilità delle prove reperite in occasione di perquisizione domiciliare illegittima[58]. Ciò per la necessità di assicurare una riparazione adeguata per l’interessato nonché l’effettività dei diritti fondamentali di fonte europea nei confronti delle Autorità, che altrimenti sarebbe totalmente frustrata.

    Ciò induce a ritenere che debbano essere riesaminate, in chiave critica, molteplici posizioni della Corte di Cassazione, che tende a “svalutare” la rilevanza delle condizioni sostanziali e procedurali previste per l’utilizzo di strumenti di accertamento e/o per trattamenti dati che comportano un’ingerenza nel rispetto dei diritti garantiti dall’art. 8 della CEDU e dagli artt. 7 e 8 della Carta di Nizza, al fine strumentale di escludere che la loro eventuale violazione avrebbe conseguenze sulla legittimità dell’ingerenza e, in definitiva, sull’utilizzabilità degli elementi di prova in tal modo reperiti[59].

    Infine, riconducendo le materie della protezione dei “dati personali” e della loro libera circolazione nell’ambito delle competenze dell’Unione in virtù dell’art. 16 TFUE, si avrebbero ulteriori rilevanti conseguenze anche sul profilo dei diritti di difesa del contribuente. Infatti, in tale prospettiva, anche gli accertamenti bancari in materia di imposte dirette presentano quel “collegamento” con il diritto dell’Unione che legittimerebbe il riconoscimento del contraddittorio preventivo di cui all’art. 41 della Carta di Nizza, superando la discutibile giurisprudenza della Cassazione in ordine al relativo riconoscimento solo a “macchia di leopardo”, a seconda che il tributo sia “armonizzato” o meno[60].

       

    [1] Cfr. Corte di Giustizia, Satakunnan Markkinapörssi e Satamedia, C‑73/07, p. 37, e Corte EDU, Satakunnan Markkinapörssi e Satamedia c. Finlandia [GC], 27 giugno 2017, n. 931/13, § 198.

    [2] Cfr. Corte EDU, 8 novembre 2016, Magyar c. Ungheria, n. 18030/2011, §§ 161 e 162.

    [3] Cfr. Corte EDU, Satakunnan Markkinapörssi, cit., §§ 129 e 133; G.S.B. c. Svizzera, 22 marzo 2016, n. 28601/11, §§ 89 e 90; Othymia Investments Bv c. Paesi Bassi, dec. 16 giugno 2015, n. 75292/10, § 37;  dec. F.S. c. Germania, 27 novembre 1996, n. 30128/96; Comm. dec. Lundvall c. Svezia, 1° dicembre 1985, n. 10473/83.

    [4] Cfr. Corte EDU, M.N. e altri c. San Marino, 7 giugno 2015, n. 28005/12, §§ 51 e 54.

    [5] Cfr. Corte EDU, Bernh Larsen Holding e altri c. Norvegia, 8 luglio 2013, n. 24117/08, §§ 105 e 106.

    [6] Cfr. Corte EDU, Copland c. Regno Unito, 3 aprile 2007, n. 62617/00, § 44.

    [7] Cfr. Corte di Giustizia, Satakunnan Markkinapörssi, cit., p. 35; Bara, C-201/14, § 29; Puškár, C- 73/16, pp. 34, 38, 39 e 41.

    [8] Cfr. Corte di Giustizia, Österreichischer Rundfunk e altri, C‑465/00, C‑138/01 e C‑139/01, p. 64; Huber, C‑524/06, p. 4. Più in generale, sulla conservazione di “dati personali” e l’accesso da parte delle Autorità pubbliche per il loro utilizzo cfr. Corte di Giustizia, Schrems II, C-311/18 [GS], p. 171.

    [9] Cfr. il dodicesimo considerando del Regolamento U.E. 2016/679 (GDPR), secondo cui «L’articolo 16, paragrafo 2, TFUE conferisce al Parlamento europeo e al Consiglio il mandato di stabilire le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale e le norme relative alla libera circolazione di tali dati».

    [10] Esula dal presente scritto l’esame della disciplina del GDPR, che comunque, quale norma di diritto derivato, recepisce i principi fondamentali desumibili dall’art. 8 della Carta di Nizza.

    [11] Cfr. Corte EDU, 28 novembre 2017, Antović e Mirković c. Montenegro, n. 70838/13, §§ 41 e 42; M.N., cit., § 54, nonché, per l’assimilazione dei locali professionali o commerciali al domicilio, Bernh Larsen Holding, cit., § 104; André e altri c. Francia, 24 luglio 2008, n. 18603/03, § 36; Sallinen e altri c. Finlandia, 27 settembre 2005, n. 50882/99, § 70; Niemietz c. Germania, 16 dicembre 1992, n. 13710/88, §§ 30 e 31; Marckx c. Belgio, 13 giugno 1979, § 31; Corte di Giustizia, Schecke e altri, C‑92/09 e C‑93/09, p. 59; Österreichischer Rundfunk, pp. 73 e 74.

    [12] Cfr. Corte EDU, Satakunnan Markkinapörssi, cit., 150; Bosphorus Hava Yollari Turizm ve Ticaret Anonim Şirketi c. Irlanda, 30 giugno 2005 [CG], n. 45036/98, § 164.

    [13] Cfr. Corte di Giustizia, Schecke, cit., p. 52; Schrems II, C-311/18, p. 98.

    [14] Cfr. Corte di Giustizia, Schrems, C‑362/14, p. 38; Google Spain, C‑131/12, p. 68.

    [15] Cfr. Corte EDU, M.N., cit., § 72; Bernh Larsen Holding, cit., § 123; Corte di Giustizia, Österreichischer Rundfunk, cit., p. 77; Corte Giustizia, Schrems II, cit., pp. 174 e 175; La Quadrature du Net e altri, C-511/18, C-512/18 e C-520/18, p. 132; Schrems, cit., 91; Digital Rights Ireland e altri, C‑293/12 e C‑594/12, pp. 54 e 55.

    [16] Cfr. Corte EDU, G.S.B., cit., § 72.

    [17] Cfr. Corte EDU, G.S.B., cit., § 68; Gillan e Quinton c. Regno Unito, 12 gennaio 2010, n. 4158/05, § 77.

    [18] Cfr. Corte di Giustizia, H.K., C-746/18 [GS], p. 48; La Quadrature du Net, cit., p. 132; Tele2 Sverige e altri, C‑203/15 e C‑698/15, pp. 117 e 118; Digital Rights, cit., pp. 54 e 55.

    [19] Cfr. Corte EDU, G.S.B., cit., § 83; Othymia Investments, cit., §§ 41 e 44; Bernh Larsen Holding, cit., §§ 130 e 135; Andrè, cit., 39; dec. F.S., cit.; Corte di Giustizia, Puškár, cit., pp. 106 e 108.

    [20] Cfr. Corte di Giustizia, Schecke, cit., p. 71; Österreichischer Rundfunk, p. 81.

    [21] Cfr. Comm. EDU dec. J.Z. c. Francia, 4 dicembre 1989, n. 12846/87.

    [22] Cfr. Corte EDU, Satakunnan Markkinapörssi, cit., 164; cfr. Corte di Giustizia, Österreichischer Rundfunk, cit., p. 90.

    [23] Cfr. Corte di Giustizia, H.K., cit., p. 38; La Quadrature du Net, cit., p. 130; Puškár, cit., p. 112; Tele2 Sverige, cit., p. 96; Digital Rights, cit., pp. 47 e 52.

    [24] Cfr. Corte di Giustizia, Schecke, cit., pp. 74 e 85, che ha ritenuto che la pubblicazione dei nomi di tutte le persone fisiche beneficiarie di aiuti per l’agricoltura, con i relativi importi precisi, superi i limiti imposti dal rispetto del principio di proporzionalità, a differenza dell’analoga pubblicazione dei dati indentificativi delle persone giuridiche.

    [25] Cfr. Corte EDU, Bernh Larsen Holding, cit., §§ 130 e 135.

    [26] Cfr. Corte EDU, G.S.B., cit., § 93 nonché L.B. c. Ungheria, cit., § 58.

    [27] Cfr. Corte di Giustizia, H.K., cit., pp. 34 e 40.

    [28] Cfr. Corte di Giustizia, Ministerio Fiscal, C‑207/16, p. 57; La Quadrature du Net, cit., p. 140.

    [29] Cfr. Corte di Giustizia, H.K., cit., pp. 33 e 35; La Quadrature du Net, cit., p. 146; Tele2 Sverige, cit., p. 102; Digital Rights, cit., p. 60.

    [30] Cfr. Corte Giustizia, La Quadrature du Net, cit., p. 141; Schrems, cit., p. 93; Tele2 Sverige, cit., pp. 103 e 107; Digital Rights Ireland, cit., pp. 39, 57 a 61, in cui si è negato che le Autorità possano accedere in maniera generalizzata a una vasta gamma di dati del traffico delle comunicazioni elettroniche (anche se non al relativo contenuto) per finalità di prevenzione e/o repressione di “gravi reati”.

    [31] Cfr. Corte di Giustizia, Tele2 Sverige, cit., p. 100; Digital Rights, cit., p. 37.

    [32] Cfr. Garante per la Protezione dei Dati Personali, provvedimento n. 481 del 15 novembre 2018.

    [33] Cfr. Garante per la Protezione dei Dati Personali, provvedimento n. 511 del 20 dicembre 2018, nel quale è stato altresì sottolineato che: a) ai fini dei controlli automatizzati, nonché per finalità di assistenza e controllo finalizzato all’erogazione dei rimborsi Iva e alla predisposizione della dichiarazione dei redditi e dell’Iva, «nel rispetto del principio di minimizzazione, tra i dati utilizzabili per i controlli automatizzati non può rientrare il campo del file XML contenente la descrizione dell’operazione oggetto di fattura»; b) «ai fini dei controlli puntuali, che possono richiedere l’esame analitico delle fatture», anche in considerazione del numero limitato di tali controlli, «un’archiviazione integrale di tutte le fatture emesse e ricevute per l’esecuzione di controlli puntuali nell’ambito di accertamenti fiscali e verifiche, anche da parte della Guardia di Finanza, […] risulta, quindi, sproporzionata».

    [34] Cfr. Garante per la Protezione dei Dati Personali, memoria sul disegno di legge C.2220, di conversione in legge del decreto-legge n. 124 del 2019. Nello stesso senso cfr. Garante per la Protezione dei Dati Personali, provvedimento n. 133 del 9 luglio 2020, con il quale è stato espresso parere negativo alla memorizzazione integrale, per nove anni, dei file delle fatture elettroniche per le diverse attività di analisi del rischio e di controllo a fini fiscali, previsto dall’art. 14 del d.l. n. 124/2019.

    [35] Cfr. Corte EDU, M.N., cit., § § 73 e 80; Funke c. Francia, 25 febbraio 1993, n. 10828/84, § 56; Crémieux c. Francia, 25 febbraio 1993, n. 11471/85, § 39; Miailhe c. Francia, 25 febbraio 1993, n. 12661/87, § 37; Huvig c. Francia, 24 aprile 1990, n. 11105/84, § 34; Corte di Giustizia, Schrems II, cit., pp. 176.

    [36] Cfr. Corte EDU, Othymia Investments, §§ 43 e 44; Corte di Giustizia, Berlioz Investment Fund SA, C‑682/15, pp. 46 e 94, Sabou, C-276/12, p. 41 e art. 23 GDPR.

    [37] Cfr. Corte EDU, Funke, cit., § 57; Crémieux, cit., § 39; Miailhe, cit. § 37.

    [38] Cfr. Corte EDU, Bernh Larsen Holding, cit., § 172.

    [39] Cfr. Corte EDU, Zakharov c. Russia, 4 dicembre 2015, n. 47143/06, § 260; Corte di Giustizia, La Quadrature du Net, cit., p. 133; Tele2 Sverige, cit., pp. 111 e 119.

    [40] Cfr. Corte EDU, M.N., cit., § 81.

    [41] Cfr. Corte EDU, Trabajo Rueda c. Spagna, 30 maggio 2017, n. 32600/12, § 37; Uzun c. Germania, n. 35623/05, §§ 71 e 72; Panarisi c. Italia, 10 aprile 2007, n. 46794/99, §§ 76 e 77.

    [42] Cfr. Corte Giustizia, Schrems II, cit., p. 187; Schrems, cit., pp. 41 e 95.

    [43] Cfr. Corte di Giustizia, H.K., cit., p. 49; Privacy International, C-623/17, p. 77, La Quadrature du Net, cit. p. 176.

    [44] Cfr. Corte di Giustizia, H.K., cit., pp. 40 e 53; La Quadrature du Net, cit., 51; Tele2 Sverige, cit., p. 120.

    [45] Cfr. Corte di Giustizia, H.K., cit., pp. 54 - 56.

    [46] Corte di Giustizia, H.K., cit., p. 42; La Quadrature du Net, cit., p. 223.

    [47] Corte di Giustizia, H.K., cit., p. 44; La Quadrature du Net, cit., p. 226.

    [48] In tal senso cfr. anche Corte Cost., n. 137/2018; Corte Cost., n. 272/2016; Corte Cost. n. 23/2015; Corte Cost., 162/2014; Corte Cost., n. 1/2014.

    [49] Cfr. Corte EDU, Magyar, cit., §§ 161 e 162.

    [50] Inoltre, l’esigenza di tutelare i dati sensibili, quali quelli afferenti la salute delle persone, ha indotto il Garante ha rispondere in senso positivo al quesito relativo alla necessità per un medico, sottoposto a verifica fiscale, di acquisire il consenso scritto del paziente per comunicare all’Amministrazione finanziaria le prestazioni mediche eseguite nei suoi confronti; il consenso non è, invece, necessario se le Autorità fiscali vengano ad “apprendere” direttamente i dati in questione (cfr. provvedimento 31 dicembre 1998).

    [51] Tali procedure sono state, infatti, oggetto di attenzione del Comitato Consultivo della Convenzione n. 108, che in materia ha espresso la “Opinion on the implications for data protection of mechanisms for automatic inter-state exchanges of data for administrative and tax purposes”del 4 giugno 2014 nonché più volte del Garante per la Protezione dei Dati Personali, con i pareri n. 411 dell’8 luglio 2015, n. 438 del 23 luglio 2015, n. 661 del 17 dicembre 2015, n. 289 del 7 luglio 2016 e n. 283 del 22 giugno 2017.

    [52] L’art. 49, par. 1, lett. d) del GDPR legittima il trasferimento di dati verso paesi terzi anche in assenza di una decisione di adeguatezza o adeguate salvaguardie, se ciò “sia necessario per importanti motivi di interesse pubblico”, come ad esempio - chiarisce il considerando 112 - «nel caso di scambio internazionale di dati tra autorità garanti della concorrenza, amministrazioni fiscali o doganali». Tuttavia, l’art. 49 citato specifica che siffatto trasferimento è “ammesso soltanto se non è ripetitivo, riguarda un numero limitato di interessati, è necessario per il perseguimento degli interessi legittimi”. Inoltre, il Comitato Consultivo della Convenzione n. 108, con la citata opinione del 2014, ha sottolineato che deve essere evitato il trasferimento di massa di informazioni personali e sensibili a paesi senza un livello di protezione adeguato e che non possono esserci trasferimenti successivi da parte dell’Autorità richiedente a un’altra Autorità stabilita in un paese terzo, a meno che l’Autorità di trasmissione non lo abbia autorizzato. Dunque, anche in questo settore non sono ammessi trasferimenti di massa, strutturali e indiscriminati.

    [53] Cfr., per tutte, Cass. n. 8605/2015; Cass. n. 8606/2015; Cass. n. 16950/2015. Dubbi sussistono invece in ordine al valore probatorio di tali liste, in assenza di alcun riscontro circa la loro attendibilità, considerata l’origine “opaca” delle stesse.

    [54] Analoghe considerazioni rilevano anche in relazione alla disciplina dell’accesso presso i locali del contribuente ex art. 52 del d.p.r. n. 633/1972, compresi gli accessi presso le abitazioni, in cui l’autorizzazione deve essere concessa (non più dal “capo ufficio”) bensì dal Procuratore della Repubblica. Infatti, come chiarito dalla Corte di Giustizia nel caso H.K., il Pubblico Ministero difetta di indipendenza, per essere il soggetto deputato a utilizzare in sede penale le eventuali prove così reperite.

    [55] Cfr., tra le tante, Cass. n. 7538/2021; Cass. n. 4745/2021; Cass. n. 4310/2021; Cass. n. 3440/2021; Cass. n. 30786/2018; Cass. n. 13353/2018; Cass. n. 9480/2018; Cass. n. 3628/2017; Cass. n. 10675/2010; Cass. n. 16874/2009.

    [56] Analoghe considerazioni rilevano anche per la disciplina della trasmissione all’A.d.E. di atti, documenti e notizie acquisite nell’ambito di un’indagine o di un processo penale, in quanto la mancanza della “previa autorizzazione dell’autorità giudiziaria”, richiesta dagli artt. 63, comma 1 del d.p.r. n. 633/1972 e 33, comma 3 del d.p.r. n. 600/1973, avrebbe rilevanza esclusivamente interna, a tutela della riservatezza delle indagini penali e non anche del contribuente (cfr., tra le tante, Cass. n. 23729/2013; Cass. 7279/2009; Cass. n. 11203/2007; Cass. n. 2450/2007; Cass. 28695/2005). Le criticità rilevate aumentano ulteriormente nel caso in cui le risultanze trasmesse fossero state acquisite in sede penale illegittimamente, venendo a mancare in questo caso addirittura la “base legale” per il trattamento dei dati (ciò è invece irrilevante secondo Cass. n. 32185/2019).

    [57] Cfr. Corte EDU, Funke, cit., § 57; Klass e altri c. Germania, n. 5029/71 [CG], 6 settembre 1978, § 50.

    [58] Cfr., tra le tante, Cass. n. 10664/2021; Cass. n. 673/2019; Cass. n. 14701/2018; Cass. n. 20028/2010; Cass. n. 19689/2004; Cass. n. 1344/2002; Cass. n. 15230/2001.

    [59] Cfr. precedenti note 53 e 55.

    [60] Cfr. Cass. S.U. n. 24823/2015.

    User Rating: 5 / 5

    Please publish modules in offcanvas position.

    We use cookies on our website. Some of them are essential for the operation of the site, while others help us to improve this site and the user experience (tracking cookies). You can decide for yourself whether you want to allow cookies or not. Please note that if you reject them, you may not be able to use all the functionalities of the site.