Gazzetta n. 152 del 1 luglio 2022 (vai al sommario)
MINISTERO DELL'ECONOMIA E DELLE FINANZE
DECRETO 28 giugno 2022
Attuazione dell'articolo 1, comma 683, della legge 27 dicembre 2019, n. 160, relativo al trattamento dei dati contenuti nell'archivio dei rapporti finanziari di cui al comma 682 del medesimo articolo 1.



IL MINISTRO DELL'ECONOMIA
E DELLE FINANZE

Visto l'art. 1, comma 683, della legge 27 dicembre 2019, n. 160, (legge di bilancio per l'anno 2020) il quale prevede che, nel rispetto delle disposizioni di cui all'art. 2-undecies, comma 3, del codice di cui al decreto legislativo 30 giugno 2003, n. 196, nonche' dell'art. 23, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, considerati i principi di necessita' e di proporzionalita', limitatamente al trattamento dei dati contenuti nell'archivio dei rapporti finanziari di cui al comma 682 del medesimo art. 1, con decreto del Ministro dell'economia e delle finanze, sentiti il Garante per la protezione dei dati personali e l'Agenzia delle entrate, siano definite: a) le specifiche limitazioni e le modalita' di esercizio dei diritti di cui agli articoli 14, 15, 17, 18 e 21 del regolamento (UE) 2016/679, in modo da assicurare che tale esercizio non possa arrecare un pregiudizio effettivo e concreto all'obiettivo di interesse pubblico; b) le disposizioni specifiche relative al contenuto minimo essenziale di cui all'art. 23, paragrafo 2, del regolamento (UE) 2016/679; c) le misure adeguate a tutela dei diritti e delle liberta' degli interessati;
Visto l'art. 1, comma 682, della legge 27 dicembre 2019, n. 160, il quale prevede che per le attivita' di analisi del rischio di cui all'art. 11, comma 4, del decreto-legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214, con riferimento all'utilizzo dei dati contenuti nell'archivio dei rapporti finanziari, di cui all'art. 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605, e all'art. 11, comma 2, del decreto-legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214, l'Agenzia delle entrate, anche previa pseudonimizzazione dei dati personali, si avvale delle tecnologie, delle elaborazioni e delle interconnessioni con le altre banche dati di cui dispone, allo scopo di individuare i criteri di rischio utili per far emergere le posizioni da sottoporre a controllo e incentivare l'adempimento spontaneo;
Visto l'art. 1, comma 686, della legge 27 dicembre 2019, n. 160, il quale prevede che, per le stesse finalita' di cui al comma 682, la Guardia di finanza utilizza i dati contenuti nell'Archivio dei rapporti finanziari con le medesime modalita' disciplinate dai commi da 681 a 685, avvalendosi delle tecnologie, delle elaborazioni e delle interconnessioni con le altre banche dati di cui e' titolare;
Visto l'art. 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605;
Visto l'art. 11, comma 2, del decreto-legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214;
Visto l'art. 11, comma 4, del decreto-legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, che disciplina la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' la libera circolazione di tali dati e abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), ed in particolare, gli articoli 14, 15, 17, 18, 21 e 23, paragrafo 2;
Visto l'art. 2-undecies, comma 1, lettera f-bis) e comma 3, del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), come modificato dall'art. 1, comma 682, della legge 27 dicembre 2019, n. 160, concernente le limitazioni ai diritti dell'interessato;
Considerata l'esigenza di assicurare che l'obbligo di fornire all'interessato le informazioni ai sensi dell'art. 14 («Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l'interessato»), nonche' l'esercizio dei diritti di cui agli articoli 15 («Diritto di accesso dell'interessato»), 17 («Diritto alla cancellazione («diritto all'oblio»)»), 18 («Diritto di limitazione di trattamento») e 21 («Diritto di opposizione») del regolamento (UE) n. 2016/679 non arrechino un pregiudizio effettivo e concreto all'obiettivo di interesse pubblico di prevenzione e contrasto all'evasione fiscale;
Considerata la necessita' di individuare disposizioni specifiche relative al contenuto minimo essenziale di cui all'art. 23, paragrafo 2, del regolamento (UE) 2016/679, adottando misure adeguate a tutela dei diritti e delle liberta' degli interessati;
Sentiti il Garante per la protezione dei dati personali e l'Agenzia delle entrate;

Decreta:

Art. 1

Definizioni

1. Ai fini del presente decreto si intendono per:
a) Agenzia: l'Agenzia delle entrate;
b) Operatori finanziari: le banche, la societa' Poste italiane Spa, gli intermediari finanziari, le imprese di investimento, gli organismi di investimento collettivo del risparmio, le societa' di gestione del risparmio, nonche' ogni altro soggetto che pone in essere rapporti a contenuto finanziario tenuto agli obblighi di cui all'art. 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605 e di cui all'art. 11, commi 2 e 4, del decreto-legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214;
c) Anagrafe tributaria: l'archivio di cui al decreto del Presidente della Repubblica 29 settembre 1973, n. 605, che raccoglie e ordina su scala nazionale i dati e le notizie risultanti dalle dichiarazioni e dalle denunce presentate agli uffici dell'amministrazione finanziaria e dai relativi accertamenti, nonche' i dati e le notizie che possono comunque assumere rilevanza ai fini tributari;
d) Archivio dei rapporti finanziari: l'apposita sezione dell'Anagrafe tributaria di cui all'art. 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605, in cui sono archiviati i dati anagrafici dei titolari e dei soggetti che intrattengono con gli operatori finanziari qualsiasi rapporto o effettuano operazioni al di fuori di un rapporto continuativo per conto proprio ovvero per conto o a nome di terzi, compreso il codice fiscale, nonche', ai sensi dell'art. 11, commi 2 e 3, del decreto-legge 6 dicembre 2011, n. 211, i totali di dare e avere delle movimentazioni che hanno interessato i rapporti di cui all'art. 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605, e ogni informazione relativa ai predetti rapporti necessaria ai fini dei controlli fiscali, ivi inclusi il saldo iniziale e finale ed il valore medio di giacenza annuo di depositi e conti correnti bancari e postali;
e) Dato personale: ai sensi dell'art. 4, paragrafo 1, n. 1, del regolamento (UE) n. 2016/679, qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente;
f) Dataset di analisi: insieme dei dati selezionati ai fini di cui all'art. 1, commi da 682 a 686, della legge 27 dicembre 2019, n. 160, per verificare, applicando tecniche e modelli di analisi coerenti con i criteri di rischio prescelti, la presenza di rischi fiscali;
g) Dataset di controllo: insieme delle posizioni fiscali dei contribuenti, caratterizzate dalla ricorrenza di uno o piu' rischi fiscali, nei confronti dei quali potranno essere avviate le attivita' di controllo ovvero le attivita' volte a stimolare l'adempimento spontaneo;
h) Rischio fiscale: il rischio di comportamenti attuati in violazione di norme di natura tributaria ovvero in contrasto con i principi o con le finalita' dell'ordinamento tributario;
i) Indicatore di rischio desunto o derivato: risultato di un processo di profilazione finalizzato a ottenere ulteriori caratterizzazioni dei contribuenti presenti nel dataset di controllo, utilizzato esclusivamente nell'ambito del trattamento di cui all'art. 1, commi da 682 a 686, della legge 27 dicembre 2019, n. 160;
j) Interessato: ai sensi dell'art. 4, paragrafo 1, n. 1, del regolamento (UE) n. 2016/679, la persona fisica identificata o identificabile cui si riferiscono i dati oggetto di trattamento;
k) Trattamento: ai sensi dell'art. 4, paragrafo 1, n. 2), del regolamento (UE) n. 2016/679, qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali;
l) Pseudonimizzazione: ai sensi dell'art. 4, paragrafo 1, n. 5, del regolamento (UE) n. 2016/679, il trattamento effettuato in modo tale che i dati personali non possano piu' essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
m) Titolari del trattamento: l'Agenzia delle entrate e la Guardia di finanza;
n) Banche dati: gli archivi dei dati nella disponibilita' dell'Agenzia delle entrate e quelli di cui e' titolare la Guardia di finanza, richiamati, rispettivamente, dall'art. 1, comma 682 e comma 686, della legge 27 dicembre 2019, n. 160;
o) Dati: i dati presenti nell'archivio dei rapporti finanziari e nelle altre banche dati richiamate dall'art. 1, commi 682 e 686, della legge 27 dicembre 2019, n. 160;
p) Regolamento: il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.
 
Art. 2

Ambito di applicazione

1. Il presente decreto individua, ai sensi dell'art. 1, comma 683, della legge 27 dicembre 2019, n. 160:
a) le disposizioni specifiche relative al contenuto minimo essenziale di cui all'art. 23, paragrafo 2, del regolamento;
b) le limitazioni relative alla portata degli obblighi e dei diritti di cui agli articoli 15, 17, 18 e 21 del regolamento, nonche' le relative modalita' di esercizio, nel rispetto dei diritti e delle liberta' fondamentali degli interessati;
c) le misure adeguate a tutela dei diritti e delle liberta' degli interessati, incluse le misure di sicurezza, i controlli sulla qualita' dei dati e sulle elaborazioni logiche utilizzate, nonche' le misure volte a ridurre il rischio di erronea rappresentazione della capacita' contributiva.
 
Art. 3

Disposizioni specifiche relative al trattamento

1. Le limitazioni della portata degli obblighi e dei diritti di cui agli articoli 15, 17, 18 e 21 del regolamento sono disciplinate dal presente decreto nel rispetto dei limiti di cui all'art. 23, paragrafo 1, del regolamento medesimo, per il perseguimento delle finalita' di prevenzione e contrasto all'evasione e all'elusione fiscale, tramite l'individuazione dei criteri di rischio utili a far emergere posizioni da sottoporre a controllo da parte dell'Agenzia e della Guardia di finanza, e per incentivare l'adempimento spontaneo.
2. Per le finalita' di cui al comma 1 sono trattati dati personali comuni, contenuti nelle banche dati, relativi all'identita' anagrafica ed alla capacita' economica, tra cui dati riguardanti le dichiarazioni fiscali, il patrimonio mobiliare e immobiliare, dati contabili e finanziari, dati dei pagamenti, dei versamenti e delle compensazioni, nonche' i dati di profilazione relativi agli eventuali indicatori di rischio desunti o derivati attribuiti ai soggetti; non sono oggetto di trattamento nei dataset i dati di cui all'art. 9 del regolamento.
3. I dataset sono conservati fino al secondo anno successivo a quello in cui matura la decadenza della potesta' impositiva e, comunque, fino alla definizione di eventuali giudizi. Nel corso dei due anni successivi a quello in cui matura la decadenza della potesta' impositiva l'Agenzia e la Guardia di finanza adottano misure di garanzia adeguate ad escludere il trattamento dei dati contenuti nei dataset per finalita' diverse dall'esercizio del diritto di accesso.
4. Decorsi i periodi di conservazione di cui al comma 3, i dataset vengono cancellati, ferma restando la conservazione dei dati contenuti nelle banche dati dell'Agenzia secondo i criteri di conservazione stabiliti in relazione alle finalita' per le quali ciascun dato e' stato raccolto.
 
Art. 4
Limitazioni agli obblighi e ai diritti di cui agli articoli 15, 17,
18 e 21 del regolamento (UE) 2016/679

1. In relazione alle attivita' di analisi del rischio di cui all'art. 1, comma 682, della legge 27 dicembre 2019, n. 160, le limitazioni della portata degli obblighi e dei diritti di cui agli articoli 15, 18 e 21 del regolamento sono disciplinate ai sensi del presente articolo, per il tempo e nei limiti in cui cio' costituisca una misura necessaria e proporzionata in una societa' democratica, tenuto conto dei diritti fondamentali e dei legittimi interessi dell'interessato, in modo da assicurare che tale esercizio non arrechi un pregiudizio effettivo e concreto all'obiettivo di interesse pubblico perseguito.
2. Ai fini di cui al comma 1:
a) il diritto di accesso, previsto dall'art. 15, paragrafo 1, lettere a), b), c), e) e g) del regolamento, ivi incluso il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento, puo' essere esercitato:
1) per i contribuenti destinatari delle attivita' di stimolo all'adempimento spontaneo, a decorrere dal momento di ricezione degli inviti alla regolarizzazione della posizione fiscale;
2) per i contribuenti destinatari delle attivita' di controllo, a decorrere dalla data di consegna del processo verbale di constatazione, ovvero dalla notifica dell'atto istruttorio o del provvedimento impositivo;
3) per i contribuenti non destinatari delle attivita' di stimolo all'adempimento spontaneo e delle attivita' di controllo, a decorrere dal primo giorno successivo a quello in cui matura la decadenza della potesta' impositiva;
b) e' escluso l'esercizio del diritto, previsto dall'art. 18, paragrafo 1, lettere a) e d) del regolamento, di ottenere la limitazione del trattamento;
c) e' escluso l'esercizio del diritto, previsto dall'art. 21 del regolamento, di opporsi al trattamento.
3. Ai sensi dell'art. 2-undecies, comma 3, del decreto legislativo 30 giugno 2003, n. 196, nei casi di cui al comma 1, laddove ne ricorrano le condizioni, i diritti dell'interessato possono essere esercitati tramite il Garante per la protezione dei dati personali, con le modalita' di cui all'art. 160 dello stesso decreto legislativo 30 giugno 2003, n. 196.
4. Ai sensi dell'art. 23, paragrafo 2, lettera h), del regolamento sui siti internet dell'Agenzia delle entrate e della Guardia di finanza e' pubblicata un'informativa generale sulle limitazioni contemplate dal presente decreto per le finalita' di cui all'art. 1, comma 682, della legge 27 dicembre 2019, n. 160.
5. Ai sensi dell'art. 17, paragrafo 3, lettera b) del regolamento, non si applica il diritto alla cancellazione di cui al medesimo articolo, essendo il trattamento effettuato nell'esercizio dei pubblici poteri di cui e' investito il titolare del trattamento.
6. Fermo restando quanto previsto dai commi precedenti, resta salvo l'esercizio dei diritti dell'interessato in relazione ai dati presenti nelle banche dati dell'Agenzia sulla base delle disposizioni e in coerenza con le finalita' per le quali ciascun dato e' stato raccolto.
7. Resta altresi' fermo il diritto dell'interessato di ottenere la rettifica dei dati personali inesatti, in conformita' alla disciplina che regola la raccolta di ciascun dato.
 
Art. 5

Misure a tutela dei diritti e delle liberta' degli interessati

1. L'Agenzia e la Guardia di finanza, in qualita' di titolari del trattamento, trattano esclusivamente i dati personali indispensabili ed effettuano le operazioni di trattamento strettamente necessarie al raggiungimento delle finalita' di cui all'art. 1, comma 682, della legge 27 dicembre 2019, n. 160, nel rispetto dei principi di cui all'art. 5 del regolamento.
2. L'Agenzia e la Guardia di finanza adottano tutte le misure necessarie per escludere i dati personali inesatti o non aggiornati dai trattamenti conseguenti all'analisi del rischio fiscale.
3. L'Agenzia e la Guardia di finanza interconnettono le informazioni contenute nell'Archivio dei rapporti finanziari con le altre banche dati a loro disposizione avvalendosi di opportune tecnologie informatiche e applicando le metodologie piu' appropriate.
4. A tutela dei diritti e delle liberta' degli interessati, l'Agenzia e la Guardia di finanza adottano le misure di sicurezza tecniche e organizzative idonee a garantire la riservatezza, l'integrita', la disponibilita' dei dati e la sicurezza dei sistemi, nonche' quelle necessarie ad assicurare che i dati utilizzati siano attuali, coerenti, completi, tracciabili e ripristinabili, nel rispetto di quanto previsto dall'art. 32 del regolamento.
5. In particolare, l'Agenzia, anche per rafforzare le garanzie connesse al trattamento dei dati personali, effettua le elaborazioni finalizzate a far emergere le posizioni da sottoporre a controllo su dati preventivamente pseudonimizzati, attraverso metodi di sostituzione o modifica delle informazioni anagrafiche ovvero tramite perturbazioni delle variabili, al fine di impedire, in presenza di dati finanziari, l'identificazione diretta degli interessati. L'affidabilita' e l'accuratezza del modello di analisi e dei criteri di rischio utilizzati sono testati per fare in modo che all'esito delle analisi siano limitati i rischi di ingerenze nei confronti dei contribuenti che non presentano un rischio fiscale significativo e, comunque, siano limitati i rischi di erronea rappresentazione della capacita' contributiva. Negli atti e nei provvedimenti indirizzati ai contribuenti vengono sempre illustrati il rischio fiscale identificato e i dati che sono stati utilizzati per la sua individuazione. Nel processo di formazione dei dataset di analisi e controllo e' sempre garantito l'intervento umano. Gli indicatori di rischio desunti o derivati non vengono memorizzati in archivi o basi dati diversi dai data set di analisi e controllo e non sono utilizzati per finalita' diverse dall'analisi del rischio di cui all'art. 1, commi da 682 a 686, della legge 27 dicembre 2019, n. 160.
6. L'Agenzia delle entrate e la Guardia di finanza, a tutela dei soggetti minori di eta', garantiscono la cancellazione dei loro dati identificativi prima della definizione del dataset di controllo. Le attivita' istruttorie, nonche' quelle di stimolo all'adempimento spontaneo, saranno in ogni caso condotte esclusivamente nei confronti dei soggetti che esercitano le funzioni di rappresentanza legale.
7. Al fine di ridurre i rischi di accessi non autorizzati o non conformi alle finalita' di trattamento, l'accesso agli strumenti informatici di trattamento e' consentito ai soli soggetti specificatamente autorizzati, ai sensi dell'art. 29 del regolamento e dell'art. 2-quaterdecies del decreto legislativo 30 giugno 2003, n. 196, deputati a svolgere le attivita' di misurazione della qualita' dei dati e di analisi del rischio fiscale.
8. Il personale specificatamente autorizzato dal Titolare o dal Responsabile verifica, tramite controlli puntuali condotti su campioni rappresentativi della platea di riferimento, la corretta applicazione del modello di analisi e la coerenza degli esiti delle elaborazioni svolte in attuazione della metodologia adottata. I predetti controlli sono effettuati dagli operatori sia preliminarmente all'inserimento dei dati nelle liste di controllo, per le finalita' di verifica della corretta applicazione della metodologia e del modello di analisi adottati, sia successivamente per riscontrare l'accuratezza e la proficuita' dei risultati degli incroci effettuati in attuazione del modello di analisi e del criterio di rischio fiscale utilizzati.
9. Al fine di impedire che si verifichino trattamenti illeciti o violazioni dei dati personali ai sensi dell'art. 4, paragrafo 1, n. 12, del regolamento, l'Agenzia procede al controllo degli accessi ai dati e alle informazioni presenti nelle banche dati tramite misure idonee a verificare, anche a posteriori, le operazioni eseguite da ciascun soggetto autorizzato.
10. Ai fini di cui al presente articolo, l'Agenzia e la Guardia di finanza effettuano le valutazioni di impatto di cui all'art. 35 del regolamento, procedendo periodicamente al relativo aggiornamento e al loro riesame, sentito il Garante per la protezione dei dati personali, quando insorgono variazioni del rischio rappresentato dalle attivita' relative al trattamento.
11. Le disposizioni di cui ai commi 5, 7, 8 e 9 si applicano anche alla Guardia di finanza.
 
Art. 6
Accordo operativo tra Agenzia delle entrate e Guardia di finanza per
l'analisi del rischio di evasione

1. Per le finalita' di cui all'art. 1, comma 686, della legge 27 dicembre 2019, n. 160, i dati contenuti nell'archivio dei rapporti finanziari sono resi disponibili dall'Agenzia alla Guardia di finanza, che li utilizza avvalendosi delle tecnologie, delle elaborazioni e delle interconnessioni con le altre banche dati di cui e' titolare, nell'ambito di un accordo convenzionale che disciplini i termini, le modalita' di accesso a tale archivio, individuando le misure di sicurezza previste a tutela dei diritti e delle liberta' degli interessati.
Il presente decreto sara' pubblicato nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 28 giugno 2022

Il Ministro: Franco