Il più recente dei due, in ordine di tempo, è stato pubblicato il 25 gennaio 2021 unitamente al modello Dst (Digital services tax) approvato ai fini della dichiarazione dell’imposta sui servizi digitali, delle relative istruzioni e delle specifiche tecniche per la trasmissione telematica dei dati.
Il primo dei due, invece, è stato emesso il 15 gennaio di quest’anno a esito di consultazione pubblica, tenutasi a dicembre 2020, e con esso sono state stabilite le modalità applicative e, tra l’altro, posticipati di un mese i termini di versamento (16 marzo al posto del 16 febbraio 2021) e trasmissione della dichiarazione (ora entro il 30 aprile di quest’anno). A gennaio, inoltre, l’agenzia aveva anticipato che sarebbe stata emessa una circolare che avrebbe tener conto anche dell’egli esiti dell’incontro web tenutosi il 19 febbraio con i partecipanti la consultazione pubblica conclusasi in dicembre.
Tra le criticità che auspicabilmente verranno risolte nella circolare di prossima emissione, non secondaria attenzione andrebbe riservata alla privacy degli utenti dei servizi digitali tassati dal momento che è necessario attingere ai dati di localizzazione in Italia dai loro dispositivi al fine di individuare i ricavi da assoggettare ad imposta. A tal fine, le società incise dall’imposta potranno far riferimento all’indirizzo di protocollo internet (Ip) del dispositivo stesso, o altro sistema di geolocalizzazione (Gps, torri cellulari, rete Wi-Fi, beacon Bluetooth). Quanto al trattamento di tali dati, la norma italiana si limita a far salvo “il rispetto delle regole relative al trattamento dei dati personali”, il che, tuttavia, lascia aperte diverse questioni.
Un primo ordine di riflessioni attiene alle attività di raccolta e archiviazione dei dati di localizzazione degli utenti, attività che rappresentano una specie del genus “trattamento” dei dati disciplinato dal Regolamento generale sulla protezione dei dati (Gdpr) e dal nuovo codice in materia di protezione dei dati personali (D.lgs 196/2003).
Rispetto a tali attività, la citata normativa richiede in via di principio un obbligo di trattare i dati degli utenti da geolocalizzare solo previo loro consenso dopo, in ogni caso, aver fornito una specifica informativa, e comunque prima di aver fornito i servizi tassabili. Ci si chiede quindi, se tale obbligo sorga in capo alle società digitali soggette all’imposta.
Il tema è stato affrontato solo incidentalmente e non risolutivamente dall’Ocse e dal legislatore europeo (Cons. n. 34 Proposta di Direttiva 148/2018) e pare sia stato trascurato completamente nel contesto della web tax italiana.
Eppure, la questione assume rilevanza per lo meno sotto due punti di vista: l’inutilizzabilità ex lege dei dati trattati in difetto del consenso o dell’informativa ove prescritti e la punibilità del comportamento del titolare del trattamento tramite sanzioni pecuniarie anche molto significative (fino a 20 milioni di euro o fino al 4% del fatturato a livello di gruppo).
In linea generale, i dati trattati ai fini della web tax – Ip o altro sistema di geolocalizzazione – possono essere annoverati nell’alveo dei dati “personali” poiché la società digitale soggetta all’imposta, dispone di uno o altri dati dell’utente che combinati ne consentono l’identificazione/profilazione.
Ora, per potersi considerare lecito qualsiasi trattamento dei dati personali deve trovare fondamento in una base giuridica che può ad esempio consistere nel consenso dell’utente ovvero derivare da un obbligo normativo. Nel caso della web tax, se si esclude il preventivo consenso dell’utente, in teoria una legittima base giuridica potrebbe rinvenirsi nella stessa legge impositiva.
Vale però la pena rilevare un elemento di debolezza riscontrabile in questa ipotesi.
La formulazione assai generica dell’imposta sui servizi digitali italiana in punto privacy sembra, infatti, non garantire pienamente il sistema di tutele degli utenti previsto in casi del genere dal Gdpr. La web tax si preoccupa unicamente e genericamente di esortare il rispetto della normativa sulla privacy. Semmai un obbligo, in tal senso, sarebbe da desumersi, a contrario, dall’impossibilità di determinare la quota di ricavi da tassare ai fini dell’imposta in assenza dei dati personali degli utenti.
Talune criticità potrebbero tuttavia sorgere anche laddove si concludesse nel senso della necessarietà del consenso degli utenti. In tal caso, infatti, le sorti del servizio digitale, del trattamento dei dati degli utenti e dell’imposta stessa, resterebbero ancorati al consenso espresso degli utenti.
Qualche ulteriore riflessione va poi riservata all’apparente contrasto tra le concrete modalità applicative della web tax e l’art. 126 del nuovo codice sulla privacy (D.lgs 196/2003) a mente del quale “I dati relativi all’ubicazione diversi dai dati relativi al traffico, riferiti agli utenti o agli abbonati di reti pubbliche di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico, possono essere trattati solo se anonimi o se l’utente o il contraente ha manifestato previamente il proprio consenso”.
Il problema si pone nella misura in cui, i dati relativi agli Ip degli utenti nell’ambito della web tax, a rigore, non potranno essere anonimizzati perché, evidentemente, ciò avrebbe quantomeno due conseguenze negative, in quanto: da un lato, nell’immediatezza inficerebbe la corretta determinazione dell’imposta – non potendosi far riferimento al dato collegato alla localizzazione in Italia – dall’altro, prospetticamente, non ne consentirebbe una adeguata archiviazione ai fini dell’imposta – poiché i dati non garantirebbero una adeguata attendibilità in sede di verifica fiscale. In tale prospettiva, dovrebbe quindi escludersi la soluzione di carattere pratico suggerita con il Cons. n. 34 Proposta di Direttiva 148/2018 consistente nell’anonimizzare il dato una volta acquisito; ciò, come detto, renderebbe più difficoltoso, se non impossibile, il sistema probatorio in sede di verifica e di contenzioso.
Altro profilo di interesse emerge con specifico riferimento alle rilevazioni “contabili” inerenti i dati degli utenti e alla loro archiviazione. Andrebbe chiarito se, e in che misura, tali rilevazioni assumano natura contabile o extracontabile. L’agenzia sembrerebbe propendere per la prima, posto che esse si sostanziano in informazioni sui ricavi e sugli elementi quantitativi mensili che devono confluire nel “Prospetto analitico delle informazioni sui ricavi e sugli elementi quantitativi utilizzati per calcolare l’imposta” e devono essere integrate da una relazione, denominata “Nota esplicativa delle informazioni sui ricavi e sugli elementi quantitativi utilizzati per calcolare l’imposta” da redigere annualmente, entro il termine di presentazione della dichiarazione Isd.
Il riconoscimento della specifica natura di tali rilevazioni porta con sé una serie di conseguenze anche sul piano dei poteri di controllo dell’amministrazione finanziaria e su quello probatorio.
Quanto al primo aspetto va rilevato un potenziale contrasto tra i termini assai ampi di decadenza del potere dell’amministrazione finanziaria rispetto ai principi di necessità e proporzionalità sanciti dal Gdpr e consolidati nella giurisprudenza della Corte di giustizia dell’Unione europea (Cgue – inter alia, C-293/12) nonché con i termini di conservazione dei dati personali prescritti dal nuovo codice sulla privacy non superiori a 6 mesi salvo che per finalità di accertamento e repressione dei reati per le quali è estesa fino a 72 mesi (D.lgs 196/2003).
La web tax, infatti, espressamente rinvia ai fini dell’accertamento alle norme dell’imposta sul valore aggiunto, sicché il potere di controllo degli organi fiscali spirerebbe al 31 dicembre del 5° anno successivo a quello di presentazione della dichiarazione Isd – ovvero 7° anno se la dichiarazione è stata omessa. Pertanto, i dati degli utenti fruitori dei servizi tassati con la web tax andrebbero conservati per un lasso temporale assai ben più ampio di quelli recati dalle disposizioni comunitarie e nazionali in materia.
La centralità e l’attualità del tema privacy nel contesto della web tax paiono dunque meritevoli di attenta valutazione non solo e non tanto da parte dell’amministrazione finanziaria in ottica di emanazione della circolare interpretativa ma anche da parte delle imprese digitali interessate dall’imposta.
In tale contesto, non può non tenersi conto del fatto che talune delle società interessate dalla web tax potrebbero non aver raccolto (né quindi archiviato) i dati di localizzazione degli utenti, ad esempio perché non era ragionevolmente prevedibile che si realizza le soglie di ricavi minime richieste ai fini della web tax (a livello mondiale o nazionale), o perché non erano ancora stati emanati i provvedimenti essenziali dell’agenzia delle entrate contenenti le modalità applicative dell’imposta, o ancora perché il trattamento dei dati si sarebbe risolto in un onere eccessivo e sproporzionato.
In ogni caso, un intervento da parte del Garante per la protezione dei dati personali pare indispensabile come peraltro era stato previsto nella precedente formulazione della web tax (art. 1, c. 45, l. 30 dicembre 2018 n. 145), abrogata nell’attuale. È appena il caso di ricordare che nell’ambito del famoso sistema “cashback” il parere del Garante si è mostrato essenziale per la puntualità e la precisione delle indicazioni su come garantire il più alto livello di protezione dei dati.