IL MINISTRO DELL'ECONOMIA
E DELLE FINANZE
Visto l'art. 1, comma 683, della legge 27 dicembre 2019, n. 160,
(legge di bilancio per l'anno 2020) il quale prevede che, nel
rispetto delle disposizioni di cui all'art. 2-undecies, comma 3, del
codice di cui al decreto legislativo 30 giugno 2003, n. 196, nonche'
dell'art. 23, paragrafo 1, del regolamento (UE) 2016/679 del
Parlamento europeo e del Consiglio del 27 aprile 2016, considerati i
principi di necessita' e di proporzionalita', limitatamente al
trattamento dei dati contenuti nell'archivio dei rapporti finanziari
di cui al comma 682 del medesimo art. 1, con decreto del Ministro
dell'economia e delle finanze, sentiti il Garante per la protezione
dei dati personali e l'Agenzia delle entrate, siano definite: a) le
specifiche limitazioni e le modalita' di esercizio dei diritti di cui
agli articoli 14, 15, 17, 18 e 21 del regolamento (UE) 2016/679, in
modo da assicurare che tale esercizio non possa arrecare un
pregiudizio effettivo e concreto all'obiettivo di interesse pubblico;
b) le disposizioni specifiche relative al contenuto minimo essenziale
di cui all'art. 23, paragrafo 2, del regolamento (UE) 2016/679; c) le
misure adeguate a tutela dei diritti e delle liberta' degli
interessati;
Visto l'art. 1, comma 682, della legge 27 dicembre 2019, n. 160, il
quale prevede che per le attivita' di analisi del rischio di cui
all'art. 11, comma 4, del decreto-legge 6 dicembre 2011, n. 201,
convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214,
con riferimento all'utilizzo dei dati contenuti nell'archivio dei
rapporti finanziari, di cui all'art. 7, sesto comma, del decreto del
Presidente della Repubblica 29 settembre 1973, n. 605, e all'art. 11,
comma 2, del decreto-legge 6 dicembre 2011, n. 201, convertito, con
modificazioni, dalla legge 22 dicembre 2011, n. 214, l'Agenzia delle
entrate, anche previa pseudonimizzazione dei dati personali, si
avvale delle tecnologie, delle elaborazioni e delle interconnessioni
con le altre banche dati di cui dispone, allo scopo di individuare i
criteri di rischio utili per far emergere le posizioni da sottoporre
a controllo e incentivare l'adempimento spontaneo;
Visto l'art. 1, comma 686, della legge 27 dicembre 2019, n. 160, il
quale prevede che, per le stesse finalita' di cui al comma 682, la
Guardia di finanza utilizza i dati contenuti nell'Archivio dei
rapporti finanziari con le medesime modalita' disciplinate dai commi
da 681 a 685, avvalendosi delle tecnologie, delle elaborazioni e
delle interconnessioni con le altre banche dati di cui e' titolare;
Visto l'art. 7, sesto comma, del decreto del Presidente della
Repubblica 29 settembre 1973, n. 605;
Visto l'art. 11, comma 2, del decreto-legge 6 dicembre 2011, n.
201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n.
214;
Visto l'art. 11, comma 4, del decreto-legge 6 dicembre 2011, n.
201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n.
214;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio del 27 aprile 2016, che disciplina la protezione delle
persone fisiche con riguardo al trattamento dei dati personali,
nonche' la libera circolazione di tali dati e abroga la direttiva
95/46/CE (regolamento generale sulla protezione dei dati), ed in
particolare, gli articoli 14, 15, 17, 18, 21 e 23, paragrafo 2;
Visto l'art. 2-undecies, comma 1, lettera f-bis) e comma 3, del
decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di
protezione dei dati personali), come modificato dall'art. 1, comma
682, della legge 27 dicembre 2019, n. 160, concernente le limitazioni
ai diritti dell'interessato;
Considerata l'esigenza di assicurare che l'obbligo di fornire
all'interessato le informazioni ai sensi dell'art. 14 («Informazioni
da fornire qualora i dati personali non siano stati ottenuti presso
l'interessato»), nonche' l'esercizio dei diritti di cui agli articoli
15 («Diritto di accesso dell'interessato»), 17 («Diritto alla
cancellazione («diritto all'oblio»)»), 18 («Diritto di limitazione di
trattamento») e 21 («Diritto di opposizione») del regolamento (UE) n.
2016/679 non arrechino un pregiudizio effettivo e concreto
all'obiettivo di interesse pubblico di prevenzione e contrasto
all'evasione fiscale;
Considerata la necessita' di individuare disposizioni specifiche
relative al contenuto minimo essenziale di cui all'art. 23, paragrafo
2, del regolamento (UE) 2016/679, adottando misure adeguate a tutela
dei diritti e delle liberta' degli interessati;
Sentiti il Garante per la protezione dei dati personali e l'Agenzia
delle entrate;
Decreta:
Art. 1
Definizioni
1. Ai fini del presente decreto si intendono per:
a) Agenzia: l'Agenzia delle entrate;
b) Operatori finanziari: le banche, la societa' Poste italiane
Spa, gli intermediari finanziari, le imprese di investimento, gli
organismi di investimento collettivo del risparmio, le societa' di
gestione del risparmio, nonche' ogni altro soggetto che pone in
essere rapporti a contenuto finanziario tenuto agli obblighi di cui
all'art. 7, sesto comma, del decreto del Presidente della Repubblica
29 settembre 1973, n. 605 e di cui all'art. 11, commi 2 e 4, del
decreto-legge 6 dicembre 2011, n. 201, convertito, con modificazioni,
dalla legge 22 dicembre 2011, n. 214;
c) Anagrafe tributaria: l'archivio di cui al decreto del
Presidente della Repubblica 29 settembre 1973, n. 605, che raccoglie
e ordina su scala nazionale i dati e le notizie risultanti dalle
dichiarazioni e dalle denunce presentate agli uffici
dell'amministrazione finanziaria e dai relativi accertamenti, nonche'
i dati e le notizie che possono comunque assumere rilevanza ai fini
tributari;
d) Archivio dei rapporti finanziari: l'apposita sezione
dell'Anagrafe tributaria di cui all'art. 7, sesto comma, del decreto
del Presidente della Repubblica 29 settembre 1973, n. 605, in cui
sono archiviati i dati anagrafici dei titolari e dei soggetti che
intrattengono con gli operatori finanziari qualsiasi rapporto o
effettuano operazioni al di fuori di un rapporto continuativo per
conto proprio ovvero per conto o a nome di terzi, compreso il codice
fiscale, nonche', ai sensi dell'art. 11, commi 2 e 3, del
decreto-legge 6 dicembre 2011, n. 211, i totali di dare e avere delle
movimentazioni che hanno interessato i rapporti di cui all'art. 7,
sesto comma, del decreto del Presidente della Repubblica 29 settembre
1973, n. 605, e ogni informazione relativa ai predetti rapporti
necessaria ai fini dei controlli fiscali, ivi inclusi il saldo
iniziale e finale ed il valore medio di giacenza annuo di depositi e
conti correnti bancari e postali;
e) Dato personale: ai sensi dell'art. 4, paragrafo 1, n. 1, del
regolamento (UE) n. 2016/679, qualsiasi informazione riguardante una
persona fisica identificata o identificabile, direttamente o
indirettamente;
f) Dataset di analisi: insieme dei dati selezionati ai fini di
cui all'art. 1, commi da 682 a 686, della legge 27 dicembre 2019, n.
160, per verificare, applicando tecniche e modelli di analisi
coerenti con i criteri di rischio prescelti, la presenza di rischi
fiscali;
g) Dataset di controllo: insieme delle posizioni fiscali dei
contribuenti, caratterizzate dalla ricorrenza di uno o piu' rischi
fiscali, nei confronti dei quali potranno essere avviate le attivita'
di controllo ovvero le attivita' volte a stimolare l'adempimento
spontaneo;
h) Rischio fiscale: il rischio di comportamenti attuati in
violazione di norme di natura tributaria ovvero in contrasto con i
principi o con le finalita' dell'ordinamento tributario;
i) Indicatore di rischio desunto o derivato: risultato di un
processo di profilazione finalizzato a ottenere ulteriori
caratterizzazioni dei contribuenti presenti nel dataset di controllo,
utilizzato esclusivamente nell'ambito del trattamento di cui all'art.
1, commi da 682 a 686, della legge 27 dicembre 2019, n. 160;
j) Interessato: ai sensi dell'art. 4, paragrafo 1, n. 1, del
regolamento (UE) n. 2016/679, la persona fisica identificata o
identificabile cui si riferiscono i dati oggetto di trattamento;
k) Trattamento: ai sensi dell'art. 4, paragrafo 1, n. 2), del
regolamento (UE) n. 2016/679, qualsiasi operazione o insieme di
operazioni, compiute con o senza l'ausilio di processi automatizzati
e applicate a dati personali o insiemi di dati personali;
l) Pseudonimizzazione: ai sensi dell'art. 4, paragrafo 1, n. 5,
del regolamento (UE) n. 2016/679, il trattamento effettuato in modo
tale che i dati personali non possano piu' essere attribuiti a un
interessato specifico senza l'utilizzo di informazioni aggiuntive, a
condizione che tali informazioni aggiuntive siano conservate
separatamente e soggette a misure tecniche e organizzative intese a
garantire che tali dati personali non siano attribuiti a una persona
fisica identificata o identificabile;
m) Titolari del trattamento: l'Agenzia delle entrate e la Guardia
di finanza;
n) Banche dati: gli archivi dei dati nella disponibilita'
dell'Agenzia delle entrate e quelli di cui e' titolare la Guardia di
finanza, richiamati, rispettivamente, dall'art. 1, comma 682 e comma
686, della legge 27 dicembre 2019, n. 160;
o) Dati: i dati presenti nell'archivio dei rapporti finanziari e
nelle altre banche dati richiamate dall'art. 1, commi 682 e 686,
della legge 27 dicembre 2019, n. 160;
p) Regolamento: il regolamento (UE) 2016/679 del Parlamento
europeo e del Consiglio del 27 aprile 2016.