Corte di giustizia europea: fissati i limiti ai poteri del fisco di richiesta di dati personali

La recente sentenza della Corte di Giustizia dell’Unione Europea, emanata lo scorso 24 febbraio 2022 in relazione alla causa C-175/2020, contribuisce a risolvere alcuni dubbi interpretativi circa l’applicazione del GDPR alle amministrazioni finanziarie degli stati membri e i limiti applicabili al potere del Fisco di richiesta e accesso ai dati personali dei contribuenti.

Numerose le conclusioni cui addiviene la Corte, offrendo interessanti spunti di riflessione sull’applicabilità dei principi del Regolamento UE n. 2016/679 alle amministrazioni tributarie degli Stati membri.

LA VICENDA

La questione posta all’attenzione della Corte di Giustizia verte sulla richiesta formulata dal Fisco lettone alla società <<SS>> – specializzata in servizi di annunci di vendite online – di ottenere informazioni contenenti i dati personali relativi agli annunci di vendita di veicoli pubblicati nella sezione “Automobili” del sito internet della SS.

Più precisamente, il 28 agosto 2018, l’amministrazione inviava alla SS la richiesta di ripristino dell’accesso – di cui già disponeva – a una serie di informazioni riguardanti i veicoli messi in vendita sul sito internet di SS tra il 14 luglio e il 31 agosto 2018. In particolare, chiedeva la trasmissione di:

• link e testo dell’annuncio;
• marca, modello, numero di telaio e prezzo del veicolo;
• numero di telefono del venditore.

La richiesta si fondava sull’applicazione di quanto disposto dall’art. 15, par. 6, della legge sulle imposte e sulle tasse lettone che impone ai fornitori di servizi di annunci pubblicati su Internet di comunicare, su richiesta del Fisco, le informazioni in loro possesso relative ai contribuenti che si sono avvalsi dei loro servizi di vendita online.

Ritenendo tale richiesta contraria ai principi di minimizzazione e proporzionalità stabiliti dal GDPR, la SS si opponeva alla richiesta presentando un reclamo, che veniva respinto dall’amministrazione lettone in ragione dell’esercizio dei poteri attribuiti alla medesima dalla legge.

La Società SS decideva, quindi, di adire l’Administratīvā rajona tiesa (il Tribunale amministrativo distrettuale competente) chiedendo l’annullamento di quest’ultima decisione per manifesta violazione di quanto disposto dall’art. 5, par.1, del GDPR in ordine all’indicazione di:

• finalità specifica e
• quantità di dati personali necessari.

Il tribunale amministrativo, tuttavia, respingeva le richieste della Società SS pronunciandosi, sul punto, con una motivazione particolarmente interessante: il Giudice amministrativo lettone, difatti, riteneva non applicabili le disposizioni del GDPR nei confronti dell’amministrazione tributaria.

La società SS, deducendo la potenziale violazione del principio di proporzionalità delle richieste del Fisco di informazioni e dati personali dei contribuenti, appellava innanzi alla Administratīvā apgabaltiesa (Corte amministrativa regionale lettone) anche la suddetta pronuncia.

Ebbene, il Giudice del rinvio adito sottoponeva la questione alla Corte di Giustizia Europea ritenendo necessario sospendere il procedimento per risolvere alcune questioni pregiudiziali, tra cui:

• l’applicabilità della normativa europea in ambito privacy alle richieste di informazioni e dati personali formulate dall’amministrazione tributaria nazionale;
• i limiti attuabili a tali richieste, con riferimento alla quantità dei dati personali e alla durata del trattamento.

LA PRONUNCIA DELLA CORTE DI GIUSTIZIA

Applicabilità del GDPR al fisco nazionale

Nella sentenza in esame, la Corte di Giustizia ha chiarito, in primis, la soggezione delle amministrazioni tributarie nazionali dei paesi membri ai dettami del GDPR, precisando, altresì, come le stesse risultino vincolate al rispetto dei principi stabiliti in dall’art. 5 in tema di liceità del trattamento.

Di grande interesse l’iter decisionale seguito dalla Corte di Giustizia Europea nonché le motivazioni sottese alla conclusione di cui sopra, di seguito riportate:

1. dalla lettura combinata dell’art. 4, punto 1) e del Considerando 26 del GDPR, << […] è pacifico che le informazioni, di cui l’amministrazione tributaria lettone ha richiesto la comunicazione, costituiscono dati personali>>;
2. la richiesta dell’Amministrazione tributaria lettone, rivolta a un operatore economico, finalizzata a ottenere dati personali che quest’ultimo è tenuto a fornire e a mettere a sua disposizione ai sensi della normativa nazionale, << […] avvia un processo di raccolta di tali dati, ai sensi dell’articolo 4, punto 2, del regolamento 2016/679>>;
3. la comunicazione e la messa a disposizione dei suddetti dati personali dei contribuenti << […] comportano un trattamento ai sensi dell’articolo 4, punto 2>>;
4. non può escludersi l’applicabilità dei principi del GDPR poiché, dalla lettura combinata dell’art. 2, par. 2, lett. d) del GDPR, del Considerando 19 del GDPR, dell’art. 3, punto 7 della Dir. (UE) 2016/680 e del Considerando 10 della Dir. (UE) 2016/680, emerge come il Fisco nazionale che <<richiede […] dati personali relativi a taluni contribuenti ai fini della riscossione delle imposte e della lotta all’evasione fiscale non possa essere considerata un’autorità competente  ai sensi dell’articolo 3, punto 7, della direttiva 2016/680>>;
5. non è precisato se tali dati siano stati raccolti <<con lo scopo specifico di esercitare tale azione penale o nell’ambito di attività dello Stato in materia di diritto penale>>.

Onere della prova

Alla luce di tali considerazioni, la Corte ha poi stabilito che l’onere della prova in meritoal rispetto del principio di proporzionalità fra la quantità di dati personali da trattare, la durata del trattamento e quanto strettamente necessario al raggiungimento della finalità dichiarata, è posto in capo all’amministrazione finanziaria nazionale. A tal proposito, la Corte ha precisate che il Fisco <<anche quando agisce nel contesto del compito di interesse pubblico di cui investito, non può raccogliere dati personali in modo generalizzato e indiscriminato e deve astenersi dal raccogliere dati che non siano strettamente necessari rispetto alle finalità del trattamento>>.

Alla base di tale affermazione, la Corte di Giustizia pone le seguenti ragioni:

1. il Fisco nazionale non può derogare alle disposizioni dell’art. 5 del GDPR in assenza di una base giuridica chiara e precisa che consente la limitazione del diritto al rispetto della vita privata e del diritto alla protezione dei dati di carattere personale (artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea);
2. la base giuridica della richiesta dei dati personali dei contribuenti da parte del Fisco nazionale <<deve definire […] la portata della limitazione dell’esercizio del diritto considerato>> mettendo le persone che vi sono sottoposte nelle condizioni di <<individuare le circostanze e le condizioni in cui può essere limitata la portata dei diritti conferiti loro dal suddetto regolamento>>;
3. conformemente al principio di responsabilizzazione di cui all’articolo 5, paragrafo 2, del GDPR spetta al Fisco lettone dimostrare di essersi adoperata, in ossequio al principio di minimizzazione dei dati, per ridurre al minimo possibile:
4. la quantità di dati personali da raccogliere;
5. il periodo oggetto della raccolta, che non può superare la durata strettamente necessaria per raggiungere l’obiettivo di interesse generale perseguito.

La Corte di Giustizia Europea, dopo aver affrontato tutte le questioni sopra esaminate, ha concluso chiarendo che le disposizioni del Regolamento UE 2016/679 non ostano a che l’amministrazione tributaria di uno Stato membro richieda informazioni e dati personali relative ai contribuenti, purché tali dati siano necessari rispetto alle specifiche finalità per le quali sono raccolti e il periodo oggetto del trattamento non oltrepassi la durata strettamente necessaria per raggiungere l’obiettivo di interesse generale perseguito.