Fatti all’origine della denuncia

1. La fiscalità rimane in gran parte una questione di competenza nazionale, il che significa che il ruolo dell'UE in questo settore è limitato e consiste principalmente nel promuovere la cooperazione e il coordinamento tra gli Stati membri dell'UE.

2. Gli Stati membri dell'UE fanno parte di un'iniziativa globale volta a combattere l'evasione fiscale e a promuovere la trasparenza nelle transazioni finanziarie, nota come scambio automatico di informazioni (AEOI). Lo scambio automatico di informazioni consente ai paesi di scambiare automaticamente informazioni sui conti finanziari per aiutare le autorità fiscali a individuare e affrontare l'evasione fiscale transfrontaliera. È stato introdotto nel 2014 e si basa sul Common Reporting Standard (CRS)[1], uno standard globale che impone alle banche e agli istituti finanziari di raccogliere informazioni sui conti detenuti da residenti stranieri.

3. Il modo in cui i paesi condividono legalmente tali dati tra loro è stabilito in accordi multilaterali e bilaterali distinti, come l'accordo multilaterale tra autorità competenti («MCAA CRS»)[2] o gli «accordi intergovernativi» bilaterali tra due paesi. Lo scambio automatico di informazioni tra gli Stati membri dell'UE è disciplinato dalla direttiva del Consiglio relativa alla cooperazione amministrativa nel settore fiscale («DAC»)[3].

4. Oltre al CRS, esistono anche leggi nazionali che impongono ai paesi terzi di comunicare determinate informazioni sui conti finanziari nel loro territorio alle autorità fiscali del paese di origine del titolare del conto. Un esempio di tali leggi nazionali è il Foreign Account Tax Compliance Act (FATCA) degli Stati Uniti, adottato nel 2010 e attuato sulla base di accordi intergovernativi tra gli Stati Uniti e altri paesi.

5. Lo scambio automatico di informazioni è stato visto come un significativo passo avanti nella lotta globale contro l'evasione fiscale, ma ha anche suscitato preoccupazioni in materia di privacy e protezione dei dati. Ad esempio, sulla base di un reclamo di un gruppo di cittadini, l'autorità belga per la protezione dei dati ha recentemente constatato che il trasferimento di dati personali dal Belgio agli Stati Uniti ai sensi della FATCA è contrario al diritto dell'UE in materia di protezione dei dati (il regolamento generale sulla protezione dei dati, "GDPR"[4]).[5] A seguito di un ricorso, il giudice belga che si occupa della questione ha chiesto alla Corte di giustizia di pronunciarsi in via pregiudiziale sulla conformità generale al diritto dell'UE in materia di protezione dei dati dei trasferimenti di dati richiesti ai sensi della FATCA e attuati tramite accordi intergovernativi tra gli Stati Uniti e gli Stati membri dell'UE [6].

6. Il comitato europeo per la protezione dei dati (EDPB) ha pubblicato linee guida per il trasferimento di dati personali tra paesi dell'UE e paesi terzi.[7] Queste linee guida stabiliscono un elenco di garanzie minime da includere negli accordi intergovernativi per garantire che agli interessati i cui dati personali sono trasferiti al di fuori dell'UE sia offerto un livello di protezione sostanzialmente equivalente al livello di protezione garantito all'interno dell'UE ai sensi del GDPR.

7. Nel febbraio 2025 i denuncianti hanno chiesto [8] al Consiglio dell'UE l'accesso del pubblico ai documenti relativi a:

la compatibilità dello scambio automatico di informazioni con le leggi dell'UE e degli Stati membri in materia di protezione dei dati e con i diritti fondamentali;

le implicazioni dello scambio automatico di informazioni in materia di protezione dei dati, in particolare per quanto riguarda il trasferimento di dati personali verso paesi terzi (garanzie adeguate, sicurezza dei dati, ecc.);

l'impatto della giurisprudenza [dell'UE] su quanto precede.

8. Il Consiglio ha individuato 24 documenti che rientrano nell'ambito di applicazione della richiesta di accesso dei denuncianti. Indicò che dieci documenti erano già disponibili al pubblico e fornivano link a tali documenti. Ha inoltre divulgato altri quattro documenti nella loro interezza. Per quanto riguarda i dieci documenti rimanenti, che sono descritti come «documenti di lavoro del Consiglio», il Consiglio ha divulgato in parte tre documenti e ha rifiutato di divulgare sette documenti, tra cui un documento classificato come «RESTREINT UE/EU RESTRICTED», nella loro interezza. Nel rifiutare l’accesso, il Consiglio si è basato sulla necessità di tutelare l’interesse pubblico per quanto riguarda le relazioni internazionali e la politica finanziaria degli Stati membri, nonché sulla necessità di tutelare il suo processo decisionale [9].

9. Nel marzo 2025 i denuncianti hanno chiesto al Consiglio di rivedere la sua decisione (hanno presentato una "domanda di conferma") e il Consiglio ha successivamente confermato la sua posizione.

10. Insoddisfatti, i denuncianti si sono rivolti al Mediatore europeo nell'agosto 2025.

L'indagine

11. Il Mediatore ha avviato un’indagine sulla decisione del Consiglio di rifiutare l’accesso del pubblico (a parti) ai dieci documenti in questione nella domanda di conferma dei denuncianti.

12. Nel corso dell’indagine, il gruppo di indagine del Mediatore ha ispezionato i documenti in questione, compreso il documento classificato come «RESTREINT UE/EU RESTRICTED». Il gruppo incaricato dell'inchiesta ha inoltre incontrato i rappresentanti del Consiglio per ottenere ulteriori spiegazioni sul motivo per cui l'accesso era stato rifiutato. La Mediatrice ha successivamente condiviso le sue relazioni di ispezione e di riunione con i denuncianti e ha ricevuto le loro osservazioni.

Argomenti presentati

13.  Nella sua decisione di conferma, il Consiglio ha dichiarato che i documenti erano stati elaborati nel contesto di "discussioni in sede di Gruppo "Questioni fiscali" sullo scambio automatico di informazioni in materia fiscale con paesi [non UE] e sulla sua interazione con il GDPR. L'obiettivo principale di tali discussioni era esaminare quali garanzie adeguate, tenendo conto degli orientamenti dell'EDPB, siano già in vigore per quanto riguarda lo scambio di dati personali a fini fiscali con paesi [non appartenenti all'UE]." Il Consiglio ha affermato che la questione è stata discussa in diverse occasioni dal 2019, alla luce della responsabilità degli Stati membri di garantire garanzie adeguate per tali trasferimenti di dati personali. A seguito dell'emanazione di orientamenti da parte dell'EDPB nel 2021, si è ritenuto necessario che gli Stati membri riesaminassero i pertinenti accordi intergovernativi conclusi con paesi terzi per determinare se fossero necessarie modifiche per rispecchiare l'attuale diritto e giurisprudenza dell'UE in materia di protezione dei dati. In tale contesto, diversi Stati membri avevano suggerito di procedere a uno scambio di opinioni e a un coordinamento in materia.

14. Il Consiglio ha dichiarato che tali discussioni erano in corso al momento della decisione di conferma ed erano pertinenti per i negoziati in corso e futuri degli accordi intergovernativi sugli scambi di informazioni fiscali tra gli Stati membri e i paesi terzi. Il Consiglio ha sostenuto che la divulgazione rivelerebbe gli scambi interni e l'evoluzione degli approcci in termini di strategia negoziale dell'UE e potrebbe quindi compromettere gravemente la posizione negoziale dell'UE e "la sua capacità di condurre efficacemente le sue relazioni internazionali"[10].

15. Il Consiglio ha aggiunto che i documenti riflettono questioni chiave relative alle opzioni e alla metodologia per conseguire un livello adeguato di garanzie per la protezione dei dati personali, garantendo nel contempo un efficace scambio di informazioni fiscali, in linea con le norme internazionali, che faciliti la lotta contro la frode fiscale. A tale riguardo, il Consiglio ha sottolineato che la frode, l'evasione e l'elusione fiscali rappresentano una sfida importante per l'UE e a livello mondiale e che lo scambio automatico di informazioni fiscali svolge un ruolo fondamentale nella lotta contro tali pratiche. Il Consiglio ha sostenuto che la divulgazione potrebbe provocare un comportamento ingiustificato e indesiderato da parte degli operatori economici o impedire lo scambio automatico di informazioni tra gli Stati membri e i paesi terzi, il che pregiudicherebbe anche la politica di bilancio degli Stati membri.

16. Infine, il Consiglio ha ritenuto che, data la sensibilità politica dei documenti, la divulgazione comprometterebbe il suo processo decisionale in seno al gruppo di lavoro interessato.

17. I denuncianti, rilevando che le eccezioni di cui all’articolo 4, paragrafo 1, lettera a), del regolamento 1049/2001 dovrebbero essere interpretate restrittivamente, hanno ritenuto che i documenti in questione non rientrino nelle eccezioni invocate dal Consiglio.

18. In particolare, per quanto riguarda l'interesse pubblico per quanto riguarda le relazioni internazionali, i denuncianti hanno sostenuto che non vi sono prove di negoziati sostanziali con l'OCSE e/o i paesi terzi per affrontare le questioni relative alla protezione dei dati e che gli Stati membri hanno già firmato accordi bilaterali con più di 100 paesi terzi.

19. Per quanto riguarda gli Stati Uniti, i denuncianti hanno aggiunto che le autorità statunitensi non sarebbero in alcun modo disposte a modificare la FATCA e, pertanto, il ricorso del Consiglio all'eccezione per la protezione delle relazioni internazionali era giuridicamente insoddisfacente, almeno per quanto riguarda la FATCA.

20. Per quanto riguarda il CRS, i denuncianti hanno sostenuto che l'OCSE non era pronta ad avviare un vero dialogo con l'UE nel contesto dei precedenti tentativi di risolvere eventuali problemi di protezione dei dati in termini di AEOI a fini fiscali.

21. I denuncianti hanno inoltre osservato che in passato il Parlamento europeo aveva criticato la Commissione europea per aver anteposto le relazioni con gli Stati Uniti agli interessi dei cittadini dell'UE [11].

22. Infine, rilevando che diversi documenti riguardano la revisione della DAC, i denuncianti sostengono che l'eccezione per la protezione delle relazioni internazionali non si applica, dato che la DAC fa parte della legislazione dell'UE che si applica solo allo scambio di dati personali tra gli Stati membri e non tra gli Stati membri e i paesi terzi.

23. Per quanto riguarda la tutela della politica finanziaria degli Stati membri, i denuncianti hanno sostenuto che l'UE e i suoi Stati membri non ricevono informazioni dagli Stati Uniti nell'ambito della FATCA.

24. I denuncianti hanno inoltre ritenuto che vi sia un interesse pubblico prevalente alla divulgazione. In particolare, hanno sostenuto che era ormai chiaro [12] che lo scambio di massa di informazioni fiscali con i paesi terzi, in generale, e la FATCA in particolare, sono contrari al GDPR (ossia ai principi di proporzionalità e necessità) e che ciò riguarda milioni di cittadini dell'UE i cui dati personali sono condivisi con le autorità fiscali statunitensi senza alcuna indicazione di evasione fiscale o di qualsiasi altra irregolarità. In effetti, le istituzioni dell'UE e gli Stati membri che non risolvono la questione da anni non sono intervenuti [13]. Inoltre, i denuncianti hanno fatto riferimento alle preoccupazioni sollevate dal pubblico per quanto riguarda il livello di garanzie applicabili ai dati personali raccolti e trattati dalle autorità fiscali statunitensi. Per i denuncianti, la mancata divulgazione dei documenti in questione impedisce ai cittadini di controllare il lavoro delle istituzioni dell’Unione in un settore che ha un impatto diretto sui loro diritti fondamentali e di chiedere conto alla loro amministrazione.

25. Nel corso dell'indagine, i denuncianti hanno fornito al Mediatore ulteriori informazioni sul motivo per cui ritenevano che i dati personali dei cittadini dell'UE non dovessero essere condivisi con le autorità fiscali statunitensi a causa di preoccupazioni in materia di protezione dei dati.

26. Nella riunione con il gruppo di indagine del Mediatore, il Consiglio ha sostenuto che le diverse procedure decisionali cui si riferiscono i documenti erano interconnesse, il che significa che tutti i documenti erano stati redatti nello stesso contesto.

27. Per quanto riguarda la necessità di proteggere le relazioni internazionali, il Consiglio ha chiarito che in questo caso erano in gioco le relazioni internazionali degli Stati membri con i paesi terzi (piuttosto che le relazioni internazionali dell'UE). Ha fornito informazioni riservate dettagliate sul motivo per cui riteneva che la divulgazione avrebbe potuto compromettere l'interesse degli Stati membri allo scambio automatico di informazioni fiscali con i paesi terzi, e quindi sul motivo per cui la divulgazione avrebbe anche compromesso l'interesse pubblico per quanto riguarda la loro politica finanziaria (e il modo in cui le due eccezioni obbligatorie sono interconnesse).

Valutazione del Mediatore

28. Le istituzioni, gli organi e gli organismi dell’Unione godono di un ampio margine di discrezionalità nel determinare se la divulgazione di un documento arrechi pregiudizio alla tutela degli interessi pubblici elencati all’articolo 4, paragrafo 1, lettera a), del regolamento n. 1049/2001, tra i quali figura l’interesse pubblico per quanto riguarda le relazioni internazionali e la politica finanziaria degli Stati membri [14]. In quanto tale, l’indagine del Mediatore mirava in primo luogo a verificare l’esistenza di un errore manifesto nella valutazione del Consiglio su cui si fondava la sua decisione di negare l’accesso del pubblico al documento controverso.

29. L'eccezione per la protezione delle relazioni internazionali può essere invocata se la divulgazione potrebbe nuocere alle relazioni internazionali dell'UE o degli Stati membri con paesi terzi o organizzazioni internazionali [15]. Essa è formulata in termini molto generali e non si limita pertanto a documenti relativi a negoziati internazionali o a un dialogo con le autorità di un paese terzo relativo allo sviluppo di un'ordine pubblico [16].

30. Non è quindi una condizione preliminare per l'applicabilità di tale eccezione che i documenti in questione si riferiscano a negoziati o discussioni in corso con paesi terzi e/o un'organizzazione internazionale come l'OCSE, come sostenuto dal denunciante. L'eccezione può anche impedire la divulgazione di scambi interni tra gli Stati membri o tra gli Stati membri e le istituzioni dell'UE su come trattare questioni riguardanti paesi terzi come lo scambio automatico di informazioni a fini fiscali. Ciò può includere discussioni sulla necessità di rinegoziare gli accordi già conclusi o sul modo in cui gli Stati membri devono adempiere ai loro obblighi ai sensi del diritto internazionale.

31. Tuttavia, il rischio che la divulgazione pregiudichi le relazioni internazionali dell’Unione con i paesi terzi deve essere ragionevolmente prevedibile e non meramente ipotetico e basarsi su una valutazione concreta del contenuto del documento al quale è negato l’accesso del pubblico [17].

32. Rifiutando l'accesso, il Consiglio ha fatto riferimento alla sensibilità politica dell'argomento discusso e ha sostenuto che le diverse procedure, alle quali si riferiscono i documenti, alcune delle quali erano all'epoca in corso, sono interconnesse, di modo che si applicano considerazioni analoghe. Nel corso dell’indagine, il Consiglio ha inoltre chiarito di aver rifiutato l’accesso in quanto la divulgazione avrebbe compromesso le relazioni internazionali degli Stati membri. Inoltre, il Consiglio è del parere che la divulgazione pregiudicherebbe la politica finanziaria degli Stati membri, in conseguenza del previsto deterioramento delle loro relazioni internazionali con i paesi terzi e perché potrebbe portare a comportamenti indesiderati da parte degli operatori economici.

33. Sulla base dell'ispezione condotta dal gruppo di indagine del Mediatore e delle ulteriori informazioni, in parte riservate, fornite dal Consiglio, il Mediatore ritiene che non fosse manifestamente errato per il Consiglio sostenere che la divulgazione (le parti omesse) dei documenti in questione pregiudicherebbe le relazioni internazionali degli Stati membri con i paesi terzi e/o la loro politica finanziaria. Inoltre, data la natura sensibile delle informazioni in questione, il Mediatore ritiene che il Consiglio abbia fornito al denunciante motivazioni sufficienti per la sua decisione di rifiutare l'accesso sulla base di queste due eccezioni.

34. Sebbene il denunciante sembri particolarmente preoccupato per il livello di garanzie in materia di protezione dei dati in vigore in un paese terzo (gli Stati Uniti), il Mediatore osserva anche che i documenti in questione non si limitano alle norme in vigore in tale paese o in un altro paese specifico.

35. Gli interessi pubblici tutelati dall'articolo 4, paragrafo 1, lettera a), del regolamento 1049/2001 non possono essere sostituiti da un altro interesse pubblico ritenuto più importante. Ciò significa che, se un'istituzione ritiene che uno qualsiasi di questi interessi possa essere compromesso dalla divulgazione, deve rifiutarsi di concedere l'accesso. Pertanto, le argomentazioni del denunciante sulla possibile esistenza di un interesse pubblico prevalente alla divulgazione non possono essere prese in considerazione in tale contesto.

36. Poiché l’indagine ha constatato che non era manifestamente errato che il Consiglio invocasse le eccezioni a tutela dell’interesse pubblico per quanto riguarda le relazioni internazionali e la politica finanziaria degli Stati membri, non è necessario valutare l’applicabilità dell’eccezione a tutela di un processo decisionale invocata anche dal Consiglio.

37. Alla luce di quanto precede, il Mediatore ritiene che il Consiglio fosse legittimato a rifiutare l'accesso del pubblico (alle parti pertinenti) ai documenti in questione.

Conclusione

Sulla base dell'indagine, il Mediatore archivia il caso con la seguente conclusione:

Non vi è stata cattiva amministrazione da parte del Consiglio dell’Unione europea nel negare al pubblico l’accesso (alle parti espunte) ai documenti in questione, sulla base della necessità di tutelare l’interesse pubblico per quanto riguarda le relazioni internazionali e la politica finanziaria degli Stati membri.

I denuncianti e il Consiglio saranno informati della presente decisione.

Teresa Anjinho Mediatore
europeo

Strasburgo, 06/05/2026

[1] Disponibile all'indirizzo: https://www.oecd.org/en/publications/consolidated-text-of-the-common-reporting-standard-2025_055664b1-en.html.

[2] Disponibile all'indirizzo: https://www.oecd.org/content/dam/oecd/en/topics/policy-issues/tax-transparency-and-international-co-operation/multilateral-competent-authority-agreement.pdf.

[3] Direttiva 2011/16/UE del Consiglio: http://data.europa.eu/eli/dir/2011/16/oj.

[4] Regolamento 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ("GDPR"): http://data.europa.eu/eli/reg/2016/679/oj.

[5] Cfr. decisione 79/2025 dell'Autorité de protection des données del 24 aprile 2025: https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n0-79-2025.pdf.

[6] Causa C-804/25, Autorité de protection des données. Una sintesi della domanda di pronuncia pregiudiziale è disponibile al seguente indirizzo: https://infocuria.curia.europa.eu/tabs/document/C/2025/C-0804-25-00000000RP-01-P-01/DDP/317238-EN-1-pdf.

[7] L'ultima versione degli orientamenti dell'EDPB è disponibile all'indirizzo: https://www.edpb.europa.eu/system/files/2025-06/edpb _guidelines _202402 _article48_v2_en.pdf.

[8] Ai sensi del regolamento (CE) n. 1049/2001 relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione: http://data.europa.eu/eli/reg/2001/1049/oj.

[9] A norma, rispettivamente, dell'articolo 4, paragrafo 1, lettera a), terzo e quarto trattino, e dell'articolo 4, paragrafo 3, primo comma, del regolamento (CE) n. 1049/2001.

[10] Il corsivo è mio.

[11] Cfr. la risoluzione del Parlamento europeo del 20 maggio 2021 sulla sentenza della CGUE del 16 luglio 2020 - Data Protection Commissioner contro Facebook Ireland Limited e Maximillian Schrems ("Schrems II"), causa C-311/18 (2020/2789(RSP)): https://www.europarl.europa.eu/doceo/document/TA-9-2021-0256_EN.pdf.

[12] Tra l'altro, i denuncianti hanno fatto riferimento alla recente decisione dell'autorità belga per la protezione dei dati e alla relativa domanda di pronuncia pregiudiziale presentata da un tribunale belga alla CGUE (cfr. le note 5 e 6 di cui sopra).

[13] I denuncianti hanno anche fatto riferimento a uno studio del 2022 sulla FATCA del Parlamento europeo, disponibile all'indirizzo: https://www.europarl.europa.eu/RegData/etudes/IDAN/2022/734765/IPOL _IDA(2022)734765 _EN.pdf.

[14] Cfr., ad esempio, sentenza del Tribunale dell'11 luglio 2018, ClientEarth/Commissione, causa T-644/16, punti da 23 a 25: https://curia.europa.eu/juris/liste.jsf?num=T-644/16&language=it.

[15] Sentenza del Tribunale di primo grado del 7 febbraio 2002, Kuijer/Consiglio dell'UE, T-211/00, punti 61 e seguenti: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:62000TJ0211.

[16] Sentenza del Tribunale del 10 settembre 2025, Smart Kid S.A/Commissione europea, T-337/24, punto 41: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62024TJ0337.

[17] Sentenza della Corte di giustizia del 3 luglio 2014, Consiglio dell'UE c. in 't Veld, C-350/12 P, punto 64: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62012CJ0350.