g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Parere del Garante
  4. Parere su uno schema di decreto del Ministro dell’economia e delle finanze in materia di concordato preventivo biennale - 6 giugno 2024 [10025575]

Parere su uno schema di decreto del Ministro dell’economia e delle finanze in materia di concordato preventivo biennale - 6 giugno 2024 [10025575]

Stampa Stampa Stampa PDF Trasforma contenuto in PDF

[doc. web n. 10025575]

Parere su uno schema di decreto del Ministro dell’economia e delle finanze in materia di concordato preventivo biennale - 6 giugno 2024

Registro dei provvedimenti
n. 361 del 6 giugno 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTA la legge 9 agosto 2023, n. 111 recante la delega al Governo in materia fiscale e, in particolare, l’art. 17, comma 1, lett. g), punto 2), che, al fine di incentivare l’adempimento spontaneo, ha introdotto l’istituto del concordato preventivo biennale;

VISTO il decreto legislativo 12 febbraio 2024, n. 13, che disciplina la possibilità di accedere al concordato preventivo biennale da parte di contribuenti di minori dimensioni titolari di reddito di impresa e di lavoro autonomo derivante dall’esercizio di arti e professioni, che svolgono attività nel territorio dello Stato (su cui il Garante si è espresso con il provvedimento n. 3 dell’11 gennaio 2024 - doc. web n. 9978230), il quale prevede, in particolare, che:

- la proposta di concordato è elaborata dall’Agenzia delle entrate, in coerenza con i dati dichiarati dal contribuente e comunque nel rispetto della sua capacità contributiva, sulla base di una metodologia che valorizza, anche attraverso processi decisionali completamente automatizzati di cui all’art. 22 del Regolamento, le informazioni già nella disponibilità dell’Amministrazione finanziaria, limitando l’introduzione di nuovi oneri dichiarativi; la metodologia è approvata con decreto del Ministro dell’economia e delle finanze, sentito il Garante per la protezione dei dati personali (art. 9, comma 1);

- con il predetto decreto sono individuate le specifiche cautele e le garanzie per i diritti e le libertà dei contribuenti di cui all’art. 22, par. 3, del Regolamento, nonché le eventuali tipologie di dati esclusi dal trattamento (art. 9, comma 2);

- l’accettazione da parte del contribuente della proposta di concordato impegna il contribuente a dichiarare gli importi concordati nelle dichiarazioni dei redditi e dell’imposta regionale sulle attività produttive relative ai periodi d’imposta oggetto di concordato (art. 12, comma 1);

VISTO l’art. 9-bis del decreto-legge 24 aprile 2017, n. 50, convertito, con modificazioni, dalla legge 21 giugno 2017, n. 96, con cui sono istituiti gli indici sintetici di affidabilità fiscale (ISA) per gli esercenti attività di impresa, arti o professioni;

VISTI i decreti del Ministro dell’economia e delle finanze con cui, in attuazione del comma 2 del citato art. 9-bis, sono stati approvati, e successivamente aggiornati, gli indici sintetici di affidabilità fiscale;

VISTA la nota del 17 aprile 2024 con cui il Ministero dell’economia e delle finanze ha trasmesso all’Autorità, ai fini dell’acquisizione del prescritto parere, lo schema di decreto del Ministro dell’economia e delle finanze, attuativo dell’art. 9, comma 1, del citato decreto legislativo n. 13 del 2024, che approva la predetta metodologia in base alla quale l’Agenzia formula una proposta di concordato preventivo biennale, specificando che sarebbe seguito l’invio della valutazione di impatto sulla protezione dei dati a cura dell’Agenzia delle entrate;

RILEVATO che lo schema di decreto in esame individua misure a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato richieste, in caso di decisioni basate unicamente su trattamenti automatizzati, ai sensi dell’art. 22, par. 2, lett. b), del Regolamento, prevedendo, in particolare, che:

- per l’elaborazione della proposta, sono trattati i dati personali comuni contenuti nelle banche dati, relativi all’identità anagrafica e alla capacità economica, tra cui i dati riguardanti gli ISA, le dichiarazioni fiscali, il patrimonio mobiliare e immobiliare, i dati contabili, i dati dei versamenti e delle compensazioni, nonché quelli tratti dalle dichiarazioni del contribuente relativi all’assenza di condanne penali e reati di cui all’art. 10 del Regolamento, e che, invece, non sono oggetto di trattamento i dati di cui all’art. 9 del Regolamento, né i dati da cui è possibile desumere, anche in via indiretta, le predette informazioni (art. 6, comma 1);

- i dati utilizzati per l’elaborazione della proposta sono conservati sino al termine di decadenza della potestà impositiva e, comunque, fino alla definizione di eventuali contenziosi; decorso tale termine, i dati elaborati vengono cancellati, ferma restando la conservazione dei dati contenuti nell’anagrafe tributaria secondo i criteri a tale scopo stabiliti in relazione alle finalità per le quali ciascun dato è stato raccolto (art. 6, comma 2);

- l’Agenzia delle entrate, in qualità di titolare del trattamento, tratta esclusivamente i dati personali indispensabili ed effettua le operazioni di trattamento strettamente necessarie all’elaborazione della proposta, nel rispetto dei principi di cui all’art. 5 del Regolamento, mentre Sogei S.p.a. riveste il ruolo di responsabile del trattamento (artt. 1, comma 1, lett. k) e l), e 6, comma 3);

- l’Agenzia adotta tutte le misure necessarie per escludere i dati personali inesatti o non aggiornati dai trattamenti; a tal fine sono svolte verifiche periodiche sulla qualità dei dati, volte a garantire la correttezza, l’accuratezza, la completezza e la coerenza degli stessi (art. 6, comma 4);

- a tutela dei diritti e delle libertà degli interessati, l’Agenzia adotta le misure di sicurezza tecniche e organizzative idonee a garantire la riservatezza, l’integrità, la disponibilità dei dati e la sicurezza dei sistemi, nonché quelle necessarie ad assicurare che i dati utilizzati siano attuali, coerenti, completi, tracciabili e ripristinabili, nel rispetto di quanto previsto dall’art. 32 del Regolamento (art. 6, comma 5);

- nello sviluppo delle metodologie di cui all’art. 2 sono valorizzate le risultanze e le logiche che sottendono le metodologie ISA, rispetto alle quali è stato acquisito il parere della Commissione di esperti di cui al comma 8 dell’art. 9-bis del decreto legge 24 aprile 2017, n. 50, che si basano su criteri scientifici e consolidate procedure statistiche; la predetta Commissione, composta anche da rappresentanti delle associazioni di categoria dei contribuenti interessati, esprime un parere in merito all’aderenza dei modelli di stima alla realtà economica dei contribuenti operanti nei diversi settori e i dati utilizzati ai fini dello sviluppo delle metodologie ISA sono sistematicamente comunicati e aggiornati dai contribuenti interessati (art. 6, comma 6);

- l’Agenzia assicura la più ampia diffusione delle metodologie utilizzate attraverso la pubblicazione sul proprio sito istituzionale (art. 6, comma 7);

- i risultati dei trattamenti effettuati in tale contesto vengono utilizzati esclusivamente ai fini del concordato e la mancata accettazione della proposta non produce alcuna conseguenza negativa automatica a carico degli interessati, con particolare riferimento alla valutazione del loro livello di affidabilità fiscale che, ai fini dell’attuazione dell’art. 34 del decreto legislativo, resta subordinata a specifiche attività di analisi del rischio, con la precisazione che nell’ambito del trattamento non vengono costruite variabili desunte o derivate (art. 6, comma 8);

- a tutela dei soggetti minori di età, l’Agenzia garantisce di non trattare i dati a loro riferiti, ad eccezione dei dati dei minori emancipati per i quali sono trattati esclusivamente quelli relativi all’attività d’impresa (art. 6, comma 9);

- al fine di ridurre i rischi di accessi non autorizzati o non conformi alle finalità di trattamento, l’accesso agli strumenti informatici di trattamento è consentito ai soli soggetti specificatamente autorizzati ai sensi dell’art. 29 del Regolamento e dell’art. 2-quaterdecies del Codice (art. 6, comma 10);

- il personale specificatamente autorizzato dal titolare o dal responsabile verifica preventivamente, tramite controlli puntuali condotti su campioni rappresentativi della platea di riferimento, la corretta applicazione del modello di stima e la coerenza degli esiti delle elaborazioni svolte in attuazione della metodologia adottata; il reddito stimato e quello effettivamente conseguito vengono raffrontati per valutare le potenziali evoluzioni della metodologia (art. 6, comma 11);

- al fine di impedire che si verifichino trattamenti illeciti o violazioni dei dati personali ai sensi dell’art. 4, par. 1, n. 12, del Regolamento, l’Agenzia procede al controllo degli accessi ai dati e alle informazioni presenti nelle banche dati tramite misure idonee a verificare, anche a posteriori, le operazioni eseguite da ciascun soggetto autorizzato (art. 6, comma 12);

- l’Agenzia effettua la valutazione di impatto di cui all’art. 35 del Regolamento sui trattamenti in questione, procedendo periodicamente al relativo aggiornamento e al suo riesame quando insorgono variazioni del rischio (art. 6, comma 13);

- l’Agenzia fornisce apposita informativa sul trattamento dei dati tramite pubblicazione sul sito istituzionale nonché tramite il software utilizzato ai fini della visualizzazione ed eventuale accettazione della proposta (art. 6, comma 14);

RITENUTO che nello schema in esame siano individuate, in linea di principio, misure adeguate a tutela dei diritti e delle libertà e dei legittimi interessi dell’interessato necessarie ad assicurare la conformità all’art. 22, par. 2, lett. b), del Regolamento, demandando all’Agenzia delle entrate, titolare del trattamento, la definizione in concreto delle stesse nell’ambito della valutazione di impatto sulla protezione dei dati necessaria, in ragione dei rischi elevati presentati dal trattamento in esame, ai sensi dell’art. 35 del Regolamento;

VISTA la nota del 29 aprile 2024 con cui l’Agenzia delle entrate ha trasmesso all’Autorità la predetta valutazione di impatto, successivamente integrata, con le note del 21 e 22 maggio 2024, in seguito a interlocuzioni informali intercorse con l’Ufficio al fine di attuare, in particolare, le misure previste nell’art. 6 dello schema in esame sopra descritte, con specifico riferimento a:

- un’accurata descrizione di tutte le operazioni di trattamento, ivi comprese quelle effettuate per l’elaborazione della metodologia utilizzata e quelle relative ai controlli posti in essere dall’Agenzia in seguito all’adesione alla proposta di concordato da parte del contribuente;

- l’individuazione delle misure adottate in concreto per garantire la trasparenza nei confronti degli interessati, con particolare riferimento alle informazioni da inserirsi a cura del contribuente attraverso lo specifico software sviluppato e messo a disposizione dall’Agenzia per l’elaborazione della proposta di concordato;

- la precisazione che la formulazione della proposta, sia per i soggetti ISA che per i contribuenti che aderiscono al regime forfetario, deriva da un procedimento che applica ai dati dichiarati dai contribuenti la metodologia approvata con decreto ministeriale, senza ricorrere alla costruzione di variabili desunte o derivate;

RILEVATO che lo schema in esame prevede che, per l’elaborazione della proposta, possano essere trattati anche i dati “tratti dalle dichiarazioni del contribuente relativi all’assenza di condanne penali e reati di cui all’articolo 10 del Regolamento”, senza limitare il trattamento a quelli riferibili alle condanne (o a sentenze di applicazione della pena su richiesta delle parti) per i soli “reati previsti dal decreto legislativo 10 marzo 2000, n. 74, dall'articolo 2621 del codice civile, nonché dagli articoli 648-bis, 648-ter e 648-ter 1 del codice penale, commessi negli ultimi tre periodi d'imposta antecedenti a quelli di applicazione del concordato”, come stabilito dall’art. 11, comma 1, lett. b), del d.lgs. n. 13 del 2024, che individua le cause di esclusione per l’accesso alla proposta di concordato preventivo biennale;

RITENUTO, pertanto, necessario che lo schema in esame venga integrato in tal senso al fine di assicurare il rispetto dei principi di liceità, correttezza e trasparenza e minimizzazione (art. 5, par. 1, lett. a) e c), del Regolamento);

RILEVATO, altresì, che lo schema di decreto individua Sogei S.p.a. quale responsabile del trattamento per conto dell’Agenzia delle entrate senza precisare il ruolo assunto dalla società, non solo nella gestione del sistema informativo della fiscalità, ma anche nell’elaborazione della metodologia, come emerge, invece, esaustivamente nella valutazione di impatto sulla protezione dei dati;

RITENUTO, quindi, necessario che lo schema in esame sia integrato precisando con maggiore accuratezza l’ambito di operatività di Sogei S.p.a. in qualità di responsabile per conto di Agenzia delle entrate, titolare del trattamento, anche in relazione ai trattamenti effettuati per l’elaborazione della metodologia oggetto di approvazione;

RILEVATO, sotto altro profilo, che nella valutazione di impatto non risultano ancora adeguatamente individuate le misure volte ad assicurare il pieno rispetto del principio di esattezza dei dati di cui all’art. 5, par. 1, lett. d), del Regolamento, attraverso l’adozione di adeguate garanzie previste, dallo schema in esame, sia con riferimento alla qualità dei dati utilizzati per la predisposizione della proposta (che devono risultare il più possibile corretti e aggiornati, attraverso verifiche periodiche sulla qualità dei dati, volte a garantire la correttezza, l’accuratezza, la completezza e la coerenza, nonché l’aggiornamento e l’esattezza degli stessi - cfr. art. 6, comma 4, dello schema), sia in relazione alla metodologia (per la quale viene stabilito che il personale specificatamente autorizzato dal titolare o dal responsabile verifica preventivamente, tramite controlli puntuali condotti su campioni rappresentativi della platea di riferimento, la corretta applicazione del modello di stima e la coerenza degli esiti delle elaborazioni svolte in attuazione della metodologia adottata, raffrontando il reddito stimato e quello effettivamente conseguito vengono per valutare le potenziali evoluzioni della metodologia - cfr. art. 6, comma 11, dello schema);

RITENUTO necessario, pertanto, che tali aspetti siano integrati nella valutazione di impatto prevedendo, prima dell’avvio del trattamento da parte dell’Agenzia in qualità di titolare, nel rispetto del principio di accountability, l’adozione di garanzie e meccanismi adeguati in concreto ad assicurare il pieno rispetto del principio di esattezza dei dati, imprescindibile soprattutto in relazione contesti quali quello in esame, caratterizzato dal ricorso a processi decisionali basati unicamente su trattamenti automatizzati (artt. 5, parr. 1, lett. d), e 2, 22, 24, 25 e 35 del Regolamento);

RILEVATO che, con riferimento alla conservazione dei dati, è previsto, nella valutazione di impatto, nel par. 4, sezione “Limitazione della conservazione”, che “i dati saranno conservati fino al 31 dicembre dell’undicesimo anno successivo a quello di presentazione della dichiarazione di riferimento, ovvero saranno conservati fino al termine per la definizione di eventuali procedimenti giurisdizionali o per rispondere a richieste da parte dell’Autorità giudiziaria. SOGEI s.p.a. provvederà a cancellare i dati relativi alle annualità per le quali il termine di conservazione sopra individuato risulti scaduto.”, mentre, nell’allegato 2 alla stessa, predisposto da Sogei S.p.a., è riportato che “è in corso di adozione una procedura di anonimizzazione dei dati personali al termine del suddetto periodo di conservazione”;

RITENUTO, quindi, necessario che il suddetto allegato sia corretto, indicando la cancellazione dei dati al termine del predetto termine di conservazione;

CONSIDERATO, infine, che, nel contesto in esame, la pubblicazione della valutazione di impatto, o quantomeno di un suo estratto, corredato, in particolare, di un elenco delle banche dati utilizzate dall’Agenzia per l’elaborazione della metodologia, contribuisca ad assicurare un elevato livello di trasparenza, incrementando anche la fiducia dei contribuenti nei confronti dell’utilizzo di tale nuovo strumento;

RITENUTO, pertanto, che l’Agenzia pubblichi, sul proprio sito istituzionale, un estratto della valutazione di impatto sulla protezione dei dati, omettendo gli allegati e le parti che possono compromettere la sicurezza dei trattamenti;

RITENUTO, sulla base di tali condizioni, di poter esprimere parere favorevole sullo schema di decreto in esame;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto del Ministro dell’economia e delle finanze in materia di concordato preventivo biennale, attuativo dell’art. 9, comma 1, del decreto legislativo 12 febbraio 2024, n. 13, a condizione che:

a) lo schema di decreto sia integrato prevedendo che il trattamento di dati di cui all’art. 10 del Regolamento è limitato a quelli riferibili alle condanne (o a sentenze di applicazione della pena su richiesta delle parti) per i soli reati di cui all’art. 11, comma 1, lett. b), del d.lgs. n. 13 del 2024, nonché precisando l’ambito di operatività di Sogei S.p.a. in qualità di responsabile del trattamento per conto di Agenzia delle entrate;

b) la valutazione di impatto sulla protezione dei dati sia integrata prevedendo, prima dell’avvio del trattamento, l’adozione di garanzie e meccanismi adeguati ad assicurare il pieno rispetto del principio di esattezza dei dati;

c) l’allegato 2 alla valutazione di impatto sulla protezione dei dati sia corretto indicando la cancellazione dei dati al termine del termine di conservazione previsto;

d) un estratto della valutazione di impatto sulla protezione dei dati sia pubblicato sul sito internet dell’Agenzia delle entrate.

Roma, 6 giugno 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
10025575
Data
06/06/24

Argomenti

Fisco Misure di sicurezza Dichiarazioni dei redditi Agenzia delle Entrate DPIA

Tipologie

Parere del Garante