Il Garante Privacy dà l’ok al trattamento di dati personali nel concordato biennale

In breve

Secondo il Garante Privacy, nello schema di decreto delegato del 12 febbraio 2024, n. 13, chiamato a disciplinare la possibilità di accedere al concordato preventivo biennale da parte di contribuenti di minori dimensioni titolari di reddito di impresa e di lavoro autonomo derivante dall’esercizio di arti e professioni, che svolgono attività nel territorio dello Stato, deve prevedersi che:

1. il trattamento di dati di cui all’art. 10 del Regolamento vada limitato a quelli riferibili alle condanne (o a sentenze di applicazione della pena su richiesta delle parti) per i soli reati fiscali e false comunicazioni sociali;
2. la valutazione di impatto sulla protezione dei dati debba prevedere, prima dell’avvio del trattamento, l’adozione di garanzie e meccanismi adeguati ad assicurare il pieno rispetto del principio di esattezza dei dati;
3. l’allegato 2 alla valutazione di impatto sulla protezione dei dati debba indicare la cancellazione dei dati al termine del termine di conservazione previsto;
4. un estratto della valutazione di impatto sulla protezione dei dati debba essere pubblicato sul sito internet dell’Agenzia delle entrate.

Il Parere

Il Garante è stato chiamarsi a rendere parere sullo schema del decreto delegato al fine di validarne la conformità rispetto alle prescrizioni vigenti in materia di trattamento di dati personali da eseguirsi per la predisposizione da parte dell’Agenzia delle Entrate della proposta di concordato biennale.

Come premesso dal Garante, tale proposta viene elaborata, in coerenza con i dati dichiarati dal contribuente e comunque nel rispetto della sua capacità contributiva, sulla base di una metodologia - predisposta dal Ministero dell’Economia e delle Finanze e validata dal Garante - che valorizza, anche attraverso processi decisionali completamente automatizzati quali previsti all’art. 22 del Regolamento, le informazioni già nella disponibilità dell’Amministrazione finanziaria, limitando l’introduzione di nuovi oneri dichiarativi.

I dati personali fatti oggetto di trattamento sono dati comuni già presenti nelle banche dati, relativi all’identità anagrafica e alla capacità economica – quali ad esempio le dichiarazioni fiscali, il patrimonio mobiliare e immobiliare, i dati contabili, i dati dei versamenti e delle compensazioni - nonché quelli tratti dalle dichiarazioni del contribuente relativi all’assenza di condanne penali e reati di cui all’art. 10 del Regolamento.

Non sono, invece, sottoposti a trattamento – ai fini della elaborazione della proposta di concordato - i dati “particolari” (vale a dire quelli rilevatori delle origini razziali, etniche, delle opinioni religiose), né i dati da cui è possibile desumere, anche in via indiretta, le predette informazioni.

 I dati utilizzati per l’elaborazione della proposta sono conservati sino al termine di decadenza della potestà impositiva e, comunque, fino alla definizione di eventuali contenziosi tra Erario e contribuente.

L’Agenzia delle Entrate riveste il ruolo di titolare del trattamento dei dati personali dei contribuenti, affidando a Sogei alcuni trattamenti nella qualità di responsabile del trattamento: spetta, pertanto, all’Agenzia delle Entrate adottare tutte le misure necessarie per escludere i dati personali inesatti o non aggiornati dai trattamenti, predisponendo verifiche periodiche sulla qualità dei dati, volte a garantire la correttezza, l’accuratezza, la completezza e la coerenza degli stessi.

Nella sua disamina il Garante da, in particolare, atto che:

1. i risultati dei trattamenti effettuati dall’Agenzia delle Entrate verranno utilizzati esclusivamente ai fini del concordato e che la mancata accettazione della proposta da parte del contribuente non produrrà alcuna conseguenza negativa automatica a suo carico quale ad esempio la valutazione del suo livello di affidabilità fiscale che, ai fini dell’attuazione dell’art. 34 del decreto legislativo, resta subordinata a specifiche attività di analisi del rischio, con la precisazione che «nell’ambito del trattamento non vengono costruite variabili desunte o derivate»;
2. al fine di impedire che si verifichino trattamenti illeciti o violazioni dei dati personali, l’Agenzia delle Entrate si impegna ad eseguire il controllo degli accessi ai dati e alle informazioni presenti nelle banche dati tramite misure idonee a verificare, anche a posteriori, le operazioni eseguite da ciascun soggetto autorizzato;
3. l’Agenzia si impegna ad effettuare la valutazione di impatto sui trattamenti con periodico aggiornamento e riesame in caso di insorgenze di variazioni del rischio;
4. l’Agenzia s’impegna a rendere l’informativa sul trattamento dei dati tramite pubblicazione sul proprio sito internet nonché tramite il software utilizzato ai fini della visualizzazione ed eventuale accettazione della proposta da parte del contribuente interessato dal trattamento dei propri dati personali.

All’esito della propria analisi, nel dare parere il Garante ha, quindi, ritenuto che nel decreto esaminato:

1. siano state individuate misure adeguate a tutela dei diritti e delle libertà e dei legittimi interessi dell’interessato contribuente;
2. vi sia un’accurata descrizione di tutte le operazioni di trattamento, «ivi comprese quelle effettuate per l’elaborazione della metodologia utilizzata e quelle relative ai controlli posti in essere dall’Agenzia in seguito all’adesione alla proposta di concordato»;
3. siano ben individuate le misure adottate in concreto per garantire la trasparenza nei confronti degli interessati, con particolare riferimento alle informazioni da inserirsi a cura del contribuente all’interno del software reso disponibile per l’elaborazione della proposta di concordato.

Per altro verso, il Garante ha, invece, rilevato le seguenti carenze nel decreto:

1. la mancata specificazione che possano essere trattati esclusivamente i dati relativi alle dichiarazioni dei contribuenti di non aver subito condanne (o sentenze di applicazione di pena su richiesta delle parti) per la commissione di reati fiscali e di false comunicazioni sociali negli ultimi tre periodi d’imposta antecedenti a quelli di applicazione del concordato, la cui commissione è causa escludente dall’accesso alla proposta di concordato biennale. Il Garante ha, quindi, prescritto, l’integrazione di tale limitazione in osservanza dei principi di liceità, correttezza, trasparenza e minimizzazione;
2. l’inadeguata descrizione dell’ambito di operatività di Sogei S.p.a. in qualità di responsabile per conto di Agenzia delle entrate, titolare del trattamento, con riferimento ai trattamenti effettuati da Sogei per l’elaborazione della metodologia già approvata per il trattamento dei dati al fine della elaborazione della proposta di concordato biennale.  Il Garante ha, quindi, prescritto maggiore accuratezza nel descrivere i trattamenti assegnati a Sogei;
3. l’inadeguata individuazione nella valutazione di impatto delle misure volte ad assicurare il pieno rispetto del principio di esattezza dei dati attraverso l’adozione di adeguate garanzie previste dallo schema di decreto «sia con riferimento alla qualità dei dati utilizzati per la predisposizione della proposta […] sia in relazione alla metodologia». Il Garante, ha, quindi, prescritto «nella valutazione di impatto, prima dell’avvio del trattamento da parte dell’Agenzia in qualità di titolare, nel rispetto del principio di accountability, l’adozione di garanzie e meccanismi adeguati in concreto ad assicurare il pieno rispetto del principio di esattezza dei dati, imprescindibile soprattutto in relazione contesti quali quello in esame, caratterizzato dal ricorso a processi decisionali basati unicamente su trattamenti automatizzati»;
4. l’omessa previsione nell’allegato 2 alla valutazione d’impatto della cancellazione dei dati trattati alla scadenza del periodo di conservazione. Il Garante ha, quindi, prescritto l’integrazione del citato allegato 2.

(Fonte: Diritto e Giustizia)