Valentina Lazzaro 165205 DIRITTI E LIBERTA’ IN RETE:PRIVACY 4.3. Pubblicazione di dati fiscali in Rete Garante per la protezione dei dati personali, provv. 6 maggio 2008 Prima di relazionare in merito al provvedimento del Garante per la protezione dei dati personali, vorrei chiarire brevemente cosa si intende per dati personali, trattamento di questi e diritto alla privacy in rete. I dati personali sono informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica ecc. Particolarmente importanti sono: i dati identificativi ,cioè quelli che permettono l'identificazione diretta, come i dati anagrafici e le immagini; i dati sensibili, ossia quelli che possono rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale, e i dati giudiziari, ovvero quelli che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Con l’espressione “trattamento dei dati personali“, invece, si intende ogni operazione compiuta, manualmente o con strumenti elettronici, sui dati personali di un individuo. Ad esempio: la raccolta, la conservazione, l'elaborazione, la modifica, il collegamento e il confronto, la comunicazione e la diffusione a terzi, la cancellazione e la distruzione (art. 4, comma 1, lettera a), del Codice in materia di protezione dei dati personali dlgs196/03). I soggetti che procedono al trattamento dei dati personali altrui devono adottare particolari misure per garantire il corretto e sicuro utilizzo dei dati e informare i soggetti sul concreto utilizzo delle informazioni che li riguardano. Per diritto alla privacy si intende il “diritto di tenere segreti aspetti, comportamenti e atti relativi alla sfera intima della persona”. Contemplato alla fine dell’Ottocento dalla dottrina statunitense, questo diritto con il passare degli anni ha rivelato una natura multiforme, capace di modellarsi in relazione all’evoluzione dei costumi ed al progresso tecnologico. Viene riconosciuto come diritto fondamentale nelle convenzioni internazionali in materia di diritti umani :art.12 della Dichiarazione Universale dei Diritti dell’Uomo, del 1948, art.8 della Convenzione Europea per la salvaguardia dei Diritti dell’Uomo e delle Libertà fondamentali, del 1950, art.1 della Dichiarazione dei Diritti dell’Uomo in relazione ai mezzi di comunicazione di massa, del 1970. Sotto la spinta del progresso informatico, il concetto di “privacy” si è esteso comprendendo più diritti da tutelare: il diritto ad essere lasciati in pace, anche all’interno delle formazioni sociali e in rete attraverso, ad esempio, la separazione e la scelta dei contatti; il diritto all’intimità tra due o più persone, tramite confidenzialità di e-mail ed altre forme di comunicazione; il diritto all’anonimato in rete; il diritto alla personalità delle decisioni; il diritto dell’individuo di limitare e controllare la raccolta, la registrazione e l’utilizzazione (soprattutto da parte di terzi) dei dati a carattere personale e il diritto all’oblio, cioè alla cancellazione nel web delle informazioni di natura privata. Al fine di garantire il controllo dei dati personali a livello europeo sono state prese varie iniziative: l’Unione Europea ha emanato la Direttiva 95/46, il Consiglio d’Europa la Convenzione Dati 1981 mentre i singoli Stati europei si sono attivati con altre disposizioni in materia. Tuttavia lo sviluppo esponenziale dei mezzi di comunicazione telematica e, in particolare, della rete mondiale Internet, ha messo in crisi gli strumenti normativi, approntati a livello nazionale e internazionale per tutelare il trattamento dei dati personali. Le nuove tecnologie informatiche applicate alla Rete permettono con estrema facilità l’acquisizione e l’elaborazione di una grande quantità di dati concernenti gli individui; ne consentono un’utilizzazione qualitativamente diversa rispetto i tradizionali strumenti di comunicazione tanto da rendere inaccettabile qualsiasi analogia con essi soprattutto perché chi può accedere ai dati in rete è un’ utenza di dimensione globale e non facilmente identificabile. Ciò comporta delle conseguenze rilevanti sulla sfera giuridica del soggetto al quale le notizie si riferiscono, non riscontrabile nei tradizionali mass media. L’accesso alla rete è aperto a tutti e, attraverso semplici procedure, mancando efficaci sistemi di controllo, l’utilizzo delle informazioni presenti può avvenire non solo per fini leciti di informazione; infatti lo stesso tipo d’indagine (peraltro legittima, effettuata con strumenti ordinari di ricerca, senza compiere alcuna criminale forzatura dei sistemi informatici altrui) potrebbe essere compiuta per fini meno commendevoli. Ecco che lo sviluppo delle rete porta con sé la necessità di individuare nuove forme di tutela in relazione alla privacy, poiché si verificano sempre più spesso invadenti episodi di intrusione nella vita privata e gli individui colpiti non sono sempre consapevoli di ciò e gli stessi Stati non sono in grado di fronteggiare adeguatamente questo fenomeno in continua evoluzione. Con il provvedimento del Direttore dell’Agenzia delle entrate del 5 marzo 2008 sono stati distribuiti gli elenchi nominativi dei contribuenti , che hanno presentato le dichiarazioni ai fini dell'imposta sui redditi e dell'imposta sul valore aggiunto nel 2005, ai predetti uffici dell'Agenzia e trasmessi ai Comuni mediante sistemi telematici e altresì pubblicati nell'apposita sezione del sito Internet dell'Agenzia http://www.agenziaentrate.gov.it. Il Garante per la protezione dei dati personali con il provvedimento del 30 aprile 2008, appena avuta notizia di tale diffusione in Internet, avendo ritenuto, sulla base di una verifica preliminare, che essa non risultava conforme alla normativa di settore, ha invitato con urgenza l'Agenzia a sospenderla e a fornire ulteriori chiarimenti in merito. Dopo aver esaminato tutta la documentazione pervenuta e gli elementi acquisiti nell'istruttoria preliminare, ha concluso che la diffusione di tale tipo di informazioni in Internet costituisce fatto illecito. La pubblicazione in internet contrasta, in primo luogo, con la normativa riguardante la pubblicazione degli elenchi dei contribuenti, nello specifico con gli art. 69 D.p.r. 600/1973 e art. 66-bis DPR 633-197. Questi prevedono che gli elenchi formati annualmente siano depositati per un anno, ai fini della consultazione da parte di chiunque, presso i Comuni interessati e gli uffici dell'Agenzia competenti territorialmente. Il cittadino che vuole prendere visione della dichiarazione dei redditi di un contribuente residente nel territorio deve, quindi, recarsi negli appostiti uffici presso l’agenzia o il comune e , dopo essersi identificato, può consultare i dati di un soggetto senza il pagamento dei tributi speciali di cui al decreto del Presidente della Repubblica 26 ottobre 1972, n. 648. La stessa disciplina legislativa sancisce che se la comunicazione o diffusione, totale o parziale, con qualsiasi mezzo, degli elenchi o di dati personali ivi contenuti, non avviene secondo le modalità consentite e non costituisce reato, è punita con la sanzione amministrativa del pagamento di una somma che varia da cinquemila a trentamila euro. Tuttavia tale importo può essere aumentato sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore. Con il provvedimento il Direttore dell’Agenzia delle entrate può stabilire solo "i termini e le modalità" per la formazione degli elenchi in quanto la conoscibilità di questi è regolata direttamente da disposizione di legge che prevede, quale unica modalità di diffusione, la distribuzione di tali elenchi ai soli uffici territorialmente competenti dell'Agenzia e la loro trasmissione, anche mediante supporti magnetici ovvero sistemi telematici, ai soli Comuni interessati. L’Agenzia delle entrate invoca, a sostegno della propria scelta, il Codice dell’amministrazione digitale il quale incentiva l'uso delle tecnologie dell'informazione e della comunicazione nell'utilizzo dei dati delle pubbliche amministrazioni ma ciò deve avvenire sempre nel rispetto dei limiti alla conoscibilità dei dati previsti da leggi e regolamenti, nonché dalle norme e garanzie in tema di protezione dei dati personali. Nel provvedimento del Garante non solo si sottolinea che la messa in circolazione in Internet dei dati è carente di una base giuridica e disposta senza metterne a conoscenza previamente l’autorità competente, ma anche che ha comportato una modalità di diffusione sproporzionata in rapporto alle finalità per le quali l'attuale disciplina prevede una relativa trasparenza. La proporzionalità viene assunta come criterio fondamentale all’interno del bilanciamento di interessi contrastanti. Nel caso in questione, essi riguardano da una parte il diritto all’informazione, la trasparenza nell’ambito della pubblica amministrazione e la lotta contro l’evasione fiscale e dall’altra il diritto alla riservatezza e alla tutela dei dati personali, soprattutto di quelli sensibili. Si tratta di diritti fondamentali riconosciuti in ambito nazionale e internazionale ma, non essendo diritti assoluti, bisogna valutare quale diritto prevale al seguito di un bilanciamento nel singolo caso concreto. La Corte di giustizia della comunità europea nella causa C-101/01 ha affermato che la signora Lindqvist, creando una pagina che conteneva informazioni sui colleghi della parrocchia, ha leso il loro diritto alla riservatezza, poiché ha pubblicato dati personali come ad esempio la loro situazione famigliare, il recapito telefonico e in un caso, anche un dato sensibile di una parrocchiana (la sua lesione al piede). In questo caso specifico si è fatto prevalere il diritto alla privacy sul diritto alla libertà di espressione e informazione tutelato all’art. 21 della nostra Cost e all’art. 10 della Cedu. Invece nel primo caso sottoposto alla stessa Corte concernente un giocatore di calcio che si lamentava della pubblicazione in internet delle notizie riguardanti un suo infortunio in campo si è affermato che il diritto del pubblico all’informazione prevale sul diritto alla riservatezza del giocatore visto che il soggetto in questione, dato il lavoro svolto, è da considerarsi personaggio pubblico. Invece nel caso Google-Spain, in cui la notizia relativa al pignoramento di beni immobili per la riscossione coattiva di crediti previdenziali risultava immediatamente dalla digitalizzazione su “Google Search” del nome del sig. Costeja Gonzales, un comune cittadino, comportando una lesione della sua sfera giuridica, la Corte si è pronunciata favorevole al riconoscimento del diritto all’oblio dell’informazione pregiudizievole a suo carico. Tuttavia è stato precisato che se la parte offesa fosse stata un personaggio pubblico la diffusione della stessa notizia non sarebbe stata trattata nello stesso modo di un privato cittadino in quanto sarebbe comunque prevalso il diritto del pubblico all’informazione. Emerge quindi che nella decisione della Corte in merito alle conseguenze lesive personali derivanti dalla diffusione in rete di dati privati, incide notevolmente il ruolo sociale della parte offesa(personaggio pubblico/comune cittadino). Anche se la tipologia dell’informazione diffusa nel web è la medesima, questa non è una condizione sufficiente per avvalersi del diritto all’oblio. Infatti per lo stesso motivo è ritenuta lecita per esempio anche la pubblicazione in rete delle dichiarazioni dei redditi di soggetti pubblici mentre è considerato illecito se riguarda tutti gli altri contribuenti. Per quanto riguarda la diffusione delle dichiarazioni dei redditi dei contribuenti italiani, il Direttore dell’Agenzia delle entrate diffondendole in rete, all’insaputa dei cittadini, non solo ha violato l’obbligo di informativa previsto dalla legge ma anche ha reso questi dati consultabili da chiunque a livello globale senza rispettare il limite territoriale previsto dalla normativa. Sebbene gli elenchi nominativi dei soggetti che hanno presentato le dichiarazioni ai fini dell'imposta sui redditi e dell'imposta sul valore aggiunto nel 2005 siano rimasti pubblicati on-line per un lasso di tempo ristretto, l’Agenzia, non prevedendo filtri nella consultazione on-line, ha reso possibile a numerosi utenti di salvare una copia degli elenchi con funzioni di trasferimento file. Già nel ristretto numero di ore è stato possibile accedere ad innumerevoli dati di tutti i contribuenti, di estrarne copia, di formare archivi, di modificare ed elaborare gli stessi, di creare liste di profilazione e di immettere tali informazioni in ulteriore circolazione in rete nonchè in alcuni casi in vendita. La pubblicazione ha reso facile agli utenti del web di impossessarsi dei dati, di diffonderli, di modificarli e talvolta venderli creando un mercato nero delle dichiarazioni reddituali. La pubblicazione non filtrata in internet ha portato alla cosiddetta “caccia alle streghe” sia per individuare gli evasori fiscali sia per fini meno commendevoli, in quanto ha potuto facilmente consentire a qualche soggetto male intenzionato l’identificazione delle vittime di furti più appetibili e la messa in vendita dei dati di queste. Infatti in rete sempre con maggior frequenza si verificano fenomeni di "ID theves" o ladri di identità. Si tratta di criminali che riescono a procurarsi tutti i dati personali di un individuo tramite il web (numeri di conto corrente, carta di credito e ogni elemento che possa identificare una persona), per assumerne l'identità nei confronti di banche, assicurazioni, negozi e chiedere prestiti o mutui, contrarre debiti e fare acquisti impunemente. Bisogna sottolineare che la ratio dell’Agenzia delle entrate attraverso la pubblicazione online è stata certamente quella di arginare il fenomeno, purtroppo molto diffuso nella nostra società, dell’evasione fiscale che rappresenta una piaga ben radicata nel nostro paese. L’ obbiettivo era garantire maggiore trasparenza, economicità e razionalizzazione nell’utilizzo dei dati fiscali e nella loro diffusione. Certamente la pubblicazione in internet contribuisce ad alleggerire, anche, il carico di lavoro dei dipendenti della pubblica amministrazione, ossia degli impiegati dell’agenzia e del comune a cui bisogna rivolgersi per poter visionare le dichiarazioni dei redditi. A sostegno della scelta della visibilità in internet dei dati fiscali ci sono studi che hanno sottolineato come la diffusione a portata di tutti delle dichiarazioni dei contribuenti spinge i soggetti a un cambiamento nel comportamento. Attraverso un controllo diffuso e il rischio di poter essere segnalati alla guardia di finanza, i contribuenti saranno spinti per “moral solution” a dichiarare qualcosa di più vicino alla realtà, ossia ad essere meno evasori ma non ad evitarlo. Nonostante l’obiettivo meritevole dell’Agenzia, i dati pubblicati si riferivano alle dichiarazioni dei redditi presentate dai contribuenti nell’anno 2005: si trattava di dati vecchi, non aggiornati, in quanto l’anno di pubblicazione del provvedimento è il 2008. La Corte di giustizia nella sentenza Google-Spain, nel decidere riguardo la sussistenza del diritto all’oblio, afferma che si ha legittimo trattamento dei dati personali pubblicati in rete quando questi seguono i criteri della pubblica utilità, proporzionalità, qualità, coerenza, completezza e sono aggiornati. Tutte queste qualità non sono presenti nei dati personali pubblicati dall’Agenzia delle entrate. Infatti dalla dichiarazione dei redditi è possibile venire a conoscenza di quanto il soggetto ha guadagnato nel 2005 e dei dati registrati nell’elenco, ma non si può sapere se ha avuto problemi, ad esempio, di salute per cui ha lavorato meno e al contempo ha avuto più spese impreviste e detrazioni. Un esempio riportato a lezione è quello del soggetto che vede il vicino di casa con una lussuosa automobile parcheggiata in garage e leggendo la dichiarazione del proprietario è convinto che sia un evasore .Invece i suoi dati, essendo risalenti a tre anni prima, non sono né aggiornati e neanche completi ma danno solo un’immagine, una fotografia sfuocata della sua situazione reddituale e la stessa cosa vale anche per gli altri contribuenti. Le informazioni inerenti le dichiarazioni dei redditi prima del provvedimento dell’Agenzia delle entrate erano già liberamente accessibili dai singoli presso gli uffici appositi in quanto soggette a una pubblicità filtrata dall’identificazione di coloro che richiedevano la visione dei dati. Inoltre, l’onere di rivolgersi direttamente all’ Agenzia o al comune per prendere visione dei dati di un conoscente contribuiva probabilmente a distogliere gli interessati dal conoscere le dichiarazioni di un residente nel territorio tanto che non si verificava un’uscita di informazioni di rilievo come, invece, è accaduto con la diffusione dei dati in internet. Quello che risulta fra le due modalità di rendere visibili gli stessi dati è che c’è una differenza di conoscibilità dell’informazione e l’opinione pubblica tollera la divulgazione attraverso i tradizionali strumenti riconosciuti dalla legge ma non quella in rete. Si tratta di forme diverse di comunicazione che non possono essere accomunate da analogia a causa dell’enorme cassa di risonanza che deriva dalla pubblicazione in rete e dalla forte incidenza che ciò ha sulla sfera giuridica del soggetto a cui l’informazione si riferisce. Nel momento che determinate notizie vengono immesse in internet, queste circolano più velocemente e in modo più diffuso tanto da poter essere potenzialmente conoscibili in tutto il mondo da parte di un gran numero indefinito di persone in brevissimo tempo se non addirittura in tempo reale. La pubblicazione degli elenchi nominativi dei contribuenti che hanno presentato le dichiarazioni ai fini dell'imposta sui redditi e dell'imposta sul valore aggiunto nel 2005 con le dovute distinzioni del caso, può essere confrontata con la Megan law. Quest’ultima è una legge attualmente adottata in 50 Stati degli Stati Uniti d’America che prevede il sistema di registrazione obbligatoria dei condannati per stupro sui bambini e consente a tutti i genitori preoccupati, che hanno visto arrivare nei dintorni della loro abitazione un nuovo vicino sospetto, di consultare su Internet il registro dei soggetti pericolosi, distinti in tre livelli di rischio in base alla loro pericolosità. I soggetti condannati e, in alcuni casi, anche solo denunciati per i reati di violenza sessuale, sono sottoposti all’ obbligo di registrarsi presso la polizia non appena cambiano residenza. Questa legge è stata emanata in seguito alla scomparsa, il 29 luglio 1994, nella cittadina di Hamilton, nel New Jersey, della piccola Megan, una bambina di sette anni, la quale, non fece più ritorno a casa e poi fu trovata straziata ed uccisa. Accanto al sito ufficiale appartenente alla polizia dei singoli stati, esistono anche siti privati che permettono di localizzare soggetti denunciati o condannati per reati sessuali, stupro e pedofilia presenti in un determinato quartiere, indicando la via di residenza, il luogo di lavoro e posti generalmente frequentati in modo tale da garantire che i genitori possano controllare quali sono i luoghi più sicuri per i propri figli. La ratio della disciplina consiste nell’identificare con facilità i soggetti autori di un reato particolarmente efferato, quale la pedofilia e lo stupro ,cha ha un alto tasso di recidività. Emerge che le due diverse discipline, il provvedimento dell’agenzia delle entrate e la Megan law, condividono l’obiettivo consistente nel disincentivare il compimento dei reati a cui si riferiscono rispettivamente ma al contempo presentano anche gli stessi effetti negativi. Infatti la pubblicazione in rete consente facilmente l’individuazione degli autori del reato da parte di soggetti altrettanto pericolosi, i cosiddetti lupi solitari, “lone wolf”, i quali potrebbero dare origine a una vera e propria caccia alle streghe, punendo loro stessi i soggetti e facendosi giustizia da soli. Certamente le due diverse fattispecie dimostrano come l’effetto della pubblicazione in rete, assicurando un controllo diffuso, ha effetti nettamente diversi e più dirompenti rispetto alla detenzione delle stesse informazioni in appositi uffici adibiti al rilascio degli stessi dati, rendendo fortemente criticabile ed erroneo qualsiasi analogia tra i tradizionali metodi di comunicazione e diffusione e internet. Per quanto concerne il provvedimento del Garante per la protezione dei dati personali, mi trovo pienamente d’accordo con la scelta di dichiarare illecita la pubblicazione in internet delle dichiarazioni dei redditi e con le motivazioni riportate a sostegno della decisione. Internet è una realtà composita e policentrica, in cui un’efficiente tutela della privacy può essere garantita soltanto se si riconosce l'esistenza di un vero e proprio diritto, che affonda le proprie radici nei Trattati internazionali (Dichiarazione universale dei diritti dell'uomo, Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali) ed al tempo stesso se si intensificano gli interventi normativi ( sia di tipo istituzionale, sia di tipo spontaneo, quali i codici di autoregolamentazione) in materia di tutela del trattamento dei dati personali. Sino a quando il traffico in rete si svolge esclusivamente all’interno di uno Stato, è ovvio che si applicano le norme nazionali concernenti la protezione dati di quello Stato, come nel caso concreto analizzato. Il problema diviene di difficile soluzione quando, come nella quasi totalità dei casi, la trasmissione dei dati avviene (anche inconsapevolmente) utilizzando dei server collocati in luoghi diversi rispetto al paese in cui si sta navigando in rete. In questo modo vengono messi in crisi taluni concetti enunciati dalla normativa internazionale e nazionale, relativi alla protezione dati, come quelli di responsabile del trattamento, di trasferimento dei dati all’estero, del soggetto cui inviare l’informativa circa l’elaborazione dei dati ecc. È necessario che la regolamentazione di origine statale si combini con l'autoregolamentazione dei servizi comunicativi e si attivi in materia una cooperazione internazionale tra gli Stati. Importante può risultare anche l'elaborazione di codici di autodisciplina, informali e in grado di essere aggiornati immediatamente, come ad esempio “netiquette guide lines” del 1995,la quale attualmente risulta decisamente superata in quanto manca dell’ultimo requisito. Per rendere Internet un luogo più sicuro in tutti i suoi aspetti, e soprattutto per quanto riguarda la tutela dei dati personal, risulta necessario e non più rinviabile un intervento che porti ordine nella circolazione delle informazioni all'interno della Rete.