Giornata di studio “Le novità portate dal D. Lgs. 33/2025
T.U. in materia di versamenti e riscossione” – Lerici, 16 maggio 2025
Relazione della Dott.ssa Eleonora Cucchi: “Il trattamento e l’accesso ai dati personali ex artt. 223-224 D.Lgs. 33/25” -Prima parte-
ABSTRACT: Il presente contributo esamina le novità apportate dagli articoli 223 e 224 del D.Lgs. 24 marzo 2025, n. 33 al trattamento ed all’accesso ai dati nell’ambito del rapporto tra l’agente della riscossione ed il contribuente. È rivolta l’attenzione, anzitutto, al Codice della Privacy (D.Lgs. 30 giugno 2003, n. 196) ed al General Data Protection Regulation –GDPR (Regolamento UE del 27 aprile 2016, n.679), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali ed alla libera circolazione di tali dati. Si prosegue l’esame attraverso il riferimento ai principi regolatori del trattamento dei dati, tra cui, in particolare, il principio di liceità. È, inoltre, rivolta l’analisi all’accesso ai dati e ad alcuni principi imprescindibili, tra cui quello della riservatezza che, a seguito della digitalizzazione, ha assunto una nuova dimensione, legata alla “riservatezza informatica”. In conclusione, viene esaminata la cd. Informativa Privacy, la cui rilevanza è sempre maggiore, a tutela della “data protection”, ad oggi considerata diritto fondamentale dell’uomo.
Ai sensi del comma 3 dell’art. 223 del D.Lgs. 33 del 24 marzo 2025 “Il trattamento di dati personali eseguito dall’agente della riscossione nazionale e’ consentito nei limiti di quanto stabilito dall’articolo 2-ter, del decreto legislativo 30 giugno 2003, n. 196.”
All’Agente della Riscossione è consentito, quindi, il trattamento di dati personali dei contribuenti, nei limiti di quanto stabilito dall’art.2 ter del Codice della Privacy (D.Lgs. 30 giugno 2003, n. 196).
Il Codice prevede che il trattamento dei dati personali da parte di un’amministrazione pubblica e di altri enti deputati a tale attività [nonché da parte di una società a controllo pubblico statale o, limitatamente ai gestori di servizi pubblici, locale, con esclusione, per le società a controllo pubblico, dei trattamenti correlati ad attività svolte in regime di libero mercato,] sia anche consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad esse attribuiti.
Tale esercizio deve avvenire evitando di arrecare un pregiudizio effettivo e concreto alla tutela dei diritti e delle libertà degli interessati.
Al fine di tutelare i data subject il comma 2 del citato decreto stabilisce che “L’attivita’ svolta dall’agente della riscossione nazionale nell’esercizio delle proprie funzioni istituzionali costituisce, altresi’, «motivo di interesse pubblico rilevante», ai sensi dell’articolo 9, paragrafo 2, lettera g), del regolamento (UE) 2016/679 del Parlamento europeo [e del Consiglio, del 27 aprile 2016, e dell’articolo 2-sexies, comma 2, lettera i), del decreto legislativo 20 giugno 2003, n. 196.]”.
Si tratta del GDPR (General Data Protection Regulation – Regolamento Generale sulla Protezione dei Dati) , il Regolamento (UE) del 27 aprile 2016, n.679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati che consegue all’abrogazione della Direttiva 95/46/CE.
Il GDPR, pur non discostandosi dalla Direttiva Madre, apporta alcuni arricchimenti, derivanti soprattutto dalle richieste e dalle indicazioni che la Corte di giustizia aveva segnalato nel contesto della previgente normativa.
Il Regolamento 2016/679 mostra il suo vero carattere innovatore nella parte in cui trasferisce in maniera più decisa la responsabilità del trattamento dei dati in capo a coloro che ne hanno effettivamente il controllo, ossia il titolare ed il responsabile.
In particolare, ai sensi dell’art.9, paragrafo 2, lett.g, il trattamento di categorie particolari di dati personali (dati sensibili) è consentito quando è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, purché il trattamento sia proporzionato alla finalità perseguita, rispetti l’essenza del diritto alla protezione dei dati e preveda misure appropriate e specifiche per tutelare i diritti e le libertà fondamentali dell’interessato.
Quindi, il Regolamento prevede di accrescere la tutela dei dati sensibili collocandola in un momento anteriore alla mera fase riparatoria e successiva che può competere al data subject. Si collegano a questa strategia i princìpi di privacy by design e privacy by default, introdotti dall’articolo 25 del GDPR, quanto la valutazione d’impatto sulla protezione dei dati personali, prevista dall’articolo 35.
“Privacy by design” significa integrare la protezione dei dati personali fin dalla fase di progettazione di un prodotto o servizio, mentre “privacy by default” implica che le impostazioni di default di un prodotto o servizio debbano garantire il massimo livello di privacy per l’utente senza bisogno di azioni specifiche.
La volontà di innovazione è desumibile anche dall’introduzione di istituti quali il cosiddetto “risk based approach- approccio basato sul rischio”, una metodologia di gestione che si concentra sull’identificazione, valutazione e gestione dei rischi specifici, piuttosto che applicare misure generiche. Questo approccio permette un uso più efficiente delle risorse e una migliore protezione, adattando le misure di sicurezza alla natura e all’entità dei rischi. Si tratta di uno strumento per conferire rilievo normativo nel contesto della nuova infrastruttura regolamentare all’assunto secondo cui il data subject non è in grado né di avere piena contezza dell’entità dei rischi connaturati alla circolazione dei dati che lo riguardano, né di gestirli autonomamente.
Dunque, vi è un cambio di paradigma nell’amministrazione e mitigazione del rischio, trasferendo parte degli oneri derivanti dal trattamento dei dati in capo all’Agente della riscossione, secondo un’impostazione dinamica che impone un costante monitoraggio delle esternalità negative derivanti dalle modalità con cui tale trattamento viene eseguito.
Ai sensi dell’art.4 del General Data Protection Regulation (GDPR), è definito “trattamento” qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Il “dato personale”, secondo l’art.4 del GDPR (General Data Protection Regulation) è qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
L’inciso “qualsiasi informazione” rappresenta l’ampiezza della nozione di dato personale, con la finalità di introdurre una nozione tecnologicamente neutra.
Riproduce la tendenza degli ultimi anni di utilizzare terminologie generiche e spesso criticate per gli effetti indesiderati che ne potrebbero derivare, specie quello di over-inclusiveness (eccessivo allargamento dell’ambito di applicazione della legge).
Di fatto, nella definizione di “dato” sembrano ricomprese informazioni di qualsiasi natura, tanto oggettive (oggettivamente verificabili), quanto soggettive (espressione di un punto di vista individuale).
La digitalizzazione dei procedimenti decisionali ha determinato ampie problematiche inerenti ai dati soggettivi, dato che la possibilità di confutare la validità di una valutazione prodotta da un algoritmo rischia di assottigliarsi a seguito del nuovo approccio metodologico promosso dalla tecnologia Big Data.
Nonostante abbia consentito di individuare pattern che solitamente sfuggono alle capacità computazionali finora conosciute, essa ha offuscato le logiche che guidano la decisione algoritmica indebolendo la posizione dell’interessato.
Altra espressione che definisce il dato è “riguardante”. Il termine “riguardante” contenuto GDPR sottolinea il collegamento che deve sussistere tra la persona fisica ed il dato affinché questo possa essere considerato personale.
È possibile considerare come “personale” anche un dato riferito in via principale ad un oggetto, nell’ipotesi in cui questo riesca a rivelare informazioni riguardanti una persona fisica determinata, oltre al caso in cui sussista un collegamento diretto con l’interessato.
Al fine di individuare se vi sia effettivamente il legame dato personale-individuo si possono ricercare ulteriori elementi, di contenuto, di finalità e di risultato.
Nella prima ipotesi, il dato viene raccolto e trattato nella piena consapevolezza che le informazioni in esso contenute siano riferite ad una persona fisica.
Nella seconda si ricerca il fattore teleologico nella qualificazione del dato, indipendentemente dal contenuto e dalla possibilità di ricondurlo direttamente ad una persona fisica.
Nella terza il dato è considerato personale quando il trattamento dell’informazione produce un impatto sui diritti e sugli interessi di una persona fisica.
Per valutare la sussistenza della personalità del dato “per finalità” è opportuno adottare il punto di vista del titolare del trattamento, mentre nella personalità “per risultato”, la prospettiva è quella della persona fisica, segnatamente del modo in cui questa percepisce quel tipo di trattamento.
Proseguendo nell’analisi della definizione fornita dal GDPR, il termine “persona fisica” costituisce un punto focale per limitare l’applicabilità della disciplina esclusivamente agli individui.
Le aperture mostrate dal Legislatore europeo nelle direttive degli ultimi decenni non sono state riprese con il GDPR, nel quale non compare alcuna facoltà espressa di estensione delle regole in materia di protezione di dati personali alle informazioni relative a soggetti di diritto diversi dalle persone fisiche.
Tuttavia, è possibile che, in circostanze particolari, anche le informazioni riguardanti persone giuridiche possano essere ricomprese nella tutela offerta dal GDPR.
Si tratta di ipotesi quali quella relativa al caso di dati che, pur riferiti primariamente ad una persona giuridica, siano in grado di svelare informazioni riguardanti determinate persone fisiche.
In tale ipotesi, i dati dovrebbero essere trattati nel rispetto della disciplina in materia di protezione delle informazioni concernenti le persone fisiche.
Con la riforma introdotta dall’articolo 40, comma 2 del D.L. 6 dicembre 2011, n. 201, convertito con modificazioni dalla L. 22 dicembre 2011, n. 214, è soppresso qualsiasi riferimento alle persone giuridiche.
Tale modifica, introdotta al fine di ridurre gli oneri di compliance gravanti sui titolari del trattamento, ha però causato alcune incongruenze nel sistema che si era consolidato nel contesto nazionale.
Infine, ai sensi dell’art. 4 GDPR, una persona fisica è “identificata” quando viene distinta da tutti i membri appartenenti al medesimo gruppo, mentre risulta “identificabile” quando l’operazione di identificazione non è ancora avvenuta, ma sussiste la possibilità di portarla a termine con successo. L’identificabilità costituisce una delimitazione della categoria del dato a carattere personale, superata la quale, si rientra nel novero dei dati non personali.
Per il termine “identificabile” il Legislatore ha ritenuto necessaria un’ulteriore specificazione, affermando che “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Quindi, per comprendere in modo più puntuale tale nozione, il Considerando n. 26 del GDPR individua come fattore chiave nella determinazione della sussistenza dell’identificabilità la ragionevole probabilità di utilizzo da parte del titolare o di un terzo dei mezzi necessari all’identificazione.
Quindi, la personalità del dato dipende anche dal periodo di conservazione, unita alla sempre più veloce capacità di sviluppo delle tecnologie, determinando una concezione della soglia di identificabilità piuttosto bassa.
Infatti, ormai la realtà digitale è costituita principalmente dai cosiddetti high dimensional data, ossia da un numero di attributi relativi ad un individuo così elevato da consentire agevolmente di collegare un dato alla relativa persona fisica in maniera univoca, e trasformare un interessato “identificabile” in “identificato” è diventata un’operazione più semplice rispetto al passato.
Inoltre, l’elemento dell’identificabilità ha costantemente favorito un notevole allargamento dell’area del dato personale, conducendo verso l’applicazione delle garanzie accordate all’individuo anche in situazioni in cui il rischio di lesione del diritto fondamentale risulti minimo.
In un’epoca di digitalizzazione, è stata attuata una impostazione del trattamento “in chiave digitale” di disposizioni che erano già presenti nella Direttiva 95/46/CE e che sono state riprodotte nel GDPR; si tratta, in particolare, dei princìpi di liceità, finalità, esattezza e minimizzazione, già contemplati nell’articolo 6 della direttiva.
In particolare, il principio di liceità del trattamento si fonda, ancor prima del Regolamento, sulla Carta dei diritti dell’Unione Europea che, all’art. 52, par. 1, afferma che “eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui”.
Peraltro, la protezione offerta dalla Carta dei diritti dell’Unione Europea deve essere coordinata con la CEDU che prevede, all’art. 8, par. 2, che “non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui”. Quindi, eventuali limitazioni al diritto alla protezione dei dati possono essere poste esclusivamente dalla legge.
In secondo luogo, il trattamento dei dati deve sempre essere compatibile con una società democratica e perseguire uno scopo legittimo, ossia assicurare interessi pubblici o di altri soggetti, ma che siano riconosciuti come rilevanti e leciti dall’ordinamento dell’Unione Europea.
Nel testo del Regolamento 2016/679 acquisiscono, inoltre, un significato diverso gli algoritmi ed i Big Data; è, infatti, necessario uno sforzo interpretativo notevole per riuscire nell’intento di conciliare la predeterminazione dello scopo del trattamento e la limitazione della conservazione con la natura mutevole e in costante evoluzione della realtà digitale.
Aspetti quali la transnazionalità delle nuove tecnologie, hanno determinato nelle istituzioni di prediligere l’opzione del regolamento in luogo della direttiva, la quale, come strumento normativo, si dimostra spesso inadatto nelle ipotesi di regolamentazione della tecnologia.
Dott.ssa Eleonora Cucchi
Dottoranda di Ricerca in Management For Digital Transformation: Business, Communication and Ethics
Università degli Studi “Niccolò Cusano”, Roma