Il Garante della privacy ha emanato il provvedimento che vieta l’ulteriore diffusione degli elenchi nominativi dei contribuenti pubblicati sul sito web dell’Agenzia delle Entrate. Analizziamo gli aspetti giuridici e vediamo cosa succede ai dati disponibili su Internet… e a chi li condivide.
1. Premessa
Dopo tante polemiche e dopo i chiarimenti ricevuti dall’Agenzia delle Entrate, il Garante per la protezione dei dati personali ha esaminato nel dettaglio la spinosa questione della diffusione via Internet dei dati reddituali dei cittadini italiani e ha emanato un apposito provvedimento in data 6 maggio 2008.
Analizziamo, quindi, il contenuto del provvedimento del Garante e quali potrebbero essere le conseguenze giuridiche (civili e penali?) della eventuale diffusione dei dati via Internet da parte degli utenti che hanno scaricato tali dati dai siti web oppure mediante i programmi di file sharing (P2P). Difatti, anche se i dati sono rimasti on line poche ore, sono stati subito copiati e condivisi da molti utenti.
L’Authority ha fatto riferimento sia alla normativa vigente (art. 69 d.p.r. 600/73 e art. 66-bis d.p.r. 633/72) che al provvedimento del Direttore dell’Agenzia dell’Entrate (5 marzo 2008, n. prot. 197587/2007).
Secondo il Garante, il provvedimento del Direttore dell’Agenzia poteva stabilire solo "i termini e le modalità" per la formazione degli elenchi, che devono poi essere distribuiti ai soli uffici territorialmente competenti dell’Agenzia e trasmessi (anche mediante supporti magnetici o sistemi telematici) ai soli comuni interessati: in entrambi i casi ciò avviene in relazione ai soli contribuenti dell’ambito territoriale interessato. Il deposito dura un anno e chiunque può consultare i dati, ma non estrarne copia. I dati diffusi su Internet, però, potrebbero essere consultabili per sempre e non per un anno come previsto dalla legge.
Oltretutto, è stato reso possibile l’accesso indiscriminato a innumerevoli dati di tutti i contribuenti, con le relative possibilità di estrarne copia, di formare archivi, modificare ed elaborare i dati stessi, di creare liste di profilazione e immettere tali informazioni in ulteriore circolazione in rete, nonché, in alcuni casi, in vendita.
Inoltre, nel caso di specie non trova applicazione il Codice dell’amministrazione digitale (invocato dall’Agenzia a sostegno della propria scelta), perché l’incentivo all’uso delle tecnologie informatiche e telematiche nell’utilizzo dei dati delle pubbliche amministrazioni deve essere raccordato con i limiti alla conoscibilità dei dati previsti da leggi e regolamenti, oltre che con le norme e le garanzie in tema di protezione dei dati personali.
La diffusione via Internet dei dati non solo è stata illegittima perché carente di una base giuridica e disposta senza consultare il Garante, ma ha anche comportato anche una modalità di diffusione sproporzionata in rapporto alle finalità per le quali la disciplina vigente prevede una trasparenza relativa. Infatti, i dati sono stati resi consultabili non presso ciascun ambito territoriale interessato (come previsto dalla normativa), ma ovunque e anche da parte di cittadini stranieri.
La forma di pubblicazione degli elenchi nominativi prevista dal provvedimento dell’Agenzia delle Entrate è quindi illegittima, almeno secondo il Garante.
L’Autorità ha così inibito all’Agenzia la diffusione ulteriore in Internet dei tanto contestati elenchi e ciò anche per i periodi di imposta successivi al 2005 in carenza di un’idonea base normativa e della preventiva consultazione del Garante.
Inoltre, ha contestato all’Agenzia la violazione amministrativa per l’assenza di un’idonea e preventiva informativa ai contribuenti interessati.
In ogni caso, chiunque può in ogni caso consultare gli elenchi presso comuni interessati e uffici dell’Agenzia competenti territorialmente, ai fini di un loro legittimo utilizzo anche per finalità giornalistiche.
L’Agenzia delle Entrate potrebbe impugnare il provvedimento del Garante dinanzi l’autorità giudiziaria, ma probabilmente preferirà non gettare altra benzina sul fuoco.
Il Garante della privacy ha espressamente affermato che chi ha ottenuto i dati dei contribuenti provenienti, anche indirettamente, dal sito Internet dell’Agenzia, non può metterli ulteriormente in circolazione stante la violazione di legge ormai accertata. Tale ulteriore loro messa in circolazione, in particolare mediante reti telematiche o altri supporti informatici, configura un fatto illecito che, ricorrendo determinate circostanze, può avere anche natura di reato.
La norma applicabile non sarebbe, con ogni probabilità, l’art. 170 cod. priv. (Inosservanza di provvedimenti del Garante), ai sensi del quale “Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni”. Infatti, il provvedimento del Garante è stato emesso ex art. 143, comma 1, lettera c), nei confronti dell’Agenzia delle Entrate.
Verso tutti gli altri, però, potrebbe trovare applicazione l’art. 167 cod. priv.(Trattamento illecito di dati), ai sensi del quale “1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni”.
Si può rispondere penalmente, dunque, solo se si trae profitto (per sé o per altri) o se si vuole cagionare un danno. Pertanto, sarà difficile che qualcuno sarà effettivamente condannato per la violazione di tale norma. Ma la parola passerà alle Procure della Repubblica…
Dal punto di vista civilistico troverebbe sicuramente applicazione l’art. 15 cod. priv., ai sensi del quale chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento se non prova di aver adottato tutte le misure idonee ad evitare il danno.
Si consideri, comunque, che non vi sono molti dubbi in ordine all’antigiuridicità di un simile trattamento di dati personali, per cui se qualcuno subisse un danno in seguito a tale diffusione potrebbe ottenere il relativo risarcimento. Ma il danno deve essere provato sia nella sua sussistenza sia nel suo ammontare (salvo la possibilità di richiedere la liquidazione in via equitativa all’autorità giudiziaria).
Il Garante ha affermato che, qualora il Parlamento e il Governo intendessero porre mano a una revisione normativa della disciplina sulla conoscibilità degli elenchi dei contribuenti anche in rapporto all’evoluzione tecnologica, si porrà l’esigenza di individuare, sentita la stessa Autorità, opportune soluzioni e misure di protezione per garantire un giusto equilibrio tra l’esigenza di forme proporzionate di conoscenza dei dati dei contribuenti e la tutela dei diritti degli interessati.
In realtà, vi sono dei modi per garantire l’interesse alla pubblica conoscibilità dei dati delle dichiarazioni dei redditi degli italiani nel rispetto della loro privacy: ad esempio, potrebbero essere resi consultabili solo agli utenti registrati identificati con certezza. Già oggi, infatti, è possibile registrarsi al sito dell’Agenzia delle Entrate per usufruire di alcuni servizi telematici. La consultazione di tali elenchi, così, potrebbe essere un nuovo servizio che consentirebbe sia di renderli disponibili solo per il periodo di tempo previsto dalla legge sia di evitarne una diffusione indiscriminata; inoltre, consentirebbe di tenere traccia delle richieste effettuate.
Vedremo cosa succederà. Ma ormai gli elenchi nominativi dei contribuenti relativi al 2005 sono usciti dalla sfera di controllo dell’Agenzia dell’Entrate e la paventata possibilità di sanzioni civili e penali probabilmente non bloccherà la diffusione di tali dati, soprattutto se essi non verranno trattati in Italia.
