L’art. 9-ter dello Statuto del contribuente (legge n. 212/2000), introdotto dal D.Lgs. n. 219/2023, costringe gli uffici finanziari a ponderare con estrema cautela ogni operazione, da cui dipenda la trasmissione di dati all’esterno dei loro perimetri (fisici e virtuali). L’interpretazione della disposizione citata, per il vero, mette alla prova il vocabolario giuridico della disciplina della protezione dei dati ed è necessario, per l’esatta comprensione della stessa, fare appello al criterio interpretativo della ratio della norma, la quale, altrimenti, rischia di essere scambiata integralmente per un’inutile e simbolica ripetizione. Cosa prevede il nuovo Statuto del contribuente La disposizione, ritenuta dal legislatore delegato, necessaria “a seguito del rafforzamento della protezione dei dati a livello dell’Unione europea, attuato dal Regolamento generale UE 2016/679” (GDPR), nella sua formulazione letterale, al comma 1, abilita gli uffici finanziari all’acquisizione diretta di “dati e informazioni” riguardanti i contribuenti, contenuti in banche dati di altri soggetti pubblici. L’acquisizione potrà avvenire non solo con un meccanismo di “domanda-risposta”, ma anche attraverso l'interoperabilità delle banche dati dei soggetti pubblici. Il comma 1 si conclude con l’ovvio richiamo al rispetto di ogni limitazione stabilita dalla legge che impedisca o conformi (in senso riduttivo) l’acquisizione di dati e informazioni. Il comma 2 prescrive all'Amministrazione finanziaria il divieto di “divulgare” i “dati” e le “informazioni”, con l’eccezione degli “obblighi di trasparenza previsti per legge, ove da essa non specificamente derogati”. Il senso del comma 2 evidenzia che “dati e informazioni” devono rimanere dove sono conservati, senza poter essere oggetto di invio all’esterno, salvo che questa trasmissione sia previamente autorizzata da una legge. I due commi, a prima lettura, di semplice comprensione, sono, invece, un coacervo di complessità. Innanzi tutto, in entrambi i commi ci si riferisce a “dati e informazioni riguardanti i contribuenti”. Se si considera, tuttavia, l’art. 4 del GDPR si scopre che la definizione di “dato” è “informazione”: pertanto le parole “dati” e “informazioni”, quando e se riferite a persone fisiche, sono sinonimiche e ridondanti. Peraltro, il contribuente potrebbe essere un soggetto diverso da una persona fisica, potendo essere un’organizzazione, personificata o meno, commerciale o non lucrativa, ecc. L’art. 9-ter si applica, pertanto, sia ai contribuenti persone fisiche sia ai contribuenti diversi dalle persone fisiche e detta due regole: - modalità di acquisizione delle notizie; - divieto di divulgazione delle stesse. Per gli enti plurisoggettivi, in ogni caso, non rileva quanto affermato dal legislatore delegato a proposito della necessità di armonizzare la normativa italiana al GDPR, in quanto tale esigenza si applica solo alle persone fisiche. A prescindere da questo rilievo, si deve prendere atto che le due regole (acquisizione e divieto) si applicano anche agli enti plurisoggettivi. Modalità di acquisizione delle notizie Passando al dettaglio della disciplina, il comma 1, con riferimento alle persone fisiche, è una norma che rappresenta un tassello della “base giuridica”, che è (ai sensi dell’art. 5 e seguenti del GDPR) condizione di liceità del trattamento dei dati. Sempre il comma 1 individua le finalità del trattamento (nel cui ambito può avvenire l’acquisizione di dati) ovvero l’esercizio dell’azione amministrativa tesa a realizzare la corretta attuazione del prelievo tributario. Per gli enti plurisoggettivi, non essendoci materia da attuare in ossequio al GDPR, il comma 1 detta una norma di azione della Pubblica Amministrazione finanziaria. Sia per le persone fisiche sia per gli enti plurisoggettivi, peraltro, il comma 1 non svolge un effetto precettivo realmente innovativo, considerato che la circolazione delle informazioni, per ragioni di raggiungimento delle finalità di interesse pubblico, può essere basata su altre norme quadro, o leggi generali o settoriali. D’altronde, la parte conclusiva del comma 1, con il richiamo alle limitazioni previste dalla legge, non fa altro che confermare la portata riepilogativa del comma 1 stesso. Non si potrebbe neppure affermare che il comma 1 dell’art. 9-ter dello Statuto del contribuente abbia l’effetto di limitare l’acquisizione di dati e informazioni: invero non ha effetto limitante né il riferimento alle banche dati né la sottolineatura delle finalità. Per quanto concerne le banche dati, la definizione delle stesse è tale da comprendere qualsiasi dato o informazione perché contenuto in un archivio. Per quanto riguarda le finalità, esse sono descritte con una formula amplissima omnicomprensiva. Questione del tutto diversa da quelle trattate è se il comma 1 dell’art. 9-ter dello Statuto del contribuente rappresenti una regola di giudizio al fine di escludere, nel processo tributario, l’utilizzabilità di eventuali dati e informazioni acquisiti per altre vie (diverse dall’acquisizione da banche dati di soggetti pubblici anche mediante interoperabilità). Peraltro, la struttura della disposizione (legittimazione attiva rispetto all’esercizio di un potere) porta a escludere un effetto restrittivo per l’Amministrazione finanziaria e, quindi, a escludere che quest’ultima, nei propri procedimenti impositivi, possa utilizzare solo dati e informazioni in essa contemplati. L’utilizzabilità in giudizio delle notizie e informazioni raccolte dagli uffici finanziari sarà, dunque, da valutare caso per caso. Divieto di divulgazione Il comma 2 dell’art. 9-ter prescrive il divieto di divulgazione di “dati e informazioni” riguardanti i contribuenti. A tale riguardo bisogna, innanzi tutto, sottolineare un aspetto terminologico. L’art. 2-ter del Codice della privacy, a proposito di trattamenti esterni, elenca le “comunicazioni” e le “diffusioni”, ma non le “divulgazioni”. In assenza di esplicite indicazioni e in omaggio al principio di interpretazione favorevole al contribuente si ritiene che la parola “divulgazione” sia da riferire sia alle comunicazioni sia alla diffusione. Seguendo questa impostazione, il comma 2 in esame subordina comunicazioni e diffusioni a un presupposto legislativo relativo a obblighi di trasparenza. Inoltre, la norma di legge deve avere una formulazione tale da autorizzare la “divulgazione”, al netto di specifiche deroghe, le quali ripristinano la regola del divieto. La norma di legge autorizzativa deve essere, inoltre, classificabile come norma che detti “obblighi di trasparenza”. È necessario soffermarsi con molta enfasi sul presupposto normativo autorizzativo della divulgazione, perché l’art. 9-ter dello Statuto del contribuente, nell’individuare la fonte autorizzativa della divulgazione, si riferisce solo ed esclusivamente alla “legge”. Ciò è rilevante, perché in materia di comunicazioni e diffusioni di dati personali, l’art. 2-ter del Codice della privacy ammette tali operazioni se previste anche da fonti diverse dalla legge, ovvero regolamenti e atti amministrativi generali. Anzi, con riferimento alle comunicazioni nell’ambito dell'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, l’art. 2-ter citato estende la possibilità di tali forme di trasmissione ai casi in cui sia necessario appunto “per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri”. Se, poi, si considera l’art. 2-sexies del Codice della privacy (relativo ai dati sensibili, biometrici e genetici), in generale, comunicazioni e diffusioni, tese al perseguimento di interessi pubblici rilevanti, sono subordinate alla presenza di disposizioni di legge, ma anche di regolamento o di atti amministrativi generali. Gli articoli 2-ter e 2-sexies del Codice della privacy autorizzano, dunque, le divulgazioni sulla base anche di presupposti ulteriori e ritenuti fungibili rispetto alla “legge”: ciò vale, a seconda dei casi, per i regolamenti, gli atti amministrativi generali e per il mero presupposto funzionale della necessità per le finalità istituzionali. Raffrontando gli articoli 2-ter e 2-sexies del Codice della privacy con l’art. 9-ter, comma 2, dello Statuto del contribuente, si ricava, quindi, che quest’ultimo ha una portata restrittiva: solo una legge o un atto avente forza di legge può autorizzare gli uffici finanziari a divulgare dati e informazioni che riguardano il contribuente. Detto in negativo, gli uffici finanziari non possono divulgare dati e informazioni, che riguardano il contribuente, sulla base di fonti diverse dalla legge. A valle di questo orientamento interpretativo derivano conseguenze sul piano dei rapporti contribuenti-uffici finanziari. In particolare, una divulgazione non basata sul presupposto della legge costituisce una divulgazione illecita, la cui illiceità può essere posta a base anche di una richiesta di risarcimento dei danni, se effettivamente patiti e documentati dal contribuente. La medesima illiceità relativamente ai casi che riguardano persone fisiche, porta, infine, all’attivazione di un procedimento sanzionatorio di competenza del Garante per la protezione dei dati personali.