Sanzione record all’agenzia delle entrate olandese per violazioni privacy

L'Agenzia delle entrate dei Paesi Bassi si è vista comminare un'ingente sanzione: elaborava e conservava illecitamente dati di 270.000 persone all'interno di una black list utilizzata per individuare gli evasori e le frodi. L'utilizzo di questi dati, in violazione alle normative sulla privacy, ha avuto pesanti impatti discriminatori nei confronti di cittadini in base a nazionalità e tipologia di spese effettuate. 

Il database, denominato Fraud Signaling Facility (Fsv), era stato infatti utilizzato per tracciare tutti i tipi di segnali di potenziale frode sospetta o accertata sia all'interno che all'esterno dell'Agenzia delle entrate olandese. In un comunicato stampa, l’autorità ha reso noto il provvedimento adottato al termine dell’istruttoria del caso. Se ad esempio il contribuente aveva nazionalità turca o marocchina veniva sottoposto a ulteriori approfondimenti, senza una valida ragione proprio a causa delle sue origini e il medesimo trattamento veniva riservato a chi portava un cognome che sembrava provenire dall’Europa dell’Est, fattore che faceva scattare un alert per segnalare la persona come ad elevato rischio di frode.

Una inaccettabile discriminazione

Come ha sottolineato Aleid Wolfsen, presidente dell’autorità di controllo olandese per la protezione dei dati (Autoriteit Persoonsgegevens), quella dall'Agenzia delle Entrate olandese “è una discriminazione inaccettabile”, perché “le persone sono state spesso erroneamente etichettate come fraudolente, con conseguenze terribili”.

E' questa la ragione per cui il garante olandese ha inflitto una sanzione record per i Paesi Bassi di 3,7 milioni di euro, contestando una lunga serie di violazioni del Regolamento UE sulla protezione dei dati personali (Gdpr), tra cui l’assenza di una valida base giuridica per effettuare il trattamento, la conservazione troppo lunga degli alert generati dalla black list, l’inesattezza delle informazioni contenute nel database, la carenza nelle misure di sicurezza, e addirittura il solo fatto di non aver neanche coinvolto il Data Protection Officer prima di iniziare un trattamento di dati così delicato è costato 500.000 euro al fisco olandese. Infatti, agli atti risulta che solo dopo più di un anno, l’Agenza delle Entrate aveva “chiesto un consiglio al DPO”, quando era probabilmente ormai troppo tardi.

Il ministro responsabile delle Entrate olandesi, Marnix van Rij, ha ammesso che la decisione dell’autorità per la privacy è stata "dura e innegabile, e mostra ancora una volta che sono necessari miglioramenti fondamentali”, anticipando che per questo non presenterà ricorso alla multa.

Da segnalare infine che non si tratta della prima volta che l'autorità fiscale olandese viene colta in fallo sul rispetto della privacy, in quanto già lo scorso anno aveva ricevuto una sanzione di 2,75 milioni di euro a seguito di un trattamento illecito di codici fiscali e partite iva dei lavoratori autonomi nell’ambito di una vicenda legata alle frodi sui sussidi per l'assistenza ai bambini, da cui era derivato un tale scandalo da causare le dimissioni del governo olandese.

(Articolo di Nicola Bernardi, Presidente di Federprivacy)