← Torna a Accertamento - D.P.R. 600/1973
Ultimo aggiornamento: 15 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 12 bis D.P.R. 600/1973 (Accertamento) – Trattamento dei dati risultanti dalla dichiarazione dei redditi e dell’imposta sul valore aggiunto (1)

In vigore dal 1/1/1974

1. I sostituti d’imposta ed i soggetti comunque incaricati ai sensi dell’articolo 12 di trasmettere la dichiarazione all’Amministrazione finanziaria, possono trattare i dati connessi alle dichiarazioni per le sole finalità di prestazione del servizio e per il tempo a ciò necessario, adottando specifiche misure individuate nelle convenzioni di cui al comma 11 del predetto articolo 12, volte ad assicurare la riservatezza e la sicurezza delle informazioni anche con riferimento ai soggetti da essi designati come responsabili o incaricati ai sensi della legge 31 dicembre 1996, n. 675. Con il decreto di cui al comma 11 dell’articolo 12 sono individuate, alresì, le modalità per inserire nei modelli di dichiarazione l’informativa all’interessato e l’espressione del consenso relativo ai trattamenti, da parte dei soggetti di cui al precedente periodo, dei dati personali di cui all’articolo 22, comma 1, della legge 31 dicembre 1996, n. 675, connessi alle dichiarazioni. 2. Limitatamente alle dichiarazioni presentate nel 1998, l’informativa di cui all’articolo 10 della legge 31 dicembre 1996, n. 675, s’intende resa attraverso i modelli di dichiarazione ed il consenso di cui al comma 1 è validamente espresso con la sottoscrizione delle dichiarazioni. Note: (1) Articolo inserito dall’art. 2, comma 1, DLgs. 8.5.1998 n. 135, pubblicato in G.U. 9.5.1998 n. 106. TITOLO II – Scritture contabili

In sintesi

  • L’articolo 12-bis disciplina il trattamento dei dati personali risultanti dalla dichiarazione dei redditi da parte dei sostituti d'imposta e degli intermediari.
  • I dati possono essere trattati solo per finalità di prestazione del servizio dichiarativo e per il tempo strettamente necessario.
  • Gli intermediari devono adottare misure specifiche di riservatezza e sicurezza indicate nelle convenzioni con l’Amministrazione.
  • Il consenso al trattamento dei dati sensibili è validamente espresso con la sottoscrizione della dichiarazione.
Origine e collocazione sistematica della norma

L’articolo 12-bis del D.P.R. 29 settembre 1973, n. 600 è stato inserito dall’articolo 2, comma 1, del D.Lgs. 8 maggio 1998, n. 135, pubblicato nella Gazzetta Ufficiale del 9 maggio 1998, n. 106. Il decreto legislativo n. 135/1998 era uno dei decreti attuativi della legge 31 dicembre 1996, n. 675 (prima legge organica sulla privacy in Italia, poi abrogata e sostituita dal D.Lgs. 30 giugno 2003, n. 196, Codice del trattamento dei dati personali, a sua volta modificato dal Regolamento UE 2016/679 noto come GDPR).

La norma si inserisce in un contesto normativo oggi profondamente rinnovato: i riferimenti alla legge 675/1996 (e ai suoi articoli 10 e 22) sono ormai da leggersi alla luce del Codice Privacy e del GDPR. Ciò nonostante, i principi enunciati dall’articolo 12-bis conservano rilevanza, in quanto codificano specifiche limitazioni al trattamento dei dati dichiarativi che integrano e specificano le previsioni generali del GDPR con riferimento al particolare contesto del processo dichiarativo fiscale.

I soggetti titolari del trattamento e i limiti di finalità

L’articolo 12-bis si rivolge a due categorie di soggetti: i sostituti d'imposta e i soggetti incaricati della trasmissione telematica della dichiarazione ai sensi dell’articolo 12 (oggi articolo 3 del D.P.R. 322/1998), tra cui professionisti abilitati (commercialisti, consulenti del lavoro) e CAF. Entrambe le categorie si trovano in una posizione privilegiata rispetto ai dati del contribuente: gestiscono informazioni reddituali, patrimoniali e personali di notevole sensibilità, acquisite nell’ambito di un rapporto di servizio fiduciario.

La norma introduce un principio di limitazione della finalità: i dati connessi alle dichiarazioni possono essere trattati esclusivamente per le finalità di prestazione del servizio dichiarativo, e solo per il tempo necessario a tale scopo. Questo principio anticipa, nella sua sostanza, il principio di «limitazione della finalità» oggi sancito dall’articolo 5, paragrafo 1, lettera b), del GDPR, che vieta il trattamento dei dati per finalità incompatibili con quelle per cui erano stati originariamente raccolti. Un intermediario fiscale non può utilizzare i dati della dichiarazione del cliente per fini commerciali o per la profilazione, neanche in forma anonimizzata, senza il consenso specifico dell’interessato.

Le misure di sicurezza e il coordinamento con le convenzioni

La norma stabilisce che le misure di sicurezza per il trattamento dei dati dichiarativi devono essere individuate nelle convenzioni stipulate con l’Amministrazione finanziaria ai sensi del comma 11 dell’abrogato articolo 12 (oggi le specifiche tecniche di sicurezza sono contenute nelle condizioni di utilizzo dei sistemi Entratel e Fisconline e nelle linee guida del Garante per la protezione dei dati personali applicabili ai professionisti fiscali).

Le convenzioni devono garantire la riservatezza e la sicurezza delle informazioni «anche con riferimento ai soggetti da essi designati come responsabili o incaricati». Nel linguaggio del GDPR, i collaboratori del professionista che materialmente trattano i dati delle dichiarazioni dei clienti sono «persone autorizzate al trattamento», i cui accessi ai dati devono essere adeguatamente controllati e registrati. Il professionista, quale titolare del trattamento, risponde dell’operato dei propri collaboratori nei confronti dei clienti e del Garante.

Il consenso per i dati sensibili e la disciplina transitoria

Il secondo comma dell’articolo 12-bis prevedeva una disposizione transitoria applicabile alle sole dichiarazioni presentate nel 1998 (prime dichiarazioni presentate dopo l’entrata in vigore della legge 675/1996): per queste dichiarazioni, l’informativa all’interessato si intendeva resa attraverso i modelli dichiarativi stessi, e il consenso al trattamento dei dati sensibili (denominati «dati personali» ai sensi dell’articolo 22, comma 1, della legge 675/1996, corrispondenti alle categorie particolari di dati ai sensi dell’articolo 9 del GDPR) era validamente espresso con la sottoscrizione della dichiarazione.

Nel sistema attuale, il GDPR impone al professionista fiscale di fornire al cliente un’informativa completa sul trattamento dei dati personali (articolo 13 GDPR) e, per i dati di categoria particolare eventualmente contenuti nella dichiarazione (ad esempio, spese mediche, disabilità, appartenenza a enti religiosi), di raccogliere il consenso esplicito dell’interessato o di fondare il trattamento su altra base giuridica prevista dall’articolo 9, paragrafo 2, del GDPR. Le autorizzazioni del Garante per la protezione dei dati personali applicabili ai professionisti che trattano dati fiscali e tributari costituiscono il quadro di riferimento per la corretta impostazione del trattamento.

Implicazioni pratiche per i professionisti fiscali

Per il commercialista, il consulente del lavoro e il CAF che gestiscono le dichiarazioni dei redditi dei propri clienti, l’articolo 12-bis del D.P.R. 600/1973 (pur nel quadro aggiornato del GDPR) impone concretamente: la redazione di un registro dei trattamenti ai sensi dell’articolo 30 GDPR che includa il trattamento dei dati dichiarativi; la predisposizione di un’informativa privacy aggiornata da consegnare ai clienti; la definizione di procedure interne per la sicurezza dei dati (accesso limitato alle dichiarazioni, cifratura delle comunicazioni elettroniche, gestione sicura degli archivi); la designazione degli addetti come «persone autorizzate al trattamento» con istruzioni scritte; la stipula di accordi di responsabilità congiunta o di designazione a responsabile del trattamento con i fornitori di software gestionale.

Domande frequenti

L’articolo 12-bis del D.P.R. 600/1973 è ancora vigente?

Sì, l’articolo 12-bis è in vigore. I riferimenti alla legge 675/1996 in esso contenuti vanno oggi letti alla luce del D.Lgs. 196/2003 (Codice Privacy, come modificato dal D.Lgs. 101/2018) e del Regolamento UE 2016/679 (GDPR), che hanno sostituito la normativa originaria.

Un commercialista può usare i dati delle dichiarazioni dei propri clienti per fini di marketing?

No. L’articolo 12-bis stabilisce che i dati connessi alle dichiarazioni possono essere trattati solo per le finalità di prestazione del servizio dichiarativo. L’utilizzo per finalità commerciali o di profilazione richiederebbe una specifica base giuridica ai sensi del GDPR e, nella maggior parte dei casi, il consenso espresso del cliente.

Quali misure di sicurezza deve adottare uno studio professionale per i dati delle dichiarazioni fiscali?

Sulla base dell’articolo 12-bis e del GDPR, lo studio deve adottare: accessi ai dati limitati e controllati, cifratura delle comunicazioni elettroniche, gestione sicura degli archivi fisici ed elettronici, procedure di backup, designazione degli addetti come persone autorizzate, registro dei trattamenti. Il Garante per la protezione dei dati personali ha pubblicato specifiche linee guida per i professionisti fiscali.

Il GDPR ha reso obsoleto l’articolo 12-bis del D.P.R. 600/1973?

No, lo ha integrato e aggiornato. L’articolo 12-bis mantiene la propria rilevanza come norma speciale che introduce limitazioni specifiche per il trattamento dei dati fiscali nell’ambito del processo dichiarativo. I principi in esso enunciati (limitazione della finalità, misure di sicurezza, responsabilità degli incaricati) sono perfettamente coerenti con il quadro GDPR e si integrano con esso.

Il consenso al trattamento dei dati sensibili contenuti nella dichiarazione dei redditi è implicito nella firma?

Ai sensi del secondo comma dell’articolo 12-bis, questo era previsto espressamente ma solo per le dichiarazioni presentate nel 1998 (disposizione transitoria). Nel sistema attuale del GDPR, il consenso al trattamento dei dati di categoria particolare (es. spese mediche, disabilità) deve essere esplicito, specifico e informato. L’informativa al cliente va fornita prima del trattamento, e il consenso deve essere raccolto separatamente.

A cura di
Dott. Andrea Marton — Tax Advisor, Consulente Fiscale
Responsabile editoriale di La Legge in Chiaro per i principali codici italiani (C.C., C.P., C.P.C., C.P.P., Costituzione, C.d.S., Codice del Consumo, TUIR, T.U.IVA, T.U.B., IRAP, Antiriciclaggio, CCII, TUE, Accertamento, Successioni). Contenuti redatti con linguaggio chiaro, fonti ufficiali aggiornate e revisione professionale a cura della Redazione.
Avvertenza: il testo è pubblicato a fini informativi e divulgativi. Per casi specifici è sempre consigliato rivolgersi a un professionista abilitato.
Articoli correlati
Accertamento - D.P.R. 600/1973
Art. 12 Accertamento - [Presentazione delle dichiarazioni] (1)
Accertamento - D.P.R. 600/1973
Art. 11 Accertamento - [Dichiarazione nei casi di trasformazione e di fusione] (1)
Accertamento - D.P.R. 600/1973
Art. 13 Accertamento - Soggetti obbligati alla tenuta delle scritture contabili (1)
Accertamento - D.P.R. 600/1973
Art. 10 Accertamento - [Dichiarazione nei casi di liquidazione] (1)
Accertamento - D.P.R. 600/1973
Art. 14 Accertamento - Scritture contabili delle imprese commerciali, delle società e degl...
Accertamento - D.P.R. 600/1973
Art. 15 Accertamento - Inventario e bilancio (1)