Giornata di studio “Le novità portate dal D. Lgs. 33/2025

T.U. in materia di versamenti e riscossione” – Lerici, 16 maggio 2025


Relazione della Dott.ssa Eleonora Cucchi: “Il trattamento e l’accesso ai dati personali ex artt. 223-224 D.Lgs. 33/25” -Seconda parte-


Ai sensi dell’art.224 comma 1, “Ai soli fini della riscossione mediante ruolo, l’agente della riscossione è autorizzato ad accedere, gratuitamente e anche in via telematica, a tutti i dati rilevanti a tali fini, anche se detenuti da uffici pubblici con facoltà di prendere visione e di estrarre copia degli atti riguardanti i beni dei debitori iscritti a ruolo e i coobbligati, nonché di ottenere, in carta libera, le relative certificazioni.”.

Quindi, è data all’Agente della riscossione la facoltà di accedere a tutti i dati del contribuente che svolgano una funzione finalizzata ad attuare una efficiente procedura di riscossione.

L’accesso può avvenire gratuitamente ed attraverso l’utilizzo di sistemi informatici.

La definizione di dato, nella specie, appare piuttosto generica se non per la finalità che essa rappresenta. Sembra, quindi, che possano rientravi sia i dati personali che quelli non personali.

Sebbene il legislatore europeo abbia costruito l’impianto regolamentare sulla base di una separazione apparentemente nitida tra dati personali e non personali, le due categorie sono legate, piuttosto, da uno rapporto di continuità, soprattutto a causa del carattere residuale dei secondi rispetto ai primi.

Ai sensi dell’art. 224 comma 2, l’Agente della riscossione può accedere e utilizzare le informazioni disponibili presso il sistema informativo del Ministero dell’economia e delle finanze e presso i sistemi informativi degli   altri   soggetti creditori, salve le esigenze di riservatezza e segreto opponibili in base a disposizioni di legge o di regolamento.

L’accesso “informatico” deve avvenire nel rispetto dei principi di riservatezza e segretezza. L’applicazione di tali princìpi è fondamentale, soprattutto in ipotesi di “sindrome da elaboratore elettronico”, il quale consente una possibilità praticamente illimitata di raccolta delle informazioni personali da parte di istituzioni pubbliche e private, l’accesso rapidissimo all’intero complesso delle informazioni raccolte, grazie al loro trattamento a mezzo di elaborati elettronici, l’elevata circolazione delle informazioni.

L’utilizzo dell’elaboratore permette una raccolta di dati di dimensioni enormi, organizzati in dossiers informatici, con la possibilità di una gestione economica delle informazioni, che possono essere catalogate con specifici programmi.

Tale strumento determina una maggiore completezza nell’accesso all’informazione perché, nel catalogare i dati, è in grado di restituire un profilo aggregato delle informazioni che riguardano un utente specifico.

L’informazione diviene, dunque, “organizzata” poiché i dati raccolti si trasformano nell’aggregazione sistematica ed ordinata degli stessi che determina la creazione di nuovi valori.

Quindi, assume grande rilevanza il principio di riservatezza, di segretezza, e lo sviluppo di nuove “dimensioni” della privacy.

Si percepisce l’impossibilità di considerare la questione solo nella direttrice del bilanciamento tra riservatezza e divulgazione.

La sensibilità per i nuovi rischi connessi all’accesso ed alla raccolta dei dati e alla loro organizzazione, sposta l’attenzione sul tema della privacy.

Sono, infatti, poste “in primo piano le modalità di esercizio del potere da parte dei detentori pubblici e privati delle informazioni” e la privacy supera “il tradizionale quadro individualistico e si dilata in una dimensione collettiva, dal momento che non viene più in considerazione solo l’interesse del singolo in quanto tale, ma in quanto appartenente ad un determinato gruppo sociale”.

In questo senso, nella nuova era dell’information technology, vi è l’esigenza di una tutela sempre maggiore.

Dal diritto alla riservatezza si è, dunque, determinato il concetto di “riservatezza informatica”, ossia la possibilità di escludere gli altri dall’uso dei propri dati personali, fino a giungere al riconoscimento di un diritto all’autodeterminazione informatica.

La data protection diviene, quindi, un diritto fondamentale dell’individuo, che rientra all’interno dell’ambito del diritto alla privacy.

Inoltre, come si desume dal comma 3 dell’articolo in commento, sono stabiliti i casi, i limiti e le modalità di esercizio delle facoltà indicate nei commi 1 e 2 e le cautele a tutela della riservatezza dei debitori.

Il diritto alla riservatezza trova riconoscimento all’art. 7 CEDU (rubricato “Rispetto della vita privata e della vita familiare”), secondo cui “Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni”.

Il diritto alla protezione dei dati è, dunque, il diritto all’autodeterminazione informativa, il diritto dell’individuo a mantenere il controllo dei dati che lo riguardano e identificano ed è la libertà di ogni soggetto di autodefinirsi e autodeterminarsi; il diritto alla riservatezza è il diritto a non subire intrusioni ed interferenze ingiustificate nella propria sfera privata.

Il comma 4 dell’art.224, prevede che l’agente della riscossione possa procedere al trattamento dei dati acquisiti ai sensi dei commi 1 e 2 nel rispetto delle indicazioni fornite agli interessati nell’informativa di cui al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, pubblicata sul proprio sito web istituzionale.

La Sezione prima del GDPR è intitolata “Trasparenza e modalità” e l’art. 12 (rubricato “Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato”), detta una procedimentalizzazione delle modalità comunicative delle informazioni finalizzato a garantire la trasparenza delle stesse, in quanto prevede che tutte le comunicazioni e le informative relative al trattamento debbano essere rese “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici”.

L’informativa è la cd. Informativa Privacy (art.13 GDPR), una comunicazione rivolta al cittadino con la finalità di renderlo edotto, anche prima che diventi interessato (cioè prima che inizi il trattamento), sulle finalità e le modalità dei trattamenti operati dal titolare del trattamento.

Essa è condizione del dovere del titolare del trattamento di assicurare la trasparenza e correttezza dei trattamenti dalla fase di progettazione e di essere in grado di comprovarlo in qualunque momento.

In questo caso l’informativa non è solo dovuta in base al principio di trasparenza e correttezza, ma è anche una condizione di legittimità del trattamento.

Queste norme sono applicabili anche al concessionario della riscossione sulla base del principio di estensione analogica.

Si può, infatti, presupporre dal fatto che il concessionario, utilizzando l’ingiunzione fiscale rafforzata, richiami il disposto delle norme del titolo II del DPR 602/1973, oggi sostituito dal D.Lgs. 33/2025 che entrerà in vigore il 1° gennaio 2026.

Anche gli artt. 223-224 del citato decreto, che si affermano come norme essenziali a corollario dell’attività sopra descritta, dovranno necessariamente applicarsi oltre che all’agente della riscossione, ai concessionari della riscossione, quali soggetti iscritti all’albo di cui all’art.53 del D.Lgs. 446/97.

 

BIBLIOGRAFIA

DE GREGORIO G., et al. Privacy, tutela dei dati personali e Big Data. E. TOSI (a cura di), Privacy digitale, Giuffré, 2019.

DI RESTA F., La nuova’Privacy europea’: I principali adempimenti del regolamento UE 2016/679 e profili risarcitori. G Giappichelli Editore, 2018.

FINOCCHIARO G. D. et al. Il quadro d’insieme sul Regolamento europeo sulla protezione dei dati personali. In: La protezione dei dati personali in Italia. Regolamento UE 2016/679 e d. lgs. 10 agosto 2018, n. 101. Zanichelli, 2019.

FLOR, Roberto, et al. Riservatezza informatica e sicurezza informatica quali nuovi beni giuridici penalmente protetti. In: Mobilità, sicurezza e nuove frontiere tecnologiche. Giappichelli, 2018.

FRANCARIO F., et al. Protezione dati personali e pubblica amministrazione, 2021.

MANFREDI A., I processi decisionali automatizzati nel GDPR, spunti e riflessioni interpretative. Rivista italiana di informatica e diritto, 7(1), 20-20, 2025.

PERUZZI M., Intelligenza artificiale e tecniche di tutela. Lavoro e diritto, 2022.

PIZZETTI F. (a cura di), Intelligenza artificiale, protezione dei dati personali e regolazione, Torino, Giappichelli, 2018.

ROSSI P. et al., Open Data e tutela della riservatezza tra uniformazione europea e approcci nazionali. Informatica e diritto, 2011, 1: 85-103.

STANZIONE M. et al., Il regolamento europeo sulla privacy: origini e ambito di applicazione. Europa e diritto privato, 2016.

ZANUZZI A. et al. Responsabili del trattamento ex art. 28 GDPR e data retenction ultra vires per finalità di tutela dei diritti. RIVISTA GIURIDICA DEL MOLISE E DEL SANNIO, 2023.

 

Dott.ssa Eleonora Cucchi

Dottoranda di Ricerca in Management For Digital Transformation: Business, Communication and Ethics

 Università degli Studi “Niccolò Cusano”, Roma