Agenzia delle Entrate, stop del Garante privacy ai trattamenti connessi all’obbligo della fattura elettronica

L’Agenzia delle Entrate dovrà rivedere la procedura relativa alla trasmissione delle fatture elettroniche, modificando le modalità digitali del trattamento che dovrà essere compliant al GDPR. Il Garante non fa sconti alla pubblica amministrazione

Come noto, a breve entrerà in vigore l’obbligo della fatturazione elettronica tra privati esteso dalla legge 205/2017 secondo le regole tecniche dell’Agenzia delle Entrate di cui alla circolare del 30 aprile 2018, con l’unica esclusione delle piccole partite Iva in regime dei minimi o con regime forfettario.

Ora, nel breve lasso di tempo che ci separa dal 1 gennaio 2019, ecco che una rilevante “tegola” colpisce l’Agenzia delle Entrate che tra l’altro, a fini di controllo, dovrà archiviare anche queste fatture nel nuovo formato digitale per poi metterle a disposizione sul proprio portale.

Si tratta chiaramente di una mole di dati che potrebbe prestarsi ad usi impropri da parte di malintenzionati per cui è necessario che il trattamento da parte della Pubblica Amministrazione sia caratterizzato dalla massima sicurezza dei sistemi e questo ab origine, ovvero sin dalla fase iniziale di progettazione degli strumenti informatici applicando il principio di privacy by design proprio del G.D.P.R. il Regolamento UE 2016/679 il che all’art. 25 ne delinea gli intenti di prevenzione dei rischi del trattamento dei dati personali.

La fattura notoriamente si presta a far conoscere alcune informazioni sui beni e servizi acquistati, tipologie di consumo, ma nel caso di medici e avvocati ad esempio anche la descrizione di prestazioni sanitarie o legali; si pensi ad esempio ad una divisione ereditaria o un incarico relativo al risarcimento dei danni per un sinistro.

Il Garante, in buona sostanza, ha avvertito che il nuovo obbligo di fatturazione elettronica come regolato dall’Agenzia delle entrate “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”.

L’Autorità di piazza Venezia, esercitando il nuovo potere correttivo di avvertimento previsto nel G.D.P.R., con il provvedimento n. 481 del 15 novembre 2018, emesso anche a seguito di alcuni reclami degli intermediari, ha chiesto all’Agenzia di “far sapere con urgenza come intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica”.

Sempre secondo il Garante il nuovo obbligo di fatturazione elettronica presenterebbe ad oggi “un rischio elevato per i diritti e le libertà degli interessati, comportando un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito”.

Ricordo che per fattura elettronica si intende una fattura predisposta in un formato XML predefinito, trasmesso dall’emittente al ricevente attraverso il Sistema d’interscambio (SDI), messo a disposizione dei soggetti passivi dell’imposta sul valore aggiunto dal Ministero dell’economia e delle finanze e gestito dall’Agenzia delle Entrate “anche per l’acquisizione dei dati fiscalmente rilevanti” (art. 1 del d.lgs. 127 del 2015).

I dati obbligatori da inserire nella fattura elettronica sono gli stessi riportati nelle fatture cartacee, ma è previsto che le informazioni obbligatorie a fini fiscali, indicate nella medesima fattura, possano essere integrate “con ulteriori dati utili alla gestione del ciclo attivo e passivo degli operatori”.

Le criticità rilevate dal Garante riguardano la procedura per cui l’Agenzia, dopo aver recapitato le fatture attraverso il sistema di interscambio (SDI) tra gli operatori economici e i contribuenti, archivierà e utilizzerà i dati anche a fini di controllo.
É previsto però che non siano archiviati solo i dati obbligatori a fini fiscali, ma la fattura integrale che contiene di per sé informazioni di dettaglio ulteriori sui beni e servizi acquistati, come le abitudini e le tipologie di consumo, legate alla fornitura di servizi energetici e di telecomunicazioni (es. regolarità nei pagamenti, appartenenza a particolari categorie di utenti) talvolta la descrizione di prestazioni sanitarie o legali.

Altra nota dolente è la scelta dell’Agenzia delle Entrate di mettere a disposizione sul proprio portale, senza una richiesta dei consumatori, tutte le fatture in formato digitale, anche per chi preferirà comunque continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore.

Anche le modalità di trasmissione attraverso lo SDI e gli ulteriori servizi offerti all’Agenzia (come la conservazione dei dati) presentano criticità per quanto riguarda i profili di sicurezza, a partire dalla mancata cifratura della fattura elettronica.

E questo ancor più in considerazione dell’utilizzo della PEC per lo scambio delle fatture con la conseguente possibile memorizzazione dei documenti sui server di posta elettronica.
Infine, va detto che è mancata la consultazione preventiva del Garante, stabilita dal codice privacy e dal G.D.P.R., che avrebbe potuto assicurare ab origine l’avvio del nuovo sistema con modalità e garanzie rispettose della protezione dei dati personali, introducendo misure tecnico organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica.

Ora si attende la risposta fattiva di chi è stato colto in fallo, con l’intervento di Palazzo Chigi, visto che il provvedimento è stato inviato anche al Presidente del Consiglio dei ministri e al Ministro dell’economia e delle finanze.