Accertamenti fiscali e tributari.

Provvedimento del Garante – 25 maggio 2005

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

Vista la normativa internazionale e comunitaria in materia di protezione dei dati personali (direttiva n. 95/46/CE), anche in relazione agli articoli 2, 10, 11 e 117 della Costituzione;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Viste le disposizioni della legge 30 dicembre 2004, n. 311 (legge finanziaria per il 2005), rilevanti in tema di trattamento dei dati personali in vasti ambiti economici e finanziari, con particolare incidenza nel settore bancario e tributario;

Vista la documentazione in atti;

Ritenuta la necessità di prescrivere alcune misure necessarie ed opportune al fine di rendere conforme alle disposizioni vigenti il trattamento dei dati personali nei predetti ambiti (art. 154, comma 1, lett. c), del Codice);

Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO:

La legge 30 dicembre 2004, n. 311 (legge finanziaria per il 2005) ha introdotto alcune disposizioni volte a potenziare il patrimonio informativo a disposizione di organi preposti ai controlli fiscali e alla riscossione dei tributi.

Il Garante esamina in questa sede i profili rilevanti per il trattamento dei dati personali per i quali possono porsi questioni applicative.

1. Indagini bancarie

1.1. La predetta legge ha ampliato l’ambito applicativo di alcune disposizioni in tema di indagini bancarie da parte dell’Amministrazione finanziaria (art. 1, commi 402, 403 e 404, legge n. 311/2004, modificativi degli artt. 32 e 51, rispettivamente dei dd.P.R. nn. 600/1973 e 633/1972).

Gli uffici delle imposte possono chiedere ad organi e amministrazioni dello Stato, enti pubblici non economici, società ed enti di assicurazione, altri enti e società che effettuano riscossioni e pagamenti per conto di terzi, di comunicare dati e notizie relativi a singoli soggetti o per categorie. Le informazioni sulla categoria devono essere fornite cumulativamente o specificamente per ogni soggetto che ne fa parte (art. 32, primo comma, n. 5, d.P.R. 29 settembre 1973, n. 600, come modificato dall’art. 1, comma 402, legge n. 311/2004).

Per questa prima casistica non sono previste specifiche cautele in tema di protezione dei dati.

1.2. I medesimi uffici delle imposte -sulla base di una autorizzazione- possono chiedere altresì ai soggetti sottoposti ad accertamento, ispezione o verifica di rilasciare una dichiarazione contenente l’indicazione della natura, del numero e degli estremi identificativi dei rapporti intrattenuti con banche, Poste italiane Spa, intermediari finanziari, imprese di investimento, organismi di investimento collettivo del risparmio, società di gestione del risparmio e società fiduciarie, nazionali o stranieri, in corso ovvero estinti da non più di cinque anni dalla data della richiesta (art. 32, primo comma, n. 6-bis, d.P.R. 29 settembre 1973, n. 600, come modificato dall’art. 1, comma 402, legge n. 311/2004).

Solo in questo secondo caso la pertinente disposizione prevede che il richiedente e chi detiene i dati raccolti debbano adottare direttamente cautele necessarie alla riservatezza dei dati acquisiti.

1.3. In un terzo caso -parimenti, sulla base di un’autorizzazione- è possibile richiedere dati, notizie e documenti relativi a qualsiasi rapporto intrattenuto od operazione effettuata, ivi compresi i servizi prestati, con i loro clienti, nonché alle garanzie prestate da terzi. Tali dati possono essere richiesti a banche, Poste italiane Spa, per le attività finanziarie e creditizie, ad intermediari finanziari, imprese di investimento, organismi di investimento collettivo del risparmio, società di gestione del risparmio e società fiduciarie. A società fiduciarie (legge n. 1966/1939) o iscritte nella sezione speciale di un albo di cui all’art. 20 d.lg. n. 58/1998) può essere richiesto, tra l’altro, specificando i periodi temporali di interesse, di comunicare le generalità dei soggetti per conto dei quali esse hanno detenuto o amministrato o gestito beni, strumenti finanziari e partecipazioni in imprese, inequivocamente individuati (art. 32, primo comma, n. 7), d.P.R. 29 settembre 1973, n. 600, come modificato dall’art. 1, comma 402, legge n. 311/2004).

La normativa in esame prescrive solo in questo terzo caso che, per le richieste autorizzate con provvedimento del direttore dell’Agenzia delle entrate, debbano essere stabilite disposizioni attuative e modalità di trasmissione delle richieste, delle risposte, nonché dei dati e delle notizie riguardanti i rapporti e le operazioni indicati.

1.4. Previsioni analoghe a quelle sopra riassunte riguardano la disciplina relativa all’accertamento e alla riscossione dell’imposta sul valore aggiunto (art. 51 d.P.R. 26 ottobre 1972, n. 633, come modificato dall’art. 1, comma 403, legge n. 311/2004).

1.5. Il trattamento dei dati personali volto a perseguire le richiamate finalità pubbliche deve svolgersi nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali (art. 2, comma 1, del Codice).

L’utilizzazione dei dati deve avvenire sulla base di un preciso quadro di riferimento anche per ciò che riguarda i flussi tra l’amministrazione finanziaria e i destinatari delle richieste di informazioni, con particolare riferimento alla possibilità di accedere e di interconnettere informazioni contenute in altri archivi, nel rispetto dei principi di necessità e di proporzionalità nel trattamento dei dati (artt. 3 e 11 del Codice).

Il passaggio ad un sistema più efficiente di trasmissione delle informazioni necessarie alle indagini bancarie, basato solo sulla via telematica, deve rispettare comunque i presupposti normativi che giustificano solo verifiche mirate ed in casi selettivamente individuati. Nel transito di dati telematico occorre restare ancorati a richieste proporzionate e circoscritte a casi di effettivo interesse.

1.6. Occorre individuare poi precise modalità delineando con maggiore specificità e più idoneamente, con riferimento all’ambito di competenza di ciascun ente in relazione ai propri compiti istituzionali, misure ed accorgimenti volti a garantire la sicurezza dei dati e il rispetto dei princìpi di selettività, proporzionalità e di pertinenza delle informazioni raccolte presso gli interessati e presso terzi (art. 11 del Codice).

1.7. I contenuti informativi del sistema di comunicazione sopra descritto non sono infatti, allo stato, adeguatamente tipizzati, stante l’ampio e indistinto riferimento ad ogni tipo di dato o notizia relativi a soggetti indicati anche per categorie. L’esigenza di una richiesta di dati selettiva in rapporto ad effettive necessità di verifica si avverte, in particolare, per informazioni richieste cumulativamente o per intere categorie (art. 32, comma 5, d.P.R. 29 settembre 1973, n. 600), tenendo conto che le richieste possono riguardare anche “dati, notizie e documenti relativi a qualsiasi rapporto intrattenuto od operazione effettuata, ivi compresi i servizi prestati, con i loro clienti, nonché alle garanzie prestate da terzi” (art. 32, comma 1, n. 7, d.P.R. 29 settembre 1973, n. 600).

1.8. Il citato provvedimento del direttore dell’Agenzia delle entrate volto a stabilire le disposizioni attuative e le modalità di trasmissione delle richieste, delle risposte, nonché dei dati e delle notizie (limitatamente alle richieste di dati di cui al medesimo comma 1, n. 7) incide sulle materie disciplinate dal Codice in materia di protezione dei dati personali e, per tale ragione, deve essere sottoposto alla previa consultazione del Garante, in conformità al Codice e al diritto comunitario (art. 154, comma 4, del Codice; art. 28, par. 2, direttiva n. 95/46/CE). Ciò, anche per prevenire il vizio dell’atto adottato e la possibile inutilizzabilità dei dati trattati (art. 11, comma 2, del Codice).

1.9. Le osservazioni esposte nei precedenti punti da 1.5 a 1.8 devono intendersi riferite anche alle disposizioni che riguardano la disciplina relativa all’accertamento e alla riscossione dell’imposta sul valore aggiunto (art. 51 del d.P.R. 26 ottobre 1972, n. 633, come modificato dall’art. 1, comma 403, legge n. 311/2004).

2. Comunicazioni all’anagrafe tributaria

2.1. La legge finanziaria per il 2005 ha integrato le tipologie di dati che devono essere trasmesse all’anagrafe tributaria da parte di soggetti pubblici e privati (art. 7 d.P.R. n. 605/1973), prevedendo anche la trasmissione di:

  • dati e notizie contenuti nelle denunce di inizio attività presentate allo sportello unico comunale per l’edilizia, relativi a permessi di costruire e ad ogni altro atto di assenso comunque denominato in materia di attività edilizia rilasciato dai comuni (d.P.R. 6 giugno 2001, n. 380);
  • per quanto riguarda i contratti di somministrazione, dati catastali identificativi dell’immobile presso cui è attivata l’utenza.

Diversi decreti volti a disciplinare comunicazioni di dati all’anagrafe tributaria sono stati adottati in attuazione del citato art. 7 del d.P.R. n. 605/1973, senza il parere del Garante (art. 31, comma 2, della legge 31 dicembre 1996, n. 675; art. 154, comma 4, del Codice).

Ciò, in particolare, in tema di:

a) trasmissione dei dati relativi ai pagamenti effettuati a mezzo bonifico per interventi di recupero del patrimonio edilizio ai fini della detrazione di cui all’art. 1, comma 1, della legge 27 dicembre 1997, n. 449, identificativi del mittente, dei beneficiari della detrazione e dei destinatari dei pagamenti (d. m. 18 febbraio 1998, n. 41, così come modificato dal decreto ministeriale 9 maggio 2002, n. 153);

b) comunicazioni da parte delle pubbliche amministrazioni e degli enti pubblici, degli estremi dei contratti di appalto, di somministrazione e di trasporto, conclusi mediante scrittura privata e non registrati (d. m. 18 marzo 1999);

c) comunicazioni degli atti di concessione, di autorizzazione e licenza adottati da uffici pubblici, relativamente ai soggetti beneficiari (d. m. 17 settembre 1999);

d) comunicazioni delle domande di iscrizione, variazione e cancellazione negli albi, registri ed elenchi tenuti dagli ordini professionali, enti ed uffici preposti (d.m. 17 settembre 1999);

e) comunicazioni da parte degli uffici marittimi e degli uffici della motorizzazione civile, sezione nautica, di dati e di notizie relativi alle iscrizioni ed alle note di trascrizione di atti costitutivi, traslativi o estintivi della proprietà o di altri diritti reali di godimento, nonché alle dichiarazioni di armatore, concernenti navi, galleggianti ed unità da diporto, o quote di essi (d.m. 21 ottobre 1999);

f) comunicazioni da parte del registro aeronautico nazionale e dei direttori delle circoscrizioni di aeroporto, dei dati e delle notizie relativi alle iscrizioni, alle variazioni e cancellazioni (d.m. 21 ottobre 1999);

g) comunicazioni degli elenchi delle persone fisiche che hanno corrisposto interessi passivi, premi di assicurazione e contributi previdenziali predisposti da soggetti che erogano mutui agrari e fondiari, imprese assicuratrici ed enti previdenziali (d.m. 27 gennaio 2000);

h) comunicazioni da parte di aziende, istituti, enti e società, dei dati e delle notizie riguardanti i contratti di assicurazione, ad esclusione di quelli relativi alla responsabilità civile ed all’assistenza e garanzie accessorie, relativamente ai soggetti contraenti (d.m. 27 giugno 2000);

i) comunicazioni da parte di aziende, istituti, enti e società, dei dati e delle notizie riguardanti i contratti di somministrazione di energia elettrica, relativamente agli utenti (d.m. 27 giugno 2000).

Da ultimo, senza il parere del Garante (art. 154, comma 4, del Codice), è stata disciplinata anche la modalità dei flussi di dati previsti dai soggetti sopra richiamati all’anagrafe tributaria con modalità telematica (provvedimento direttoriale del 10 marzo 2005).

Anche per questo caso, occorre rappresentare che i regolamenti e gli atti adottati senza la doverosa consultazione del Garante sono viziati per violazione di legge e del diritto comunitario in materia. Inoltre, i dati personali trattati in applicazione di tali atti sono inutilizzabili, anche con conseguente responsabilità diretta, da qualunque soggetto emanante ulteriori atti applicativi e dall’incauto utilizzatore (art. 11, comma 2, del Codice).

2.2. A parte il profilo della mancata consultazione, va rilevata, anzitutto, l’esigenza che, a seguito della congrua esperienza già maturata, sia avviata in separata sede, presso l’anagrafe tributaria, una verifica organica sull’effettiva necessità e proporzionalità della raccolta sistematica e generalizzata delle varie categorie di dati acquisite e disponibili, alla luce dei principi introdotti o ribaditi in proposito dal Codice entrato in vigore il 1° gennaio 2004.

Oltre a questa verifica più generale, i predetti principi impongono sin d’ora, per i predetti dati, una scelta di modalità tecniche rispettose dei richiamati principi di necessità e proporzionalità (artt. 3 e 11 del Codice). In particolare, il titolare del trattamento deve verificare se, in rapporto alle finalità perseguite nel caso di specie, sia sufficiente consentire solo che l’amministrazione finanziaria, allorché occorra nei singoli casi, possa accedere telematicamente ai dati necessari alle verifiche, presenti presso le varie banche dati pubbliche e private connesse. Qualora tale modalità fosse idonea in rapporto agli scopi perseguiti, non sarebbe giustificato procedere, altresì, ad una duplicazione superflua delle medesime banche dati presso l’anagrafe tributaria, che potrebbe comportare anche possibili difficoltà di aggiornamento e allineamento dei dati.

Il Codice prevede infatti che le operazioni di comunicazione dei dati debbano avvenire, in applicazione del principio di proporzionalità, mettendo solo i dati di interesse a disposizione per via telematica, anziché -se non è indispensabile in rapporto alle finalità- duplicarli tutti e farne oggetto di una trasmissione sistematica ad un terzo (art. 4, comma 1, lett. l) ed 11, comma 1, lett. d) del Codice).

3. Anagrafe dei conti e dei depositi

Un aspetto correlato alle modifiche in materia di indagini bancarie riguarda l’operatività dell’anagrafe dei conti e dei depositi istituita con la legge n. 413/1991, la quale prevede, in particolare, che banche, Poste S.p.a., intermediari finanziari, imprese di investimento, società di gestione del risparmio, organismi di investimento collettivo del risparmio, nonché ogni altro operatore finanziario debbano rilevare e porre in evidenza i dati identificativi, compreso il codice fiscale, di tutti i soggetti che intrattengono con loro qualsiasi rapporto o effettuino qualsiasi operazione di natura finanziaria (art. 7, sesto comma, d.P.R. 605/1973).

La legge finanziaria ha esteso gli obblighi di tenuta in evidenza a tutti i soggetti che possono porre in essere operazioni di gestione, impiego e movimentazione delle disponibilità finanziarie dei contribuenti in relazione ad ogni soggetto che intrattenga con essi qualsiasi rapporto o effettui qualsiasi operazione di natura finanziaria (ossia, in generale, tutte le operazioni allo sportello eseguite per cassa senza interessamento di un conto) (art. 1, commi 402-404, legge n. 311/2004).

E’ da ritenersi che anche il regolamento istitutivo della citata anagrafe (d.m. 4 agosto 2000, n. 269, adottato previo parere del Garante), debba essere modificato o integrato per essere adeguato alla nuova disciplina.

Il Garante confida che tale parere venga richiesto (art. 154, comma 4, del Codice) e che si possano individuare, anche in questo caso, soluzioni efficaci e rispettose dei principi in materia di protezione dei dati personali.

4. Dichiarazioni stragiudiziali

4.1. Con alcune decisioni il Garante aveva rilevato l’illegittimità della prassi instaurata da alcune società concessionarie del servizio per la riscossione dei tributi volta a chiedere informazioni personali a terzi per ottenerne una dichiarazione stragiudiziale che attestasse l’esistenza di crediti del contribuente su cui rivalersi, in quanto nessuna previsione legislativa o regolamentare conferiva il potere di effettuare questo tipo di trattamento senza il consenso del contribuente. Tale procedura, in contrasto anche con il principio di non eccedenza (art. 11 del Codice), in quanto sproporzionata rispetto alla finalità di recupero del credito (perseguibile anche con altri strumenti), risultava disciplinata solo da risoluzioni dell’Agenzia delle entrate e da mere circolari ministeriali.

4.2. Il quadro normativo è stato parzialmente modificato con la legge finanziaria per il 2005, la quale ha introdotto l’istituto della dichiarazione stragiudiziale (art. 1, comma 425, legge n. 311/2004). Il nuovo art. 75-bis del d.P.R. n. 602/1973 prevede che il concessionario -anche prima di procedere al pignoramento presso terzi- possa chiedere ai debitori del soggetto che è iscritto a ruolo di indicare per iscritto le cose e le somme dovute al creditore.

4.3. La novità normativa prevede che l’indicazione possa avvenire anche solo in modo generico. Dovrà essere quindi verificato il rapporto tra la novella e il predetto principio di pertinenza e non eccedenza.

Va rilevata in proposito l’esigenza che la competente amministrazione impartisca ai concessionari idonee istruzioni, a norma di legge, per i casi in cui si ritenga di utilizzare lo strumento della dichiarazione stragiudiziale, prevedendo che il concessionario, oltre ad informare l’interessato sul trattamento dei dati, fornisca allo stesso una comunicazione preventiva della possibilità che, in caso di mancato pagamento, verrà acquisita una dichiarazione stragiudiziale prima di procedere al pignoramento presso terzi e utilizzi tale strumento solo dopo aver documentato l’impossibilità di procedere altrimenti alla riscossione del credito.

Caso per caso dovrà essere altresì verificato, anche in relazione all’importo dovuto, se le cose e le somme dovute dai debitori del soggetto iscritto a ruolo debbano essere indicate dal terzo in modo generico oppure puntuale, indicando chiaramente nella richiesta il dettaglio delle informazioni richieste e la facoltatività o meno della risposta.

5. Cessione di fabbricati

5.1. La legge finanziaria ha introdotto alcune novità in relazione alle modalità di trasmissione al Ministero dell’interno delle comunicazioni di cessione di fabbricati (art. 12 d.l. 21 marzo 1978, n. 59, conv., con mod., dalla legge 18 maggio 1978, n. 191; art. 1, commi 344 e 345, legge n. 311/2004). I dati contenuti in tale comunicazione sono destinati a confluire nel C.e.d. del Dipartimento di pubblica sicurezza (art. 8 legge 1° aprile 1981, n. 121).

5.2. Le nuove disposizioni, oltre ad estendere l’obbligo di comunicazione a soggetti che esercitano abitualmente l’intermediazione nel settore immobiliare, prevedono trattamenti connessi di dati per finalità fiscali e di polizia e, a tal fine, la realizzazione di un modello di comunicazione di cessione di fabbricati da trasmettere in via telematica al Ministero dell’interno attraverso l’Agenzia delle entrate, anche avvalendosi di intermediari (ad es. centri di assistenza fiscale e dottori commercialisti).

Va al riguardo ricordato che l’utilizzazione generalizzata e sistematica per finalità di pubblica sicurezza di dati raccolti per altri scopi (ad es. fiscali) è invece consentita dalla normativa comunitaria solo in via di eccezione e secondo i presupposti selettivi individuati anche dalla giurisprudenza europea (art. 13 direttiva n. 95/46/CE).

La specifica disciplina normativa di settore (art. 9, legge n. 121/1981) vieta, poi, di utilizzare le informazioni contenute nel C.e.d. del Dipartimento di pubblica sicurezza per finalità diverse da quelle indicate dal legislatore nella disciplina di polizia e stabilisce a tal fine il divieto di circolazione di tali informazioni all’interno della pubblica amministrazione.

Al fine di rispettare la normativa di settore e il principio di finalità sancito dal Codice è necessario che il Ministero dell’interno, nell’applicare la novità normativa in esame, specifichi altresì il ruolo assunto dai soggetti esterni nel trattamento dei dati (Agenzia delle entrate e gli altri soggetti di cui all’art. 3 del d.lg. n. 322/1998).

Appare infine necessario il varo di istruzioni ministeriali per disciplinare i tempi di conservazione dei dati.

6. Riutilizzazione commerciale delle informazioni catastali e ipotecarie

La legge finanziaria ha introdotto una disposizione che vieta, di regola, la riutilizzazione commerciale delle informazioni contenute negli archivi catastali e nei pubblici registri immobiliari tenuti dagli uffici dell’Agenzia del territorio (art. 1, commi 367 e s., legge n. 311/2004). L’eventuale possibilità di riutilizzare per fini commerciali tali informazioni è stata subordinata alla stipula di specifiche convenzioni con la stessa Agenzia, le quali devono disciplinare, a fronte del preventivo pagamento dei tributi dovuti, le modalità ed i termini della raccolta, della conservazione, dell’elaborazione dei dati, nonché il controllo del limite di riutilizzo consentito.

L’applicazione di tali disposizioni deve essere però coordinata con altre scelte già effettuate dal legislatore, anche in attuazione di raccomandazioni del Consiglio d’Europa richiamate nel Codice, e pertanto direttamente vincolanti. Il Garante ha promosso la sottoscrizione del codice deontologico per regolare la materia (artt. 61 e 118 del Codice), anche al fine di garantire il rispetto dei diritti degli interessati e del principio di compatibilità della riutilizzazione con gli scopi per i quali i dati sono stati originariamente raccolti.

Qualora l’Agenzia del territorio intenda al momento delimitare, nel rispetto dei principi di pertinenza e non eccedenza, le modalità di riutilizzazione dei dati da parte dei soggetti convenzionati, con particolare riguardo all’utilizzo in altre operazioni del trattamento in termini compatibili con tali scopi, alla conservazione e all’aggiornamento dei dati medesimi (art. 11 del Codice), è opportuno che tenga conto che il Garante ha già promosso la sottoscrizione del predetto codice deontologico, di prossima adozione, e che il rispetto delle disposizioni in esso contenute costituirà condizione essenziale per la liceità e correttezza del trattamento dei dati (art. 12, comma 3, del Codice).

7. Trasmissione telematica dei certificati di malattia all’Inps

La legge finanziaria ha stabilito che, a decorrere dal 1° giugno 2005, nei casi di infermità comportante incapacità lavorativa, il medico curante trasmetta all’Inps per via telematica il certificato di diagnosi sull’inizio e sulla durata presunta della malattia. La definizione delle specifiche tecniche e delle modalità procedurali è demandata ad un apposito decreto interministeriale di iniziativa del Ministero del lavoro e della previdenza sociale (art. 1, comma 149, legge n. 311/2004).

Il Garante, che dovrà esprimere il previsto parere su tale decreto, richiede l’individuazione di soluzioni efficaci e rispettose dei principi in materia di protezione dei dati personali (art. 154, comma 4, del Codice).

TUTTO CIÒ PREMESSO, IL GARANTE:

prescrive ai titolari di trattamenti di dati personali oggetto del presente provvedimento, ai sensi dell’art. 154, comma 1, lett. c), del Codice, di adottare le misure necessarie ed opportune ivi indicate al fine di rendere i trattamenti medesimi conformi alle disposizioni vigenti.

Roma, 25 maggio 2005

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli