Un recente intervento normativo, il d.l. 139/2021 denominato “Decreto Capienze”, pubblicato l’8 ottobre 2021 ed entrato in vigore il giorno successivo, nel disciplinare alcuni aspetti dell’emergenza Covid, ha colto l’occasione per assestare un colpo abbastanza duro alla privacy dei contribuenti italiani.
L’intento è dei migliori: agevolare a lotta all’evasione fiscale. Il rischio è che la norma sia troppo invasiva e comporti rischi ingiustificati per i cittadini.
Di che si tratta? Proviamo a spiegarlo con parole semplici
Fino all’entrata in vigore di questo decreto i dati personali dei contribuenti potevano essere utilizzati dalle pubbliche amministrazioni solo se una norma indicava le finalità (cioè lo scopo) del trattamento. Ad esempio i dati contenuti in una banca dati erano utilizzabili solo per finalità previste dal legislatore.
Inoltre, quando un trattamento dei dati personali risultava ad elevato rischio, il Garante delle privacy poteva emanare delle prescrizioni per rendere più sicuro quel trattamento.
Questo evidentemente, se da una parte tutelava il cittadino, dall’altra limitava l’azione della pubblica amministrazione, anche nell’attività di contrasto dell’evasione fiscale.
Il decreto legge in questione, con l’art. 9, va a modificare il Codice della privacy prevedendo che i dati personali possano sempre esser trattati dalle pubbliche amministrazioni (non solo i dati comuni, come invece era scritto nella prima stesura del decreto); che la finalità del trattamento – se non indicate in una legge o in un regolamento – possono essere indicate dalla pubblica amministrazione stessa; al Garante della privacy viene sottratto il potere di intervento preventivo.
Ma facciamo un esempio per capire meglio di cosa stiamo parlando e quali siano i pericoli
L’Agenzia delle Entrate, tra i molti documenti che conserva, ha le ricevute per prestazioni mediche dei contribuenti. Si tratta ovviamente di dati personali “particolari”, cioè di quelli che possono rivelare informazioni molto sensibili del soggetto. Mettiamo ora che la pubblica amministrazione – è un’ipotesi di fantasia – decida di verificare se le fatture sono coerenti con lo stato di salute del soggetto e quindi voglia incrociare i dati per prestazioni mediche con i dati sanitari del contribuente.
Fino a questo ottobre tale trattamento dati non sarebbe stato legittimo in assenza di una legge che prevedesse tale finalità. Il legislatore avrebbe quindi dovuto valutare se opportuno o meno operare tale invasione nella sfera di riservatezza del cittadino. Adesso invece sarà la singola Pubblica amministrazione a valutare se sia o meno opportuno tale trattamento al fine di contrastare l’evasione fiscale. Questo ovviamente comporta il rischio di errori di valutazione e minori garanzie per il cittadino: è infatti ragionevole che un diritto fondamentale possa esser compresso per l’interesse collettivo. Tale compressione però dovrebbe essere determinata da una legge o da un atto emesso in conformità ad una legge. Preoccupante che ciò sia rimesso invece alla valutazione di una pubblica amministrazione.
Non basta. Questo trattamento comporta dei rischi: potrebbero essere incaricati soggetti non idonei, potrebbero essere usate modalità tecniche poco sicure, si potrebbe trattare un numero di dati eccessivo. Le informazioni sulla salute del contribuente potrebbero essere diffuse involontariamente o usate in modo non corretto.
Fino ad ottobre il Garante della privacy, di fronte a trattamenti ad elevato rischio come quello appena descritto, poteva emanare delle prescrizioni correttive, cioè richiedere interventi volti a mitigare il rischio. Oggi potrà intervenire solo ex post e non ex ante.
Da questo esempio risultano allora evidenti i rischi per il cittadino. In particolar modo il rischio di trattamenti dati privi di una valida giustificazione e di adeguate garanzie tecniche.
La previsione in commento è l’ultimo passo di un percorso intrapreso da tempo
Già due annoi fa i commi da 681 a 686 dell’articolo 1 della legge n.160/2019 (legge di bilancio 2020) prevedevano che le attività di prevenzione e contrasto all’evasione fiscale dovessero considerarsi di interesse pubblico rilevante, con la possibilità, per la pubblica amministrazione di procedere al trattamento dei dati personali in deroga alle disposizioni del codice della privacy.
Tali norme però erano rimaste lettera morta proprio per la necessità di operare solo trattamenti le cui finalità fossero indicate in atti normativi. Oggi questo “limite” stato rimosso.
I rischi però sono notevoli
Il mondo del diritto è abituato allo scontro tra diritti individuali ed autorità: uno scontro che deve trovare un proprio giusto equilibrio. In questo caso si ha l’impressione che l’intento di combattere l’evasione abbia portato a comprimere troppo i diritti del contribuente attribuendo un potere eccessivo alla Pubblica amministrazione.
Ricordiamo che la Pubblica amministrazione italiana non brilla per cultura della tutela dei dati personali. Speriamo allora che la norma trovi una modifica in sede di conversione del decreto legge, in modo da garantire maggiormente gli interessi e i diritti di tutti i cittadini.
Leggi la news sul sito Asi
