La privacy non ferma la Gdf

Va dimostrato il danno patito. Difficile l’indennizzo
di Antonio Ciccia Messina

Ridotta al lumicino la chance di risarcimento di danni per violazione della privacy da parte della Guardia di finanza. L’interessato deve dimostrare un danno effettivo patito a causa dell’attività ispettiva. Ma se i verificatori attestano che non sarebbe stato possibile agire diversamente, la strada dell’indennizzo è bloccata.

La circolare della Gdf n. 1/2018 (il manuale operativo in materia di contrasto all’evasione e alle frodi fiscali) dedica alcune pagine al rapporto tra accertamenti fiscali e protezione dei dati personali (si veda ItaliaOggi di ieri). E si arriva a due conclusioni. La prima dice che la privacy tributaria è un po’ «fai-da-te» (nell’attività di verifica, è l’ispettore che deve scegliere le modalità operative più consone); la seconda dice che la tutela della privacy è sempre «a posteriori»: a priori la Gdf può di fatto sempre acquisire i dati e solo a posteriori ci può essere una richiesta danni, ma le possibilità di successo sono scarse. Il rapporto tra privacy e accertamenti fiscali è scottante: il garante della privacy ha dedicato alla materia una sezione del suo sito internet, in cui si trovano ben 30 provvedimenti. Non a caso nel volume II dell’enciclopedico manuale della Gdf, la parte III ha un paragrafo, il terzo, sulla tutela della privacy. E dopo avere illustrato i temi generali, si arriva ai nodi del contendere.

Primo punto: gli eventuali limiti dell’attività di verifica. La circolare illustra che al ricorrere delle condizioni previste dalle norme fiscali per l’esercizio della facoltà ispettiva, non potrà essere invocata la legge sulla privacy per sottrarsi al relativo dovere di fornire risposta; non c’è bisogno del consenso degli interessati se si tratta di osservare gli obblighi di riscontro sanciti dalle leggi tributarie, la cui violazione è anche sanzionata in via amministrativa La possibilità di acquisizione riguarda anche i dati sensibili, che possono essere legittimamente appresi dai verificatori. Certo bisogna rispettare puntuali prescrizioni di volta in volta imposte dalla legge, come ottenere la previa autorizzazione dell’autorità giudiziaria (per esempio, per estrazione dei dati conservati su un cloud nel caso in cui il «magazzino virtuale» dei dati non abbia matrice aziendale sottoposta a verifica, ma sia di natura strettamente privata). Ma non è questo un problema specifico di privacy. La privacy si manifesta, invece, soprattutto con riferimento all’adozione delle misure di sicurezza e ai diritti dell’interessato.

Tradotto: i dati raccolti dalla Gdf devono essere conservati con cura e l’interessato ha comunque diritto a un’informativa e a un comportamento corretto nel trattamento dei dati.

Su questo punto, la circolare assegna, però, all’autodeterminazione dei cosiddetti verificatori l’individuazione caso per caso delle cautele da mettere in atto nell’esercizio dei poteri ispettivi. La circolare, infatti, dice che la scelta tra i diversi poteri istruttori contemplati dall’ordinamento tributario è rimessa alla discrezionalità «tecnica» dell’organo di controllo, non essendo questo obbligato ad esercitarli secondo un ordine prestabilito, né ad adottarli con la medesima intensità o con le stesse modalità nei confronti di tutti i contribuenti. Il garante della privacy ha, in materia, più volte detto la sua opinione, invocando attenzione ai princìpi di selettività, proporzionalità e di pertinenza delle informazioni raccolte presso gli interessati e presso terzi (articolo 11 del Codice della privacy). Su questa scia la circolare raccomanda di fare particolarmente attenzione non soltanto quando i dati rimangono in casa, ma soprattutto quando si tratta di assumere iniziative istruttorie che si concretizzino nella comunicazione dei dati, a qualsiasi titolo, al di fuori della cerchia dei funzionari interessati. Per esempio, si legge nel manuale, se si deve fare un controllo incrociato su uno psicologo, meglio convocare i pazienti in ufficio che spedire questionari a casa loro: potrebbero essere ricevuti da familiari o conviventi ignari, che cascano dalle nuvole e vengono a sapere di stare insieme con una persona fragile e magari rimettono in discussione quella relazione personale. Ma anche in questi casi, non è detto che dalla mancata adozione di cautele derivi automaticamente un risarcimento del danno. E questo è il secondo nodo da sciogliere.

Chi aspira a un risarcimento, si deduce dal manuale, ha la strada in salita: deve provare un danno effettivo, patito per condotte dei verificatori e a causa della mancata diligenza che è richiesta dalla natura propria del trattamento di dati personali. Nessun risarcimento, conclude la circolare, se, in concreto, nessun danno risulta prodotto, o se sia colpa di terzi, oppure, ancora, se le finalità del controllo e le connesse esigenze di completezza ed esaustività dello stesso non avrebbero potuto, né giuridicamente, né materialmente, essere perseguite con modalità da quelle effettivamente poste in essere, oppure avrebbero potuto essere perseguite diversamente solo a seguito di aggravi esorbitanti.

© Riproduzione riservata
Fonte: