Rapporto tra privacy e accertamenti fiscali: la circolare della Gdf

ROMA - La possibilità di ottenere il risarcimento di danni per violazione della privacy da parte della Guardia di finanza è davvero minima: l'interessato deve dimostrare un danno effettivo patito a causa dell'attività ispettiva ma se i verificatori attestano che non sarebbe stato possibile agire diversamente, la strada dell'indennizzo è bloccata. La circolare della Gdf n. 1/2018 (il manuale operativo in materia di contrasto all'evasione e alle frodi fiscali) dedica alcune pagine al rapporto tra accertamenti fiscali e protezione dei dati personali.

Due le conclusioni a cui si può giungere. La prima dice che la privacy tributaria è un po' "fai-da-te" (nell'attività di verifica, è l'ispettore che deve scegliere le modalità operative più adatte); la seconda dice che la tutela della privacy è sempre "a posteriori": a priori la Gdf può di fatto sempre acquisire i dati e solo a posteriori ci può essere una richiesta danni, ma le possibilità di successo sono ridotte.

Al rapporto tra privacy e accertamenti fiscali il Garante della privacy ha dedicato una sezione del suo sito internet, in cui si trovano 30 provvedimenti. Nel volume II del manuale della Gdf, la parte III ha un paragrafo, il terzo, sulla tutela della privacy. E dopo avere illustrato i temi generali, si arriva ai nodi del contendere. Primo punto: gli eventuali limiti dell'attività di verifica. La circolare illustra che al ricorrere delle condizioni previste dalle norme fiscali per l'esercizio della facoltà ispettiva, non potrà essere invocata la legge sulla privacy per sottrarsi al relativo dovere di fornire risposta; non c'è bisogno del consenso degli interessati se si tratta di osservare gli obblighi di riscontro sanciti dalle leggi tributarie, la cui violazione è anche sanzionata in via amministrativa La possibilità di acquisizione riguarda anche i dati sensibili, che possono essere legittimamente appresi dai verificatori.

Occorre rispettare puntuali prescrizioni di volta in volta imposte dalla legge, come ottenere la previa autorizzazione dell'autorità giudiziaria (per esempio, per estrazione dei dati conservati su un cloud nel caso in cui il "magazzino virtuale" dei dati non abbia matrice aziendale sottoposta a verifica, ma sia di natura strettamente privata). Ma non è questo un problema specifico di privacy. La privacy si manifesta, invece, soprattutto con riferimento all'adozione delle misure di sicurezza e ai diritti dell'interessato.

In poche parole, i dati raccolti dalla Gdf devono essere conservati con cura e l'interessato ha comunque diritto a un'informativa e a un comportamento corretto nel trattamento dei dati. Su questo punto, la circolare assegna, però, all'autodeterminazione dei cosiddetti verificatori l'individuazione caso per caso delle cautele da mettere in atto nell'esercizio dei poteri ispettivi. La circolare, infatti, dice che la scelta tra i diversi poteri istruttori contemplati dall'ordinamento tributario è rimessa alla discrezionalità "tecnica" dell'organo di controllo, non essendo questo obbligato ad esercitarli secondo un ordine prestabilito, né ad adottarli con la medesima intensità o con le stesse modalità nei confronti di tutti i contribuenti.

Il pensiero del Garante

Il Garante della privacy ha, in materia, più volte detto la sua opinione, invocando attenzione ai princìpi di selettività, proporzionalità e di pertinenza delle informazioni raccolte presso gli interessati e presso terzi (articolo 11 del Codice della privacy). Su questa scia la circolare raccomanda di prestare attenzione non soltanto quando i dati rimangono in casa, ma soprattutto quando si tratta di assumere iniziative istruttorie che si concretizzino nella comunicazione dei dati, a qualsiasi titolo, al di fuori della cerchia dei funzionari interessati.

Chi aspira a un risarcimento, si deduce dal manuale, ha la strada in salita: deve provare un danno effettivo, patito per condotte dei verificatori e a causa della mancata diligenza che è richiesta dalla natura propria del trattamento di dati personali. Nessun risarcimento, conclude la circolare, se, in concreto, nessun danno risulta prodotto, o se sia colpa di terzi, oppure, ancora, se le finalità del controllo e le connesse esigenze di completezza ed esaustività dello stesso non avrebbero potuto, né giuridicamente, né materialmente, essere perseguite con modalità da quelle effettivamente poste in essere, oppure avrebbero potuto essere perseguite diversamente solo a seguito di aggravi esorbitanti.