Il Garante Privacy in tema di fatturazione elettronica: esenti gli operatori di prestazioni sanitarie e banca dati dell’Agenzia delle Entrate solo per i dati fiscali
A seguito del provvedimento emesso lo scorso 15 novembre, inerente le criticità rilevate in tema di fatturazione elettronica, l’Agenzia delle Entrate ha fornito una relazione tecnica circa i miglioramenti da apportare all’intero sistema di fatturazione.
All’interno della relazione tecnica, l’Agenzia ha illustrato le iniziative che intende adottare in relazione alle criticità evidenziate dal Garante. In particolare, le suddette iniziative sono relative a:
- sproporzione della memorizzazione di tutti i dati contenuti all’interno della banca dati;
- specificazione del ruolo dell’Agenzia nel trattamento dei dati;
- misure di sicurezza da adottare per la comunicazione e trasmissione delle fatture;
- implementazione dell’informativa sul trattamento dei dati personali in relazione all’App FatturAE.
Con un articolato provvedimento emesso il 20 dicembre 2018, il Garante Privacy si è espresso in merito alla relazione tecnica circa i miglioramenti da apportare.
Tra le osservazioni dell’Autorità rientrano i seguenti punti:
Proporzionalità della memorizzazione dei dati personali presenti nelle fatture elettroniche e banca dati
Una delle finalità dell’Agenzia delle Entrate è quella di creare e mettere a disposizione un archivio delle fatture emesse e ricevute dai vari operatori, affinchè possano procedere a scaricare il documento che interessa. Quindi si tratta di una banca dati con milioni di dati, eseguendo sicuramente un trattamento su larga scala.
Nelle fatture emesse, però, oltre che ai dati fiscali, sono indicati sia i dati personali che i dettagli del servizio acquisito o del bene. Tali dati ulteriori permettono una specie di profilazione degli utenti, archiviando quindi le abitudini e le tipologie di consumo, le prestazioni sanitarie eseguite nonché i dati riferiti alle prestazioni legali (soprattutto di tipo penale).
Il Garante Privacy ha basato le proprie osservazioni su uno dei principi cardini previsti dal GDPR, ossia la minimizzazione dei dati, soprattutto in ambito di trattamento di dati di pubblico interesse.
Pertanto, il Garante Privacy ha richiesto all’Agenzia delle Entrate di procedere all’archiviazione dei soli dati fiscali, necessari per la fatturazione elettronica e oscurare i dati personali e potranno accedere alla propria banca dati solo coloro che richiedano il servizio di archiviazione all’Agenzia delle Entrate e stipulino un accordo in tal senso. In questo caso, l’Agenzia delle Entrate assumerà il ruolo di Responsabile del trattamento ai sensi dell’art. 28 del GDPR.
I soggetti che erogano prestazioni sanitarie e legali non dovranno emettere fattura elettronica
Le maggiori criticità si riscontrano in merito alle fatture relative a prestazioni sanitarie e legali, poiché comportano il trattamento di dati riferiti alla salute e condanne penali e reati.
In particolare, secondo le disposizioni di semplificazione in tema di fatturazione elettronica per gli operatori sanitari, “per il periodo di imposta 2019 sono esonerati dall’obbligo di fatturazione elettronica gli operatori con riferimento, con riferimento alle fatture i cui dati sono inviati al Sistema tessera sanitaria” (cfr. Legge 17 dicembre 2018 n. 136), ossia quelle strettamente connesse con la precompilazione automatica della dichiarazione dei redditi.
Tale semplificazione sembrerebbe non adottarsi nei confronti delle fatture emesse dai soggetti che erogano prestazioni sanitarie non trasmesse attraverso il Sistema tessera sanitaria.
In realtà, per evitare confusione, l’Autorità Garante ha stabilito che tutte le categorie di operatori sanitari siano esenti dall’obbligo della fatturazione elettronica.
Implementazione e integrazione delle misure di sicurezza
L’Agenzia delle Entrate dovrà implementare anche diverse misure di sicurezza indicate dal Garante Privacy, per la tutela dei dati personali trattati, tra i quali la cifratura sia dei canali di trasmissione dati che della stessa banca dati.
Esaminati gli aspetti più importanti, il Garante Privacy ha comunque autorizzato l’Agenzia delle Entrate ad avviare, a partire dal prossimo 1 gennaio 2019, i trattamenti di dati personali a rischio elevato connessi all’obbligo di fatturazione elettronica nel rispetto dei presupposti e delle condizioni indicate nel provvedimento, dando, altresì, all’Agenzia il termine sino al 15 aprile 2019 di implementare le ulteriori osservazioni eseguite ed integrare la valutazione di impatto presentata.