Si sapeva già che l’amministrazione Trump non avesse una grande stima del Regolamento generale sulla protezione dei dati (RGPD o GDPR), a causa dei vincoli che il quadro europeo impone alle big tech americane. Meno nota è la maniera in cui Trump ha ignorato la protezione dei dati per i propri scopi di “enforcement”.
Mentre i contenziosi transatlantici si moltiplicano su Ucraina e sicurezza, due casi recenti, passati inosservati negli ultimi mesi, sono emblematici dell’approccio americano: le dimissioni di Kathleen Walters, responsabile della protezione dei dati all’Internal Revenue Service (IRS) per quasi vent’anni, e l’accertamento fiscale nei confronti di Eaton.
Spiegazione.
In un’intervista a Tax Notes, Walters racconta di aver lasciato l’IRS dopo che l’amministrazione Trump le aveva chiesto di condividere dati fiscali di contribuenti con il Department of Homeland Security (DHS) e l’Immigration and Customs Enforcement (ICE). In vent’anni di carriera, afferma, non aveva mai ricevuto un ordine che riteneva illegale: il codice sulla riservatezza fiscale non prevede alcuna eccezione per la trasmissione di dati a fini immigratori, e il DHS non era stato in grado di dimostrare che le persone interessate fossero oggetto di indagini penali attive — l’unica deroga possibile.
Secondo Walters, la richiesta poteva riguardare fino a 7 milioni di persone. Il giorno in cui ha annunciato le sue dimissioni, tutti i suoi collaboratori hanno dichiarato di voler lasciare con lei.
Per l’Associazione degli “americani accidentali” (nati per caso negli Stati Uniti, senza legami con il paese), questo episodio dimostra che non esiste una separazione netta tra le amministrazioni americane e che qualsiasi informazione fiscale inviata all’IRS dagli europei in base agli accordi FATCA (Foreign Account Tax Compliance Act) potrebbe, un giorno, essere dirottata verso altre agenzie statunitensi. L’Associazione ha quindi allertato a settembre il Comitato europeo per la protezione dei dati, senza ricevere risposta a oggi.
Il RGPD, tuttavia, autorizza il trasferimento di dati personali verso un paese extra-UE solo se l’obiettivo è chiaramente definito (e consentito!). Solo i dati strettamente necessari a tale obiettivo possono essere inviati e, in ogni caso, devono essere previste misure sufficienti per limitare l’impatto sulla privacy degli individui. Ciò significa che i dati fiscali inviati agli americani possono essere utilizzati solo a fini fiscali e non trasmessi ad altre agenzie di enforcement.
A questo punto, un giudice federale di Washington ha sospeso e provvisoriamente vietato, il 21 novembre, la trasmissione di indirizzi di contribuenti da parte dell’IRS all’ICE, a seguito di un ricorso del Center for Taxpayer Rights.
Il caso dell’audit fiscale di Eaton ha un effetto più concreto sui paesi dell’UE a oggi. Ad agosto, la Corte d’appello federale del Sesto Circuito ha convalidato una richiesta dell’IRS che obbliga Eaton Corporation a fornire le valutazioni delle prestazioni di diversi dipendenti di Eaton Ireland nell’ambito di un controllo fiscale. Secondo l’IRS, queste valutazioni erano necessarie per determinare con maggiore precisione il contributo dei dipendenti irlandesi e americani allo sviluppo della proprietà intellettuale del gruppo, e quindi per ripartire correttamente il suo valore tra le due entità. Questa analisi influenza direttamente il modo in cui le entrate fiscali sono suddivise tra l’Irlanda e gli Stati Uniti.
Eaton aveva rifiutato di fornire questi documenti, invocando tra l’altro il RGPD. Ma la Corte d’appello ha stabilito che l’interesse degli Stati Uniti a ottenere queste informazioni prevaleva sul bisogno di protezione della privacy dei dipendenti europei. Nella sua analisi, la corte ha ritenuto che, anche se si trattasse di una violazione del RGPD, la divulgazione potesse comunque giustificarsi in base al principio di cortesia internazionale (si riconoscono le leggi degli altri senza l’obbligo di seguirle).
Questi casi avranno molto probabilmente un impatto nel prossimo futuro, poiché lo scorso 4 dicembre la Corte dei mercati di Bruxelles ha deciso di deferire la questione FATCA alla Corte di giustizia dell’UE, a seguito di una disputa legale tra l’Autorità belga per la protezione dei dati e l’amministrazione fiscale belga. La prima ritiene che FATCA violi il RGPD e la sua predecessora, la direttiva sulla protezione dei dati del 1995.
Tra le questioni che la corte di Bruxelles sottopone alla CGUE, una delle principali riguarda la determinazione se sia accettabile che il dispositivo serva maggiormente gli interessi americani che quelli dei cittadini europei, su due piani.
Da un lato, nell’ambito di FATCA, tutte le informazioni relative ai conti bancari delle “U.S. persons” (inclusi i binazionali) residenti in Europa vengono trasmesse automaticamente alle autorità americane. In Belgio, come in altri paesi europei, al contrario, l’amministrazione fiscale può accedere a dati comparabili solo in presenza di indizi concreti di frode, il che mostra un’asimmetria significativa.
Dall’altro lato, viene sollevata anche la questione dell’interesse pubblico, che costituisce una delle basi giuridiche possibili per autorizzare il trasferimento di dati personali. Si può davvero invocare l’interesse pubblico quando FATCA non permette alle autorità europee di ricevere, in cambio, informazioni equivalenti sui conti bancari americani dei loro contribuenti? Gli Stati Uniti hanno infatti ammesso di non rispettare il loro impegno di trasmettere a loro volta dati, il che indebolisce l’argomento di uno scambio equilibrato e giustificato dall’interesse pubblico.
Washington non ha mai nascosto la propria ritrosia nei confronti delle regole europee sulla protezione dei dati: il segretario americano al Commercio lo ha ribadito solo pochi giorni fa. Ma questi episodi confermano che gli Stati Uniti antepongono il loro enforcement alla privacy. La CGUE, da parte sua, ha spesso privilegiato i diritti personali degli individui sull’interesse comune, come ricordava qualche mese fa l’avvocato generale Juliane Kokott.
Mentre la Commissione europea ha appena proposto di rivedere il RGPD — con il rischio, secondo alcuni, di aprire brecce a vantaggio dei giganti della tech e delle aziende di IA — potrebbe essere attraverso il dossier FATCA che la CGUE ricorderà l’equilibrio indispensabile tra interesse pubblico e protezione dei diritti individuali, a dispetto degli americani.
(Estratto dal Mattinale Europeo)
