Come si diceva, i timori di chi sostiene che l’eliminazione del contante possano tradursi in una minaccia per una serie di libertà fondamentali, sono tutt’altro che campati in aria e non è affatto vero che l’UE imponga controlli tanto capillari e limitazioni così stringenti.
Anzi, a più riprese, proprio da istituzioni europee come la BCE, o la Commissione europea, sono pervenute indicazioni di segno contrario, quando non vere e proprie bacchettate.
Ad esempio, già nel 2018 la Commissione Europea in un rapporto al Parlamento e al Consiglio (COM (2018) 483 final) aveva evidenziato che non è affatto dimostrata l’esistenza di una correlazione tra evasione fiscale e uso del contante.
La prima parte dell’inchiesta
Un altro stop alle limitazioni all’uso del contante, si è avuto più di recente, nel corso di alcuni giudizi riuniti pendenti avanti la Corte di Giustizia UE.
Nelle cause riunite C-422/19 e C-423/19, alcuni contribuenti tedeschi hanno contestato che in Germania non fosse ammessa la possibilità di pagare determinati tributi in contanti, ma solo attraverso mezzi di pagamento digitale (carte di credito, di debito e simili). Rispetto a tale contestazione, l’Avvocato Generale, nel rassegnare le sue conclusioni su cui verrà fondata la decisione finale della Corte, ha affermato un principio: e cioè, che l’uso del contante è strettamente funzionale l’esercizio dei diritti fondamentali del contribuente, che esso assolve ad una insostituibile compito di inclusione sociale.
Inoltre, ha evidenziato che la norma di uno stato membro che dovesse di fatto porre una limitazione al corso legale della valuta fisica, sarebbe contraria ai principi dell’unione.
L’ultima stoccata in ordine di tempo l’ha data la BCE, che ha mosso una serie di critiche aperte proprio al programma di cashback varato dal governo italiano.
In sintesi, la BCE innanzitutto ha rimproverato all’Italia di essere messo mano alle politiche di circolazione della valuta a corso legale dell’Unione senza consultare la BCE, che è l’organismo deputato ad occuparsi di tali politiche.
Poi ha ribadito che “La raccomandazione della Commissione 2010/191/UE17 prevede che l’accettazione dei pagamenti in contanti debba costituire la norma”, e pur riconoscendo che gli stati membri possono disporre limitazioni o disincentivare i pagamenti in contanti, tuttavia occorre dimostrare che tali limitazioni sono proporzionate ed effettivamente funzionali alle finalità pubbliche.
Alla base delle prese di posizione di tutti questi organismi, dunque, vi è un quadro di norme europee che, da un lato impongono agli singoli stati membri estrema cautela nel disporre limitazioni ai pagamenti in contanti. Dall’altro lato, impongono vincoli importanti alla raccolta massiva di dati, che deve essere proporzionata rispetto agli scopi e alle modalità del loro successivo trattamento e conservazione.
Limitazioni, queste ultime che sono stabilite GDPR (ossia il regolamento europeo sul trattamento dei dati) e da alcune norme del Trattato dei diritti fondamentali dell’Unione Europea.
Si tratta di norme che prevalgono sulle leggi dei singoli stati membri, e che impongono severe limitazioni alla raccolta dei dati, volte ad evitare raccolte massive ed indiscriminate, a meno che non sussista qualche ottima ragione. Tali norme, quindi, impongono che lo scopo della raccolta dei dati debba essere legittimo, che la quantità dei dati sia quella strettamente necessaria rispetto al perseguimento di quello scopo legittimo, che i dati siano detenuti fino a quando è necessario al perseguimento dello scopo, dopodichè devono essere eliminati, che il soggetto di cui si raccolgono i dati presti il suo consenso alla raccolta (fatti salvi alcuni casi particolari in cui il consenso non è necessario) e che debba essere informato sull’identità di chi li maneggia, e così via.
Una vera barriera a tutela degli interessati che, tra l’altro, ha indotto il Garante della privacy italiano a bollare come ad alto rischio la raccolta dei dati prevista nell’ambito del programma Cashback, con una serie di rilievi critici e di ammonimenti non dissimili a quelli già formulati rispetto ad altri casi di raccolta massiva di dati: ad esempio, la fatturazione elettronica o l’impiego da parte del fisco di tecnologie di intelligenza artificiale per la raccolta di dati, anche da fonti aperte, per il contrasto all’evasione fiscale.
Il senso di questi rilievi è che la raccolta massiva e il trattamento dei dati in tali ambiti sono di entità tale da presentare rischi elevati. Ragione per cui, possono considerarsi attività legittime ed accettabili solo nella misura in cui vengano predisposte delle regole tecniche aggiuntive che garantiscano il rispetto dei molti principi del GDPR posti a tutela degli interessati.
Da un punto di vista pratico, tuttavia, il privato cittadino che voglia verificare l’effettivo rispetto delle tutele imposte dalla normativa europea ha le armi spuntate, anche perché in quei casi in cui la raccolta e il trattamento dei dati abbia luogo per ragioni di pubblico interesse (come possono essere la lotta all’evasione fiscale e l’antiriciclaggio), sono previste significative limitazioni agli obblighi di informativa e di preventivo consenso da parte del cittadino di cui vengono raccolti i dati.
E in effetti, proprio per il programma Cashback un problema di privacy si è concretamente verificato: con l’utilizzo dell’app IO (l’applicazione quella sviluppata da PagoPA, che tra tutti è proprio il gestore pubblico di servizi di pagamento) parte dei dati raccolti vengono gestiti e trattati oltreoceano, negli Stati Uniti, quindi fuori dalla giurisdizione dell’UE.
Ora, operatori ed istituzioni statunitensi non sono tenute a rispettare le rigorose prescrizioni del GDPR e neppure quelle contenute nei trattati Europei.
Esiste, è vero, un accordo noto come “Privacy Shield”, tra Stati Uniti, Unione Europea e Svizzera, inteso a fornire mutue garanzie sulla riservatezza e sul trattamento reciproco dei dati degli operatori al di qua ed al di là dell’oceano.
La Corte di Giustizia UE, tuttavia, con una pronunzia recente (ma di portata storica, per chi si occupa di normativa sul trattamento dati), ha fermato l’efficacia in Europa di questo accordo.
La Corte, infatti, con la sentenza 16 luglio 2020 nella causa C-311/18 (caso “Shrems II”), ha affermato a chiare lettere che il quadro normativo vigente negli USA non offre garanzie simmetriche a quelle offerte dalla legislazione europea. Infatti, non solo non esistono norme che garantiscano il rispetto del principio di proporzionalità (che è uno dei principi fondamentali di maggior importanza nel diritto europeo), ma soprattutto, laddove i dati vengano raccolti, trattati e detenuti dalle le autorità di intelligence USA, ai cittadini europei non viene garantita una tutela giudiziale effettiva, di livello simile a quello riconosciuto in Europa. Sostanzialmente, in caso di violazioni il cittadino europeo non ha possibilità di rivolgersi ad un’autorità in grado di costringere gli apparati di intelligence a rispettarne le prescrizioni o di rimuovere eventuali violazioni dei diritti di privacy del cittadino.
Tutto questo ci porta ad un primo punto di arrivo.
E cioè, che l’eliminazione del contante e la conseguente canalizzazione forzata di ogni forma di pagamento in un sistema gestito da un ridotto numero di intermediari centralizzati, comportano ineluttabilmente la sistematica raccolta di una enorme, eccessiva, mole di informazioni e di dati personali, con un livello di dettaglio eccessivamente profondo.
Questo perché in questo calderone confluiscono non solo i pagamenti che possono avere a che fare con lo svolgimento di un’attività economica, ma anche quelli di natura più squisitamente privata.
Chiunque sia autorizzato ad accedervi, anche legittimamente, in astratto è in grado di venire a conoscenza di fatti ed informazioni della vita, personalissimi, che in linea teorica possono non avere alcuna correlazione con gli scopi che possono giustificare legittime restrizioni della sfera di libertà dell’individuo.
Questa è la ragione per la quale, se si entra nell’ordine di idee di creare un sistema che determina l’ineluttabile massiva raccolta di dati, cioè un sistema che, di fatto consente di tracciare gli spostamenti, che attraverso le inclinazioni all’acquisto consentono di identificare convinzioni politiche, religiose, orientamenti sessuali e così via, potenzialmente di ogni individuo, è essenziale che venga approntato un sistema di garanzie per i soggetti “monitorati” che funzioni con la massima efficacia.
E cioè, non solo occorre creare un quadro di regole che stabilisca limiti, condizioni e modalità alle attività di raccolta e trattamento dei dati: questo, infatti, come si è visto, in una certa misura, esiste già.
Occorre che, in aggiunta, si approntino anche meccanismi e strumenti che consentano agevolmente ai diretti interessati di verificare che le attività di raccolta e trattamento dei dati si mantengano entro i limiti quantitativi, qualitativi e temporali imposti dalle norme, e, in caso di violazioni, offra rimedi anch’essi di facile accessibilità.
Non dimentichiamo che, potenzialmente, le vittime di eventuali abusi possono essere anche persone appartenenti a fasce economiche e sociali che hanno ridotte capacità di accedere a mezzi informatici, o che non dispongono di significative competenze, e sono anche più facilmente manipolabili: pensiamo ad anziani, ma anche la proverbiale casalinga di Voghera.
Su quest’ultimo versante, purtroppo, soprattutto in Italia, e forse anche in tutta Europa, c’è ancora molto da lavorare.
Questo perché, la stessa normativa europea ammette che la raccolta, il trattamento e la successiva conservazione di dati sono funzionali a finalità di pubblico interesse, i livelli di tutela riconosciuti agli individui interessati, possono essere ridotti.
Questo vuol dire che, in questi casi, i legislatori dei singoli stati membri in questi casi hanno la facoltà di non imporre l’obbligo di preventivo consenso alla raccolta. Ma anche che all’interessato venga negato il diritto all’accesso ai dati trattati (art. 15), il diritto alla rettifica (art. 16), alla cancellazione e all’oblio (art. 17), alla limitazione del trattamento (art. 18), il diritto ad ottenere notifica di rettifiche, cancellazioni e limitazioni del trattamento (art. 19), il diritto alla portabilità dei dati trattati (art. 20), il diritto di opposizione al trattamento anche mediante profilazione (art. 21). E tra tutti, può persino vedersi negato il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona (art. 22).
Ora, com’è facile immaginare, la raccolta dei dati tanto che sia finalizzata al contrasto all’evasione fiscale, quanto che sia funzionale a finalità antiriciclaggio, secondo la legge, è per definizione dettata da esigenze di pubblico interesse, e come tale giustifica tutte queste limitazioni.
Il che ci porta al cospetto di un altro moloch che ci toccherà cercare di comprendere: quello delle complesse norme e prassi antiriciclaggio.
Le limitazioni all’uso del contante che gli italiani subiscono, infatti, è proprio da lì che vengono: da specifiche disposizioni di diritto interno, valide solo in Italia, dettate in materia di lotta al riciclaggio, ovvero, più tecnicamente “prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo“.
Capire come funziona l’apparato antiriciclaggio è importante, perché sull’argomento, soprattutto in Italia, si è affermata una narrazione molto suggestiva, che però non necessariamente trova corrispondenza al dato reale ed oggettivo.