Nella realtà contemporanea caratterizzata dalla società dell’informazione in cui raccolta, interconnessione ed elaborazione dei dati sono dotate di sempre maggior facilità e velocità, il concetto di privacy tende ad ampliarsi. L’evoluzione del concetto consente di àncorare il diritto alla riservatezza, a cui tradizionalmente la privacy è collegata, alla più ampia accezione di diritto all’autodeterminazione informativa.
Il Codice in materia di protezione dei dati personali (D. Lgs. 30 giugno 2003, n. 196) modificato dal d.l. 18 febbraio 2015, n. 7, convertito con modificazioni con la L. 17 aprile 2015, n. 43 (di seguito, Codice), raccoglie in forma di testo unico, le disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali e alle attività connesse, disponendo, la graduazione di differenti livelli di tutela previsti all’interno della macro categoria dei dati personali e predisponendo garanzie più rigorose in relazione ai dati sensibili.
I principi cardine in materia di protezione dei dati personali impongono che il trattamento debba avvenire secondo criteri di esattezza, aggiornamento, pertinenza, completezza, non eccedenza dei dati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. Il trattamento deve, inoltre, essere lecito e corretto e deve essere effettuato per scopi determinati, espliciti e legittimi; i trattamenti di dati personali devono essere visibili, e gli obiettivi resi noti e conoscibili mediante informative adeguate e notifica al Garante.
In talune circostanze, il diritto alla riservatezza dell’individuo deve essere bilanciato con altre posizioni giuridiche tutelate in determinati settori, ed è, quindi, possibile che la protezione della sfera personale del singolo possa essere parzialmente limitata rispetto a diritti e libertà egualmente rilevanti che siano oggetto di maggiore considerazione da parte del legislatore in particolari contesti. Pertanto, le norme in materia di protezione dei dati personali devono essere coordinate con altre disposizioni vigenti che attribuiscono, ad esempio, ad amministrazioni pubbliche compiti e poteri che incidono sulla sfera dei terzi, ma che sono finalizzati alla cura di interessi riguardanti l’intera collettività. La legge introduce un denominatore comune di princìpi e di regole valido per qualunque trattamento di dati personali (e relativo alla notificazione, ai requisiti di correttezza del trattamento e di pertinenza dei dati, all’informativa all’interessato, ai diritti di accesso alle informazioni personali, alle misure di sicurezza, ecc.), ma stabilisce ulteriori regole differenziate a seconda che il titolare del trattamento sia un soggetto pubblico o privato.
I soggetti pubblici (pubbliche amministrazioni, enti pubblici non economici, regioni, comuni, provincie, ecc.), a differenza dei privati, non devono richiedere il consenso degli interessati per poter trattare i dati personali, ma devono verificare che i trattamenti e le categorie di dati siano riconducibili nella sfera delle proprie funzioni istituzionali e siano posti in essere rispettando gli eventuali limiti previsti dalle normative di riferimento o da disposizioni speciali.
Se, dunque, in via generale, il trattamento dei dati personali da parte di privati o enti pubblici economici è ammesso solo con il consenso prestato dall’interessato (art. 23, co. 1, del Codice), i soggetti pubblici – per i quali il trattamento è ammesso solo per lo svolgimento di funzioni istituzionali (art. 18, co. 2, del Codice) – sono sollevati dall’obbligo di richiedere il consenso al trattamento (art. 18, co. 4, del Codice). In altri casi, ancora, il Codice ha espressamente previsto delle deroghe a tale disciplina generale (art. 24, relativo ai dati in generale, e art. 26, co. 3 e 4, relativo ai dati sensibili).
La materia tributaria (insieme a quella doganale), dotata di una disciplina particolareggiata, è ricompresa tra i settori di rilevante interesse pubblico (art. 66 del Codice). In particolare, le attività di soggetti pubblici dirette all’applicazione delle disposizioni in materia di tributi sono considerate di rilevante interesse pubblico, seppur svolte per il tramite di concessionari. In tale materia, il Codice include, infatti, accanto alle attività dei soggetti pubblici dirette all’applicazione della disciplina, anche le attività svolte per il tramite di concessionari, ivi comprese le attività di repressione delle violazioni, nonché di controllo dell’esatto adempimento dei relativi obblighi di legge. L’affidamento ai privati della gestione di attività legate alla materia tributaria (recupero crediti, accertamenti, riscossione, liquidazione dei tributi, ecc.) si qualifica come una concessione traslativa di potestà pubbliche appartenenti alla pubblica amministrazione – e, più propriamente, all’ente pubblico territoriale. Per effetto di esse, il concessionario – soggetto particolarmente qualificato – rispetto ai terzi assume la veste di soggetto investito di un’attività di pubblico interesse e, quindi, sostanzialmente titolare di poteri pubblicistici. In ogni caso, i concessionari sono comunque tenuti al rispetto degli obblighi imposti dalle disposizioni in materia di tutela dei dati personali.
Ma nello specifico quali le particolarità in materia tributaria?
I dati trattati nel processo di riscossione
In primo luogo i dati oggetto di trattamento. I processi di riscossione dei tributi richiedono necessariamente il trattamento di dati forniti dall’ente pubblico mediante l’elenco nominativo dei debitori, per fini di recupero delle entrate non riscosse in via ordinaria. Nell’ambito dei processi di riscossione sono, quindi, generalmente trattati:
– Dati personali: qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (art. 4, co. 1, lett. b) del Codice).
– Dati identificativi: i dati personali che permettono l’identificazione diretta dell’interessato (art. 4, co. 1, lett. c) del Codice).
Tali dati, quindi, contemplano qualunque informazione riguardante l’individuo sia sotto il profilo materiale che immateriale. In altri termini, ricomprendono qualsiasi informazione riguardante la persona nel suo complesso, ivi compresa la sua identità digitale, inscindibilmente composta da dati che ne consentono l’identificazione. La società operante nel settore, nello svolgimento delle sue attività, è tenuta, pertanto, a offrire il massimo livello di protezione e di riservatezza al “dato personale” in genere, senza distinzione di categorie concettuali. Il dato personale, quindi, può riferirsi a una persona fisica/giuridica identificata in modo diretto mediante dati anagrafici/societari, ovvero in modo indiretto facendo riferimento a qualsiasi altra informazione possa caratterizzarla univocamente e renderla riconoscibile, compreso un numero di identificazione personale attribuito a qualsiasi fine.
I soggetti
In secondo luogo l’aspetto soggettivo, ovverosia i soggetti che intervengono nel processo di riscossione. Al riguardo, è opportuno svolgere un preliminare chiarimento terminologico. Seguendo le classificazioni operate dal Codice si individuano uno o più figure (titolari, responsabili, incaricati al trattamento dei dati personali) ciascuna dotata di peculiarità specifiche.
In primo luogo, si distingue la figura del Titolare, che il Codice identifica come la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare(contitolarità del trattamento), le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza (art. 4, co. 1, lett. f)). Il Titolare è investito del potere di pianificare e attuare le linee strategiche e organizzative per quanto attiene modalità e criteri di attuazione, circa la raccolta, l’utilizzo e l’elaborazione dei dati, l’individuazione degli scopi pertinenti e l’implementazione delle misure di sicurezza. In via generale, questo è tenuto a fornire all’Interessato un’adeguata informativa; acquisire dall’Interessato il consenso per effettuare il trattamento dei dati personali che lo riguardano secondo le finalità e le modalità di trattamento opportunamente indicate (con le dovute eccezioni in materia tributaria, di cui infra); fornire riscontro alle richieste di accesso formulate dall’Interessato ex art. 7 del Codice.
Generalmente nei processi di riscossione tale figura qualifica l’ente pubblico, cui accanto si può affiancare la società di riscossione che, nel caso, assumerà la qualifica di contitolare del trattamento. La circostanza non determina solo la diversa qualificazione e l’attribuzione di compiti diversi in capo ai soggetti, ma incide sulle modalità con cui il flusso dei dati può essere scambiato. In tali casi, il flusso di dati eventualmente ottenuti costituisce una comunicazione da ente pubblico a soggetto privato e come tale assoggettato alla disposizione di cui all’art. 19, co. 3, che ammette tale possibilità «unicamente quando sono previste da una norma di legge o di regolamento», ovvero in mancanza di questa «se comunque è necessaria per lo svolgimento di funzioni istituzionali».
Al fine di eseguire le operazioni inerenti la propria attività, il Titolare può avvalersi di un’ulteriore figura, il Responsabile del trattamento, ovverosia la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali (art. 4, co. 1, lett. g). Si tratta di una facoltà attribuita al Titolare (art. 29, co. 1, del Codice), il quale individua il Responsabile «tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza» (art. 29, co. 2, del Codice). La designazione facoltativa del Responsabile è di esclusiva competenza del Titolare, il quale, nell’ambito delle facoltà a egli attribuite dal Codice, può designare mediante atto scritto uno o più Responsabile/i del trattamento («[o]ve necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti» art. 29, co. 3, del Codice). I compiti a esso affidati devono essere analiticamente specificati per iscritto e sono soggetti a verifiche periodiche da parte del Titolare (art. 29, co. 4, del Codice), in capo al quale sussistono specifici doveri di controllo per i quali mantiene una precisa responsabilità in eligendo in ordine alla designazione del Responsabile e, una responsabilità per culpa in vigilando, qualora non abbia adeguatamente controllato la corretta esecuzione dei compiti affidati al Responsabile. Incombe, infatti, su quest’ultimo l’obbligo di garantire in relazione alle attività affidategli che i dati siano trattati con modalità adeguate e sotto la sua responsabilità e vigilanza, nonché di assicurare e comprovare la conformità dell’operato degli Incaricati alla disciplina dettata in materia di protezione dei dati personali.
La figura, nell’ambito del servizio di riscossione effettuato per conto dell’ente pubblico, si rinviene, qualora la società non assuma decisioni in ordine alle finalità, alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza. Non sempre, quindi, la società concessionaria è contitolare del trattamento.
Ma quali sono i soggetti che materialmente svolgono le operazioni di trattamento? Accanto al Titolare e al Responsabile, il Codice individua un’ulteriore figura, gli Incaricati del trattamento, ovverosia persone fisiche autorizzate a compiere operazioni proprio dal Titolare o dal Responsabile (art. 4, co. 1, lett. g) del Codice).
La definizione fuga ogni dubbio in merito alla possibilità di designare quali Incaricati solo ed esclusivamente persone fisiche e non anche entità personificate, che possono, invece, rivestire la qualità di responsabili.
Al riguardo, il Codice chiarisce che le «operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite» (art. 30, co. 1). La designazione va, quindi, effettuata nei confronti di tutti i soggetti che all’interno della struttura del Titolare abbiano la possibilità di elaborare i dati personali.
Il consenso al trattamento dei dati. Le eccezioni in materia tributaria.
Il trattamento dei dati è generalmente sottoposto al previo consenso della persona fisica cui si riferiscono i dati. Tuttavia, la regola subisce delle eccezioni. In particolare, nel caso in cui i dati siano raccolti o detenuti in base a un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria, il trattamento dei dati può avvenire in assenza del consenso prestato dall’interessato/contribuente (lett. a), co. 1, dell’art. 24, del Codice). Se ne conclude che le società concessionarie e, in generale, le società operanti nel settore sono esonerate dalla richiesta e acquisizione del consenso da parte dell’interessato per il trattamento dei dati, fermo restando, in sede di invio dell’atto di riscossione, l’inserimento di un’idonea informativa che gli consenta all’interessato/contribuente di esercitare i diritti di cui all’art. 7 del Codice.
Un’ulteriore deroga all’acquisizione preventiva del consenso dell’interessato/contribuente si può rinvenire anche nell’attività di supporto alla riscossione, e più specificamente durante la fase di indagini di natura prettamente investigativa effettuata da determinati soggetti all’uopo espressamente designati. Nell’ambito di tali indagini non sembra sussistere l’obbligo di preventiva acquisizione del consenso, essendo prevista una specifica fattispecie di esonero alla lett. f), art. 24, co. 1 del Codice. Invero, il consenso non è richiesto quando il trattamento dei dati «è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale».
Pertanto, sul presupposto che l’attività svolta dalle società nel settore è improntata all’adempimento di un obbligo previsto dalla legge e che, per il più efficace adempimento di questo, nonché per far valere un diritto in sede giudiziaria, è necessario porre in essere azioni anche a carattere investigativo, si può ragionevolmente presumere in questi casi l’esonero dall’acquisizione del consenso. Al riguardo, è opportuno ribadire che tali attività devono comunque avvenire nel rispetto dei principi di necessità e di proporzionalità nel trattamento dei dati che giustificano solo verifiche mirate in casi selettivamente individuati.
Le misure di sicurezza. Cenni
L’ulteriore principio di carattere generale, previsto a tutela dell’integrità del dato, il quale, al fine di evitare abusi della disciplina, richiede che i dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
L’applicazione del principio a tutti i settori di attività impone a ciascuna società di adottare idonee misure volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali. Tali previsioni vanno valutate anche alla luce delle responsabilità, di ordine penale (art. 15 del Codice) se non sono adottate misure minime, e civile (art. 169 del Codice) con conseguente risarcimento del danno in assenza di quelle misure più ampie che dovranno risultare sempre aggiornate. Non basta, quindi, adottare misure una tantum, queste devono essere costantemente aggiornate, al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati personali oggetto di trattamento, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Il Codice distingue, poi, tra trattamenti effettuati con l’ausilio di strumenti elettronici (art. 34) e trattamenti effettuati in assenza di tali strumenti (art. 35), richiamando per entrambi i casi le regole dettate circa le modalità di attuazione dal Disciplinare tecnico contenuto nell’Allegato B) del Codice.
La documentazione cartacea richiede la custodia in locali idonei, tali da garantire la protezione dei dati nella loro integrità ed evitare la conoscibilità da parte di soggetti non autorizzati. Ciascuna società è, quindi, tenuta a un’attenta analisi ambientale dei luoghi, che comprenda anche la fase di acquisizione delle informazioni predisponendo appositi e idonei spazi nelle strutture di cui si serve.
Decorso il tempo strettamente necessario all’espletamento delle attività per cui i dati sono trattati, e venuta meno l’esigenza di conservazione, i dati devono essere distrutti e le modalità di distruzione espressamente indicate.
Una disciplina specifica è prevista per il trattamento dei dati in forma elettronica. Generalmente le operazioni di trattamento per le finalità di riscossione tributaria e il modello organizzativo nel quale si sviluppano implicano l’utilizzo massivo di dati, rendendo critiche attività tecniche anche di carattere ordinario, quali il salvataggio dei dati (backup/recovery), l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware/software. Il personale Incaricato è, quindi, tenuto a utilizzare i sistemi informatici nel rispetto dei principi di riservatezza, dignità, necessità e pertinenza, utilizzando credenziali di autenticazione personale, dotate di specifiche accortezze. L’eventuale utilizzazione di credenziali di terzi è sanzionata penalmente, in quanto comporta la fattispecie di sostituzione di identità prevista dall’art. 494 c.p., nonché di frode informatica di cui all’art. 640ter c.p.
Il regime sanzionatorio
Introdotto poc’anzi un breve riferimento al regime sanzionatorio, occorre, tuttavia, precisare che si tratta di un regime di tipo misto formato da sanzioni, non solo penali, ma anche di tipo civile e amministrativo (cfr. Titolo III del Codice). Per le società operanti nel settore della riscossione, diverse sono le sanzioni cui queste possono incorrere nello svolgimento della propria attività.
Partendo dall’aspetto amministrativo, pur non potendo rinvenire, a carico delle società operanti nel settore della riscossione, un espresso obbligo di fornire preventivamente all’Interessato un’idonea informativa, queste sono comunque tenute a inserirla successivamente nel documento volto alla riscossione, al fine di consentire all’interessato/contribuente di esercitare i diritti di cui all’art. 7 del Codice. Ebbene, in caso di omessa, ovvero incompleta informativa, la società è punita con una sanzione pecuniaria da ventimila a centoventimila euro, passibile di maggiorazione secondo nelle ipotesi aggravate previste dall’art. 164bis del Codice (art. 161 del Codice).
Quando, invece, i dati vengono ceduti ad altro titolare, ma in termini non compatibili agli scopi per i quali essi sono raccolti, è prevista una sanzione pecuniaria da diecimila a sessantamila euro (art. 162, co. 1, del Codice).
Altro punto dolente è l’obbligo di notificazione al Garante, che se non rispettato comporta l’applicazione di una sanzione pecuniaria da ventimila a centoventimila euro (art. 163, co. 1, del Codice).
Più elevata è, invece, la sanzione per omessa informazione o esibizione al Garante nei casi in cui siano richiesti documenti ovvero informazioni. Questa oscilla tra un minimo di diecimila a un massimo di sessantamila euro (art. 164, del Codice).
Sanzioni particolarmente elevate si rinvengono anche nei casi di violazioni avvenute in relazione a banche dati di particolare rilevanza o dimensioni, per le quali è prevista una sanzione pecuniaria da cinquantamila e trecentomila euro, senza la possibilità di provvedere al pagamento in misura ridotta. Tali limiti possono essere raddoppiati nei casi di maggior gravità e maggior rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge un maggior numero di soggetti. Ancora, le sanzioni possono essere aumentate fino al quadruplo se ritenute inefficaci in ragione delle condizioni economiche del contravventore.
Con riferimento agli illeciti penali, sono previste pene severe per il trattamento illecito dei dati, in cui è prevista la reclusione da un minimo di sei mesi a un massimo di tre anni (art. 167 del Codice). Analogamente nei casi di falsità nelle dichiarazioni e notificazioni al Garante, in cui è prevista la reclusione da sei mesi a tre anni (art. 168 del Codice). Nel caso, invece, di omessa adozione delle misure di sicurezza è previsto l’arresto sino a due anni (art. 169 del Codice); mentre l’inosservanza di provvedimenti del Garante è punita con la reclusione da tre mesi a due anni (art. 170 del Codice).
A ciò si aggiunga la generale tutela riconosciuta al danneggiato che potrà in sede civile proporre azione di risarcimento del danno.
Quali le conclusioni? Una su tutte: la privacy aziendale (e il Garante) è un tema che non può essere sottovalutato!