FISCALITA FISCO & WEB

Privacy e fattura elettronica: per il Garante, criticità rilevanti

Il Garante per la protezione dei dati personali ha avvertito l’Agenzia delle Entrate che il nuovo obbligo della fatturazione elettronica, nel modo in cui è stato regolato proprio dall’Agenzia, “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”: da ciò scaturisce la richiesta all’Agenzia di far sapere con urgenza come intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti dei dati che verranno effettuati ai fini della fatturazione elettronica, contenuta nel provvedimento sull’obbligo di fatturazione elettronica del 15 novembre 2018. Anzi, poiché una preventiva consultazione dell’Autorità – stabilita dal Codice privacy e dal nuovo Regolamento Ue – avrebbe potuto assicurare già dalla progettazione le garanzie previste dalla protezione dei dati personali, nel provvedimento si legge che il Garante “ingiunge all’Agenzia delle entrate di far conoscere all’Autorità le iniziative assunte per rendere conformi i predetti trattamenti alle disposizioni sopra citate allorché gli obblighi di fatturazione elettronica divengano pienamente operativi”.

Il problema

Con la legge di bilancio 2018 (n. 205/2017) l’obbligo di fatturazione elettronica, già applicato nei confronti della PA, è stato esteso alle cessioni di beni e prestazioni di servizi effettuate tra due soggetti IVA per le operazioni tra fornitori (B2B) e anche a quelle effettuate tra fornitori e consumatori (B2C). A partire dall’anno di imposta 2017 la fattura elettronica è stata introdotta, in maniera facoltativa, per le operazioni B2B, mentre dal 1° gennaio 2019 (art. 1, comma 916, legge 205/2017) sarà obbligatoria per tutte le cessioni di beni e prestazioni di servizi comunque effettuate tra soggetti residenti o stabiliti in Italia: uniche eccezioni, i soggetti che rientrano nei cosiddetti regimi di vantaggio e forfettari, per i quali resta facoltativa, e i piccoli produttori agricoli esonerati dall’emettere fattura.

La nuova disciplina è stata attuata attraverso alcuni provvedimenti del Direttore dell’Agenzia delle Entrate: in particolare, le regole per predisporre, trasmettere, ricevere e conservare le fatture elettroniche sono contenute nel provvedimento n. 89757 del 30 aprile 2018 e, da ultimo, le modalità di conferimento e revoca delle deleghe per l’utilizzo dei servizi di fatturazione elettronica nel provvedimento n. 291241 del 5 novembre 2018.

Qual è il problema? Che i provvedimenti direttoriali sono stati adottati senza consultare il Garante, il quale, anche a seguito di alcuni reclami, ha esercitato per la prima volta il nuovo potere di avvertimento attribuito dal Regolamento europeo.

 

La fattura elettronica

La nuova fatturazione elettronica implica anche il trattamento, da parte delle Entrate, di tutti i dati presenti nei documenti emessi che, oltre ad essere trasmessi e resi disponibili ai destinatari attraverso il Sistema di interscambio (SdI), saranno archiviati e utilizzati anche per le attività di controllo effettuate anche dalla Guardia di Finanza (provvedimento n. 89757, punto 10). I canali di colloquio con lo SDI per trasmettere le fatture sono: la posta elettronica certificata (Pec); i servizi informatici messi a disposizione dall’Agenzia (procedura web e mobile app); il sistema di cooperazione applicativa, su rete Internet, tramite web service; il sistema di trasmissione dati tra terminali remoti basato su protocollo FTP. Le fatture sono invece rese disponibili ai destinatari con le seguenti modalità: in caso di operazioni B2B, tramite gli stessi canali appena elencati; in caso di operazioni B2C, dal 1° gennaio 2019 (al consumatore finale) nel formato Xml, nella sezione riservata del sito web dell’Agenzia.

Per quanto di propria competenza, il Garante evidenzia le rilevanti criticità, riguardo alla compatibilità con la normativa in materia di protezione dei dati personali, derivanti dall’estensione dell’obbligo di fatturazione elettronica, in particolare, anche alle operazioni B2C. In proposito, nel documento si legge che “Dalla documentazione, allo stato, disponibile sembrerebbe, infatti, che, nel progettare il nuovo adempimento, non si sia tenuto adeguatamente conto dei rischi, di seguito illustrati, che l’implementazione della fatturazione elettronica determina per i diritti e le libertà degli interessati, e, quindi, non siano state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento le garanzie necessarie a soddisfare i requisiti del regolamento e a tutelare i diritti degli interessati”.

Anche perché dal nuovo obbligo di fatturazione elettronica discende un trattamento sistematico di dati personali su larga scala, anche di categorie particolari di dati, potenzialmente relativi a ogni aspetto della vita quotidiana, che presenta un rischio elevato per i diritti e le libertà degli interessati.

Nelle fatture anche dati non fiscali

In pratica l’Agenzia, dopo aver recapitato le fatture in qualità di “postino”, non archivia solo i dati necessari ad assolvere gli obblighi fiscali, ma la fattura vera e propria (in formato Xml), che contiene informazioni non necessarie a fini fiscali, come i dati che individuano – spesso a fini di garanzia, assicurativi o per prassi commerciali – i beni e i servizi ceduti, la descrizione delle prestazioni, i rapporti fra cedente e cessionario e altri soggetti, riferiti anche a sconti applicati, fidelizzazioni, abitudini di consumo, oltre a dati obbligatori imposti da specifiche normative di settore, con particolare riguardo ai trasporti, alle forniture di servizi energetici o di telecomunicazioni (tipologie dei consumi, fatturazione dettagliata, regolarità dei pagamenti, appartenenza a particolari categorie di utenti): si pensi anche ai dati particolari e giudiziari rilevabili da fatture elettroniche emesse da operatori attivi nel settore sanitario o giudiziario.

Alla presenza di informazioni non rilevanti a fini fiscali, esplicitamente prevista nel provvedimento dell’Agenzia (punto 1.4.), non corrisponde alcuna specifica misura di garanzia atta ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza.

In sostanza, la progettazione e definizione della fatturazione elettronica prevede un trattamento obbligatorio, generalizzato e di dettaglio di dati personali, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi potenzialmente a ogni aspetto della vita quotidiana dell’intera popolazione che, secondo il Garante, non risulta “proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito”.

Le altre criticità

Ulteriori criticità derivano dalla scelta dell’Agenzia di mettere a disposizione sul proprio portale, anche senza una richiesta dei consumatori, tutte le fatture in formato Xml, nonostante il diritto di ottenerne una copia, digitale o analogica, direttamente dal fornitore.

Inoltre, anche il ruolo assunto dagli intermediari e dagli altri soggetti delegabili dal contribuente per trasmettere, ricevere e conservare le fatture, presenta particolari profili di rischio per il trattamento dei dati personali: secondo l’Autorità, nei provvedimenti delle Entrate non risulta chiaro il loro ruolo rispetto al trattamento di dati personali, anche di dettaglio, contenuti nelle fatture elettroniche emesse e ricevute. Viene poi rilevato che i canali di trasmissione del SdI progettati dall’Agenzia per semplificare il processo, offrendo soluzioni gratuite per le piccole imprese danno anche la possibilità di trasmettere grandi volumi di dati, visto che prevedono modalità di colloquio totalmente automatizzato.

Il provvedimento è stato inviato anche al Presidente del Consiglio e al Ministro dell’Economia per le valutazioni di competenza.

 

 

Desidero ricevere in abbonamento gratuito il vostro periodico FiscotoDay