Indagini finanziare: l’equilibrio fra segreto bancario e protezione della privacy [1]

Carlotta Armuzzi [2]

1. Il diritto alla privacy nella Convenzione Europea dei Diritti Umani e nella Carta dei diritti fondamentali dell’Unione europea

Il diritto al rispetto della vita privata e familiare ed il correlato diritto alla protezione dei dati personali, solitamente definiti unitariamente come “diritto alla privacy[3], deriva dagli accordi internazionali e dalla normativa europea. In particolare, il diritto alla privacy della vita privata[4], rientra fra quelli tutelati dalla Convenzione Europea dei Diritti Umani del 1950 (CEDU)[5] dove è stabilito che tale diritto non può essere limitato dallo Stato, se non vengono rispettate una serie di condizioni[6]. Più precisamente, ogni deroga è ammessa solo in quanto: 1) sia “prescritta da una legge”[7] (essenzialmente il principio di riserva di legge); 2) sia strettamente necessaria, in una società democratica, per il perseguimento di pubblici interessi[8] (principio di proporzionalità).

Il diritto alla privacy implica anche il diritto alla protezione dei dati personali, definitivamente legittimato dalla Carta dei diritti fondamentali dell’Unione Europea del 2000[9]. La Carta, infatti, dopo aver ribadito il diritto alla riservatezza della vita privata[10], impone ora, espressamente, il diritto alla protezione dei dati personali[11].

Così nella Carta, come nella CEDU, è previsto che i diritti in parola possano essere limitati dagli Stati[12]. In particolare, ogni misura restrittiva deve: 1) essere “prevista da una legge”; 2) causare una limitazione “proporzionata” e “necessaria” dei diritti garantiti, al fine di perseguire “interessi generali riconosciuti dall’Unione”, o per la necessità di tutelare il diritto alla liberà degli altri consociati (c.d. “funzione sociale” della limitazione).

Il diritto al rispetto della vita privata e familiare ed il correlato diritto alla protezione dei dati personali, essendo previsti dalla CEDU, sono considerati alla stregua di principi generali dell’Unione Europea[13] e, in quanto garantiti dalla Carta, hanno il medesimo valore legale dei Trattati[14]. Questo significa che l’applicazione del diritto dell’Unione comporta l’applicazione anche di tali principi.

2. Regolamentazione italiana ed europea del diritto alla protezione dei dati personali

Il diritto alla protezione dei dati personali è regolato da una specifica Direttiva dell’Unione Europea[15]. Quest’ultima prevede che il trattamento[16] dei dati personali debba: 1) avvenire in modo legale[17]; 2) includere il successivo controllo circa la precisione dei dati, nonché il successivo aggiornamento degli stessi (c.d. “principio di accuratezza”)[18]; 3) essere inerente alle finalità per cui viene svolto (c.d. “principio di rilevanza”)[19]; 4) essere evitato per quanto possibile (c.d. “principio di proporzionalità)[20]. La violazione di tali principi implica, per espressa previsione della legislazione nazionale, l’”inutilizzabilità” dei dati trattati[21].

Nell’attuazione della Direttiva, il Codice privacy italiano ha anche previsto che, prima di adottare una normativa che possa influire sul diritto alla protezione dei dati personali, il competente Ministro deve previamente consultare il Garante per la protezione dei dati personali[22].

Generalmente, la protezione dei dati personali non qualificabili come “sensibili”[23], richiede il preventivo consenso all’acquisizione da parte dei soggetti coinvolti, tuttavia sono ammesse deroghe, compresa la possibilità per gli Stati membri di prevedere ulteriori eccezioni al fine di tutelare il legittimo interesse del titolare del trattamento. In Italia, in particolare, quando tale soggetto è un ente pubblico (quale, per esempio, l’Amministrazione fiscale), la protezione (normalmente) assicurata al trattamento dei dati personali si limita ad una comunicazione rivolta alle persone coinvolte. Tuttavia, se sono coinvolti dati sensibili il loro trattamento non può avvenire, fuori da casi specifici, senza il consenso degli interessati. Agli Stati membri è consentito, ricorrendo specifiche condizioni[24], di introdurre eccezioni ulteriori.

Nel rispetto di tali limiti l’Italia ha stabilito, in particolare, che un “ente pubblico” può procedere alla elaborazione di dati personali sensibili, se ed in quanto autorizzato da una legge che postuli l’esistenza di un “interesse pubblico prevalente”[25]. È inoltre previsto che un tale interesse ricorra per definizione[26], con l’unica restrizione per l’autorità finanziaria di conformarsi al parere espresso dal Garante per la protezione dei dati personali in merito alla tipologia di dati che possono essere elaborati e su come condurre tale trattamento.

3. Indagini bancarie e diritto alla privacy

Nel 2013, la giurisprudenza italiana[27] ed il Garante per la protezione dei dati personali[28] hanno limitato la sistematica ingerenza dell’Amministrazione Finanziaria nella privacy dei contribuenti, rallentando lo sviluppo verso una completa trasparenza dei conti di milioni di cittadini.

Anche la Corte Costituzionale Belga si è occupata di temi simili con due decisioni incentrate sulla proporzionalità dell’obbligazione di collaborazione e l’ingerenza nella sfera privata[29]. La Corte Belga si è occupata del tema dell’accesso ai dati bancari, formulando alcune interessanti conclusioni. In particolare, si è espressa circa la costituzionalità della legge che disciplina il procedimento delle indagini bancarie, ritenendolo compatibile con il diritto alla privacy stabilito nell’art. 22 della Costituzione Belga e nell’art. 8 della CEDU.

Le due sentenze mettono in correlazione il segreto bancario con una serie di altri problemi e, in particolare, se la riservatezza sulle informazioni bancarie rientra nella più ampia portata della protezione della privacy; se ed in che misura il diritto alla privacy possa essere opposto all’interesse finanziario dello Stato; se ed in che misura il contribuente possa invocare il suo c.d. diritto al silenzio. Preliminare a tali quesiti è quello relativo alla possibilità di ricavare principi a tutela dei contribuenti, così come dalla legge nazionale, anche costituzionale, allo stesso modo dalla Convenzione Europea per i diritti umani e dalla giurisprudenza della Corte di Strasburgo. Su questo ultimo punto, la Corte ritiene che le indagini finanziarie belghe rispettino i limiti ed i principi della Convenzione. La giurisprudenza della CEDU[30] è chiara nel considerare anche il potere impositivo degli Stati sottoposto ai limiti derivanti dai diritti umani fondamentali, fra i quali rientra il nucleo del diritto di proprietà, che include il diritto alla privacy.

4. Conclusioni

Comparando le sentenze prese in esame in precedenza con l’esperienza Italiana emerge che la legislazione belga, diversamente da quella italiana[31], consente l’avvio di investigazioni finanziarie solo in presenza di specifiche e dettagliate condizioni; richiede una preliminare notifica da parte dell’Amministrazione finanziaria; il contribuente può impugnarne le risultanze innanzi al competente organo giurisdizionale. Ed è sulla base di tali solide garanzie che la Corte Costituzionale belga ha considerato come “ragionevolmente giustificata” l’interferenza delle investigazioni finanziarie nella vita dei contribuenti del Regno.

Il legislatore italiano, dall’altro lato, nell’abolire il segreto bancario ha lasciato le Amministrazioni finanziarie arbitri di decidere quando iniziare questo tipo di accertamenti[32]. Vero è che l’Amministrazione finanziaria ha affermato che le indagini bancarie sono consentite solo in presenza di “consistenti evidenze di evasione fiscale”; tale condizione, tuttavia, non è prevista per legge.

In breve, a causa dell’attuale quadro legislativo esiste un reale rischio che le indagini bancarie vengano effettuate senza una effettiva necessità. Perciò si deve concludere che la disciplina italiana in merito non garantisce una piena tutela al diritto alla privacy così come regolato dalla CEDU e dalla Carta Europea dei diritti umani. In considerazione di quanto affermato, una previsione legislativa che legittimi una tale raccolta ed uso di determinate informazioni, in linea di principio potrebbe causare una violazione dei diritti umani: come potrebbe essere evitata tale infrazione? Attraverso un uso proporzionato delle informazioni raccolte da parte delle autorità fiscali o attraverso un appropriato bilanciamento dei diritti costituzionalmente garantiti che risultano coinvolti?

© Copyright Seast – Tutti i diritti riservati

Footnotes    (↵ returns to text)
  1. Come citare questo articolo: C. Armuzzi, Indagini finanziare: l’equilibrio fra segreto bancario e protezione della privacy, in Studi Tributari Europei, n. 2/2014 (www.seast.it/rivista), pagg.43-48.
  2. Carlotta Armuzzi, Dottoranda di ricerca in Diritto Tributario Europeo presso l’Università degli studi di Bologna.
  3. In Italia, con il termine privacy ci si riferisce alla normativa che, in attuazione della Direttiva n. 95/46/CE, disciplina la protezione dei dati personali, ossia il D.Lgs. n. 196/2003, c.d. “Codice della Privacy”.
  4. La Cote Europea dei Diritti Umani ha chiarito che l’Articolo 8: “tutela l’integrità fisica e morale dell’individuo, incluso il diritto di vivere nella riservatezza, lontano attenzioni indesiderate” (cfr., Corte Europea dei Diritti Umani,Sidabras e DÅ 3/4iautas v. Lituania, 27 luglio 2004, par. 43).
  5. L’art. 8, par.1 CEDU, firmata a Roma il 4 novembre 1950 e ratificata dall’Italia con la legge n. 848/1955, stabilisce: “Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza”.
  6. L’art. 8, par.2 CEDU, stabilisce: “Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui”.
  7. È richiesto, in primo luogo, che la misura sia basata su una “legge nazionale” (cf. Corte Europea dei Diritti dell’Uomo, Shimovolos v. Russia, 21 giugno 2011, par. 67). Tale legge deve, inoltre, “essere accessibile per le persone coinvolte, le quali devono poter prevedere le conseguenze per esse derivanti” (Corte Europea dei Diritti dell’Uomo, Kruslin v. France, 24 aprile 1990, par. 27 e Lambert v. France, 24 agosto 1998, par. 23). Relativamente al requisito della “prevedibilità”, la Corte considera carente di tale qualità una misura nazionale che non stabilisca “con ragionevole certezza gli elementi della deroga (…) che devono essere stabiliti dalla legge e quali invece rimangano nella discrezionalità dell’esecutivo” (cfr. Corte Europea dei Diritti dell’Uomo,M.M. v. Regno Unito, 29 aprile 2013, par. 194).
  8. Secondo la Corte Europea dei Diritti dell’Uomo “un’ingerenza potrà essere considerata «necessaria in una società democratica»per una legittima finalità se risponde ad un «urgente bisogno sociale» e, in particolare, se è proporzionata al legittimo fine perseguito” (cfr. Corte Europea dei Diritti dell’Uomo, M.M. v. Regno Unito, 29 aprile 2013, par. 187).
  9. La Carta, firmata il 7 dicembre 2000, è stata successivamente adottata il 12 dicembre del medesimo anno. Nel dicembre 2009, con l’entrata in vigore del Trattato di Lisbona, è stato conferito alla carta il medesimo effetto vincolante dei Trattati (cfr. art. 6, par. 1 del Trattato sull’Unione europea – TUE). Per questa ragione la Carta è stata modificata e proclamata una seconda volta nel dicembre 2007.
  10. Cfr. art. 7, Carta dei diritti fondamentali dell’Unione europea “Rispetto della vita privata e della vita familiare”.
  11. Cfr. art. 8, Carta dei diritti fondamentali dell’Unione europea “Protezione dei dati personali”.
  12. Cfr. art. 52, par. 1, Carta dei diritti fondamentali dell’Unione europea “Portata dei diritti garantiti”.
  13. Cfr. art. 6, par. 3, TUE.
  14. Cfr. art. 6, par. 1, TUE.
  15. Direttiva n. 95/46/CEDirettiva Privacy.
  16. Per la nozione di “trattamento” cfr. art. 2, par. 1, lett. b), Direttiva privacy e, in sua attuazione, cfr. art. 4 del Codice privacy italiano.
  17. Cfr. art. 6, par. 1, lett. c), Direttiva privacy e, in sua attuazione, cfr. art. 11, par. 1, lett. a) del Codice privacy italiano.
  18. Cfr. art. 6, par. 1, lett. c), Direttiva privacy e, in sua attuazione, cfr. art. 11, par. 1, lett. c) del Codice privacy italiano.
  19. Cfr. art. 6, par. 1, lett. c), Direttiva privacy e, in sua attuazione, cfr. art. 11, par. 1, lett. d) del Codice privacy italiano.
  20. Cfr. art. 6, par. 1, lett. c), Direttiva privacy e, in sua attuazione, cfr. art. 11, par. 1, lett. d) del Codice privacy italiano. Secondo quanto sostiene la Commissione Europea, per verificare la conformità al principio di proporzionalità, deve essere appurato se un risultato analogo potrebbe essere raggiunto mediante il trattamento di dati anonimi o di dati personali di altra natura – Cfr. Corte di Giustizia dell’Unione europea, 20 maggio 2003, cause congiunte C-465/00, 138/01 e 139/01Österreichischer Rundfunk., p.to 57). La trasposizione italiana del principio in questione conferma tale approccio (cfr. art. 3 Codice privacy italiano).
  21. Cfr. art. 11, par. 2, Codice privacy italiano.
  22. Cfr. art.28 Direttiva privacy e, in attuazione, art. 154, par. 4 Codice privacy italiano. Il Garante, tuttavia, deve intervenire orni qualvolta il trattamento dei dati personali “presenta specifici rischi in relazione ai diritti ed alle libertà fondamentali, e per la dignità della persona interessata”.
  23. Si noti che la Direttiva utilizza il termine “speciali”.
  24. Le deroghe devono essere giustificate da “motivi di interesse pubblico” e, in ogni caso, che si sia provveduto alla previa notifica alla Commissione Europea (cfr. art. 8, par. 4, Direttiva privacy).
  25. Cfr. art. 20, par. 1, Codice privacy italiano. Inoltre la legge deve individuare le tipologie di dati sensibili e le “tipologie di operazioni” effettuabili (ad esempio la raccolta, l’elaborazione, etc).
  26. Cfr. art. 66 Codice  italiano.
  27. Tribunale di Napoli, sez. dist. Di Pozzuoli, sent. 21 febbraio 2013 – in Dialoghi Tributari n. 1/2013, p. 16 e Commissione Tributaria Regionale della Lombardia, sez. di Brescia, sent. n. 76/65/2013.
  28. Garante privacy, doc. web. n. 1886775 e doc. web. n. 2099774.
  29. Corte Costituzionale Belga, sent. 14 febbraio 2013 e sent. 24 marzo 2013 – in www.europeanrights.eu.
  30. Cfr, CEDU, André and another v. France, 24 luglio 2008; CEDU, Bernh Larsen Holding As and Others v. Norway,  14 marzo 2013.
  31. Ulteriori prove dell’alto livello di discrezionalità amministrativa che caratterizza le indagini bancarie in Italia, in violazione delle previsioni della CEDU e della Carta a protezione del diritto alla privacy, sono le seguenti: 1) nessuna autorizzazione viene notificata al contribuente; 2) le risultanze di tale autorizzazione non possono essere opposte in contraddittorio con l’Autorità Fiscale e non può essere impugnato avanti la competente autorità giudiziaria; 3) l’autorizzazione non deve essere motivata; 4) l’assenza di tale autorizzazione, in un eventuale giudizio, non invalida l’avviso di accertamento su di essa basato.
  32. Cfr. art. 32, n. 7, D.P.R. n. 600/1973.