Il Garante Privacy boccia la fatturazione elettronica
L’Autorità Garante per la Protezione dei Dati Personali esercita per la prima volta il potere correttivo di avvertimento previsto dall’articolo 58 paragrafo 2 lett. a) del GDPR. [Provvedimento del 15 novembre – doc. web. n. 9059949].
Il tema oggetto di discussione è l’estensione dell’obbligo di fatturazione elettronica, già applicato nei confronti della pubblica amministrazione dallo scorso anno, anche alle cessioni di beni e prestazioni di servizi effettuate tra due operatori Iva (“B2B”) e a quelle effettuate verso un consumatore finale (“B2C”), come stabilito dalla Legge di bilancio per l’anno finanziario 2018. Fanno eccezione gli operatori che rientrano nei c.d. regimi di vantaggio e regimi forfettari nonché i piccoli produttori agricoli.
Come funziona la fatturazione elettronica?
Si tratta di una fattura predisposta in un formato XML predefinito, trasmesso dall’emittente al ricevente attraverso il Sistema d’interscambio (SDI), messo a disposizione dei soggetti passivi dell’imposta sul valore aggiunto dal Ministero dell’economia e delle finanze e gestito dall’Agenzia delle Entrate “anche per l’acquisizione dei dati fiscalmente rilevanti”. I dati obbligatori da riportare sono i medesimi di quelli stessi già riportati nelle fatture cartacee, con la previsione che le informazioni obbligatorie a fini fiscali possano essere integrate “con ulteriori dati utili alla gestione del ciclo attivo e passivo degli operatori”.
L’Agenzia descrive lo SDI come una sorta di postino, che verifica la presenza in fattura dei predetti dati obbligatori ai fini fiscali, nonché dell’indirizzo telematico (c.d. “codice destinatario” ovvero indirizzo PEC) al quale il cliente (operatore Iva o consumatore finale) desidera che venga recapitata la fattura.
Il nuovo sistema comporta anche il trattamento, da parte dell’Agenzia delle entrate, di tutti i dati presenti nelle fatture emesse (compresi quelli ulteriori) che, oltre ad essere trasmesse e rese disponibili ai destinatari attraverso lo SDI, saranno archiviate e utilizzate anche per le attività di controllo della Guardia di finanza.
Sono tre gli strumenti gratuiti messi a disposizione dall’Agenzia delle Entrate: una procedura web, un software scaricabile su computer e una mobile app con opzione di salvataggio dati anche su cloud. Allo stesso modo, i canali di colloquio con lo SDI per trasmettere le fatture e quelli per renderle disponibili ai destinatari sono basati su PEC, procedure web e app, terminali remoti.
Tale previsione ha sollevato non poche perplessità da parte del Garante che non ha esitato ad avvisare l’Agenzia delle entrate che il nuovo sistema “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”, motivo per cui è stato richiesto all’Agenzia di far sapere con urgenza come intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica.
Quali sono i rischi?
In generale, non si è tenuto adeguatamente conto dei rischi che il nuovo sistema determina per i diritti e le libertà degli interessati e quindi non sono state adottate le misure tecniche e organizzative adeguate per attuare i principi di protezione dei dati.
Nello specifico, il Garante ha evidenziato le seguenti criticità:
- i provvedimenti del Direttore dell’Agenzia delle entrate sono stati adottati senza la consultazione preventiva dell’Autorità;
- il nuovo obbligo di fatturazione elettronica determina un trattamento sistematico di dati personali su larga scala, anche di categorie particolari di dati, che presenta un rischio elevato per i diritti e le libertà degli interessati, richiedendo quindi una valutazione di impatto (art. 35 del GDPR);
- l’Agenzia delle entrate archivia, dopo aver recapitato le fatture, non solo dati necessari ad assolvere gli obblighi fiscali, ma la fattura integrale contenente informazioni eccedenti i fini fiscali (tipologia di beni e servizi ceduti, rapporti fra cedente e cessionario e altri soggetti, sconti applicati, fidelizzazioni, abitudini di consumo e nei casi più estremi categorie di dati particolari e dati giudiziari). Inoltre, l’Agenzia non avrebbe individuato nessuna misura di garanzia volta ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza; in questo quadro il trattamento obbligatorio, generalizzato e di dettaglio di dati personali non appare proporzionato all’obiettivo di interesse pubblico perseguito;
- la scelta di rendere disponibili ai consumatori tutte le fatture elettroniche sul portale dell’Agenzia comporta un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web;
- il ruolo assunto dagli intermediari e dagli altri soggetti delegabili dal contribuente fa emergere peculiari profili di rischio per il trattamento dei dati personali, per cui dovrebbero essere individuate misure tecniche e organizzative adeguate in tutta la filiera del trattamento dei dati personali effettuato a fini di fatturazione elettronica, con particolare attenzione all’articolato sistema di deleghe;
- i canali di trasmissione dello SDI sono stati progettati dall’Agenzia offrendo soluzioni gratuite per le piccole imprese, ma anche dando la possibilità di trasmettere grandi volumi di dati, prevedendo quindi modalità di colloquio totalmente automatizzato, con il rischio di ulteriori utilizzi impropri;
- il protocollo FTP, utilizzato come canale di trasmissione delle fatture elettroniche, non è considerabile sicuro;
- il file XML della fattura elettronica non è sottoposto a cifratura;
- l’utilizzo della PEC consente la memorizzazione dei documenti sui server di gestione di posta elettronica, esponendo gli interessati a maggiori rischi di accesso non autorizzato i dati personali;
- l’app mobile “Fatturae” non informa gli utenti riguardo alle ulteriori finalità di conservazione e di controllo perseguite dall’Agenzia con i dati raccolti attraverso tale applicazione;
- il servizio gratuito di conservazione delle fatture messo a disposizione dall’Agenzia è basato su un accordo di servizio in cui non è chiaro lo stesso ruolo dell’Agenzia in relazione al trattamento dei dati personali.
Conclusioni del Garante
L’Autorità pertanto ha avvertito l’Agenzia delle entrate del fatto che i trattamenti di dati personali effettuati nell’ambito della fatturazione elettronica possono violare le disposizioni del Regolamento; ha ingiunto alla stessa Agenzia di far conoscere le iniziative assunte per rendere conformi i predetti trattamenti; ha trasmesso le proprie considerazioni al Presidente del Consiglio dei Ministri e al Ministro dell’economia e delle finanze per le valutazioni di competenza.