IL MINISTRO DELL'ECONOMIA E DELLE FINANZE Visto l'art. 1, comma 683, della legge 27 dicembre 2019, n. 160, (legge di bilancio per l'anno 2020) il quale prevede che, nel rispetto delle disposizioni di cui all'art. 2-undecies, comma 3, del codice di cui al decreto legislativo 30 giugno 2003, n. 196, nonche' dell'art. 23, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, considerati i principi di necessita' e di proporzionalita', limitatamente al trattamento dei dati contenuti nell'archivio dei rapporti finanziari di cui al comma 682 del medesimo art. 1, con decreto del Ministro dell'economia e delle finanze, sentiti il Garante per la protezione dei dati personali e l'Agenzia delle entrate, siano definite: a) le specifiche limitazioni e le modalita' di esercizio dei diritti di cui agli articoli 14, 15, 17, 18 e 21 del regolamento (UE) 2016/679, in modo da assicurare che tale esercizio non possa arrecare un pregiudizio effettivo e concreto all'obiettivo di interesse pubblico; b) le disposizioni specifiche relative al contenuto minimo essenziale di cui all'art. 23, paragrafo 2, del regolamento (UE) 2016/679; c) le misure adeguate a tutela dei diritti e delle liberta' degli interessati; Visto l'art. 1, comma 682, della legge 27 dicembre 2019, n. 160, il quale prevede che per le attivita' di analisi del rischio di cui all'art. 11, comma 4, del decreto-legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214, con riferimento all'utilizzo dei dati contenuti nell'archivio dei rapporti finanziari, di cui all'art. 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605, e all'art. 11, comma 2, del decreto-legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214, l'Agenzia delle entrate, anche previa pseudonimizzazione dei dati personali, si avvale delle tecnologie, delle elaborazioni e delle interconnessioni con le altre banche dati di cui dispone, allo scopo di individuare i criteri di rischio utili per far emergere le posizioni da sottoporre a controllo e incentivare l'adempimento spontaneo; Visto l'art. 1, comma 686, della legge 27 dicembre 2019, n. 160, il quale prevede che, per le stesse finalita' di cui al comma 682, la Guardia di finanza utilizza i dati contenuti nell'Archivio dei rapporti finanziari con le medesime modalita' disciplinate dai commi da 681 a 685, avvalendosi delle tecnologie, delle elaborazioni e delle interconnessioni con le altre banche dati di cui e' titolare; Visto l'art. 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605; Visto l'art. 11, comma 2, del decreto-legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214; Visto l'art. 11, comma 4, del decreto-legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214; Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, che disciplina la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' la libera circolazione di tali dati e abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), ed in particolare, gli articoli 14, 15, 17, 18, 21 e 23, paragrafo 2; Visto l'art. 2-undecies, comma 1, lettera f-bis) e comma 3, del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), come modificato dall'art. 1, comma 682, della legge 27 dicembre 2019, n. 160, concernente le limitazioni ai diritti dell'interessato; Considerata l'esigenza di assicurare che l'obbligo di fornire all'interessato le informazioni ai sensi dell'art. 14 («Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l'interessato»), nonche' l'esercizio dei diritti di cui agli articoli 15 («Diritto di accesso dell'interessato»), 17 («Diritto alla cancellazione («diritto all'oblio»)»), 18 («Diritto di limitazione di trattamento») e 21 («Diritto di opposizione») del regolamento (UE) n. 2016/679 non arrechino un pregiudizio effettivo e concreto all'obiettivo di interesse pubblico di prevenzione e contrasto all'evasione fiscale; Considerata la necessita' di individuare disposizioni specifiche relative al contenuto minimo essenziale di cui all'art. 23, paragrafo 2, del regolamento (UE) 2016/679, adottando misure adeguate a tutela dei diritti e delle liberta' degli interessati; Sentiti il Garante per la protezione dei dati personali e l'Agenzia delle entrate; Decreta: Art. 1 Definizioni 1. Ai fini del presente decreto si intendono per: a) Agenzia: l'Agenzia delle entrate; b) Operatori finanziari: le banche, la societa' Poste italiane Spa, gli intermediari finanziari, le imprese di investimento, gli organismi di investimento collettivo del risparmio, le societa' di gestione del risparmio, nonche' ogni altro soggetto che pone in essere rapporti a contenuto finanziario tenuto agli obblighi di cui all'art. 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605 e di cui all'art. 11, commi 2 e 4, del decreto-legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214; c) Anagrafe tributaria: l'archivio di cui al decreto del Presidente della Repubblica 29 settembre 1973, n. 605, che raccoglie e ordina su scala nazionale i dati e le notizie risultanti dalle dichiarazioni e dalle denunce presentate agli uffici dell'amministrazione finanziaria e dai relativi accertamenti, nonche' i dati e le notizie che possono comunque assumere rilevanza ai fini tributari; d) Archivio dei rapporti finanziari: l'apposita sezione dell'Anagrafe tributaria di cui all'art. 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605, in cui sono archiviati i dati anagrafici dei titolari e dei soggetti che intrattengono con gli operatori finanziari qualsiasi rapporto o effettuano operazioni al di fuori di un rapporto continuativo per conto proprio ovvero per conto o a nome di terzi, compreso il codice fiscale, nonche', ai sensi dell'art. 11, commi 2 e 3, del decreto-legge 6 dicembre 2011, n. 211, i totali di dare e avere delle movimentazioni che hanno interessato i rapporti di cui all'art. 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605, e ogni informazione relativa ai predetti rapporti necessaria ai fini dei controlli fiscali, ivi inclusi il saldo iniziale e finale ed il valore medio di giacenza annuo di depositi e conti correnti bancari e postali; e) Dato personale: ai sensi dell'art. 4, paragrafo 1, n. 1, del regolamento (UE) n. 2016/679, qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente; f) Dataset di analisi: insieme dei dati selezionati ai fini di cui all'art. 1, commi da 682 a 686, della legge 27 dicembre 2019, n. 160, per verificare, applicando tecniche e modelli di analisi coerenti con i criteri di rischio prescelti, la presenza di rischi fiscali; g) Dataset di controllo: insieme delle posizioni fiscali dei contribuenti, caratterizzate dalla ricorrenza di uno o piu' rischi fiscali, nei confronti dei quali potranno essere avviate le attivita' di controllo ovvero le attivita' volte a stimolare l'adempimento spontaneo; h) Rischio fiscale: il rischio di comportamenti attuati in violazione di norme di natura tributaria ovvero in contrasto con i principi o con le finalita' dell'ordinamento tributario; i) Indicatore di rischio desunto o derivato: risultato di un processo di profilazione finalizzato a ottenere ulteriori caratterizzazioni dei contribuenti presenti nel dataset di controllo, utilizzato esclusivamente nell'ambito del trattamento di cui all'art. 1, commi da 682 a 686, della legge 27 dicembre 2019, n. 160; j) Interessato: ai sensi dell'art. 4, paragrafo 1, n. 1, del regolamento (UE) n. 2016/679, la persona fisica identificata o identificabile cui si riferiscono i dati oggetto di trattamento; k) Trattamento: ai sensi dell'art. 4, paragrafo 1, n. 2), del regolamento (UE) n. 2016/679, qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali; l) Pseudonimizzazione: ai sensi dell'art. 4, paragrafo 1, n. 5, del regolamento (UE) n. 2016/679, il trattamento effettuato in modo tale che i dati personali non possano piu' essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile; m) Titolari del trattamento: l'Agenzia delle entrate e la Guardia di finanza; n) Banche dati: gli archivi dei dati nella disponibilita' dell'Agenzia delle entrate e quelli di cui e' titolare la Guardia di finanza, richiamati, rispettivamente, dall'art. 1, comma 682 e comma 686, della legge 27 dicembre 2019, n. 160; o) Dati: i dati presenti nell'archivio dei rapporti finanziari e nelle altre banche dati richiamate dall'art. 1, commi 682 e 686, della legge 27 dicembre 2019, n. 160; p) Regolamento: il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.