Il principio di proporzionalità nella conservazione dei dati

A seguito della pronuncia della Corte di Giustizia, Digital Rights Ireland651 che ha sancito l’invalidità della Direttiva 2006/24/CE652_{, nella Direttiva 2011/16/EU è stato}

introdotta la condizione (preambolo, considerando n.12 della Direttiva 2014/107/UE) che i dati finanziari dovrebbero essere conservati per un arco di tempo non superiore a quello necessario al conseguimento degli obiettivi della Direttiva. Considerate le divergenze tra le legislazioni degli Stati membri, il periodo massimo di conservazione delle informazioni dovrebbe essere fissato con riferimento alla normativa in materia di prescrizione prevista dal diritto tributario interno di ciascun responsabile del trattamento dei dati.

651

Corte di Giustizia, sentenza dell’8 aprile 2014, cause riunite C-293/12 e C-594/12, Digital Rights Ireland contro Minister for Communications, Marine and Natural Resources,Minister for Justice, Equality and Law Reform, Commissioner od the Garda Siochana, Irlanda, the Attorney general Irish Human Right Commission, Karntner Landesregierung (C-594/12), Michael Seitlinger, Chritof Tschohl e a., par. 68. L’obiettivo della direttiva era quello di armonizzare le disposizioni degli Stati membri relative alla conservazione da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione di determinati dati generati o trattati allo scopo di garantirne la disponibilità ai fini di prevenzione, indagine accertamento e perseguimento di reati gravi come quelli legati alla criminalità organizzata o al terrorismo (punto 24 sentenza). La Corte pur riconoscendo la finalità di contribuire alla lotta contro la criminalità grave, evidenzia che la direttiva non impone alcuna relazione tra i dati di cui prevede la conservazione e una minaccia per la sicurezza pubblica e in particolare non limita la conservazione dei dati a un determinato periodo di tempo e/o un’area geografica, né alle persone la cui conservazione dei dati possa contribuire all’accertamento o al perseguimento di reati gravi (paragrafo 59) e non prevede alcun collegamento con criteri oggettivamente determinabili alle finalità di prevenzione o accertamento di reati. I dati in questione si riferiscono a ogni tipo di informazione necessaria per rintracciare e identificare la fonte di una comunicazione e la destinazione della stessa, per stabilire la data, l’ora la durata di una comunicazione, le attrezzature di comunicazione nonché l’ubicazione delle apparecchiature dell’utente, tra cui figurano il nome e l’indirizzo dell’abbonato o dell’utente registrato, il numero telefonico chiamante e quello chiamato nonché l’indirizzo IP per i servizi Internet. Tali dati permettono di conoscere la frequenza delle comunicazioni dell’abbonato con talune persone in un determinato periodo.(par. 26), potendo quindi permettere di trarre conclusioni precise riguardo alla vita privata delle persone i cui dati sono conservati, le abitudini quotidiane, i luoghi di soggiorno, gli spostamenti giornalieri, le relazioni sociali. La Corte rileva che la conservazione di tali tipi di informazioni e l’ulteriore utilizzo degli stessi senza che l’utente ne sia informato può ingenerare nell’interessato la sensazione di essere sotto sorveglianza, costituendo una grave ingerenza nel diritto di rispetto alla privacy e alla protezione dei dati personali di cui agli artt. 7 e 8 della Carta (par.37). Per la Corte la mancanza di regole chiare e precise che disciplinino la conservazione dei dati e impongano requisiti minimi in modo che le persone i cui dati sono conservati dispongano di garanzie sufficienti che permettano di proteggere efficacemente i loro dati personali contri il rischio di abusi nonché eventuali accessi e usi illeciti dei suddetti dati (par.54) rende tale normativa invalida. La Corte prosegue indicando che la necessità di disporre di siffatte garanzie è tanto più importante allorché i dati personali sono soggetti a trattamento automatico ed esiste un rischio considerevole di accesso illecito ai dati stessi (par.55).

652 _{Direttiva 2006/24/CE del Parlamento europeo e del Consiglio del 15 marzo 2006 riguardante la conservazione dei}

dati generati o trattati nell’ambito di servizi di comunicazione elettronica accessibili al pubblico e di reti pubbliche di comunicazion. Alla luce degli artt. 7 e 8 della Carta, la Direttiva non rispettava il principio di proporzionalità, non limitando la conservazione dei dati di carattere personale a un determinato periodo di tempo e/o un’area geografica, né alle persone la cui conservazione dei dati possa contribuire all’accertamento o al perseguimento di reati gravi (paragrafo 59 della sentenza Digital Rights, cit).

169

Questa nuova disposizione ha adeguato la previgente normativa alla pronuncia della Corte di Giustizia citata in modo che sia rispettato il principio di proporzionalità riguardo il periodo di detenzione dei dati; tuttavia, parte della dottrina653 ritiene che l’assenza di un esplicito riferimento temporale non sarebbe sufficiente al rispetto di quanto indicato dalle Linee guide del Working party654.

Per parte della dottrina655, infatti, le informazioni e i dati scambiati automaticamente sono in forma massiva, per cui si pongono interrogativi in merito al rispetto del principio di proporzionalità656, ovvero se la raccolta e la trasmissione di tante informazioni sia effettivamente necessaria allo scopo e se non fosse stato più corretto come suggerito dal Gruppo di esperti nel suo report 657inserire il principio di causa sufficiente, in base al quale subordinare l’elaborazione dei dati di un soggetto alla verifica degli indizi di un comportamento non compliant del contribuente. Tale principio è stato parzialmente introdotto con la Direttiva 2014/107/UE al 10 considerando, quando si afferma che “determinate categorie di istituzioni Finanziarie e conti che presentano un rischio ridotto di essere utilizzati a fini di evasione fiscale dovrebbero essere esclusi dall’ambito di applicazione della Direttiva”. La selezione dei soggetti da escludere non dovrebbe essere effettuata sulla base di soglie quantitativa, in quanto “potrebbero essere facilmente eluse scindendo i conti tra diverse Istituzioni Finanziarie”658.

653

M. SOMARE,V.WOHRER, “Automatic Exchange of financial information under the Directive on administrative

cooperation in the light of the global movement towards transparency”, in Intertax, vol. 43, n. 12, 2015; S.M. GONZALEZ, The Automatic Exchange of Tax Information and the Protection of Personal Data in the European Union: Reflections on the Latest Jurisprudential and Normative Advances, EC Tax Review, 2016n. 3, p. 153: “ in our opinion, the absence of clear time frames does not substantially improve the protection of data and, in light of the Digital Rights Ireland case … could be insufficient to guarantee the principle of proportionality”.

654 _{Article 29 data protection working party, Guidelines for member States on the criteria to ensure compliance with}

data protection requirements in the contest of the automatic exchange of personal data for tax purposes, 16 dicembre 2015, p. 7.

655 _S.M.G

ONZALEZ, The Automatic Exchange of Tax Information and the Protection of Personal Data in the European Union: Reflections on the Latest Jurisprudential and Normative Advances, EC Tax Review, 2016, n. 3, p. 153. L’autore suggerisce di subordinare la trasmissione delle informazioni alla verifica preventiva mediante operazioni di due diligence miranti ad estrarre indici di rischiosità dei contribuenti; Garcia Prats, G. Melis, in Diritto e Processo tributario n. 2/2015, p. 280.

656

Nella sentenza Digital Rights Ireland, la Corte ha messo in luce che, sebbene gli obiettivi siano legittimi (tutela del mercato interno), la direttiva non deve superare i limiti di ciò che è idoneo e necessario al conseguimento degli obiettivi stessi e nel particolare si deve valutare la l’ingerenza nei diritti fondamentali.

657 _{First Report of the Commission AEFI expert Group on the implementation of Directive 2014/107/EU for automatic}

Exchange of financial account information, marzo 2015

658

Il riferimento alla soglia, tra l’altro, presente nella DAC1, come limite per l’invio o meno di informazioni,è stato eliminato con la DAC2 nell’art. 8, par. 3, come spiegato nel preambolo punto n. 15.

170

Analogamente, il Working Party relativo all’art. 29659, nel suo parere del 4 Febbraio 2015, ha ritenuto che il principio di proporzionalità sia rispettato qualora sia dimostrata la necessità dello scambio e che i dati i rappresentino il minimo necessario per soddisfare tale finalità evitando così raccolte indiscriminate e massive. Per tale motivo, infatti, con la modifica ad opera della Direttiva 2014/107/UE, è stata inserita l’esplicitazione del fine per il quale le informazioni sono raccolte660. In termini generali, la finalità è dichiarata al 10 considerando della direttiva 2014/107/UE, indicando che il trattamento delle informazioni “è necessario e commisurato allo scopo di consentire alle amministrazioni fiscali degli Stati membri di individuare correttamente e inequivocabilmente i contribuenti interessati ed essere in grado di applicare e far osservare la propria normativa fiscale in situazioni transfrontaliere, di valutare la probabilità che siano perpetrate evasioni fiscali e di evitare ulteriori inutili indagini”. Parte della dottrina ritiene che sia difficile dimostrare che la gestione di tali masse di dati si limiti a quanto necessario al perseguimento degli scopi della Direttiva incluse le finalità di pubblico interesse661.

Altra parte della dottrina662 ha invece valutato il principio di proporzionalità in termini di eccessiva onerosità nei confronti dei contribuenti, concludendo che, in realtà, nello scambio automatico di informazioni, tale aspetto non sarebbe leso in quanto sarebbe difficile immaginare un mezzo meno invasivo o oneroso per accertare un reddito. L’elaborazione automatica non interverrebbe, difatti, nella sfera privata più di quanto non farebbe qualsiasi altra dichiarazione dei redditi da cui sono attinti i dati oggetto di scambio663. Secondo tale teoria, infatti, il diritto alla protezione dei dati personali di cui all’art. 8 della Carta dei diritti fondamentali, fa riferimento ai dati che possono identificare un individuo664. Tale visione troverebbe conferma nelle conclusioni dell’Avvocato Generale

659 _{Article 29 Data Protection Working Party, Guidelines for member Stated on the criteria to ensure compliance with}

data protection requirements in the context of the automatic exchange of personal data for tax purposes, 175/16/EN WP 234, adottato il 16/12/2015, par. 3.

660_P.B

AKER, Privacy Rights in an Age of Transparency: A European perspective, Tax Notes INT’L, del 9 maggio 2016, p. 586.

661

A. GARCIA PRATS,G.MELIS,Scambio di informazioni e diritti dei contribuenti,cit.,p. 285.

662 _A.S

OONE, Exchange of Tax Information and Privacy in Estonia, in Intertax, vol. 44, 3, 2016, p.282.

663 _{In questo senso anche J.M.C}

ALDERÓN, Taxpayer Protection within the Exchange of Information Procedure Between State Tax Administrations, Intertax, 2000, vol. 28, n. 12, p. 473.

664 _{Secondo l’Avvocato generale, il diritto alla protezione dei dati personali rimane distinto dal diritto al rispetto della}

vita privata e distinti sono i regimi che li disciplinano: il legame tra i due diritti dipende dalla natura dei dati considerati pur trattandosi sempre di dati personali (par.63). I dati cui si riferisce la sentenza sono dati definiti dall’avvocato nel par.65 “più che personali”, poiché si riferiscono alla vita privata, alla sfera intima; tali dati non sarebbero personali nel senso classico del termine poiché non si riferiscono a informazioni specifiche sull’identità delle persone ma consentono di creare una mappatura fedele e esaustiva dei comportamenti di un individuo e talvolta anche un ritratto completo della

171

Cruz Villalon665, nella causa Digital Rights Ireland, nella parte in cui si afferma che i dati scambiati a fini fiscali, non sono personali nel senso tradizionale del termine, ovvero relativi a specifiche informazioni concernenti l’identità di un in individuo il cui uso può contribuire a creare un veritiero e esaustivo profilo della vita anche privata di un individuo666. L’intrusione nella vita privata del cittadino come tale protetta dalla Carta667

non si configurerebbe per i dati scambiati automaticamente in quanto dagli stessi non sarebbe consentito trarre specifiche conclusioni circa le abitudini, le attività e le relazioni di un contribuente. Tali considerazioni seppur logiche, tuttavia, non sembrano trovare riscontro nelle decisioni della Corte, che come in precedenza accennato non distinguono informazioni fiscali di carattere puramente reddituale da quelle di carattere finanziario o comunque da altre da cui sarebbe possibile tracciare un profilo del contribuente. Rimane, di fatto, la presenza di una maggiore tutela per quanto riguarda le informazioni di carattere finanziario, mentre analoga protezione non sembra essere stata specificatamente prevista per le altre categorie reddituali oggetto di scambio.

5.8.3. Trasferimento delle informazioni personali dall’Unione europea a Paesi