Parere del Garante europeo della protezione dei dati (GEPD) sulla proposta di regolamento del Consiglio relativo alla cooperazione amministrativa e alla lotta contro la frode in materia d'imposta sul valore aggiunto (rifusione)

Parere del garante europeo della protezione dei dati sulla proposta di regolamento del Consiglio relativo alla cooperazione amministrativa e alla lotta contro la frode in materia d'imposta sul valore aggiunto (rifusione)

(Pubblicato sulla GUUE n. C 66 del 17/3/2010)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la Carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ⁽¹ ⁾,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, in particolare l'articolo 41 ⁽² ⁾,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

1. In data 18 agosto 2009 la Commissione ha adottato una proposta di regolamento del Consiglio relativo alla cooperazione amministrativa e alla lotta contro la frode in materia d'imposta sul valore aggiunto (IVA) ⁽³ ⁾. La proposta è in realtà una modifica del regolamento (CE) n. 1798/2003 del Consiglio relativo alla cooperazione amministrativa in materia d'imposta sul valore aggiunto, già modificato a più riprese ⁽⁴ ⁾. Tuttavia, per ragioni di chiarezza e di leggibilità, la Commissione ha deciso di ricorrere alla procedura di rifusione, che implica l'abrogazione del regolamento (CE) n. 1798/2003 del Consiglio qualora il Consiglio adotti l'attuale proposta.

2. Nella procedura di rifusione la discussione legislativa è in linea di principio limitata alle modificazioni sostanziali pro poste dalla Commissione e non riguarda le «disposizioni immutate» ⁽⁵⁾. Nel presente parere tuttavia, il garante europeo della protezione dei dati (GEPD) esaminerà il regolamento vigente e le modificazioni sostanziali proposte nel loro insieme. Tale analisi completa è necessaria al fine di valutare correttamente l'impatto della legislazione sulla protezione dei dati. Il GEPD raccomanderà adeguamenti che riguardano anche le disposizioni immutate. Il GEPD invita il legislatore a tener conto di tali raccomandazioni malgrado la portata limitata della procedura di rifusione. A questo proposito il GEPD fa riferimento al punto 8 dell'accordo interistituzionale sulla procedura di rifusione che prevede la possibilità di modificare le disposizioni immutate.

3. La base giuridica della proposta è l'articolo 93 del trattato CE, che autorizza il Consiglio ad adottare disposizioni in materia di imposte indirette. Il Consiglio delibera all'unanimità su una proposta della Commissione, previa consultazione del Parlamento europeo e del Comitato economico e sociale europeo. La base giuridica e la procedura specifica resteranno invariate dopo l'entrata in vigore del trattato di Lisbona.

4. Il GEPD non è stato consultato come previsto dall'articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001. Il presente parere si basa pertanto sull’articolo 41, paragrafo 2 del medesimo regolamento. Il GEPD raccomanda di includere nel preambolo della proposta un riferimento al presente parere.

5. Il GEPD è consapevole dell'importanza di migliorare sia l'efficacia delle misure volte a lottare contro la frode transfrontaliera sia la riscossione dell'IVA nelle situazioni transfrontaliere. Sebbene lo scambio di informazioni, che rientra nella cooperazione amministrativa e nella lotta alla frode in materia di IVA, riguardi principalmente le persone giuridiche, è chiaro che sono trattati anche dati relativi alle persone fisiche. Il GEPD riconosce che per realizzare tali obiettivi occorre trattare dati personali. Il GEPD sottolinea tuttavia che il trattamento di tali dati deve essere conforme alle norme comunitarie in materia di protezione dei dati.

6. Occorre riservare un'attenzione particolare alle situazioni che prevedono lo scambio transfrontaliero di dati personali all'interno dell'UE, poiché esse comportano un aumento dell'entità del trattamento dei dati, che inevitabilmente dà luogo ad una mancanza di certezza giuridica per i soggetti interessati: possono essere coinvolti operatori di tutti gli altri Stati membri, le cui legislazioni applicabili possono discostarsi lievemente da quelle cui sono abituati i soggetti interessati o applicarsi nell'ambito di un sistema giuridico poco conosciuto dall'interessato.

7. Dopo aver analizzato il quadro giuridico derivante dal regolamento (CE) n. 1798/2003 e gli adeguamenti attualmente proposti, il GEPD conclude che, sebbene siano riscontrabili vari elementi positivi, non tutti i requisiti derivanti dalle norme comunitarie in materia di protezione dei dati sono soddisfatti.

8. Prima di entrare nei dettagli di tale punto di vista nella parte III (norme applicabili in materia di protezione dei dati) e nella parte IV (analisi dettagliata della proposta), il GEPD si soffermerà nella parte che segue sul contesto dell'attuale proposta, sul quadro giuridico esistente e sugli adeguamenti proposti.

II. COOPERAZIONE UE NEL SETTORE DELL'IVA

II.1. Contesto

9. L'attuale proposta scaturisce da una discussione a livello UE iniziata ufficialmente nel maggio 2006 con una comunicazione della Commissione sulla lotta contro le frodi fiscali nel mercato interno ⁽⁶⁾. Dietro incoraggiamento del Consiglio e del Parlamento europeo, nel dicembre 2008 la Commissione ha pubblicato un'altra comunicazione su una strategia coordinata per migliorare la lotta contro le frodi a danno dell'IVA nell'UE ⁽⁷⁾. La comunicazione annunciava varie modifiche alla direttiva generale sull'IVA 2006/112/CE, nonché l'attuale rifusione del regolamento (CE) n. 1987/2003 del Consiglio ⁽⁸⁾.

10. Il regolamento (CE) n. 1798/2003 del Consiglio ha costituito finora l'atto normativo di riferimento per quanto attiene alla cooperazione amministrativa in materia di IVA.

Tuttavia, un recente studio effettuato dalla Commissione e pubblicato il 18 agosto 2009, lo stesso giorno dell'attuale proposta, ha ritenuto insoddisfacente l'intensità della cooperazione amministrativa tra gli Stati membri per far fronte alle evasioni e alle frodi IVA a livello intracomunitario ⁽⁹⁾.

Scopo principale dell'attuale proposta è pertanto quello di adeguare il regolamento (CE) n. 1798/2003 del Consiglio in modo tale da migliorare sia l'efficacia delle misure volte a lottare contro la frode transfrontaliera sia la riscossione dell'IVA nelle situazioni transfrontaliere.

II.2. L'attuale sistema di cooperazione: il regolamento (CE) n. 1798/2003 del Consiglio

11. Con il regolamento (CE) n. 1798/2003 del Consiglio l'UE ha introdotto un sistema comune di cooperazione amministrativa e di scambio di informazioni tra le autorità competenti degli Stati membri in modo da consentire loro di accertare correttamente l'IVA. Il regolamento contiene un elenco di autorità competenti ed obbliga gli Stati membri a designare un unico ufficio centrale di collegamento responsabile dei contatti con gli altri Stati membri nel settore della cooperazione amministrativa.

12. Lo scambio di informazioni tra autorità competenti ha luogo in tre situazioni: scambio di informazioni su richiesta, scambio di informazioni senza preventiva richiesta (scambio spontaneo) e archiviazione di dati in una banca dati elettronica tenuta da ciascuno Stato membro, di cui una parte è direttamente accessibile per le autorità competenti di altri Stati membri.

13. Il regolamento (CE) n. 1798/2003 del Consiglio obbliga inoltre gli Stati membri a provvedere affinché le persone aventi interesse a forniture intracomunitarie di beni o a prestazioni intracomunitarie di servizi siano autorizzate a ottenere conferma della validità del numero di identificazione IVA di una data persona. Il sistema che consente alle persone summenzionate di procedere in tal senso è noto come sistema di scambi di informazioni in materia di IVA (VIES).

14. In generale, il regolamento prevede che la comunicazione delle informazioni avvenga con mezzi elettronici. La Commissione è pertanto responsabile degli sviluppi della rete comune di comunicazione o dell'interfaccia comune di sistema (CCN/CSI) nella misura in cui ciò è necessario per consentire lo scambio di informazioni fra Stati membri. Gli Stati membri sono responsabili dello sviluppo dei propri sistemi nazionali nella misura in cui ciò è necessario per consentire che tali informazioni siano scambiate utilizzando le CCN/CSI. Il regolamento contiene altre norme sulle relazioni con la Commissione, sui controlli simultanei e sullo scambio di dati provenienti da paesi terzi.

15. Il tipo di informazioni che possono essere scambiate tra le autorità competenti su richiesta o a titolo spontaneo non è definito. L'articolo 1 del regolamento (CE) n. 1798/2003 del Consiglio fa solo riferimento a «ogni informazione» che possa consentire alle autorità competenti di accertare correttamente l'IVA. La banca dati elettronica contiene elenchi ricapitolativi dei soggetti passivi identificati ai fini dell'IVA raccolti conformemente alla direttiva generale sull'IVA. Tali elenchi contengono i numeri di identificazione IVA dei vari soggetti passivi coinvolti ed il valore totale delle forniture di beni effettuate dal soggetto passivo. Il VIES consente unicamente la conferma della validità di un numero di identificazione IVA.

II.3. Miglioramenti previsti sul piano generale

16. Con la proposta in esame la Commissione prevede di rafforzare l'efficacia dell'attuale cooperazione rendendo le au torità competenti responsabili della protezione del gettito IVA in tutti gli Stati membri, facendo progredire lo scambio di informazioni tra le autorità competenti e migliorando la qualità e la coerenza di tali informazioni ⁽¹⁰⁾.

17. È possibile migliorare lo scambio di informazioni tra Stati membri definendo i casi in cui le autorità competenti non possono rifiutare di rispondere ad una richiesta di informazioni o di indagine amministrativa e precisando i casi in cui le informazioni devono essere comunicate a titolo spontaneo ⁽¹¹ ⁾. La proposta introduce inoltre termini più rigorosi e pone un maggiore accento sul ricorso a mezzi elettronici.

18. È possibile accrescere la coerenza delle informazioni disponibili nelle banche dati elettroniche stabilendo il tipo di informazioni che gli Stati membri sono tenuti ad inserire nelle rispettive banche dati nazionali. La proposta aumenta inoltre l'accesso diretto automatizzato alle banche dati elettroniche da parte delle autorità competenti di altri Stati membri. Le informazioni a disposizione di altri soggetti passivi tramite il VIES sono corredate del nome e recapito della persona registrata con un numero di identificazione IVA.

19. La proposta precisa inoltre in quali casi gli Stati membri possono e devono procedere a controlli multilaterali e stabilisce una base giuridica per l'istituzione di una struttura operativa comune per la cooperazione multilaterale (Eurofisc). Il sistema dovrebbe consentire uno scambio rapido di informazioni mirate tra tutti gli Stati membri, nonché la realizzazione di analisi strategiche e dei rischi comuni.

20. La proposta introduce inoltre un sistema di feedback che consente agli Stati membri di valutare l'efficacia dello scambio di informazioni.

21. Una serie di questioni sarà esaminata più a fondo conformemente alla procedura di comitato. Si tratta ad esempio dei formulari standard utilizzati allorché le autorità competenti richiedono informazioni, delle modalità di funzionamento del sistema di feedback, dei criteri utilizzati per decidere riguardo all'eventuale modifica dei dati archiviati nella banca dati elettronica e dell'introduzione di Eurofisc.

III. NORME APPLICABILI PER LA PROTEZIONE DEI DATI

22. In caso di trattamento di dati personali occorre conformarsi alla normativa comunitaria in materia di protezione dei dati. Ai sensi della normativa in materia di protezione dei dati per «dati personali» si intende in senso lato «qualsiasi informazione concernente una persona fisica identificata o identificabile» ⁽¹² ⁾. Come affermato in precedenza, il sistema di scambio di informazioni nel contesto attuale riguarda principalmente le persone giuridiche. Esso comprenderà tuttavia anche informazioni relative alle persone fisiche. I termini «qualsiasi informazione» di cui all'articolo 1, paragrafo 1 della proposta di regolamento del Consiglio sembrano includere ulteriori informazioni relative alle persone fisiche che lavorano per dette persone giuridiche, o sono in altro modo associate ad esse (Vedi oltre, punto 31).

23. Ai fini del trattamento dei dati da parte degli Stati membri, sono applicabili le norme nazionali che attuano la direttiva 95/46/CE. Nell'attuale proposta di regolamento (CE) n. 1798/2003 del Consiglio viene fatto riferimento alla direttiva 95/46/CE in due punti, precisamente al considerando 17 e all'articolo 41. Il GEPD rileva che tali disposizioni fanno unicamente riferimento alla direttiva 95/46/CE in relazione alla possibilità di limitare taluni diritti garantiti dalla direttiva stessa. Il considerando e l'articolo in questione figurano anche nella proposta della Commissione (come considerando 35 e articolo 57), ma subiranno alcune modifiche, come discusso in maggiori dettagli al punto 49 in appresso. Nella fase attuale è opportuno rilevare che la Commissione propone di inserire all'articolo 41 (nuovo articolo 57) una frase generale in cui si precisa che «[l]e archiviazioni o gli scambi di informazioni di cui al presente regolamento sono soggetti alle disposizioni di attuazione della direttiva 95/46/CE». Il GEPD si compiace di tale ag giunta ed incoraggia il legislatore ad inserirla anche nel considerando.

24. Pur non intervenendo direttamente nello scambio di dati tra le autorità competenti, la Commissione riceverà, sulla base dell'articolo 51, paragrafo 2, «ogni informazione disponibile pertinente all'applicazione che essi (gli Stati membri) danno al presente regolamento», «elementi statistici» e «ogni altra informazione» che possa consentire di accertare correttamente l'IVA, come stabilisce l'articolo 1 ⁽¹³⁾. Come accennato in precedenza al punto 14, la Commissione è inoltre responsabile di «tutti gli sviluppi delle CCN/CSI necessari» per consentire lo scambio delle informazioni fra Stati membri (articolo 55). Come risulta evidente dall'articolo 57, paragrafo 2, questa responsabilità può, a determinate condizioni, comportare l'accesso alle informazioni scambiate tramite il sistema.

25. Ne consegue pertanto che anche la Commissione effettuerà il trattamento di dati personali. È quindi tenuta a rispettare le norme in materia di protezione dei dati applicabili alle istituzioni e agli organismi dell'UE stabilite nel regolamento (CE) n. 45/2001 e soggetta al controllo del GEPD. A fini di chiarezza e per evitare dubbi sull'applicabilità del regolamento, il GEPD esorta il legislatore a inserire un riferimento al regolamento nei considerando e in una disposizione sostanziale.

26. In caso di trattamento di dati personali, gli articoli 16 e 17 della direttiva 95/46/CE e gli articoli 21 e 22 del regolamento (CE) n. 45/2001 impongono di assicurare la riservatezza e la sicurezza del trattamento dei dati.

Nell'articolo 55 citato poc'anzi si fa solo un breve accenno alla responsabilità o meno della Commissione in materia di manutenzione e sicurezza delle CCN/CSI ⁽¹⁴ ⁾. Onde evitare ogni dubbio circa la responsabilità di assicurare la riservatezza e la sicurezza, il GEPD esorta il legislatore a definire con maggiore chiarezza la responsabilità della Commissione a tale riguardo, a sottolineare gli obblighi degli Stati membri e a formulare il tutto alla luce degli obblighi derivanti dalla direttiva 95/46/CE e dal regolamento (CE) n. 45/2001.

27. Fare chiarezza su chi sarà responsabile del rispetto della normativa in materia di protezione dei dati (denominato «responsabile del trattamento» nel linguaggio della protezione dei dati ⁽¹⁵⁾ è importante anche con riguardo all'istituzione di Eurofisc. L'articolo 35 spiega che Eurofisc sarà costituita da funzionari competenti designati dalle autorità competenti degli Stati membri. La Commissione fornirà a Eurofisc il sostegno tecnico, amministrativo e operativo. La struttura proposta solleva interrogativi quanto alla normativa in materia di protezione dei dati applicabile (direttiva 95/46/CE o regolamento (CE) n. 45/2001) e alla responsabilità del rispetto di tale normativa. È intenzione della Commissione far sì che la responsabilità continui a essere attribuita agli Stati membri da soli o unitamente alla Commissione, oppure l'autorità di controllo sarà la sola Eurofisc, magari unitamente alla Commissione? Il GEPD chiede al legislatore di chiarire questi aspetti e di far sì che le responsabilità siano chiaramente attribuite.

IV. ANALISI DETTAGLIATA DELLA PROPOSTA

IV.1. Specificare tipo di dati e finalità e garantire la necessità del trattamento di dati

28. Il GEPD rileva che la proposta non specifica in maniera sufficiente il tipo di dati che sono scambiati e le finalità per le quali i dati sono scambiati. Inoltre la proposta non dà sufficienti garanzie quanto al fatto che i dati personali saranno scambiati solo se necessario. Questi aspetti sono evidenziati dall'articolo 1, paragrafo 1 della proposta di regolamento del Consiglio.

29. L'articolo 1, paragrafo 1 enuncia la finalità generale del regolamento, che è di assicurare l'osservanza delle legislazioni nazionali in materia di IVA. A tal fine sono necessari la cooperazione tra gli Stati membri e lo scambio tra le autorità competenti degli Stati membri di ogni informazione che possa consentire di accertare correttamente l'IVA, di verificare l'applicazione corretta dell'IVA, in particolare sulle transazioni intracomunitarie, e di lottare contro la frode all'IVA.

30. L'articolo 1, paragrafo 1 di per sé non soddisferebbe i requisiti derivanti dalle norme comunitarie in materia di protezione dei dati in quanto è formulato in modo troppo generico e lascia un margine di discrezionalità troppo ampio. Si corre in pratica il rischio di una non conformità sostanziale con le norme applicabili in materia di protezione dei dati.

31. In primo luogo, il concetto di «ogni informazione» è molto ampio e comporta il rischio di uno scambio d'informazioni sproporzionato. Come già affermato, sembra comprendere addirittura ulteriori informazioni sulle persone fisiche che lavorano per le persone giuridiche o sono in altro modo collegate a queste ultime. Al riguardo, il GEDP desidera richiamare l'attenzione sulle disposizioni che riguardano categorie particolari di dati e contengono norme specifiche e più severe per i trattamenti riguardanti i dati relativi a infrazioni, condanne penali, sanzioni amministrative o pro cedimenti civili ⁽¹⁶ ⁾.

32. In secondo luogo, le finalità per le quali le informazioni possono essere scambiate sono molto generali, il che è contrario al requisito secondo cui la finalità dev'essere de terminata e resa esplicita ⁽¹⁷ ⁾.

33. In terzo luogo, a norma dell'articolo 1, paragrafo 1, può essere scambiata ogni informazione che possa essere utile all'autorità competente di un altro Stato membro. Nel caso si tratti di dati personali, ciò sarebbe in conflitto con il requisito secondo cui i dati sono trattati solo ove necessarioper realizzare la finalità stabilita ⁽¹⁸ ⁾. Se non si conosce con precisione il tipo di informazioni personali di cui si tratta e non vengono ulteriormente precisate le finalità, è assolutamente impossibile valutare se lo scambio sia necessario.

34. Perché lo scambio sia conforme ai requisiti in materia di protezione dei dati occorre pertanto precisare ulteriormente la finalità e il tipo di informazioni che possono essere o saranno scambiate, almeno per grandi linee o categorie. Si dovrebbe inoltre garantire il rispetto del principio di necessità.

35. Guardando al regolamento (CE) n. 1798/2003 del Consiglio nel suo insieme e alle modifiche proposte, il GEPD rileva che non sono previste ulteriori precisazioni o, quanto meno, che sono previste solo in parte. Il GEPD svilupperà ulteriormente questo punto di vista nel seguito del parere.

Sarà fatta una distinzione tra i diversi trattamenti effettuati: scambio di informazioni su richiesta, scambio di informazioni spontaneo, disponibilità di informazioni per le autorità competenti tramite la banca dati elettronica, informazioni rese disponibili ad altre persone registrate ai fini dell'IVA (VIES) e trattamento di dati da parte di Eurofisc.

Informazioni su richiesta

36. Riguardo alle informazioni su richiesta, non sono fornite ulteriori precisazioni quanto al tipo di informazioni scambiate o alle finalità per le quali lo scambio è effettuato.

L'articolo 7 fa riferimento alle «informazioni di cui all'articolo 1» e afferma che sono comprese le informazioni che sono «in relazione a uno o più casi specifici». Una richiesta di informazioni può portare allo svolgimento di un’indagine amministrativa. Nell'articolo 9 si fa inoltre riferimento alla trasmissione di «tutte le informazioni pertinenti». Non è precisato di che tipo di informazioni si possa trattare. Le finalità per le quali i dati possono essere trattati non sono ulteriormente specificate e non si fa accenno al requisito di necessità.

37. Il GEPD esorta il legislatore a precisare il tipo di informazioni personali che possono essere scambiate, a circoscrivere le finalità per cui i dati personali possono essere scambiati e a valutare la necessità della trasmissione, o quanto meno ad assicurare che il principio di necessità sia rispettato.

Scambio spontaneo di informazioni

38. Riguardo allo scambio spontaneo di informazioni, sono precisati i casi in cui lo Stato membro trasmetterà informazioni a un'altra autorità competente. Quanto al tipo di informazioni che saranno scambiate si fa nuovamente riferimento all'articolo 1, paragrafo 1. L'articolo 14, paragrafo 1 indica le seguenti situazioni:

1. se la tassazione deve aver luogo nello Stato membro di destinazione e se le informazioni fornite dallo Stato membro di origine sono necessarie all'efficacia del sistema di controllo dello Stato membro di destinazione;

2. se uno Stato membro ha motivo di credere che nell'altro Stato membro è stata o potrebbe essere stata violata la legislazione sull'IVA;

3. se esiste un rischio di perdita di gettito fiscale nell'altro Stato membro.

Sebbene soprattutto la seconda e la terza situazione continuino a essere troppo generiche, questi tre casi potrebbero in linea di massima essere considerati ulteriori precisazioni delle finalità per le quali i dati sono scambiati. La prima situazione integra addirittura il principio di necessità. Tuttavia, lo scambio spontaneo di informazioni non è limitato a queste tre situazioni. L'articolo 15 stabilisce che le autorità competenti devono comunicare spontaneamente anche le informazioni di cui all'articolo 1 di cui sono a conoscenza e che «possono essere utili» alle autorità competenti degli altri Stati membri.

39. Le modifiche proposte di fatto estendono le disposizioni attualmente in vigore. L'articolo 18 del regolamento (CE) n. 1798/2003 stabilisce che le categorie esatte di informazioni oggetto di scambio spontaneo devono essere determinate secondo la procedura di comitato. La Commissione propone ora di sopprimere questa disposizione.

40. Il GEPD esorta nuovamente il legislatore a precisare il tipo di informazioni personali che possono essere scambiate, a circoscrivere le finalità per cui i dati personali possono essere scambiati e a valutare la necessità della trasmissione, o quanto meno ad assicurare che il principio di necessità

sia rispettato.

Disponibilità di dati tramite la banca dati elettronica

41. Riguardo alle informazioni a disposizione delle autorità competenti tramite la banca dati elettronica, la proposta precisa maggiormente il tipo di informazioni contenute nella banca dati. L'articolo 18 fornisce un elenco di informazioni che devono essere archiviate ed elaborate nella banca dati elettronica. L'elenco riguarda informazioni rac colte a norma della direttiva IVA generale 2006/112/CE, ossia le informazioni raccolte tramite gli elenchi riepilogativi e le informazioni raccolte dalle autorità nazionali per la registrazione dei soggetti passivi non stabiliti che forniscono servizi per via elettronica ad altre persone che non sono soggetti passivi. Altre informazioni contenute nella banca dati sono l'identità, l'attività o l'organizzazione delle persone a cui è stato attribuito un numero di identificazione IVA e i dati riguardanti i precedenti scambi di informazione su richiesta o spontanei relativi a tali persone.

L'elenco e i dettagli dei dati che non sono raccolti conformemente alla direttiva IVA sono stabiliti secondo la procedura di comitato.

42. A decorrere dal 1 o gennaio 2015, saranno inserite nella banca dati anche le informazioni relative alle persone che prestano servizi, compresi i dati riguardanti il fatturato di queste persone e informazioni relative al rispetto da parte di queste ultime degli obblighi tributari, quali la presentazione tardiva della dichiarazione o l'esistenza di debiti fiscali (si veda l'articolo 18, paragrafo 3).

43. L'articolo 22 obbliga gli Stati membri ad accordare alle autorità competenti degli altri Stati membri un accesso automatizzato alle informazioni contenute nella banca dati elettronica. Le finalità per le quali le autorità competenti potranno consultare la banca dati non sono ulteriormente precisate. È una modifica rispetto al testo attuale del regolamento nel quale è stabilito che le autorità competenti possono avere accesso diretto a una parte limitata di informazioni «unicamente per prevenire violazioni della legislazione in materia di IVA» e «quando lo ritenga [no] necessario per controllare le acquisizioni intracomunitarie di beni» o la prestazione intracomunitaria di servizi (si veda l'attuale articolo 24).

44. Estendendo la possibilità per le autorità competenti di accedere alla banca dati, la proposta aumenta i rischi per la protezione dei dati. Tuttavia, se il numero di campi di dati personali contenuti nella banca dati elettronica è il più possibile limitato, ciò non costituisce necessariamente un problema dal punto di vista della protezione dei dati. A tale riguardo, il GEPD si compiace della precisazione relativa ai dati contenuti nelle banche dati. La proposta, tuttavia, stabilisce solo che tipo di informazioni gli Stati membri sono tenuti ad inserire nella banca dati e non si pronuncia sulla possibilità o meno di inserire nella banca dati anche altre informazioni né sulla possibilità che anche altre autorità competenti abbiano accesso a tali informazioni. Il GEPD raccomanda pertanto al legislatore di affermare esplicitamente che, per quanto riguarda i dati personali, non devono essere inseriti altri dati nella banca dati, o quanto meno di far sì che l'accesso automatico sia limitato alle categorie di dati indicate. Il GEPD esorta inoltre il legislatore a circoscrivere le finalità per cui sia possibile accedere direttamente alle banche dati e ad assicurare che il principio di necessità sia rispettato.

45. Anche la parte relativa allo scambio dei dati tramite banche dati elettroniche contiene norme relative alla qualità dei dati. L'articolo 20 stabilisce che gli Stati membri devono provvedere a che le banche dati siano aggiornate, complete ed esatte. L'articolo 23 prevede verifiche periodiche delle informazioni al fine di garantire la qualità e l'affidabilità delle informazioni contenute nella banca dati. Questi requisiti sono pienamente conformi a quelli relativi alla qualità dei dati di cui all'articolo 6, paragrafo 1, lettera d) della direttiva 95/46/CE e all'articolo 4, paragrafo 1, lettera d) del regolamento (CE) n. 45/2001. L'articolo 20 stabilisce inoltre che devono essere definiti, secondo la procedura di comitato, criteri per determinare quali modificazioni della banca dati non sono pertinenti, essenziali o utili e pertanto non occorre siano apportate. Il GEPD sottolinea che tali criteri dovrebbero essere conformi ai requisiti in materia di protezione dei dati (si vedano anche i successivi punti 57, 58 e 59).

46. L'articolo 19 stabilisce che le informazioni contenute nella banca dati elettronica devono essere archiviate per un periodo di almeno cinque anni a decorrere dalla fine del primo anno civile in cui è stato consentito l'accesso alle medesime.

Non sono forniti i motivi per cui sia stato scelto tale periodo di archiviazione. Nel caso si tratti di dati personali, prevedere un periodo minimo senza fare riferimento al principio di necessità è contrario al requisito della legislazione in materia di protezione dei dati in base al quale i dati non devono essere conservati più a lungo del necessario. Il GEPD esorta pertanto a riesaminare questa disposizione alla luce degli obblighi derivanti dall'articolo 6, paragrafo 1, lettera e) dalla direttiva 95/46/CE e dall'articolo 4, paragrafo 1, lettera e) del regolamento (CE) n. 45/2001 e a stabilire un periodo di archiviazione massimo in caso si tratti di dati personali, con eventuali eccezioni unicamente in circostanze eccezionali.

Informazioni disponibili tramite il VIES

47. Il capo IX della proposta riguarda le informazioni a disposizione dei soggetti passivi. Come illustrato al precedente punto 13, il VIES consente attualmente ai soggetti passivi di ottenere conferma della validità del numero di identificazione IVA sotto il quale una persona ha effettuato o ricevuto una fornitura intracomunitaria di beni o una prestazione intracomunitaria di servizi. La Commissione propone di aggiungere una frase che afferma che tale conferma è richiesta per le esigenze di tale tipo di operazione e inoltre di fornire al richiedente anche il nome e l'indirizzo corrispondenti al numero d’identificazione IVA. Il GEPD ritiene che queste norme siano conformi ai requisiti in materia di protezione dei dati.

Eurofisc

48. La proposta della Commissione stabilisce una base giuridica per l'istituzione di una struttura operativa comune per la cooperazione multilaterale (Eurofisc). L'idea alla base della struttura è di rendere possibile un rapido scambio di informazioni mirate tra tutti gli Stati membri. La struttura è intesa a consentire di effettuare analisi del rischio e strategiche sulla base delle quali si promuova uno scambio multilaterale di informazioni. All'articolo 36, paragrafo 2 si afferma che le modalità di scambio di informazione specifiche della struttura sono definite secondo la procedura di comitato. Nel capo in cui si dovrebbe stabilire la struttura non è fatto alcun riferimento ai requisiti in materia di protezione dei dati. Il GEPD desidera sottolineare che, a parte la legge applicabile discussa nella precedente parte III, si dovrebbe specificare il tipo di informazioni personali utilizzato, si devono circoscrivere le finalità per cui i dati personali saranno analizzati e scambiati e si dovrebbe assicurare il rispetto del principio di necessità.

IV.2. Altri elementi pertinenti dal punto di vista della protezione dei dati

Articolo 57: principio di limitazione delle finalità

49. Il capo XV della proposta riguarda le condizioni relative allo scambio di informazioni. Il capo contiene disposizioni che trattano le modalità dello scambio di informazioni. Un articolo riveste particolare interesse dal punto di vista della protezione dei dati, l'articolo 57. Esso stabilisce che le persone che trattano informazioni scambiate in virtù del rego lamento sono tenute al segreto d'ufficio. Benché nel paragrafo 5 si faccia riferimento alla direttiva 95/46/CE (cfr. infra), l'obbligo del segreto non è considerato sotto il pro filo delle norme sulla protezione dei dati. Il GEPD raccomanda al legislatore di aggiungere nel paragrafo 1 anche un riferimento alla normativa in materia di protezione dei dati.

50. Il paragrafo 1 dell'articolo 57 sembra introdurre l'utilizzo di dati per scopi diversi da quelli precedentemente menzionati nel regolamento. Il paragrafo 3 prevede espressamente l'uso dei dati «ad altro scopo» quando l'uso per scopi analoghi sia consentito dalla legislazione dello Stato membro dell'autorità interpellata. A tale riguardo, il GEPD segnala il principio di limitazione delle finalità enunciato nell'articolo 6, paragrafo 1, lettera b) della direttiva 95/46/CE e nell'articolo 4, paragrafo 1, lettera b) del regolamento (CE) n. 45/2001. Il GEPD sottolinea che quando si tratta di dati personali, in linea di principio questi ultimi non possono essere utilizzati per scopi diversi da quelli per i quali sono stati raccolti, a meno che vengano soddisfatte le rigide condizioni di cui all'articolo 13, paragrafo 1 della direttiva o all'articolo 20, paragrafo 1 del regolamento (cfr. anche i successivi punti 51-53). Il GEPD chiede pertanto al legislatore di valutare nuovamente tale disposizione alla luce del principio di limitazione delle finalità sancito nell'articolo 6, paragrafo 1, lettera b) della direttiva 95/46/CE e nell'articolo 4, paragrafo 1, lettera b) del regolamento (CE) n. 45/2001.

Articolo 57, paragrafo 5: limitazione di taluni diritti ed obblighi specifici in materia di protezione dei dati

51. Il considerando 35 annuncia che ai fini del regolamento è opportuno considerare l'ipotesi di limitare taluni diritti ed obblighi previsti dalla direttiva 95/46/CE. Viene fatto riferimento all'articolo 13, paragrafo 1, lettera e) della direttiva, che consente tali limitazioni. La proposta aggiunge a detto considerando che tale limitazione è necessaria e proporzionata tenuto conto delle perdite di gettito potenziali per gli Stati membri e dell'importanza cruciale di queste informazioni per lottare efficacemente contro la frode.

52. Il considerando viene elaborato nell'articolo 57, paragrafo 5. Dopo aver affermato che le archiviazioni o gli scambi di informazioni di cui al regolamento sono soggetti alle disposizioni di attuazione della direttiva 95/46/CE (cfr. precedente punto 23), prosegue affermando che «ai fini della corretta applicazione del presente regolamento, gli Stati membri limitano la portata degli obblighi e dei diritti pre visti dall'articolo 10, dall'articolo 11, paragrafo 1, dall'articolo 12 e dall'articolo 21 della direttiva 95/46/CE nella misura in cui ciò sia necessario al fine di salvaguardare gli interessi di cui all'articolo 13, lettera e), della medesima».

Gli articoli cui si fa riferimento prevedono l'obbligo per il responsabile del trattamento di informare la persona interessata (articoli 10 e 11), il diritto di accesso alle proprie informazioni (articolo 12) e l'obbligo per l'autorità nazionale di protezione dei dati di tenere un registro pubblico delle operazioni di trattamento dei dati effettuate (articolo 21).

53. Il GEPD sottolinea che l'articolo 13, lettera e) della direttiva 95/46/CE consente deroghe a talune disposizioni della direttiva e che deve essere interpretato rigidamente. Il GEPD riconosce che in talune circostanze si potrebbe considerare necessario, ai fini della prevenzione e dell'individuazione della frode fiscale, accantonare temporaneamente l'obbligo di informare in anticipo la persona interessata e il diritto di ottenere accesso alle informazioni. Tuttavia, l'articolo 13 della direttiva 95/46/CE prescrive che 1) tale limitazione sia prevista in una disposizione legislativa e che 2) la restrizione «costituisca una misura necessaria alla salvaguardia» di uno degli interessi elencati. Il testo attualmente proposto per l'articolo 57, paragrafo 5 non rispecchia il primo requisito in quanto non viene fatto alcun riferimento alla base giuridica richiesta. Il GEPD invita pertanto il legi slatore a inserire tale requisito nell'articolo 57, paragrafo 5.

Il secondo requisito può essere riscontrato nella frase «nella misura in cui ciò sia necessario». Tuttavia, a fini di coerenza il GEPD raccomanda di sostituire questa frase con «se costituisce una misura necessaria». Il GEPD invita inoltre il legislatore a respingere la frase aggiuntiva proposta nel

considerando 35, secondo cui la limitazione è necessaria e proporzionata, in quanto tale frase è troppo generale e non ha alcun ulteriore valore giuridico.

Trasparenza

54. Gli articoli 10 e 11 della direttiva 95/46/CE contengono l'obbligo per il responsabile del trattamento di informare la persona interessata prima che i dati vengano raccolti o, nel caso in cui i dati non sono ottenuti dalla persona interessata, al momento della registrazione dei dati. Tali disposizioni possono essere considerate elaborazioni del principio generale della trasparenza che fa parte della lealtà del trattamento richiesta dall'articolo 6, paragrafo 1, lettera a) della direttiva 95/46/CE. Il GEPD ha rilevato che la proposta non contiene ulteriori disposizioni che trattino del principio della trasparenza, per esempio su come il sistema viene comunicato al grande pubblico o come le persone interessate saranno informate circa il trattamento dei dati. Il GEPD invita pertanto il legislatore ad adottare una disposizione che contempli la trasparenza della cooperazione e i sistemi di sostegno.

Articolo 52: Scambio di informazioni con i paesi terzi

55. L'articolo 52 prevede la possibilità di uno scambio di informazioni con i paesi terzi. Esso stipula che «le informazioni ottenute a norma del presente regolamento possono esser[gli] comunicate [a un paese terzo], con il consenso delle autorità competenti che le hanno fornite e nel rispetto delle loro disposizioni interne relative al trasferimento di dati personali a paesi terzi». Il GEPD si compiace di constatare che il legislatore è consapevole delle norme speciali applicabili allo scambio di dati personali con i paesi al di fuori dell'UE. A fini di chiarezza si potrebbe inserire nel testo un riferimento esplicito alla direttiva 95/46/CE, il quale indichi che tale trasferimento dovrebbe essere conforme alle norme nazionali che attuano le disposizioni del capo IV della direttiva 95/46/CE, relativo al trasferimento di dati personali verso paesi terzi.

56. La proposta fa riferimento solo alle autorità competenti degli Stati membri. Non è chiaro se sia previsto un eventuale scambio di informazioni (personali) con paesi terzi anche a livello europeo. Ciò è strettamente connesso alle questioni sollevate nella precedente parte III sulla legge applicabile alla conduzione di Eurofisc. Un trasferimento di dati personali a un paese terzo da parte di istituzioni o organismi comunitari deve essere conforme all'articolo 9 del regolamento (CE) n. 45/2001. Il GEPD chiede al legislatore di chiarire questo punto.

Procedura di comitato

57. Come risulta evidente dalla precedente analisi, vi sono diverse questioni pertinenti dal punto di vista della protezione dei dati che saranno elaborate ulteriormente in di sposizioni adottate conformemente alla procedura di comitato, come previsto nell'articolo 60 della proposta (cfr. precedenti punti 41,45 e 48). Pur comprendendo la necessità pratica dell'impiego di tale procedura, il GEPD desidera sottolineare che i riferimenti e le garanzie principali in materia di protezione dei dati dovrebbero essere previsti nell'atto di base.

58. Il GEPD desidera evidenziare che se vengono discusse ulteriori norme mediante la procedura di comitato, ciò dovrebbe avvenire tenendo conto dei requisiti in materia di protezione dei dati derivanti dalla direttiva 95/46/CE e dal regolamento (CE) n. 45/2001. Il GEPD invita inoltre la Commissione a coinvolgere il GEPD stesso e a richiederne il parere qualora vengano effettivamente discusse ulteriori norme pertinenti dal punto di vista della protezione dei dati. Sarebbe ad esempio il caso dell'istituzione di Eurofisc (cfr. precedente punto 48).

59. Al fine di assicurare il coinvolgimento del GEPD quando verranno adottate ulteriori norme pertinenti dal punto di vista della protezione dei dati in base alla procedura del comitato, il GEPD raccomanda al legislatore di inserire nell'articolo 60 un terzo paragrafo il quale preveda che «ove le misure di esecuzione riguardino il trattamento di dati personali, è consultato il Garante europeo della protezione dei dati».

V. CONCLUSIONI E RACCOMANDAZIONI

60. Il GEPD è consapevole dell'importanza di migliorare sia l'efficacia delle misure volte a lottare contro la frode transfrontaliera sia la riscossione dell'IVA nelle situazioni transfrontaliere. Riconosce inoltre che per realizzare tali obiettivi è inevitabile che vengano trattati dati personali. Il GEPD sottolinea tuttavia che il trattamento di tali dati deve essere conforme alle norme comunitarie in materia di protezione dei dati.

61. Dopo aver analizzato il quadro giuridico derivante dal regolamento (CE) n. 1798/2003 e gli adeguamenti attualmente proposti, il GEPD ha concluso che, sebbene siano riscontrabili vari elementi positivi, non tutti i requisiti derivanti dalle norme comunitarie in materia di protezione dei dati sono soddisfatti.

62. Nel presente parere il GEPD ha consigliato al legislatore quanto segue:

— per quanto riguarda la questione della normativa comunitaria applicabile alla protezione dei dati, di chiarire le rispettive responsabilità degli Stati membri, della Commissione e di Eurofisc per quanto riguarda il rispetto di tale normativa

— per quanto riguarda lo scambio di dati tra autorità competenti, su richiesta o a titolo spontaneo, di precisare il tipo di informazioni personali che possono essere scambiate, di circoscrivere le finalità per cui i dati personali possono essere scambiati e di valutare la necessità della trasmissione, o quanto meno di assicurare che il principio di necessità sia rispettato

— per quanto riguarda lo scambio di dati mediante l'accessibilità diretta delle banche dati elettroniche, di stabilire esplicitamente che, per quanto riguarda i dati personali, non devono essere inseriti nella banca dati dati diversi da quelli già definiti, o quantomeno di far sì che l'accesso automatico sia limitato alle categorie di dati indicate. Inoltre, di circoscrivere le finalità per cui sia possibile accedere direttamente alle banche dati, di assicurare che il principio di necessità sia rispettato e di stabilire un periodo di archiviazione massimo per conservare dati personali nella banca dati, con eventuali eccezioni in circostanze eccezionali

— per quanto riguarda l'articolo 57 (e il considerando 35),

— di aggiungere nel paragrafo 1 un riferimento alla normativa comunitaria in materia di protezione dei dati

— di valutare nuovamente i paragrafi 1 e 3 alla luce del principio di limitazione delle finalità sancito nell'articolo 6, paragrafo 1, lettera b) della direttiva 95/46/CE e nell'articolo 4, paragrafo 1, lettera b) del regolamento (CE) n. 45/2001

— di inserire nel paragrafo 5 il requisito contenuto nell'articolo 13 della direttiva 95/46/CE secondo cui una limitazione degli obblighi e dei diritti menzionati dovrebbe essere prevista in una disposizione legislativa

— di sostituire al paragrafo 5 la frase «nella misura in cui ciò sia necessario» con «se costituisce una misura necessaria»

— di respingere la frase aggiuntiva proposta per il considerando 35.

— per quanto riguarda il principio della trasparenza, di adottare una disposizione che contempli la trasparenza della cooperazione e i sistemi di sostegno.

— per quanto riguarda lo scambio di dati con paesi terzi, di inserire nell'articolo 52 un riferimento esplicito al capo IV della direttiva 95/46/CE e di chiarire se siano previsti eventuali scambi di informazioni personali con paesi terzi da parte della Commissione e/o di Eurofisc.

— per quanto riguarda le norme adottate in base alla procedura di comitato, di aggiungere all'articolo 60 un terzo paragrafo così formulato: «ove le misure di esecuzione riguardino il trattamento di dati personali, è consultato il Garante europeo della protezione dei dati».

Fatto a Bruxelles, il 30 ottobre 2009.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE
( 1 ) GU L 281 del 23.11.1995, pag. 31.

( 2 ) GU L 8 del 12.1.2001, pag. 1.

( 3 ) COM(2009) 427 definitivo del 18 agosto 2009.

( 4 ) GU L 264 del 15.10.2003, pag. 1.

( 5 ) Vedasi l'accordo interistituzionale, del 28 novembre 2001, ai fini di un ricorso più strutturato alla tecnica della rifusione degli atti normativi (GU C 77 del 28.3.2002, pag. 1).

( 6 ) Comunicazione COM(2006) 254 del 31 maggio 2006 sulla necessità di sviluppare una strategia coordinata al fine di migliorare la lotta contro la frode fiscale.

( 7 ) Cfr. le conclusioni del Consiglio del 4 dicembre 2007 e del 7 ottobre 2008 e la risoluzione del Parlamento europeo del 2 settembre 2008 (2008/2033(INI)). Cfr. la comunicazione della Commissione COM(2008) 807 del 1 o dicembre 2008.

( 8 ) GU L 347 del 11.12.2006, pag. 1.

( 9 ) Relazione COM(2009) 428 del 18 agosto 2009 sull'applicazione del regolamento (CE) n. 1798/2003.

( 10 ) La proposta include le modifiche al regolamento (CE) n. 1798/2003 previste dal regolamento (CE) n. 143/2008 del Consiglio e che saranno applicate a decorrere dal 1 o gennaio 2015 (GU L 44 del 20.2.2008, pag. 1). Tali modifiche introducono norme relative al luogo della fornitura di servizi, ai regimi speciali e alla procedura di rimborso per l'IVA.

( 11 ) Cfr. la relazione della proposta, pag. 4.

( 12 ) Cfr. l'articolo 2, lettera a) della direttiva 95/46/CE e l'articolo 2, lettera a) del regolamento (CE) n. 45/2001. Cfr. il parere 4/2007 del 20 giugno 2007 del gruppo «Articolo 29» per un approfondimento sulla nozione di «dati personali» (disponibile online al seguente indirizzo:

http://ec.europa.eu/justice_home/fsj/privacy/docs/ wpdocs/2007/wp136_it.pdf).

( 13 ) Si veda anche il punto 28 e successivi. Nel seguito del presente parere tutti i riferimenti a considerando e articoli rimandano, salvo indicazione contraria, a quelli della proposta.

( 14 ) Si veda per le osservazioni pertinenti anche il parere del GEPD, del 16 settembre 2008, sulla proposta di decisione del Consiglio che istituisce il sistema europeo di informazione sui casellari giudiziari (ECRIS) (GU C 42 del 20.2.2009, pag. 1), punto 23 e seguenti.

( 15 ) Si vedano l'articolo 2, lettera d) della direttiva 95/46/CE e l'articolo 2, lettera d) del regolamento (CE) n. 45/2001. Entrambe le disposizioni prevedono la possibilità di responsabilità unica o congiunta («… da solo o insieme ad altri …»/«… singolarmente o insieme ad altri …»).

( 16 ) Si vedano l'articolo 8, paragrafo 5 della direttiva 95/46/CE e l'articolo 10, paragrafo 5 del regolamento (CE) n. 45/2001.

( 17 ) Si vedano l'articolo 6, paragrafo 1, lettera b) della direttiva 95/46/CE e l'articolo 4, paragrafo 1, lettera b) del regolamento (CE)

n. 45/2001.

( 18 ) Si vedano l'articolo 7 della direttiva 95/46/CE e l'articolo 5 del regolamento (CE) n. 45/2001.