In relazione ai criteri di rischio funzionali all’emersione delle posizioni fiscali da controllare, anche per incentivare l’adempimento spontaneo, i dati personali trattati sono quelli già contenuti nelle banche dati: dichiarazioni fiscali; patrimonio mobiliare e immobiliare; dati contabili e finanziari; dati dei pagamenti, versamenti e delle compensazioni; dati di profilazione attinenti ad eventuali indicatori di rischio desunti o derivati attribuiti ai soggetti. Non sono oggetto di trattamento i dati personali particolari di cui all’art. 9 del Regolamento UE n. 2016/679: origini razziali o etniche; opinioni politiche; convinzioni religiose; appartenenza sindacale; dati genetici, biometrici, relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
I dati selezionati (dataset) sono conservati fino al 2° anno successivo a quello di decadenza della potestà impositiva, in ogni caso, fino alla definizione di eventuali giudizi. In tale biennio, Agenzia delle Entrate e Guardia di Finanza adottano misure di garanzia idonee ad escludere che i dati siano trattati per finalità diverse dall’esercizio del diritto di accesso da parte degli interessati; scaduto il periodo i dataset vengono cancellati, ad esclusione di quelli per i quali sono fissati criteri di conservazione in relazione alle finalità per cui ciascun dato è stato raccolto.
In ordine alla decorrenza dell’esercizio del diritto di accesso, incluso quello di ottenere dal titolare del trattamento conferma che questo sia o meno in corso, i contribuenti sono classificati in 3 categorie:
- contribuenti destinatari delle attività di stimolo all’adempimento spontaneo, dal momento di ricezione dell’invito a regolarizzare la posizione fiscale;
- contribuenti destinatari delle attività di controllo, dalla data di consegna del processo verbale di constatazione o dalla notifica dell’atto istruttorio o del provvedimento impositivo;
- contribuenti non rientranti in una delle precedenti categorie, dal primo giorno successivo a quello di decadenza della potestà impositiva.
Il diritto alla cancellazione non è applicabile: il trattamento dati è effettuato nell’esercizio dei pubblici poteri di cui è investito il titolare del medesimo, ossia Agenzia delle Entrate e Guardia di Finanza, tenuti a trattare in modo esclusivo i dati personali indispensabili ed effettuare le operazioni di trattamento strettamente necessarie a prevenire e contrastare l’evasione e l’elusione fiscale. Affidabilità e accuratezza del modello di analisi e dei criteri di rischio utilizzati devono garantire che siano limitati i rischi di ingerenze nei confronti dei contribuenti che non presentano rischi fiscali significativi, nonché contenere i rischi di erronea rappresentazione della capacità contributiva dei medesimi.
Gli atti e provvedimenti inviati ai contribuenti devono sempre illustrare il rischio fiscale identificato e i dati utilizzati per individuarlo.
