L'Autorità belga per la protezione dei dati personali ha stabilito che la condivisione dei dati finanziari dei cittadini con gli Stati Uniti ai sensi del FATCA viola il GDPR, proteggendo gli "americani casuali" da segnalazioni indesiderate. La decisione sottolinea le tensioni tra la legislazione fiscale statunitense e gli standard sulla privacy dell'UE, sollevando interrogativi più ampi sui trasferimenti internazionali di dati, sulle relazioni transatlantiche e sull'equilibrio tra tassazione e privacy.
Qualsiasi cittadino americano che viva e lavori all'estero conosce l'onere gravoso di dover presentare la dichiarazione dei redditi negli Stati Uniti, indipendentemente dalla propria residenza. A causa del Foreign Account Tax Compliance Act (FATCA) degli Stati Uniti, gli istituti finanziari di tutto il mondo sono stati sottoposti a oneri di dichiarazione altrettanto gravosi per quanto riguarda i cittadini americani che detengono conti e attività presso le loro banche.
Tuttavia, nel 2023, l'Autorità belga per la protezione dei dati (BDPA) ha informato l'autorità fiscale belga di non poter condividere legalmente i dati con gli Stati Uniti, come richiesto dal FATCA, poiché tale condivisione viola i principi fondamentali del GDPR. Un gruppo di cosiddetti "americani accidentali" – persone nate negli Stati Uniti che hanno ottenuto automaticamente la cittadinanza ma che forse non hanno mai vissuto negli Stati Uniti e non hanno alcun legame con il Paese – ha fatto appello al Consiglio di Stato belga affinché impedisse al Belgio di condividere i propri dati, citando la totale assenza di consenso, la limitazione delle finalità, la minimizzazione dei dati e la trasparenza che costituiscono la spina dorsale del GDPR e della maggior parte delle principali leggi globali sulla privacy dei dati.
La BDPA ha ribadito e confermato la sua decisione di non condividere i dati nell'aprile 2025, dopo un'ampia discussione.
Gli Stati membri dell'Unione Europea discutono da anni di trasferimenti interni di dati fiscali, in particolare alla luce dei requisiti del GDPR. L'Autorità belga per la protezione dei dati (DPA) ha criticato l'inazione a livello UE in materia.
La decisione dell'Autorità belga per la protezione dei dati giunge in un momento in cui le discussioni più ampie sui trasferimenti internazionali di dati hanno assunto un ruolo centrale. Ad esempio, la Commissione irlandese per la protezione dei dati (DPA) è stata particolarmente aggressiva nell'applicare sanzioni, multando la piattaforma social TikTok per 530 milioni di euro e ordinando misure correttive in relazione ai trasferimenti di dati degli utenti SEE verso la Cina.
Il Dipartimento di Giustizia degli Stati Uniti ha recentemente vietato e limitato i trasferimenti di dati personali sensibili statunitensi in grandi quantità verso specifici paesi "di interesse", come Cina e Russia. Sebbene tali azioni siano motivate da preoccupazioni per la sicurezza nazionale, le questioni relative alla privacy emergono comunque quando gli utenti comprendono la portata delle violazioni della privacy dei dati derivanti da trasferimenti internazionali di dati non regolamentati. Il caso belga sembra avere potenziali ulteriori ripercussioni, con effetti molto immediati e concreti per gli americani occasionali che si trovano intrappolati tra il sistema fiscale statunitense e le leggi europee sulla protezione dei dati. La decisione potrebbe influire sui flussi di dati transatlantici e sull'attuazione del FATCA in altri stati dell'UE, e persino portare a tensioni politiche.
Il braccio di ferro tra FATCA e GDPR in seno al BDPA potrebbe non rientrare esattamente nell'ambito della gestione del consenso, ma i principi fondamentali della ricerca e della gestione del consenso restano validi.
©2025 CookieHub ehf.
