Diritto di notificazione

Il richiamo effettuato nel preambolo, considerando n. 17, della Direttiva alla Carta e alla protezione dei dati personali, di cui all’art. 8 della stessa, implica i) che le informazioni siano elaborate in maniera equa (lealtà) ii) per finalità determinate, esplicite e legittime e iii) con il consenso del contribuente, o, diversamente, se previsto dalla legge; iv) con la possibilità di rettifica da parte del contribuente. Tutti hanno il diritto di accesso ai dati raccolti che li riguardino e di chiederne la rettifica. L’art. 8, comma 3, della Carta stabilisce che tale procedura è soggetta al controllo di un’autorità indipendente.

Per quanto concerne il principio di leale trattamento occorre precisare che lo stesso è ripreso anche all’art. 12 del Regolamento 2016/679 (prima art. 6 della Direttiva 95/46 sulla protezione dei dati personali) ove si sancisce che l’individuo i cui dati sono trattati debba essere posto in condizione di conoscere, avere accesso, notifica e richiedere la cancellazione dei dati erronei, trattati in maniera non corretta ovvero non più utili alla finalità per la quale furono raccolti.

A tal proposito la Corte di Giustizia632 ha concluso che il principio di leale trattamento “obbliga un’amministrazione pubblica a informare le persone interessate della trasmissione di tali dati a un’altra amministrazione pubblica che li tratterà in qualità di destinataria di detti dati”. Di medesimo avviso, è anche l’Avvocato Generale Villalon che, nelle conclusioni al citato caso633 Smaranda Bara ha stabilito che il trasferimento di dati senza che il contribuente fosse prima informato rappresenta una breccia negli artt. 10, 11 e 13 della Direttiva sulla protezione dei dati. Il rispetto del diritto di notificazione nel caso di una comunicazione di informazioni di carattere finanziario rappresenta un passo importante per il riconoscimento di una protezione rafforzata dei diritti del contribuente.

Preliminarmente, occorre osservare che la sentenza in esame, pur non vertendo su una problematica di carattere fiscale, riguarda la trasmissione di dati fiscali, specificatamente dei redditi dei contribuenti, da parte dell’autorità fiscale rumena all’cassa nazionale per le

632

Corte di Giustizia, sentenza del 1 ottobre 2015, causa C-201/14, Smaranda Bara and Others, par. 34.

633_{Conclusioni dell’Avvocato generale Cruz Villalon del 9 luglio 2015, Corte di Giustizia, sentenza del 1 ottobre 2015,}

164

malattie. La Corte stabilisce che “i dati fiscali costituiscono dati personali ai sensi dell’art. 2, lett. 1) della direttiva 95/46 poiché si tratta di informazioni concernenti una persona fisica identificata o identificabile” e che, pertanto, la loro trasmissione e il conseguente trattamento “presentano carattere di trattamento di dati personali”634_{. Da tale considerazione}

emerge che i dati fiscali devono avere stesso rango di protezione degli altri dati. Tale protezione implica quindi che il responsabile dei dati è soggetto ad un obbligo di informazione le cui modalità, enunciate agli artt. 10 e 11 della direttiva 95/46, variano a seconda che i dati siano o non siano stati raccolti presso la persona interessata (par31). La possibilità di limitare la portata degli obblighi e dei diritti di protezione dei dati può essere ammessa qualora tale restrizione costituisca una misura necessaria alla salvaguardia di un interesse economico o finanziario di uno Stato membro o dell’Unione Europea, anche in materia monetaria, di bilancio e tributaria o di un compito di controllo, ispezione o disciplina connesso, anche occasionalmente con l’esercizio dei pubblici poteri. Tuttavia l’art. 13 della direttiva stabiliva espressamente che tali restrizioni devono essere adottate a mezzo legge635 non essendo sufficiente, come nel caso esaminato dalla Corte, un protocollo interno o una mera circolare di natura amministrativa. In assenza di tale esplicita dispensa, il trattamento dei dati trasmessi da un’amministrazione ad un’altra implica che le persone interessate da detti dati debbano essere informate delle finalità di tale trattamento nonché delle categorie di dati trattate (par.43).

Estendendo tale principio elaborato dalla Corte anche allo scambio internazionale dei dati aventi carattere finanziario636 si deduce che le limitazioni al rispetto di tale diritto devono avvenire in conformità con la legge, allorchè siano necessarie e purchè fondate su un valido motivo di interesse generale, quale, ad esempio, la salvaguardia di un interesse economico o finanziario, anche di carattere tributario. Tuttavia, analogo principio non sembra essere esteso in caso di trasmissione di dati non finanziari. La maggior tutela accordata ai dati di carattere bancario potrebbe essere giustificata dal fatto che, come sottolineato da parte della dottrina637,i dati scambiati automaticamente sono molto generici e non consentirebbero di

634 _{Corte di Giustizia, sentenza del 1 ottobre 2015, causa C-201/14, Smaranda Bara and Others, par. 29.} 635 _{Corte di Giustizia, sentenza del 1 ottobre 2015, causa C-201/14, Smaranda Bara and Others, par. 39.}

636 _{Article 29 Data Protection Working Party, Guidelines for member Stated on the criteria to ensure compliance with}

data protection requirements in the context of the automatic exchange of personal data for tax purposes, 175/16/EN WP 234, adottato il 16/12/2015.

637

S.K. MCCRACKEN,“Going, going gone…global: a Canadian perspective on International tax administration issues in the Exchange-of-information age”, 2002, 50, Canadian Tax Journal, p. 1896. Secondo l’autore le informazioni scambiate automaticamente sono piuttosto generiche ed è improbabile che contengano dati di carattere personale: “the routine transmission of information is a type of verification tool that allows tax authority to use those data for audit purposes and has no particular investigative function; moreover, the information exchanged automatically is fairly generic and it is highly unlikely to contain sensitive personal material or to contain trade or business secrets”.

165

delineare un profilo dettagliato del contribuente. Tuttavia, come esaminato dalla Corte nel caso Smaranda Bara, come pure anche dalle conclusioni della sentenza Digital Rights, non sembra che la Corte distingua tra dati fiscali di carattere finanziario o reddituali in senso stretto: in entrambi i casi si tratterebbe di dati personali che come tali devono essere protetti.

La maggior tutela per i dati bancari sarebbe forse rinvenibile nel fatto che in questo caso i dati provengono da soggetti terzi i quali sono incaricati della conservazione, dell’elaborazione e infine della trasmissione alle autorità fiscali; mentre nel caso di dati reddituali, le autorità attingono da archivi fiscali da essi stessi gestiti e i cui dati sono forniti in larga parte dal contribuente stesso.

Quanto alle restrizioni, occorre valutare se un rilevante interesse economico o finanziario di uno Stato membro, anche in materia tributaria possa giustificare alla luce del principio di proporzionalità le limitazioni all’art. 6 della direttiva sulla protezione dei dati personali (oggi art. 12 del Regolamento 2016/679) come enunciato nel preambolo della Direttiva638 dove il diritto alla protezione dei dati personali e i principi riconosciuti dalla Carta dei diritti fondamentali dell’Unione Europa possono subire delle restrizioni di cui all’art. 13, par.1 lett. e) della Direttiva 95/46/CE qualora venga tale limitazione sia “necessaria e proporzionata tenendo conto delle perdite di gettito potenziali per gli Stati membri dell’importanza cruciale delle informazioni disciplinate dalla presente direttiva per lottare efficacemente contro la frode”. Secondo parte della dottrina, tuttavia, tale finalità sarebbe troppo generica per giustificarne l’invio massiccio e il rispetto del principio di proporzionalità639.

Analizzando la stessa problematica nell’ottica della Convenzione Europea dei Diritti dell’Uomo del Consiglio d’Europa (d’ora in avanti “CEDU”), la Corte di Strasburgo sembra giungere alla conclusione di ammettere tali restrizioni se finalizzate alla tutela degli interessi finanziari di uno Stato. Pur non contenendo alcun riferimento alla protezione dei dati personali, l’art. 8 della CEDU640 _{sancisce il rispetto della vita privata e, di recente, la}

638 _{Direttiva 2011/16/UE Preambolo, considerando 27 e 28.} 639 _S.M.G

ONZALEZ, The Automatic Exchange of Tax Information and the Protection of Personal Data in the European Union: Reflections on the Latest Jurisprudential and Normative Advances, EC Tax Review, 2016, n. 3, p. 153

640 _{L’art. 8 della CEDU intitolato “Diritto al rispetto della vita privata e familiare” sancisce che: “ogni persona ha} diritto al rispetto della propria vita private e familiare, del proprio domicilio e della propria corrispondenza. Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute e della morale o alla protezione dei diritti e delle libertà altrui”.

166

Corte EDU641 ha affermato che la documentazione bancaria rientra nella nozione di “vita privata” e di “corrispondenza” e come tale rientra nella protezione prevista dall’art.8 CEDU642. Nel caso FS v. Germany, la Corte EDU643 stabilì che lo scambio di informazioni a fini fiscali, pur provocando una limitazione dei diritti tutelati dall’art. 8 CEDU, era giustificato in quanto i) avveniva in base a disposizioni legislative; ii) era stato effettuato nell’interesse economico generale del paese e iii) era considerato necessario in un paese democratico per raggiungere il predetto scopo. La Corte europea sui diritti umani644 ha previsto che l’art. 8, intitolato al diritto al rispetto per una vita privata e familiare della Convenzione sui diritti umani non era stato leso nel caso di una trasmissione di dati finanziari a fini fiscali, poiché la trasmissione di dati bancari e finanziari non rappresenta un pericolo per la violazione di dati privati o legati all’identità. Ciò che la Corte evidenziò fu che nel procedimento di scambio internazionale di informazioni, i contribuenti hanno diritto a procedure di salvaguardia e non a un sostanziale diritto alla privacy. Volendo trovare quindi una linea comune, si può evidenziare che la protezione dei diritti fondamentali dell’uomo protetti all’art. 8 della CEDU può essere invocata nello scambio di informazioni, solo quando siano stati lesi diritti nell’ambito della procedura di raccolta645

. Il parallelo con la Convezione Europea è necessario perché la Corte di Giustizia ha affermato che i diritti fondamentali quali risultano dalle tradizioni costituzionali degli Stati membri e dalla CEDU fanno parte dei principi giuridici generali di cui essa garantisce l’osservanza. In molteplici pronunce giurisprudenziali, la Corte EDU646 ha stabilito che le restrizioni o eccezioni alla

641 _{Corte Europea dei Diritti dell’Uomo, sentenza del 7 luglio 2015, applicazione n. 28005/12, caso M.N. e altri v/San}

Marino.

642 _{Nel caso di specie, infatti, la Corte ritiene che il concetto di vita privata non attiene alla distinzione tra documenti}

attinenti la vita familiare e quella di carattere commerciale, imprenditoriale. Nel provvedimento di sequestro, inoltre, sono rientrati anche le mail scambiate tra il soggetto e parti terze delle quali la banca era in possesso, gli assegni e le disposizioni fiduciarie del soggetto rientranti, per la Corte, nella definizione di corrispondenza.

643 _{Corte EDU, 27 novembre 1996, FS: v. Germany, applicazione n. 30128/96.}

644 _{Corte Edu, G.S.B. v. Switzerland. Il caso concerneva la trasmissione alle autorità fiscali statunitensi delle}

informazioni finanziarie in ossequio all’accordo di mutua assistenza amministrativa siglato tra gli Stati Uniti e la Svizzera dopo lo scandalo UBS. In senso analogo anche la Corte degli Stati uniti nel caso Yeong Yae Yun v. US, riguardante lo scambio di informazioni a fini fiscali con le autorità koreane, dove fu affermato che “petitioners have no legittimate expectation of privacy in their bank account”.

645 _P.B

AKER, Double Taxation Conventions and Human Rights, in Tax Polymath: a Life in International Taxation, 64- 65 IBFD, 2010; N.DIEPVENS,F.DEBELVA, The Evolution of the Exchange of Information in Direct Tax Matters: the Taxpayer’s Rights under Pressure, in EC Tax Review, n. 4, 2015, pp. 210 -219.

646_{Tra le altre, si segnalano le seguenti sentenze della Corte EDU: applicazione del 16 giungo 2015 n. 75292/10,}

Othymia Investments BV v. The Netherlands, applicazione n. 69436/10 del 1 dicembre 2015, Brito Ferrinho Bexiga Villa-Nova v. Portugal; applicazione n. 30128/96 F.S. against Germany (1996), che riguarda lo scambio spontaneo di informazioni tra le autorità fiscali tedesche e quelle olandesi in ossequio alla Direttiva 77/799/EEC. La Corte stabili che le informazioni scambiate erano proporzionate al legittimo scopo perseguito e le ingerenze e limitazioni al godimento al

167

protezione dei diritti fondamentali poste dall’art.8, par. 1, CEDU, sono considerate come “necessarie in una società democratica” e in accordo con la legge il cui fine è il rispetto delle leggi tributarie fondate sulla creazione del benessere di una società. In generale, è stato notato che limitazioni ai poteri delle autorità fiscali non hanno avuto successo se non qualora tali poteri non fossero stati soggetti ad un’adeguata supervisione647_{o ad un’effettiva}

e tempestiva tutela giurisdizionale dei soggetti interessati . Recentemente, la Corte di Strasburgo ha ravvisato nella mancanza di garanzie procedurali la violazione del diritto al rispetto della vita privata, nel caso di specie della tutela dei dati bancari648. Il caso in esame potrebbe analogamente verificarsi in sede di un’istruttoria tributaria in relazione all’obbligo informativo previsto dalla direttiva 2014/107/UE649. In un’altra pronuncia650, la Corte affermò la lesione del diritto di riservatezza dei dati personali, i ricorrenti non erano stati portati a conoscenza della procedura di sequestro dei propri conti finanziari se non un anno dopo che la decisione era stata presa. In questo caso, lo Stato Sanmarinese non aveva consentito ai ricorrenti l’esercizio di un adeguato diritto di opposizione.

diritto di privacy protetto dall’art. 8(1) della CEDU erano necessarie per combattere l’evasione fiscale.; Application n. 9804/82, X v. Belgium, riguardande la richiesta di un’amministrazione fiscale ad altra di fornire informazioni circa le spese personali sostenute dal contribuente; Application n. 24117/08, 14 Mar. 2013, Bernh Larsen Holding AS and Others v. Norway, in quest’ultimo caso, la Corte stabilì che l’accesso effettuato dall’amministrazione fiscale nel corso di una verifica su tutto l’archivio elettronico dei dati di un’impresa sottoposta a verifica fiscale era necessario e non sproporzionato e non rappresentava una breccia al diritti di privacy.

647

P. BAKER, “Taxation and the Human Rights”, 2001, disponibile al link http://taxbar.com/wp- content/uploads/2016/01/gitc_review_v1_n1.pdf ultimo accesso 24 novembre 2016.

648 _{Corte Europea dei Diritti dell’Uomo, sentenza del 7 luglio 2015, applicazione n. 28005/12, caso M.N. e altri v/San}

Marino. Nell’ambito di un procedimento penale a carico di terzi per associazione a delinquere, riciclaggio, appropriazione indebita ed evasione fiscale, l’autorità italiana avanza una richiesta di assistenza giudiziaria internazionale finalizzata all’esecuzione di perquisizioni di locali e all’acquisizione di documenti. Le autorità di San Marino autorizzano le perquisizioni richieste e ne dispongono il sequestro notificando, tuttavia tali provvedimenti ai destinatari solo dopo un anno dalla loro adozione. Non essendo possibile alcun rimedio interno, i cittadini presentano ricorso alla Corte Europea dei Diritti dell’Uomo, lamentando una violazione dell’art. 8 CEDU avendo subito illegittima interferenza nella loro sfera privata, in quanto il provvedimento sarebbe stato sproporzionato agli obiettivi prefissati. La Corte nota la mancanza nella normativa interna di un rimedio giurisdizionale che consenta ai soggetti colpiti dalla misura restrittiva del sequestro di contestare l’ordine di esecuzione, derivandone, appunto la lesione dell’art. 8 CEDU.

649

M.NAPOLITANO, Protezione effettiva dei dati del contribuente in presenza di scambio di informazioni automatico: punti da una recente pronuncia della Corte di Giustizia del’Unione Europea, in Dir. e Prat. Internaz., n. 1/2016, pp. 385-298.

168