Trasferimento delle informazioni personali dall’Unione europea a Paesi terzi

Un ulteriore problema messo in evidenza dal Working Party art. 29668 consiste nel fatto che la Direttiva sulla Cooperazione amministrativa in campo fiscale non prevede alcun meccanismo specifico di controllo del quadro giuridico di garanzie relative inerenti al trasferimento massivo di dati personali al di fuori dell’Unione Europea. Come già affermato dalla Corte di Giustizia669 l’invio e la successiva detenzione di dati fuori dall’Unione

sua identità privata (par.74) quali la mappatura delle telefonate ricevute ed inviate, luogo di origine della comunicazione. La normativa comunitaria che restringe il diritto alla protezione dei dati di carattere personale in conformità dell’art. 8 della Carta sembra tuttavia ledere l’art.7 della Carta che tutela il rispetto alla vita privata.

665 _{Conclusioni dell’avvocato generale nei casi riuniti C-293/12 e C-594/12 della Corte Europea di Giustizia, p.55.} 666 _{Conclusioni dell’avvocato generale nei casi riuniti C-293/12 e C-594/12 della Corte Europea di Giustizia, p. 74.} 667 _A.S

OONE, Exchange of Tax Information and Privacy in Estonia, in Intertax, vol. 44, 3, 2016, p.282.

668 _{Working Party art. 29 lettera del 18/9/2014 all’OCSE e Commissione Europea, ref. ARES(2014) 3066381; Article}

29 Data Protection Working Party, opinion 03/2015 in the draft directive on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties and the free movement of such data, adottato il 1/12/2015, 3211/15/EN. Il Working Party è stato costituito ex art. 29 della Direttiva 95/46/EC. E’ un organismo europeo indipendente con funzioni consultive in merito alle problematiche di protezione dei dati personali e privacy; rappresenta le autorità garanti dei dati personali nell’Unione europea. I suoi compiti furono descritti nell’art. 30 della Direttiva 95/46/EC e nell’art. 15 della Direttiva 2002/58/EC.

669

Corte di Giustizia, sentenza dell’8 aprile 2014, cause riunite C-293/12 e C-594/12, Digital Rights Ireland contro Minister for Communications, Marine and Natural Resources,Minister for Justice, Equality and Law Reform,

172

Europea impedirebbe il controllo, esplicitamente richiesto dall’art. 8(3) della Carta, da parte un’autorità indipendente che garantisca un medesimo livello adeguato di protezione dei diritti personali. A tal proposito, la Corte di Giustizia670 si è pronunciata per la prima volta sul tema del trasferimento dei dati verso paesi terzi. Il caso scaturisce dalla domanda di pronuncia pregiudiziale proposta nell’ambito di una controversia tra il sig. Schrems e il Commissario per la protezione dei dati irlandese riguardante il diniego, da parte di quest’ultimo, di procedere all’istruzione della denuncia presentata dal cittadino per contrastare il trasferimento negli Stati Uniti dei propri dati personali da parte di Facebook Ireland Ltd. La Corte stabilisce che la normativa dell’Unione non osta a che un’autorità di controllo di uno Stato membro esamini la domanda di una persona relativa alla protezione dei suoi dati personali, estendendo in tal maniera la tutela prevista dall’Unione anche ai casi di trasferimento dei dati verso paesi terzi. Alla luce della citata sentenza, trasferendo detti principi all’ambito dello scambio di informazione, i contribuenti oggetto di comunicazione ai sensi dell’art. 8 par. 3 bis della direttiva 2014/107/UE hanno il diritto di agire per la protezione dei propri dati e di domandare alle autorità garanti nazionali di verificare l’adeguatezza del sistema extra –UE. Il termine “adeguato” che figura nell’art. 25 della direttiva 95/46 implica, come si legge nel paragrafo 73 della sentenza, che non possa esigersi che un paese terzo assicuri un livello di protezione identico a quello garantito nell’ordinamento dell’Unione. Tuttavia, l’espressione deve essere intesa nel senso che tale Paese assicuri effettivamente, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, un livello di protezione dei diritti fondamenti equivalente a quello garantito in ambito comunitario. L’adozione di una precedente decisione di adeguatezza da parte della Commissione circa il trasferimento dei dati agli Stati Uniti671 come pure l’esistenza di accordi multilaterali non sarebbero di alcun impedimento a che l’autorità

Commissioner od the Garda Siochana, Irlanda, the Attorney general Irish Human Right Commission, Karntner Landesregierung (C-594/12), Michael Seitlinger, Chritof Tschohl e a., par. 68.

670 _{Corte di Giustizia, grande sezione, sentenza del 6 ottobre 2015, C-362/14, Schrems v. Data Protection} Commissioner, Nel caso di specie, la Corte ha esaminato l’adeguatezza dei c.d. “principi dell’approdo sicuro – safe Harbour”, verficnfo che la normativa interna statunitense prevede che le garanzie di protezione safe Harbour concordate con l’Unione possano essere disapplicate per ragioni connesse alla sicurezza nazionale un interesse pubblico o una necessità di amministrazione della giustizia degli Stati Uniti, in base alla normativa interna. Tali disposizioni non sono state considerate adeguate, non consentendo alcuna possibilità per il singolo di avvalersi di rimedi giuridici al fine di accedere a dai personali che lo riguardano, oppure di ottenere la rettifica o la soppressione di tali dati non rispettano il contenuto essenziale del diritto fondamentale ad una tutela giurisdizionale effettiva quale sancito dall’art. 47 della Carta (paragrafo 95 della sentenza).

671 _{Nel caso di specie, si trattava della decisione della Commissione europea 2000/520/EC in base alla quale fu stabilito}

173

nazionale sia chiamata alla valutazione del livello di sicurezza garantito672

. In tali casi, le autorità degli Stati membri sono tenute a valutare le doglianze dei cittadini UE che lamentano di aver subito la violazione dei diritti di protezione dei propri dati per effetto del loro trasferimento all’estero. Nell’ambito dello scambio automatico di informazioni questa sentenza delineerebbe, secondo parte della dottrina, con maggiore precisione l’ambito di applicazione dell’art. 25 della Direttiva 2014/107/UE, paragrafo 3, conferendo il diritto a coloro che sono coinvolti dallo scambio, di agire per la protezione dei dati prima che questi siano comunicati all’autorità competente dello stato membro di residenza e assicurando una tutela tempestiva ed effettiva673

. Per effetto della pubblicazione di questa sentenza, parte della dottrina674_{si è interrogata sulla validità e sul rispetto delle condizioni poste dall’art. 25} della Direttiva 95/46/CE (oggi art. 45 del Regolamento 2016/679, in base al quale il trasferimento verso un paese terzo di dati personali oggetto di trattamento può aver luogo soltanto se il terzo paese garantisce un livello di protezione adeguato, con riferimento alla disciplina dello scambio automatico di informazioni con gli Stati Uniti. Tale disposizione può essere derogata, in base all’art. 26, par. 1d), qualora il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante o per esercitare o difendere un diritto in via giudiziaria ovvero in base all’art. 23 del Regolamento 2016/679 che ammette limitazioni e restrizioni di taluni diritti (di informazione, di accesso di pubblicità nell’elaborazione di talune procedure) qualora sia necessario salvaguardare un interesse economico o finanziario di uno Stato membro o dell’Unione Europea incluso un interesse, monetario, finanziario o fiscale. La sentenza Schrems consentirebbe ai contribuenti di opporsi ad ogni modifica sopra citata e di richiedere l’intervento dell’autorità garante nazionale di protezione dei dati personali. Tuttavia, con l’introduzione dell’art. 45, c.4, del Regolamento 2016/279, la Commissione ha un obbligo specifico di controllare su base continuativa gli sviluppi nei Paesi terzi che potrebbero incidere sul livello di adeguatezza nella protezione dei dati personali.

Con riferimento all’ambito FATCA, parte della dottrina sottolinea come gli accordi intergovernamentali con l’USA stabiliscono espressamente che gli Stati partecipanti devono garantire lo stesso livello di protezione dei dati e che gli stessi, una volta ricevuti sono

672 _M.N

APOLITANO, Protezione effettiva dei dati del contribuente in presenza di scambio di informazioni automatico: punti da una recente pronuncia della Corte di Giustizia del’Unione Europea, in Dir. e Prat. Internaz., n. 1/2016, pp. 385-298.

673 _M.N

APOLITANO, Protezione effettiva dei dati del contribuente in presenza di scambio di informazioni automatico: punti da una recente pronuncia della Corte di Giustizia del’Unione Europea, in Dir. e Prat. Internaz., n. 1/2016, pp. 385-298.

674 _S.M.G

ONZALEZ, The Automatic Exchange of Tax Information and the Protection of Personal Data in the European Union: Reflections on the Latest Jurisprudential and Normative Advances, EC Tax Review, 2016, n. 3, p. 153.

174

trattati come le informazioni ottenute in base alla normativa nazionale. Tuttavia occorre far presente che il quadro normativo americano si differenzia da quello italiano/europeo675. In particolare, la normativa domestica americana prevede che le informazioni fiscali possono essere svelate anche alle persone che hanno un materiale interesse nella questione676. Ad esempio, nel caso di una persona fisica, potrebbero essere il coniuge o il figlio677; nel caso di una società potrebbe essere sia un membro del consiglio di amministrazione, oppure un dipendente come pure anche un socio che possieda un partecipazione dell’1% al capitale sociale678.

Le informazioni di carattere fiscale possono, inoltre, essere rivelate anche nel corso di un processo penale o amministrativo, federale o statale, qualora il contribuente sia parte in causa del processo, qualora la conoscenza di detti dati sia essenziale per la risoluzione della controversia in essere, e quando le informazioni sono direttamente connesse ad un negozio giuridico intercorrente tra detto contribuente e un’altra parte679. _{La protezione dei dati} personali negli Stati Uniti è orientata principalmente a permettere al cittadino di sapere le condizioni e dove sono detenuti i propri dati e tale tutela deve essere bilanciata con gli interessi del settore imprenditoriale e della società considerata nel suo insieme, non assurge quindi a diritto fondamentale della persona come invece avviene in Europa680

.

Poiché tali restrizioni, se non adeguatamente “blindate” con accordi bilaterali o disposizioni normative, potrebbero essere facilmente eluse nel paese terzo681

, il Working Party682_afferma

675 _A.J.C

OCKFIELD, Protecting Taxpayer Privacy Rights Under Enhanced Cross-Border Tax Information Exchange: Toward a Multilateral Taxpayer Bill of Rights, in U.B.C. Law Review, 2010, v. 42, n. 2 confronta le disposizioni normative canadesi, Privacy Personal Information Protection and Electronic Documents Act (PIPEDA) ritenute equivalenti, in termini di protezione del contribuente alle disposizioni dell’Unione, con le disposizioni statunitensi che hanno negoziato con l’Unione un accordo di porto sicuro “Safe Harbour Agreement” che rappresenta il quadro giuridico al quale le imprese multinazionali si devono conformare..

676 _{Internal Revenue Code, s. 6103 (d)} 677

Internal Revenue Code, s. 6103 (e).

678

Internal Revenue Code, s. 6103 (e)(1)(D). Si veda anche la sentenza McAdams v.United States, m96-1, USTC, para 50, 269, W.D. La 1996.

679 _{Internal Revenue Code, s. 6103 (h) (4). Per un approfondimento sulle procedure di protezione di dati personali negli}

Stati Uniti si faccia riferimento a S.RUCHELMAN,C.SCHERVASHIDZE, Exchanges of information: what does the IRS receive? With whom does the IRS speak?, in Intertax, vol.42, n. 8 e 9, p. 577 e ss.

680

G.MARINO, General Report, New Exchange of Information versus Tax Solutions of Equivalent Effect, EATLP Congress Istanbul, 2014.

681 _S.M.G

ONZALEZ, The Automatic Exchange of Tax Information and the Protection of Personal Data in the European Union: Reflections on the Latest Jurisprudential and Normative Advances, EC Tax Review, 2016, n. 3, p. 159.

175

che dette limitazioni dovrebbero essere espressamente previste con un trattato che abbia effetti vincolanti e che fornisca garanzie sull’adeguatezza delle misure di protezione delle garanzie personali683

.

Analogamente, si fa presente che a livello europeo, il garante europeo per la protezione dei dati684

, in merito all’accordo siglato tra l’Unione europea e la Svizzera sullo scambio

automatico di informazioni, richiede al legislatore europeo di introdurre nei futuri accordi bilateraliuna serie di cautele685. Il gruppo di esperti ha infatti evidenziato che uno scambio di informazioni con detto paese potrebbe non risultare fiscalmente rilevante ma innescare una problematica di breccia dei dati personali. Gli esperti consigliano agli stati membri di adattare le proprie normative nazionali in riguardo alla protezione dei dati in modo da assicurare tale rispetto perché il wording della direttiva appare troppo vago.

5.8.4 Data protection nello scambio di tax ruling: la segretezza rivolta agli organi