Nella maggior parte dei Paesi, il governo sa quando siete nati, il vostro numero di previdenza sociale, dove vivete, quanto guadagnate e quanto vale la vostra casa. La Svezia, però, è un po' diversa. Lì l'autorità fiscale non si limita a utilizzare queste informazioni per scopi amministrativi, ma le vende a intermediari di dati che le pubblicano online. Si tratta di una violazione del diritto dell'UE. All'inizio di quest'anno, un interessato svedese ha chiesto all'autorità fiscale del Paese di interrompere la vendita dei suoi dati. La Corte Suprema del Paese ha recentemente stabilito che la libertà di informazione e i diritti alla privacy devono essere bilanciati e che i dati devono essere contrassegnati come riservati, se il destinatario rischia di trattarli in contrasto con il GDPR. L'autorità fiscale ha respinto la richiesta, sostenendo di seguire semplicemente il principio costituzionale svedese di trasparenza piuttosto che la sentenza della Corte Suprema. noyb porta ora l'autorità in tribunale.
- appello noyb (SE)
- Sentenza della Corte Suprema svedese (SE)
- Sentenza della la Corte Suprema svedese (Traduzione in inglese)
Dati personali venduti a società private. Non è insolito che il governo del vostro Paese di residenza disponga di una serie di dati su di voi. Questi possono includere informazioni come lo stato civile, il reddito, il luogo di residenza, il valore della casa, il numero di previdenza sociale e la data di nascita. Dopotutto, queste informazioni potrebbero essere necessarie per la riscossione delle imposte. È insolito però che in Svezia l'autorità fiscale non solo raccolga, ma venda anche queste informazioni personali a società terze, che poi le pubblicano online a disposizione di tutti. Tra queste ci sono gli intermediari di dati come MrKollche traggono profitto dalla vendita dei dati a chiunque sia interessato senza alcuna tutela o restrizione. L'approccio svedese alla "trasparenza" va quindi ben oltre ciò che è necessario e proporzionato per la trasparenza o per scopi giornalistici, ma equivale all'accesso completo ai dati governativi da parte di broker di dati puramente commerciali.
Joakim Söderberg, avvocato specializzato in protezione dei dati presso noyb: "Quando pago le tasse nel mio Paese, mi aspetto che l'autorità fiscale utilizzi i miei dati esattamente per questo scopo, e non per alimentare intermediari di dati commerciali che ne traggono profitto. La pubblicazione dei dati fiscali dei cittadini, alla portata di tutti, viola chiaramente il diritto fondamentale alla protezione dei dati. L'autorità fiscale deve riconsiderare le proprie pratiche di condivisione dei dati dopo la sentenza della Corte Suprema - e iniziare a contrassegnare le cose come riservate il prima possibile"
La Corte Suprema svedese richiede un "bilanciamento". Fortunatamente per i consumatori, esistono chiare eccezioni legali alla condivisione di questi dati. La Corte Suprema svedese si è recentemente pronunciata sul conflitto tra la legge svedese sulla libertà di informazione e la legge europea sulla protezione dei dati. La Corte Suprema ha concluso che questi diritti in conflitto devono essere bilanciati. Se è probabile che i dati vengano elaborati in violazione del GDPR, devono essere contrassegnati come riservati. Questa riservatezza dovrebbe vietare agli intermediari di dati di ottenere i dati personali di persone che vivono in Svezia. Almeno se l'autorità fiscale seguisse effettivamente la sentenza del tribunale. Al momento, purtroppo, non lo fa.
Respinta la richiesta di sospendere la vendita dei dati. All'inizio di quest'anno, una persona interessata ha chiesto all'autorità fiscale svedese di sospendere la vendita dei suoi dati, sostenendo che il trattamento è illegale e dovrebbe quindi essere limitato. L'autorità ha respinto sommariamente la richiesta, sostenendo che stava solo esercitando la propria autorità pubblica consegnando i suoi dati personali a società in cerca di profitto. L'autorità fiscale gestisce lo statens personadressregister (registro degli indirizzi personali dello Stato svedese), che contiene i dati personali di tutte le persone residenti in Svezia. In base alla legge nazionale, le aziende possono accedere ai dati personali delle persone dati personali delle persone in questo database per "aggiornare, integrare e verificare le informazioni personali o selezionare nomi e indirizzi per il marketing diretto, gli annunci di servizio pubblico o altre attività analoghe".
Ecco alcuni esempi di destinatari confermati dei dati delle autorità fiscali: Dun and Bradstreet gestisce esplicitamente un database che viene mantenuto con i dati del registro degli indirizzi dello Stato - e viene utilizzato per aiutare altre aziende a costruire il proprio database con i dati personali delle persone. Una società chiamata Kalenderförlagetpubblica invece il cosiddetto calendario fiscale, che include dati sul reddito di tutti gli abitanti della Svezia. Allo stesso modo, "La società di intelligence" dichiara di avere accesso ai dati di tutti i residenti svedesi di età superiore ai 15 anni - e che provengono dall'autorità fiscale. Il fatto che siano destinatari di dati dell'autorità fiscale possono essere facilmente verificati da chiunque abbia un'identificazione elettronica.
Joakim Söderberg, avvocato specializzato in protezione dei dati presso noyb: "Non ha senso che società come Dun and Bradstreet, Intelligence Company e Kalenderförlaget abbiano accesso ai dati fiscali di tutti gli svedesi. La Svezia si vanta di essere un Paese in cui i diritti umani sono al primo posto, ma a quanto pare il governo non rispetta il diritto fondamentale alla privacy e alla protezione dei dati.
Appello presentato al tribunale svedese. noyb ha quindi presentato un ricorso al Tribunale amministrativo di Stoccolma, chiedendo che l'autorità fiscale limiti la condivisione dei dati personali dell'interessato con terzi. La decisione della Corte Suprema chiarisce che la condivisione di tutti questi dati con i broker di dati dovrebbe essere vietata, perché è chiaro che essi tratteranno i dati in violazione del GDPR. La vendita dei dati personali di milioni di svedesi a chiunque sia interessato priva le persone del loro diritto fondamentale alla privacy. Inoltre, il principio di limitazione delle finalità del GDPR afferma che "i dati personali devono essere raccolti per finalità determinate, esplicite e legittime e non devono essere trattati in modo incompatibile con tali finalità". I broker di dati che vendono i dati online chiaramente non rispettano queste regole.
