Home  › Fisco e contabilità

Il trattamento dei dati ai fini tributari all'interno e all'esterno dell'ente

di Tommaso Ventre (*) - Rubrica a cura di Anutel

Il contemperamento dell'esigenza dell'ente pubblico di acquisire e gestire i dati necessari alla sua attività e del destinatario del trattamento di vedersi garantiti i diritti riconosciuti dal Gdpr trovano nel campo dei tributi un interessante punto di analisi che fornisce spunti di riflessione sulla corretta impostazione e gestione dei rapporti tra il titolare dei dati trattati e i soggetti che su quei dati effettuano elaborazioni per conto del titolare.
Se da un lato, infatti, è scontato che l'ente pubblico nell'esercizio della sua attività impositiva è sollevato dal rispetto di alcuni obblighi (preventiva informativa, diritto di accesso ai propri dati, diritto all'oblio) in ragione della finalità del trattamento effettuato, dall'altro non sempre lo stesso tratta i dati acquisiti con la dovuta cautela e assicura, anche al suo interno, la corretta gestione dei dati.

Il trattamento
È opportuno precisare come l'espressione usata dal legislatore «trattamento» comprenda qualunque manipolazione del dato, ivi compresa ogni attività informatica svolta. Un aspetto peculiare poi che lo riguarda è quando questo avvenga per il tramite di un processo decisionale automatizzato che faccia, ad esempio, anche una profilazione. In questo caso l'ente è tenuto a fornire al contribuente le informazioni significative che contengano la logica utilizzata e illustrino le conseguenze per l'interessato del trattamento, oltre alla necessità di acquisire il suo consenso esplicito, nei casi previsti. L'esatta conoscenza delle modalità di esecuzione delle attività rappresenta, quindi, la base di ogni ottemperanza al nuovo dettato normativo.
Alla luce dell'approccio del Gdpr, incentrato sull'aspetto sostanziale volto a garantire la privacy by default e by design, sarebbe interessante verificare quanti responsabili degli uffici finanziari abbiano acquisito la specifica autorizzazione del titolare del trattamento ai fini dell'applicazione della normativa (del sindaco) o dal responsabile per effettuare le operazioni di trattamento sui dati cui quotidianamente assolvono o ancor di più su quali basi sono gestiti gli affidamenti di attività di trattamento a soggetti terzi.

Attività in concessione e a supporto
Nell'ambito della gestione del trasferimento del successivo trattamento dei dati a opera di soggetti terzi è opportuno effettuare una distinzione sostanziale tra attività svolte in concessione e attività svolte a supporto. Dal momento che non di rado si assiste ad affidamenti a supporto effettuati a soggetti iscritti all'albo dei riscossori, la distinzione non deve essere effettuata tanto sulla base della qualitas del soggetto che svolge la prestazione, quanto piuttosto sulla base del rapporto contrattuale istaurato. Nel caso di una concessione avremo, infatti, la traslazione del potere impositivo sul soggetto affidatario che diventerà in forza del contratto sottoscritto anche responsabile del trattamento e, quindi, dovrà applicare le disposizioni concernenti la privacy come l'ente pubblico. Nel caso in cui, invece, le attività siano svolte a supporto, sarà necessario ricostruire tutta la filiera per arrivare alla nomina del soggetto che effettua il trattamento come responsabile dello stesso. Il che comporta che nell'ambito anche delle informative rese al contribuente bisognerà menzionare che i dati sono trattati anche dal soggetto affidatario.

Le nuove regole europee
Nel caso in cui il trattamento sia effettuato non in concessione occorrerà, quindi, che il soggetto che opera il trattamento riceva l'autorizzazione a svolgerlo sulla base della nomina come responsabile del trattamento. Diversamente il soggetto privato diverrebbe titolare di un autonomo trattamento senza avere acquisito la prescritta autorizzazione dall'interessato. A tal fine il nuovo regolamento impone che la designazione quale responsabile debba avvenire mediante contratto ( si ritiene che possa avvenire anche nell'ambito del più ampio contratto di servizio stipulato) e il soggetto individuato come responsabile deve essere ottemperante alle prescrizioni previste garantendo l'implementazione o di un codice di condotta o di una certificazione.

(*) Professore aggregato di fiscalità degli enti locali - Università della Campania L. Vanvitelli


© RIPRODUZIONE RISERVATA