Fisco e privacy, niente accesso ai nomi dei beneficiari di sgravi delle Entrate

In base alla normativa sul trattamento e sulla protezione dei dati personali, i dati e le informazioni di carattere fiscale relativi a una persona fisica costituiscono dati personali comuni, non rientrando nelle categorie particolari di dati personali previste dall’articolo 9 del Gdpr (dati «sensibili», nella terminologia del previgente Codice privacy), categorie di dati, queste ultime, cui si applicano tutele e garanze privacy particolarmente elevate (si pensi, per esempio, ai dati relativi alla salute, ai dati personali che rivelano le opinioni politiche, le convinzioni religiose o filosofiche).

Naturalmente è bene ricordare che il problema della compliance privacy si pone esclusivamente con riferimento ai dati personali che, per definizione, si riferiscono a una persona fisica, quindi, se teniamo come riferimento l’ambito tributario, si parla di «dati personali» quando tali informazioni riguardano il contribuente. Viceversa, le informazioni e i dati relativi a persone giuridiche (società, enti ed associazioni) non si definiscono «dati personali», ponendosi al di fuori del perimetro della disciplina privacy prevista dal regolamento europeo 2016/679 (Gdpr: general data protection regulation) e dal Dlgs 196/2003 (Codice privacy).

Anche se i dati e le informazioni relative ai contribuenti rappresentano, come detto, dati personali comuni, il Garante per la protezione dei dati personali li definisce come dati «di natura delicata» quando sono connessi a eventi della vita privata del soggetto contribuente che non sempre desidera portare a conoscenza di terzi (parere del Garante privacy nel provvedimento 23 novembre 2020, n. 230, documento web 9563405). Tale presa di posizione del Garante si rivela molto interessante sul piano interpretativo sul versante della qualificazione privacy dei dati fiscali. Tale parere è stato peraltro ripreso sinteticamente anche nella relazione annuale 2020.

In particolare, l’autorità di controllo ha sottolineato la delicatezza dei dati riferiti al contribuente che si avvantaggia di sgravi fiscali, in quanto tali informazioni sono collegate al pagamento di tributi da cittadini - per i quali c’è stata un’iscrizione a ruolo o l’emissione di una cartella esattoriale oppure un semplice avviso di pagamento - e che sono stati oggetto di sospensione legale della riscossione e del successivo annullamento dei ruoli per i casi espressamente previsti dalla legge che, di volta in volta, prevede l’agevolazione fiscale.

Pertanto, l’informazione del nominativo del contribuente che ha ricevuto lo sgravio fiscale da parte dell’agenzia delle Entrate rappresenta, ai sensi della normativa privacy vigente, e usando le parole del Garante, un dato personale comune di «natura delicata».

Tale graduazione e interpretazione del dato – che sembra richiedere un livello di protezione e di garanzia più alto, secondo i parametri e i principi del Gdpr, rispetto ad un dato personale comune tout court – ha permesso al Garante privacy di effettuare quel bilanciamento di interessi richiesto nell’ambito della valutazione circa l’accoglimento o meno di una richiesta di accesso civico generalizzato ex Dlgs 33/2013 (Testo unico sulla trasparenza).

Si ricorda che l’istituto dell’accesso civico generalizzato (Foia: freedom of information act) consente a chiunque di accedere ai dati e documenti detenuti dalle Pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione obbligatoria previsti dal Testo unico sulla trasparenza. Tale diritto di accesso, avente lo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione dei cittadini al dibattito pubblico, conferisce ai soggetti un diritto di conoscibilità dell’azione amministrativa molto esteso ma non illimitato. Tale diritto va, infatti, esercitato entro i confini delineati dall’articolo 5-bis dello stesso Testo unico, limiti posti a tutela di interessi qualificati e giuridicamente rilevanti.

Tra gli altri limiti, il legislatore stabilisce espressamente che l’accesso civico generalizzato può essere rifiutato se il diniego è necessario per evitare un pregiudizio concreto alla riservatezza dei soggetti controinteressati, quei soggetti che potrebbero potenzialmente essere lesi e a cui potrebbe quindi derivare un pregiudizio in conseguenza dell’accesso.

È a questo punto che si pone la questione del rapporto tra l’accesso civico generalizzato e l’ambito della protezione dei dati personali: in questo senso, si parla di bilanciamento tra trasparenza (rectius, istituti previsti ex Dlgs 33/2013) e privacy (vale a dire, conformità al Gdpre al Codice privacy).

Tornando alla fattispecie specifica affrontata nel parere emesso a fine 2020, in quell’occasione l’Autorità di controllo ha ritenuto corretto il respingimento di un’istanza di accesso civico generalizzato ai dati identificativi dei soggetti che hanno ricevuto sgravi dall’agenzia delle Entrate (per effetto dell’articolo 1, commi 538 e 540, legge 228/2012) e al relativo importo.

Ciò in quanto l’ostensione di tali dati avrebbe determinato un’interferenza ingiustificata e sproporzionata nei diritti e libertà dei soggetti controinteressati, arrecando a questi ultimi un pregiudizio concreto alla tutela della protezione dei dati personali, in violazione peraltro del principio di minimizzazione dei dati e del principio di limitazione delle finalità, due principi cardine del Gdpr.

Al riguardo, infatti – data la tipologia e la natura dei dati e delle informazioni personali richieste – un eventuale accoglimento dell’accesso civico potenzialmente avrebbe potuto determinare ripercussioni negative sul piano professionale, personale, sociale e relazionale, dei controinteressati.

Inoltre, il Garante privacy ricorda che occorre tener conto delle ragionevoli aspettative di confidenzialità dei contribuenti in relazione al trattamento dei propri dati personali al momento in cui i dati sono stati raccolti dall’agenzia delle Entrate, nonché della non prevedibilità, al momento della raccolta dei dati, delle conseguenze derivanti dalla eventuale conoscibilità da parte di chiunque dei dati richiesti tramite l’accesso civico.