Tutto pronto per l'algoritmo antievasione, il nuovo strumento in mano al Fisco per attuare l’interoperabilità delle banche dati.
L'impiego dell'algoritmo tuttavia richiede il rafforzamento delle garanzie connesse al trattamento dei dati personali del contribuente.
Sul punto è intervenuto il MEF con un decreto.
Ci spiega tutto il Prof. Michele Iaselli.
***
Come noto la Legge di Bilancio 2020 (L. n. 160/2019) ha previsto che “per le attività di analisi del rischio di cui all’articolo 11, comma 4, del decreto-legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214, con riferimento all’utilizzo dei dati contenuti nell’archivio dei rapporti finanziari, di cui all’articolo 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605, e all’articolo 11, comma 2, del decreto-legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214, l’Agenzia delle entrate, anche previa pseudonimizzazione dei dati personali, si avvale delle tecnologie, delle elaborazioni e delle interconnessioni con le altre banche dati di cui dispone, allo scopo di individuare criteri di rischio utili per far emergere posizioni da sottoporre a controllo e incentivare l’adempimento spontaneo” (art. 1, comma 682).
Il decreto del Ministero dell’Economia e delle Finanze datato 28 giugno 2022, nel rispetto delle disposizioni di cui all’art. 2 undecies, comma 3, del Codice della privacy, nonché dell’art. 23, par. 1, del GDPR, “considerati i princìpi di necessità e di proporzionalità, limitatamente al trattamento dei dati contenuti nell’archivio dei rapporti finanziari di cui al comma 682, […] sentiti il Garante per la protezione dei dati personali e l’Agenzia delle entrate”, in attuazione del comma 683 del citato art. 1, definisce:
“a) le specifiche limitazioni e le modalità di esercizio dei diritti di cui agli articoli 14, 15, 17, 18 e 21 del regolamento (UE) 2016/679, in modo da assicurare che tale esercizio non possa arrecare un pregiudizio effettivo e concreto all’obiettivo di interesse pubblico;
b) le disposizioni specifiche relative al contenuto minimo essenziale di cui all’articolo 23, paragrafo 2, del regolamento (UE) 2016/679;
c) le misure adeguate a tutela dei diritti e delle libertà degli interessati”.
Il decreto in esame disciplina fattispecie caratterizzate da un rilevante impatto sulla protezione dei dati personali dei contribuenti.
In primo luogo, infatti, vengono perimetrati il contenuto e l’oggetto delle limitazioni alla portata degli obblighi e dei diritti di cui agli artt. 14, 15, 17, 18 e 21 del Regolamento in relazione ai trattamenti effettuati dall’Agenzia delle entrate e dalla Guardia di finanza per le attività di analisi del rischio di cui all’art. 1, commi 682 e 686, della legge n. 160 del 2019, allo scopo di individuare criteri di rischio utili per far emergere posizioni da sottoporre a controllo e incentivare l’adempimento spontaneo.
In secondo luogo, sono individuate alcune misure di garanzia che devono essere adottate in relazione a tali trattamenti – da effettuarsi avvalendosi “delle tecnologie, delle elaborazioni e delle interconnessioni con le altre banche dati” – che, in ragione delle loro caratteristiche, presentano rischi elevati per i diritti e le libertà degli interessati.
Innanzitutto, il decreto è volto a circoscrivere le categorie e le finalità dei trattamenti oggetto delle limitazioni, prevedendo che siano riferite ai trattamenti effettuati “in relazione alle attività di analisi del rischio di cui all’articolo 1, comma 682, della legge 27 dicembre 2019, n. 160” (art. 4, comma 1), “per il perseguimento delle finalità di prevenzione e contrasto all’evasione e all’elusione fiscale, tramite l’individuazione dei criteri di rischio utili a far emergere posizioni da sottoporre a controllo da parte dell’Agenzia e della Guardia di finanza, e per incentivare l’adempimento spontaneo“ (art. 3, comma 1), in relazione alle categorie di dati riferibili a “dati personali, contenuti nelle banche dati, relativi all’identità fisica ed economica, tra cui dati comuni, patrimoniali, contabili e finanziari. Con riferimento alle categorie di cui all’articolo 9 del Regolamento, nell’ambito dei dataset sono trattati solo i dati relativi all’ammontare delle detrazioni fiscali, in forma aggregata e in coerenza con quanto previsto dal successivo articolo 5, comma 5” (art. 3, comma 2).
In particolare, le limitazioni individuate dal decreto in esame si riferiscono ai dati contenuti nei citati “dataset di analisi” (insieme dei dati selezionati ai fini di cui all’articolo 1, commi da 682 a 686, della legge 27 dicembre 2019, n. 160, per verificare, applicando tecniche e modelli di analisi coerenti con i criteri di rischio prescelti, la presenza di rischi fiscali) e “dataset di controllo” (insieme delle posizioni fiscali dei contribuenti, caratterizzate dalla ricorrenza di uno o più rischi fiscali, nei confronti dei quali potranno essere avviate le attività di controllo ovvero le attività volte a stimolare l’adempimento spontaneo), sopra definiti, che sono conservati, rispettivamente, “per quanto concerne il dataset di analisi, per un periodo di otto anni a decorrere dal 31 dicembre dell’anno in cui gli adempimenti rilevanti ai fini fiscali sono stati o avrebbero dovuto essere posti in essere” (art., 3, comma 3, lett. a)), mentre, “con riferimento al dataset di controllo, fino al decimo anno successivo a quello di ricezione dell’invito alla regolarizzazione della posizione fiscale ovvero fino alla ricezione del provvedimento impositivo e, comunque, fino alla definizione di eventuali giudizi” (art. 3, comma 3, lett. b)), e, decorsi i predetti periodi di conservazione, “vengono cancellati, ferma restando la conservazione dei dati contenuti nelle banche dati dell’Agenzia secondo i criteri di conservazione stabiliti in relazione alle finalità per le quali ciascun dato è stato raccolto” (art. 3, comma 4).
Il successivo art. 4 del decreto in esame si occupa di disciplinare il contenuto delle limitazioni della portata degli obblighi e dei diritti di cui agli artt. 14, 15, 17, 18 e 21 del Regolamento “per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata in una società democratica, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, in modo da assicurare che tale esercizio non arrechi un pregiudizio effettivo e concreto all’obiettivo di interesse pubblico perseguito” (art. 4, comma 1).
L’art. 5 del decreto individua “le misure poste a tutela dei diritti e delle libertà degli interessati”, prevedendo, in particolare, che:
- i titolari del trattamento “trattano esclusivamente i dati personali indispensabili ed effettuano le operazioni di trattamento strettamente necessarie al raggiungimento delle finalità di cui all’articolo 1, comma 682, della legge 27 dicembre 2019, n. 160, nel rispetto dei princìpi di cui all’articolo 5 del Regolamento” (comma 1);
- i titolari del trattamento “adottano tutte le misure necessarie per escludere i dati personali inesatti o non aggiornati dai trattamenti conseguenti all’analisi del rischio fiscale” (comma 2);
- “l’Agenzia e la Guardia di finanza interconnettono le informazioni contenute nell’Archivio dei rapporti finanziari con le altre banche dati avvalendosi di opportune tecnologie informatiche e applicando le metodologie più appropriate” (comma 3);
- “a tutela dei diritti e delle libertà degli interessati, l’Agenzia e la Guardia di finanza adottano le misure di sicurezza tecniche e organizzative idonee a garantire la riservatezza, l’integrità, la disponibilità dei dati e la sicurezza dei sistemi, nonché quelle necessarie ad assicurare che i dati utilizzati siano attuali, coerenti, completi, tracciabili e ripristinabili, nel rispetto di quanto previsto dall’articolo 32 del Regolamento” (comma 4);
- l’Agenzia delle Entrate “effettua le elaborazioni finalizzate a far emergere le posizioni da sottoporre a controllo su dati preventivamente pseudonimizzati, al fine di impedire, in presenza di dati finanziari, l’identificazione diretta degli interessati. Parimenti, l’Agenzia non procede a profilazioni basate sulle categorie di dati di cui all’articolo 9 del Regolamento eventualmente presenti nel dataset di analisi e di controllo, fatti salvi i limiti previsti nell’art. 3, comma 2. L’affidabilità e l’accuratezza del modello di analisi e dei criteri di rischio utilizzati sono testati per fare in modo che all’esito delle analisi siano limitati i rischi di ingerenze nei confronti dei contribuenti che non presentano un rischio fiscale significativo e, comunque, siano limitati i rischi di erronea rappresentazione della capacità contributiva” (comma 5);
- “al fine di ridurre i rischi di accessi non autorizzati o non conformi alle finalità di trattamento, l’accesso agli strumenti informatici di trattamento è consentito ai soli soggetti specificatamente autorizzati”, ai sensi dell’art. 29 del Regolamento e dell’art. 2-quaterdecies del Codice, “deputati a svolgere le attività di misurazione della qualità dei dati e di analisi del rischio fiscale” (comma 6);
- “il personale specificatamente autorizzato dal Titolare o dal Responsabile verifica, tramite controlli puntuali condotti su campioni rappresentativi della platea di riferimento, la corretta applicazione del modello di analisi e la coerenza degli esiti delle elaborazioni svolte in attuazione della metodologia adottata” (comma 7);
- “al fine di impedire che si verifichino trattamenti illeciti o violazioni dei dati personali ai sensi dell’articolo 4, paragrafo 1, n. 12, del Regolamento, l’Agenzia procede al controllo degli accessi ai dati e alle informazioni presenti nelle banche dati tramite misure idonee a verificare, anche a posteriori, le operazioni eseguite da ciascun soggetto autorizzato” (comma 8).
Sulla base, quindi, di tali prescrizioni sarà possibile utilizzare tutte le tecnologie disponibili per verificare i rapporti finanziari ed in tal senso si parla di “Algoritmo antievasione”.
Nello specifico attraverso l’utilizzo di sistemi informatici avanzati si potranno effettuare le analisi del rischio di evasione basate sui dati dell'Archivio dei rapporti finanziari in attuazione di quanto previsto dalla legge di bilancio per il 2020 (articolo 1, commi da 681 a 686, della legge 27 dicembre 2019, n. 160).
La stessa Agenzia delle entrate nella propria circolare n. 21/E del 20 giugno 2022 chiarisce che con riferimento alle attività di prevenzione e contrasto, l’«Atto di indirizzo per il conseguimento degli obiettivi di politica fiscale per gli anni 2022-2024» ha previsto un significativo incremento delle comunicazioni per la promozione della compliance (c.d. lettere di compliance), con l’indicazione di incrementare il personale dedicato a tale attività e di potenziare le infrastrutture tecnologiche e gli algoritmi di selezione, nonché l’interoperabilità delle banche dati, sfruttando al massimo i flussi informativi derivanti dallo scambio automatico di informazioni previsto dalle Direttive europee e dagli Accordi internazionali, e da quelli derivanti dalla fatturazione elettronica integrati con quelli generati dalla trasmissione telematica dei corrispettivi relativi alle transazioni verso i consumatori finali.
Come definito nel PNRR (Piano Nazionale di Ripresa e Resilienza) gli strumenti di data analysis saranno utilizzati per la verifica dell’efficacia dell’invio delle comunicazioni ai contribuenti e, più in generale, delle azioni finalizzate alla promozione della compliance nonché per potenziare l’attività di controllo, aumentandone l’efficacia, anche mediante una migliore selezione preventiva delle posizioni da sottoporre ad accertamento.
In particolare le liste selettive di contribuenti a rischio verranno predisposte a livello centrale da uno specifico applicativo software, e verranno poi inviate alle Direzioni regionali e provinciale consentendo a queste ultime di indirizzare l'ordinaria attività di controllo nei confronti delle posizioni a più elevato rischio di evasione. Le direzioni periferiche dell'Agenzia delle entrate non dovranno però recepire, acriticamente, i risultati dell'applicativo ricevuti. Esse dovranno infatti valutare, in autonomia, la proficuità delle eventuali azioni di controllo orientandosi, secondo una logica di efficacia ed efficienza delle attività ormai dominante, verso le posizioni di contribuenti (sia persone fisiche che enti o società) che presentino un interesse sia dal punto di vista della proficuità sia della sostenibilità della pretesa tributaria.
Ormai, quindi, anche in ambito fiscale, nell’ovvio rispetto dei diritti degli interessati si stanno sviluppando tecnologie sempre più avanzate per combattere l’evasione e naturalmente il decreto in esame è passato al vaglio dell’Autorità Garante per le inevitabili ripercussioni in materia di protezione dati. Ma non vi sono dubbi che si è solo all’inizio di una nuova era contraddistinta da un utilizzo sempre più avanzato di strumenti informatici anche di intelligenza artificiale si pensi, difatti che il giorno 5.5.2022, è stato depositato un progetto di legge recante “Introduzione dell’articolo 5-bis della legge 27 luglio 2000, n. 212, concernente l’istituzione di una piattaforma telematica di giustizia predittiva in materia tributaria “(n. C. 3593).
Il nuovo articolo proposto prevede la possibilità che il Ministero dell’Economia e delle Finanze renda disponibile in via gratuita, nel proprio sito internet istituzionale, la piattaforma telematica della giustizia predittiva tributaria, liberamente consultabile da tutti i contribuenti al fine di acquisire, in maniera non vincolante, una previsione del possibile esito di eventuali controversie giudiziarie concernenti gli atti impositivi adottati dagli enti impositori. Tutto ciò con l’obiettivo dichiarato di promuovere la certezza del diritto tributario e ridurre il contenzioso in materia.
Un ulteriore passo in avanti, quindi, per una migliore regolamentazione della giustizia tributaria e dei rapporti fra fisco e contribuenti con l’ausilio delle nuove tecnologie che però dovrà sempre tenere conto non solo dei diritti dei contribuenti, ma anche dei limiti della tecnologia che può essere utile come supporto alle decisioni dell’uomo ma mai sostitutiva.