Maxi sanzione all’Agenzia delle entrate olandese per violazione della privacy

di Lorenzo Pinci -

 

Con provvedimento del 7 aprile scorso – pubblicato il 12 aprile – l’autorità per la protezione dei dati personali olandese (“Autoriteit Persoonsgegevens”, di seguito, per brevità, “AP” o “Autorità”), ha emesso una consistente sanzione amministrativa pecuniaria – pari a 3.700.000,00 euro – a carico dell’agenzia delle entrate nazionale, per violazione dei principi di liceità, correttezza, trasparenza e limitazione della conservazione dei dati personali nell’applicazione del Fraud Notification Facility  (di seguito “FSV”), nel periodo intercorrente tra il 4 novembre 2013 e il 27 febbraio 2020. Come precisato nel comunicato stampa diramato dall’Autorità, “inaccettabili” le discriminazioni provocate dal sistema FSV.

La natura dell’FSV e le  regole di  funzionamento

L’FSV – sistema in disuso dal febbraio 2020 – costituiva una sorta di black list impiegata dall’Agenzia delle entrate olandese con la finalità di tracciare frodi, potenziali, sospette o accertate.

Tuttavia, il database in esame era affetto da gravissime distorsioni informatiche, dal momento che, in caso di contribuente di nazionalità turca o marocchina, venivano avviati ulteriori approfondimenti istruttori, in assenza di valide e comprovate motivazioni, determinando risultanze di natura discriminatoria. Lo stesso trattamento veniva riservato a chi presentava un cognome apparentemente tipico di zone specifiche dell’Europa, come i Paesi Balcanici o orientali per cui l’FSV dava origine ad un alert di segnalazione della persona in questione quale soggetto ad elevato rischio di frode.

Le risultanze a seguito dell’istruttoria

A seguito dell’istruttoria avviata nell’ottobre 2021, l’Autorità ha rilevato che, nel periodo compreso tra il 4 novembre 2013 e il 27 febbraio 2020, l’Agenzia delle entrate olandese ha consultato, raccolto, usato e diffuso le risultanze dell’FSV sui casi di frode presunta e accertata e le richieste di informazioni concernenti almeno 244.273 persone fisiche – non considerate per l’esercizio di eventuale attività professionale – e  30.000 imprenditori, procedendo, pertanto, ad un trattamento di dati personali “sensibili” in violazione dei principi di liceità, correttezza e trasparenza, oltre che di limitazione della conservazione, dal momento che, nella maggior parte dei casi analizzati, l’Agenzia delle entrate non disponeva di idonea base giuridica del trattamento né aveva adottato misure tecniche ed organizzative adeguate ed aveva conservato per un tempo particolarmente lungo le informazioni relative agli alert generati dalla black list. A tanto si aggiunga che l’Agenzia delle entrate aveva chiesto il parere del proprio Responsabile per la protezione dei dati (“DPO”) dopo oltre un anno dall’avvio dei trattamenti in questione.

La sanzione

Appurato quanto finora esposto – anche in considerazione della larga scala del trattamento, della gravità delle violazioni e del lungo periodo preso in considerazione – l’Autorità non ha potuto fare a meno di comminare una sanzione esemplare, specie in ragione delle ripercussioni di carattere discriminatorio sui soggetti interessati.

La somma pari a 3 milioni e 700.00 euro, infatti, rappresenta la risultante delle singole violazioni riscontrate e, in particolare:

  • 1 milione di euro per l’assenza di idonea base giuridica per il trattamento dei dati personali;
  • 1 milione e 500.000 euro per la violazione dei principi di liceità, correttezza e trasparenza;
  • 000 euro per la violazione del principio di limitazione della conservazione;
  • 000 euro per la violazione dell’obbligo di adozione di misure tecniche ed organizzative;
  • 000 euro per la tardiva consultazione del DPO.