Corte UE: vietato trasmettere dati fiscali personali senza consenso

lentepubblica.it • 2 Ottobre 2015

La domanda di pronuncia pregiudiziale proposta dinanzi alla Corte UE verte sull’interpretazione dell’articolo 124 TFUE nonché degli articoli 10, 11 e 13 della direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Tale domanda è stata sollevata nell’ambito di una controversia che oppone alcuni contribuenti, alla Cassa nazionale malattie e all’Amministrazione tributaria rumena a proposito del trattamento di alcuni dati fiscali personali.

I protagonisti della controversia

I ricorrenti percepiscono reddito da lavoro autonomo. L’amministrazione tributaria nazionale ha trasmesso alla Cassa i dati relativi ai loro redditi dichiarati. Sulla base di tali dati, la Cassa ha richiesto il pagamento di contributi arretrati per l’assicurazione malattia. Tali ricorrenti hanno adito la competente autorità giurisdizionale contestando la legittimità, ai sensi della direttiva 95/46, della trasmissione dei dati fiscali relativi ai loro redditi. A loro avviso, tali dati personali sarebbero stati trasmessi e utilizzati, in base a un semplice protocollo interno, per finalità diverse da quelle per cui erano stati inizialmente comunicati all’amministrazione finanziaria, senza il consenso espresso degli interessati e senza che essi ne fossero previamente informati.

Tutto ciò permesso, la Corte competente ha sottoposto al vaglio pregiudiziale della Corte Ue una questione pregiudiziale, con cui chiede se gli articoli 10, 11 e 13 della direttiva 95/46 debbano essere interpretati nel senso che essi ostano a misure nazionali che consentono a un’amministrazione pubblica di uno Stato membro di trasmettere dati personali a un’altra amministrazione pubblica, a fini di trattamento, senza che le persone interessate siano state informate né di tale trasmissione né del successivo trattamento.

Le valutazioni della Corte UE

Al riguardo, la Corte UE rileva che i dati fiscali trasmessi alla Cassa dall’Amministrazione tributaria costituiscono dati personali, poiché si tratta di informazioni relative ad una persona fisica identificata o identificabile. La loro trasmissione da parte dell’Amministrazione tributaria, organismo incaricato della gestione della base di dati che li contiene, e il loro susseguente trattamento da parte della Cassa presentano pertanto carattere di ‘trattamento di dati personali’ ai sensi dell’articolo 2, lettera b), della stessa direttiva. Sulla base del capo II della direttiva 95/46, intitolato “Condizioni generali di liceità dei trattamenti di dati personali”, ad eccezione delle deroghe ammesse dall’articolo 13 di tale direttiva, qualsiasi trattamento di dati personali deve essere conforme, da un lato, ai principi relativi alla qualità dei dati enunciati all’articolo 6 di quest’ultima e, dall’altro, a uno dei principi relativi alla legittimazione del trattamento dei dati elencati all’articolo 7 della stessa direttiva.

Inoltre, il responsabile del trattamento dei dati, o il suo rappresentante, è soggetto a un obbligo d’informazione le cui modalità, enunciate agli articoli 10 e 11 della direttiva 95/46, variano a seconda che i dati siano, o non siano, stati raccolti presso la persona interessata, fatte salve le deroghe ammesse ai sensi dell’articolo 13 della medesima direttiva. La condizione del trattamento leale dei dati personali prevista all’articolo 6 della direttiva 95/46 obbliga un’amministrazione pubblica a informare le persone interessate della trasmissione di tali dati a un’altra amministrazione pubblica che li tratterà in qualità di destinataria di detti dati.

La mancanza di informazione preventiva

I ricorrenti nel procedimento principale non sono stati informati dall’Amministrazione finanziaria della trasmissione alla Cassa dei dati personali loro relativi. L’articolo 315 della legge n. 95/2006 (norma di diritto interno) prevede espressamente che “ i dati necessari per accertare la qualità di assicurato siano trasmessi gratuitamente alle casse malattia dalle autorità, dalle istituzioni pubbliche e dalle altre istituzioni su base di protocollo”. Tuttavia, i dati necessari all’accertamento della qualità di assicurato, ai sensi di detta disposizione, non includono quelli relativi ai redditi e la legge riconosce la qualità di assicurato anche alle persone senza redditi imponibili. Ciò premesso, l’articolo 315 della legge n. 95/2006 non può costituire, ai sensi dell’articolo 10 della direttiva 95/46, un’informazione preventiva che consenta al responsabile del trattamento di essere dispensato dall’obbligo di informare le persone, presso le quali raccoglie i dati di reddito, dei destinatari dei medesimi dati. Ne consegue che la trasmissione di cui trattasi non può essere considerata avvenuta in conformità delle disposizioni dell’articolo 10 della direttiva 95/46.

Occorre verificare se tale assenza d’informazione delle persone interessate possa rientrare nell’ambito di applicazione dell’articolo 13 di detta direttiva. Risulta, infatti, dal paragrafo 1, lettere e) e f), di detto articolo 13 che gli Stati membri possono limitare la portata degli obblighi e dei diritti previsti dalle disposizioni dell’articolo 10 della stessa direttiva qualora tale restrizione costituisca una misura necessaria alla salvaguardia “di un rilevante interesse economico o finanziario di uno Stato membro (…) anche in materia monetaria, di bilancio e tributaria” o “di un compito di controllo, ispezione o disciplina connesso, anche occasionalmente, con l’esercizio dei pubblici poteri nei casi di cui alle lettere c), d) ed e)”. Tuttavia, detto articolo 13 richiede espressamente che tali restrizioni siano adottate tramite legge.

Orbene, oltre alla circostanza, secondo la quale i dati di reddito non fanno parte dei dati personali necessari all’accertamento della qualità di assicurato, la Corte UE osserva che la disposizione normativa interna prevede, in linea di principio, la trasmissione di detti dati personali detenuti da autorità, da istituzioni pubbliche o da altre istituzioni.

Inoltre la definizione delle informazioni trasmissibili e le modalità di attuazione della trasmissione di tali informazioni sono state elaborate non tramite una misura legislativa, bensì con protocollo stipulato tra l’Amministrazione tributaria e la Cassa, il quale non risulta pubblicato ufficialmente.

Pertanto, non possono ritenersi soddisfatte le condizioni stabilite dall’articolo 13 della direttiva 95/46 perché uno Stato membro possa derogare ai diritti e agli obblighi che discendono dall’articolo 10 di questa stessa direttiva. Quanto, in secondo luogo, all’articolo 11 di detta direttiva, esso prescrive, al paragrafo 1, che il responsabile del trattamento di dati non raccolti presso la persona interessata fornisca a quest’ultima le informazioni elencate alle lettere da a) a c).

Tali informazioni riguardano l’identità del responsabile di detto trattamento, le finalità del trattamento e ogni altra informazione necessaria per effettuare un trattamento leale dei dati. Tra dette informazioni supplementari, l’articolo 11, paragrafo 1, lettera c), della stessa direttiva menziona esplicitamente “le categorie di dati interessate” e “se esiste un diritto di accesso ai dati e di rettifica in merito ai dati che (…) riguardano la persona interessata”. Da ciò deriva che, in ossequio all’articolo 11, paragrafo 1, lettere b) e c), della direttiva 95/46, il trattamento da parte della Cassa dei dati trasmessi dall’Amministrazione finanziaria implicava che le persone interessate da detti dati fossero informate delle finalità di tale trattamento nonché delle categorie di dati trattate. Al riguardo risulta che la Cassa non ha fornito ai ricorrenti le informazioni elencate all’articolo 11, paragrafo 1, lettere da a) a c), di detta direttiva.

Le conclusioni degli eurogiudici

Tutto ciò premesso, la Corte UE perviene alla conclusione che gli articoli 10, 11 e 13 della direttiva 95/46 devono essere interpretati nel senso che essi ostano a misure nazionali, come quelle di cui si tratta nel procedimento principale, che consentono a un’amministrazione pubblica di uno Stato membro di trasmettere dati personali a un’altra amministrazione pubblica, a fini di trattamento, senza che le persone interessate siano state informate né di tale trasmissione né del successivo trattamento.

Data della sentenza

1 ottobre 2015

Numero della causa

C-201/14

Nome delle parti