Accertamento, riscossione e contenzioso
18 Ottobre 2021
L’operazione di backup da parte dell’Amministrazione Finanziaria: procedure e Privacy in sede di accesso, ispezione e verifica.
L’era digitale ha portato le imprese a ricorrere, nell’ambito delle procedure decisionali, all’utilizzo in modo imponente della rete interna. Di contro, l’acquisizione di queste informazioni da parte dell’Amministrazione Finanziaria in sede di accessi, ispezione e verifica, ha iniziato a rappresentare un metodo di indagine dal quale non può più prescindere anche per il buon risultato dell’ispezione. Questa operazione denominata di “backup” viene solitamente eseguita da personale specializzato con qualifica di computer forensics e data analisys (acronimo CFDA).
In sede di accesso l’attività eseguita dall’Amministrazione Finanziaria è anche rivolta, pertanto, all’estrazione di informazioni digitali mirate oppure complessivamente a tutti gli strumenti informatici fissi o mobili presenti in azienda (es. chiave usb, server, pc, ecc.). La procedura vede l’acquisizione delle informazioni digitali mediante loro masterizzazione su appositi supporti informatici (cd/dvd) in duplice copia:
Può esserci anche la formazione di una 3^ copia, ma solo su richiesta del contribuente che vorrà averla per esaminare immediatamente i dati acquisiti. Questa tecnica di acquisizione può portare anche a ottenere informazioni non più apparentemente presenti sugli strumenti informatici mediante l’acquisizione delle copie di salvataggio o estrapolando, mediante specifici programmi, quelle apparentemente eliminate.
È inequivocabile che l’acquisizione delle informazioni digitali, apparentemente, può essere vista come una compressione delle nostre libertà e una palese violazione alla privacy. In realtà, in sede di attività ispettiva, non si può evocare alcun tipo di violazione commessa dall’Amministrazione Finanziaria. Analizzando il Codice in materia di protezione dei dati personali (GDPR – D.Lgs. 196/2003, come modificato e integrato dal D.Lgs. 101/2018 che ha recepito il regolamento U.E. 2016/679) si nota che è suddiviso in 3 parti: una 1^ parte di principi e disposizioni generali; una 2^ parte che va a regolare alcuni settori, tra cui la Pubblica Amministrazione; una 3^ parte che prevede le tutele dell’interessato e le sanzioni.
In forza dell’art. 2-ter del GDPR, come modificato e integrato dal D.Lgs. 101/2018, si può arrivare alla conclusione che il trattamento dei dati effettuato per l’esecuzione di un compito di interesse pubblico e connesso all’esercizio di pubblici poteri è consentito esclusivamente da una norma di legge.
I funzionari addetti all’ispezione in possesso dei poteri istruttori conferiti dalle leggi di imposta, su tutti quelli sanciti dal D.P.R. 633/1972 (Iva) e 600/1973 (imposte dirette), possono accedere a qualsiasi informazione digitale senza alcun consenso, poiché stanno svolgendo un compito di interesse pubblico e connesso all’esercizio di pubblici poteri; fermo restando comunque l’obbligo di garantire la riservatezza dei dati e delle informazioni raccolte.
L’unica limitazione nell’esercizio di tali poteri può essere rappresentata dalle e-mail non ancora lette dall’utente aziendale. In tale ipotesi, assimilando l’e-mail a normale corrispondenza, gli ispettori avranno cura di osservare le regole previste dal codice di procedura penale, richiedendo l’autorizzazione all’Autorità Giudiziaria. In genere questa autorizzazione non tarderà ad arrivare, poiché da considerare come un atto dovuto, per evitare di pregiudicare il buon esito dell’attività ispettiva in corso.