Redditometro: concluso l’esame del Garante

redditometroIl Garante per la privacy ha dato il via libera al cosiddetto “redditometro”, ma ha prescritto all’Agenzia delle entrate l’adozione di una serie di misure e accorgimenti per ridurre al minimo i rischi per la privacy delle persone e nel contempo rendere lo strumento di accertamento più efficace nella lotta all’evasione fiscale.

Va ricordato che per calcolare lo scostamento tra i redditi dichiarati e le spese effettuate e per selezionare i contribuenti da sottoporre a controlli, il nuovo redditometro si fonda:

  • sul trattamento automatizzato di dati personali in possesso dell’Agenzia delle entrate – comunicati dallo stesso contribuente o da soggetti esterni (es. società telefoniche, assicurazioni) – e
  • sull’imputazione anche di spese presunte, determinate sulla base dell’attribuzione automatica al contribuente di un determinato “profilo”.

Questo tipo di trattamento, che comporta la “profilazione” dei contribuenti e presenta rischi specifici per i diritti fondamentali delle persone, ha reso necessaria la verifica preliminare del redditometro da parte del Garante.

L’Amministrazione finanziaria ha scelto di quantificare le spese presunte anche ricorrendo alle cosiddette “spese medie Istat” ricavate dall’appartenenza del contribuente ad una specifica tipologia di famiglia e alla residenza in una determinata aera geografica.

Criticità

Nel corso della complessa e approfondita verifica preliminare svolta dal Garante sul sistema di accertamento sintetico del reddito dei contribuenti, sono emersi, anche a seguito di accertamenti ispettivi, numerosi profili di criticità (derivanti, peraltro, anche dallo stesso Decreto ministeriale di attuazione del nuovo redditometro) che rendevano il sistema non conforme alle norme sulla privacy.

In particolare, riguardo:

  • alla qualità ed esattezza dei dati utilizzati dall’Agenzia delle entrate;
  • all’individuazione in via presuntiva della spesa sostenuta da ciascun contribuente riguardo ad ogni aspetto della vita quotidiana (tempo libero, libri, pasti fuori casa etc.) mediante l’attribuzione alla generalità dei soggetti censiti nell’anagrafe tributaria della spesa media rilevata dall’Istat;
  • all‘informativa da rendere al contribuente.

Alcune di queste criticità  sono state risolte già nel corso della verifica preliminare mediante i correttivi apportati dall’Agenzia delle entrate, anche su indicazione del Garante. Ulteriori misure a garanzia dei contribuenti sono state invece prescritte dall’Autorità con il provvedimento odierno.

Le nuove misure prescritte dal Garante

Ecco in sintesi le misure che renderanno il nuovo redditometro conforme alla normativa sulla privacy.

Profilazione
Il reddito del contribuente potrà essere ricostruito utilizzando unicamente spese certe e spese che valorizzano elementi certi (possesso di beni o utilizzo di servizi e relativo mantenimento) senza utilizzare spese presunte basate unicamente sulla media Istat.

Spese medie Istat
I dati delle spese medie Istat non possono essere utilizzati per determinare l’ammontare di spese frazionate e ricorrenti (es. abbigliamento, alimentari, alberghi etc.) per le quali il fisco non ha evidenze certe. Tali dati infatti, riferibili allo standard di consumo medio familiare, non possono essere ricondotti correttamente ad alcun individuo, se non con notevoli margini di errore in eccesso o in difetto.

Fitto figurativo
Il cosiddetto “fitto figurativo” (attribuito al contribuente in assenza di abitazione in proprietà o locazione nel comune di residenza) non verrà utilizzato per selezionare i contribuenti da sottoporre ad accertamento, ma solo ove necessario a seguito del contraddittorio. Il “fitto figurativo” dovrà essere attribuito solo una volta verificata la corretta composizione del nucleo familiare, per evitare le incongruenze riscontrate dal Garante (che comportavano l’attribuzione automatica a 2 milioni di minori della spesa fittizia per l’affitto di una abitazione).

Esattezza dei dati
L’Agenzia dovrà porre particolare attenzione alla qualità e all’esattezza dei dati al fine di prevenire e correggere le evidenti anomalie riscontrate nella banca dati o i disallineamenti tra famiglia fiscale e anagrafica. La corretta composizione della famiglia è infatti rilevante per la ricostruzione del reddito familiare, l’individuazione della tipologia di famiglia o l’attribuzione del fitto figurativo.

Informativa ai contribuenti
Il contribuente dovrà essere informato, attraverso l’apposita informativa allegata al modello di dichiarazione dei redditi e disponibile anche sul sito dell’Agenzia delle entrate, del fatto che i suoi dati personali saranno utilizzati anche ai fini del redditometro.

Contraddittorio
Nell’invito al contraddittorio dovrà essere specificata chiaramente al contribuente  la natura obbligatoria o facoltativa degli ulteriori dati richiesti dall’Agenzia (es. estratto conto) e le conseguenze di un eventuale rifiuto anche parziale a rispondere.

Dati presunti di spesa, non ancorati ad alcun elemento certo e quantificabili esclusivamente sulla base delle spese Istat, non potranno costituire oggetto del contraddittorio. E questo perché la richiesta di tali dati  – relativi ad ogni aspetto della vita quotidiana, anche risalenti nel tempo – entra in conflitto con i principi generali di riservatezza e protezione dati sanciti in particolare dalla Convenzione europea dei diritti dell’uomo.

Videosorveglianza nei supermercati senza ledere la dignità dei lavoratori

tvcc3Nel mirino del Garante le società della grande distribuzione con sistemi di videosorveglianza non a norma.

La legittima esigenza di tutelare il patrimonio, di proteggersi da furti e rapine con impianti di videosorveglianza, non autorizza i supermercati a operare in violazione delle libertà fondamentali e della dignità di dipendenti e clienti.

Lo ribadisce il Garante in seguito ai risultati di un’attività ispettiva  nel settore della grande distribuzione, che ha rilevato come numerose società non avevano rispettato le garanzie previste:

  • dallo Statuto dei lavoratori,
  • dalla normativa sulla privacy
  • dal provvedimento generale in materia di videosorveglianza predisposto dalla stessa Autorità.

Dagli accertamenti disposti dal Garante, è emerso, ad esempio, che tra le società sottoposte ad ispezione, cinque non avevano ottenuto un preventivo accordo sindacale o richiesto l’apposita autorizzazione al competente ufficio del Ministero del lavoro [doc. web n. 26052902578071257720325772272691507].

A tal proposito, l’Autorità ha sottolineato che non è sufficiente che i lavoratori siano stati informati o che abbiano addirittura acconsentito all’installazione del telecamere per far venir meno le specifiche tutele previste dalla normativa o lo stesso divieto di controllo a distanza.

Una sesta società [doc. web n. 2683203], a differenza dalle precedenti, aveva sì ottenuto l’autorizzazione dell’ufficio ministeriale ad installare l’impianto di videosorveglianza, ma non ne aveva poi rispettato tutte le prescrizioni.

Dalle verifiche condotte, sia a campione sia in seguito a segnalazioni, dal Nucleo Speciale Privacy della Guardia di Finanza, sono state riscontrate anche altre violazioni: alcuni esercizi commerciali conservavano le immagini per un arco temporale non giustificato da esigenze specifiche (ad esempio, per ripetuti furti o rapine) così come invece stabilito dal provvedimento generale del Garante in materia di videosorveglianza.

Due dei supermercati controllati dal Garante, inoltre, non avevano provveduto a segnalare adeguatamente la presenza delle telecamere con appositi cartelli o avevano omesso di indicare chi fosse il titolare del trattamento.

Il legale rappresentante di un supermercato aveva addirittura dichiarato al nucleo ispettivo che l’impianto di videosorveglianza non era in funzione, salvo poi doversi smentire di fronte alle evidenze raccolte.

L’Autorità ha dichiarato illecito il trattamento dei dati personali effettuato dalle sei società tramite i sistemi di videosorveglianza e ha disposto che tutti gli esercizi commerciali si adeguino entro trenta giorni alle misure prescritte alla luce della normativa sulla privacy e dallo Statuto dei lavoratori.

Sono in arrivo ulteriori provvedimenti nei confronti di altre società della grande distribuzione.

 

Call center extra Ue più trasparenti

9779804-dipendenti-che-lavorano-in-un-call-centerIl Garante avvia una ricognizione delle attività di customer care e telemarketing fuori Ue

Cresce il fenomeno dei call center delocalizzati in Paesi al di fuori dell’Unione europea e il Garante privacy interviene a tutela dei cittadini italiani.

Con un provvedimento a carattere generale [doc. web n. 2724806],  adottato al termine di una articolata istruttoria,  il Garante ha ribadito le regole alle quali devono attenersi società e enti pubblici, che si avvalgono per le loro attività di customer care o di telemarketing di call center situati in Paesi dove non sono assicurate le garanzie previste dalla normativa comunitaria.

Il nuovo provvedimento ricorda le regole generali da rispettare per i trasferimenti di dati:

  • autorizzazione del Garante,
  • adozione di regole di condotta infragruppo (le cosiddette “binding corporate rules“, Bcr),
  • sottoscrizione tra le parti delle clausole contrattuali tipo stabilite dalla Commissione europea o quelle già indicate in specifici ambiti di attività (ad.es. per il telemarketing).

Ma soprattutto introduce importanti novità.

  • i titolari del trattamento (società e enti pubblici) che utilizzano tali call center dovranno infatti integrare l’informativa resa al momento del contatto con l’utente specificando anche la nazione dalla quale chiamano o rispondono;
  • per le chiamate in entrata,  in analogia a quanto previsto dalla normativa in vigore, i call center dovranno adottare apposite procedure per dare all’utente la possibilità di scegliere un operatore collocato sul territorio nazionale (ad es. deviando la telefonata o disponendo un successivo contatto da parte di un operatore italiano);
  • d’ora in poi, inoltre, i titolari dal trattamento che intendono trasferire (o affidare) il trattamento di dati personali a un call center situato in Paesi extra Ue dovranno prima darne comunicazione al Garante, utilizzando un modello che sarà messo a disposizione sul sito dell’Autorità (www.garanteprivacy.it). 

I call center che già operano in Pesi extra Ue dovranno invece informare il Garante entro 30 giorni dalla pubblicazione del provvedimento nella Gazzetta ufficiale.

Ciò consentirà di acquisire elementi utili a comprendere l’ampiezza di un fenomeno in continua espansione e permetterà all’Autorità di valutare la portata del trasferimento dei dati personali al di fuori dall’Unione europea per i trattamenti operati dai call center, anche al fine di intervenire con tempestività ed efficacia in caso di violazioni del Codice privacy.