Garante Privacy: no all’uso dei dati presi dal web per valutare il rischio di evasione fiscale
Il Garante per la protezione dei dati personali si è pronunciato contro l’utilizzo di informazioni reperibili sul web per stimare il rischio di evasione fiscale. In parallelo, ha proposto un inasprimento delle sanzioni per chi sottrae dati riservati dalle banche dati. L’Autorità segnala inoltre l’avvio di un’istruttoria tecnica volta a verificare gli strumenti informatici impiegati per accedere all’anagrafe tributaria dell’Agenzia delle Entrate.

Le indicazioni emergono dall’audizione del Presidente del Garante, Pasquale Stanzione, tenutasi il 22 ottobre davanti alla Commissione parlamentare di vigilanza sull’anagrafe tributaria.
Durante l’incontro, Stanzione ha sottolineato la necessità di bilanciare la lotta all’evasione fiscale con la tutela dei diritti dei contribuenti. Alla luce dei rischi legati alla profilazione fiscale e alla concentrazione dei dati in sistemi interoperabili, il Garante ha indicato due principi fondamentali: la proporzionalità e l’accuratezza nella raccolta dei dati, insieme alla sicurezza dei sistemi informativi.
Un tema centrale riguarda l’uso crescente di algoritmi e intelligenza artificiale per l’individuazione dei contribuenti a rischio. Attualmente, le liste di controllo vengono generate incrociando informazioni provenienti da fonti diverse. Secondo l’articolo 5 del GDPR, è essenziale basarsi solo su dati corretti e aggiornati, poiché un errore potrebbe propagarsi e compromettere l’intero processo algoritmico.
A seguito di recenti modifiche alla delega fiscale, il Garante ha ottenuto l’esclusione delle “informazioni pubblicamente disponibili” dai criteri di analisi del rischio. Stanzione ha spiegato che la formula originaria, troppo generica, avrebbe potuto legittimare pratiche di web scraping non verificate, trasformando il web in un “socialometro” fiscale. L’uso di dati online è consentito solo dopo averne verificato l’attendibilità e nel rispetto dell’art. 22 del GDPR, limitandosi a confermare anomalie già rilevate da fonti affidabili.
Il secondo punto riguarda la protezione delle banche dati dell’Agenzia delle Entrate. Richiamando casi recenti, Stanzione ha evidenziato un aumento della rivendita di informazioni riservate da parte di società private, che operano talvolta con agenzie investigative o operatori infedeli. Per questo motivo è stata costituita una task force interdipartimentale finalizzata a rafforzare controlli, audit e misure di sicurezza.
Le indagini in corso si concentrano sugli strumenti informatici principali utilizzati per accedere all’anagrafe tributaria e all’archivio dei rapporti finanziari, tra cui PuntoFisco, Serpico e CAR.
Una possibile novità potrebbe riguardare l’inclusione dei reati in materia di protezione dei dati personali tra i reati presupposto della responsabilità amministrativa degli enti ai sensi del Dlgs. 231/2001.
“Tale misura introdurrebbe una responsabilità aggiuntiva rispetto a quella già prevista dal GDPR e dal Codice privacy, oggi gestita dal Garante”, ha spiegato Stanzione. “Oltre alle sanzioni pecuniarie, che possono arrivare a 20 milioni di euro o al 4% del fatturato, le imprese potrebbero affrontare anche le conseguenze del regime 231, con un effetto deterrente più incisivo contro gli abusi”.






