Scambio automatico informazioni: attivato il portale online – e la protezione dati?

Da poco più di una settimana è attivo il portale AFC Suisse Tax per lo scambio automatico di informazioni. Lo ha annunciato l’AFC che con una comunicazione del 20 marzo 2017 ha reso noto che gli istituti finanziari svizzeri tenuti alla comunicazione di dati bancari possono iscriversi sul portale e adempiere il loro obbligo di informazione.

Detti enti, tenuti alla comunicazione, devono registrarsi entro la fine del 2017, affinché lo scambio automatico dei primi dati possa avvenire nel 2018. L’AFC nel suo comunicato evidenzia che l’attivazione della funzione di registrazione sul portale AFC Suisse Tax rappresenta un ulteriore importante passo verso l’attuazione dello scambio automatico internazionale di informazioni.

Ricordiamo che le nuove regole introdotte dal Common Reporting Standard (‘CRS’) sviluppate dall’OCSE stabiliscono l’obbligo degli istituti finanziari a raccogliere e scambiare informazioni riguardanti i loro clienti – nonché le persone collegate a strutture patrimoniali (società, trusts, fondazioni) con conti bancari presso l’istituto finanziario di turno. In particolare le informazioni da raccogliere e scambiare – sia per quel che riguarda i titolari di conti detenuti in maniera diretta, sia per persone collegate a società, trusts e fondazioni, sono: il nome, il luogo e la data di nascita, il numero d’identificazione fiscale, il nome della banca, il numero del conto, il saldo o il valore del conto e il reddito relativo maturato dalla relazione bancaria durante l’anno fiscale.

La natura delle informazioni da raccogliere, e il fatto che il loro scambio sarà automatico (e quindi indipendente da qualunque situazione di potenziale rischio di evasione fiscale) solleva la spinosa questione della compatibilità delle nuove regole con il diritto fondamentale della privacy e della protezione dati, così come sanciti dal diritto svizzero (legge federale sulla protezione dati, LPD e art. 13 cpv. 2 della Costituzione federale) e da quello internazionale (art. 8 della CEDU e art. 7 e 8 della Carta dei diritti fondamentali dell’UE).

Nell’era Internet molti si chiederanno se il diritto alla privacy e alla protezione dati trovano ancora un posto. In molti paesi affetti da corruzione, violenza e rapimenti, la protezione della privacy assume una valenza esistenziale. Questo non è forse il caso in paesi più sviluppati. Tuttavia, il dibattito che ha seguito le rivelazioni di Edward Snowden dimostrano che il diritto alla privacy e alla protezione dati rimangono un tema fondamentale anche in Europa. In ambito europeo, la tutela della sfera privata è culminato nella sentenza della Corte di giustizia europea del 6 ottobre 2015 nel caso di Maximilian Schrems, un giovane studente austriaco di giurisprudenza che aveva messo in dubbio la legalità di un accordo del 2000 tra UE e USA che permetteva il trasferimento di dati oltreoceano da parte dei giganti tecnologici statunitensi. Il giovane Schrems – membro attivo di Facebook – aveva sostenuto (sulla base delle rivelazioni di Snowden) che una volta giunti negli Stati Uniti, i dati personali dei membri della piattaforma sociale potevano impunemente essere monitorate dalle autorità americane, in diretta violazione del diritto alla privacy sancito dal diritto europeo. La Corte di Giustizia Europea ha dato ragione a Schrems e nella sentenza che ha dichiarato invalido l’accordo del 2000 sul trasferimento transoceanico di dati ha sancito che la raccolta generalizzata da parte di autorità statali (nel caso in questione, da parte dei servizi di sorveglianza statunitensi), senza limitazioni ed eccezioni rappresentava una violazione inaccettabile del diritto europeo della privacy.

Lo stesso Garante europeo della protezione dei dati (GEPD), in un rapporto sull’Accordo CRS tra Svizzera e l’UE ha espresso perplessità circa la proporzionalità delle nuove regole, sottolineando tra l’altro che lo scambio di informazioni avviene in maniera generalizzata e quindi indipendente da un rischio concreto di evasione fiscale, mettendo in dubbio il rispetto del principio della proporzionalità sancito dal diritto europeo in tema di privacy e protezione dati.

Sempre a livello europeo il gruppo di lavoro ex art. 29 (che è stato istituito dall’art. 29 della direttiva 95/46, ed è un organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione), ha espresso seri dubbi in relazione al principio della proporzionalità con riferimento al CRS.

Nonostante i gridi di allarme lanciati dalle autorità europee in materia di protezione dati, i governi di mezzo mondo, inclusa la Svizzera, continuano imperterriti nell’implementazione del CRS, come dimostrato dall’annuncio del lancio del portale AFC Tax Suisse.

L’amico, avv. Filippo Noseda (ticinese trapiantato a Londra), almeno da un anno tiene conferenze in tutto il mondo ed è intervenuto come esperto davanti alle autorità europee della protezione dati, evidenziando le criticità del CRS in rapporto alla tutela della sfera privata. Si è detto che con il CRS vengono scambiate una miriade di informazioni, che spesso non hanno niente di rilevante con la fiscalità domestica. I principi contenuti nella decisone “Schrems” possono portare a mettere in discussione la compatibilità, in taluni casi, del CRS con la tutela della sfera privata. In effetti la Corte Europea di Giustizia tra le altre cose ha sentenziato che “una normativa che consente alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche pregiudica il contenuto essenziale del diritto fondamentale al rispetto della vita privata. Analogamente una normativa che non prevede alcuna possibilità per il singolo di avvalersi di rimedi giuridici alfine di accedere a dati personali che lo riguardano, oppure di ottener la rettifica o la soppressione di tali dati, non rispetta il contenuto essenziale del diritto fondamentale ad una tutela giurisdizionale effettiva”.

E a livello svizzero? La legge federale sullo scambio automatico internazionale di informazioni a fini fiscali (LSAI) costituisce la base legale per la trasmissione di dati. Essa contempla due livelli di trattamento del dato personale. Il primo livello d’informazione consiste nella trasmissione dei dati dall’istituto finanziario svizzero all’AFC (art. 19 cpv. 1 LSAI); a questo stadio è applicabile la LPD. Il secondo livello attiene alla trasmissione dall’AFC allo Stato estero (art. 19 cpv. 2 LSAI), la tutela dei diritti è quella contemplata dalla legge sulla procedura amministrativa. Quid? Al primo livello, ossia quello appena implementato dall’AFC con il portale, vi è un rinvio esplicito alla legge sulla protezione dei dati, e quindi ai suoi principi generali, segnatamente: trattamento lecito, in buona fede, conforme al principio di proporzionalità, limitato allo scopo indicato nella legge, raccolta limitata alla finalità del trattamento e consenso della persona interessata. Già a questo stadio occorrerebbe quindi soffermarsi sulle questioni già evocate in ambito europeo: il principio della proporzionalità è rispettato? Deroghe ed eccezioni alla tutela dei dati personali vanno limitate allo stretto necessario per lo scopo del trattamento. Dovrebbero quindi essere trasmessi soltanto i conti non dichiarati fiscalmente (non compliant)? Sarebbe quindi opportuno che già da oggi, ossia prima che i dati vengano comunicati all’estero e si pongano i problemi attinenti ai possibili pregiudizi della personalità della persona interessata e della mancata legislazione estera che assicuri una protezione adeguata, che ci si interroghi, o piuttosto si interroghi il giudice civile, se la trasmissione dei dati dall’istituto finanziario all’AFC (che funge da “passa carte”), costituisca un trattamento privo di giustificazione e senza il consenso della persona interessata.

In conclusione, è mia opinione che tutti siamo convinti che oggi bisogna essere fiscalmente trasparenti, ma è altresì importante considerare che la lotta all’evasione fiscale non può costituire un ulteriore grimaldello per ledere la sfera privata.

Pubblicato su: Corriere del Ticino – 31 marzo 2017