Sarah Yacoubi: "La fatturazione elettronica bocciata dal Garante della protezione dei dati personali"

di SARAH YACOUBI*

 

Il Garante Privacy boccia la fatturazione elettronica a causa delle 'poche' misure organizzative e tecniche utilizzate da parte delle Agenzie delle Entrate per garantire maggior protezione dei dati. 

L’Autorità Garante per la Protezione dei Dati Personali esercita per la prima volta il potere correttivo di avvertimento previsto dall’articolo 58 paragrafo 2 lett. a) del GDPR. [Provvedimento del 15 novembre – doc. web. n. 9059949].

Il tema oggetto di discussione è l’estensione dell’obbligo di fatturazione elettronica, già applicato nei confronti della pubblica amministrazione dallo scorso anno, anche alle cessioni di beni e prestazioni di servizi effettuate tra due operatori Iva verso un consumatori finale come stabilito dalla Legge di bilancio per l’anno finanziario 2018. Fanno eccezione gli operatori che rientrano nei cosiddetti regimi di vantaggio e regimi forfettari nonché i piccoli produttori agricoli.

 

Si tratta di una fattura predisposta in un formato XML predefinito, trasmesso dall’emittente al ricevente attraverso il Sistema d’interscambio (SDI), messo a disposizione dei soggetti passivi dell’imposta sul valore aggiunto dal Ministero dell’economia e delle finanze e gestito dall’Agenzia delle Entrate “anche per l’acquisizione dei dati fiscalmente rilevanti”. I dati obbligatori da riportare sono i medesimi di quelli stessi già riportati nelle fatture cartacee, con la previsione che le informazioni obbligatorie a fini fiscali possano essere integrate “con ulteriori dati utili alla gestione del ciclo attivo e passivo degli operatori”.

Il nuovo sistema comporta anche il trattamento, da parte dell’Agenzia delle Entrate, di tutti i dati presenti nelle fatture emesse (compresi quelli ulteriori) che, oltre ad essere trasmesse e rese disponibili ai destinatari attraverso lo SDI, saranno archiviate e utilizzate anche per le attività di controllo della Guardia di finanza.

 

Tale previsione ha sollevato non poche perplessità da parte del Garante che non ha esitato ad avvisare l’Agenzia delle Entrate che il nuovo sistema “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”, motivo per cui è stato richiesto all’Agenzia di far sapere con urgenza come intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica.

Non si è tenuto adeguatamente conto dei rischi che il nuovo sistema determina per i diritti e le libertà degli interessati non essendo state adottate le misure tecniche e organizzative adeguate per attuare i principi di protezione dei dati.

 

Nello specifico, il Garante ha evidenziato le seguenti criticità:

 

I provvedimenti del Direttore dell’Agenzia delle entrate sono stati adottati senza la consultazione preventiva dell’Autorità; il nuovo obbligo di fatturazione elettronica determina un trattamento sistematico di dati personali su larga scala, anche di categorie particolari di dati, che presenta un rischio elevato per i diritti e le libertà degli interessati, richiedendo quindi una valutazione di impatto (art. 35 del GDPR); l’Agenzia delle Entrate archivia, dopo aver recapitato le fatture, non solo dati necessari ad assolvere gli obblighi fiscali, ma la fattura integrale contenente informazioni eccedenti i fini fiscali (tipologia di beni e servizi ceduti, rapporti fra cedente e cessionario e altri soggetti, sconti applicati, fidelizzazioni, abitudini di consumo e nei casi più estremi categorie di dati particolari e dati giudiziari). Inoltre, l’Agenzia non avrebbe individuato nessuna misura di garanzia volta ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza; in questo quadro il trattamento obbligatorio, generalizzato e di dettaglio di dati personali non appare proporzionato all’obiettivo di interesse pubblico perseguito; la scelta di rendere disponibili ai consumatori tutte le fatture elettroniche sul portale dell’Agenzia comporta un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web, per cui dovrebbero essere individuate misure tecniche e organizzative adeguate in tutta la filiera del trattamento dei dati personali effettuato a fini di fatturazione elettronica, con particolare attenzione all’articolato sistema di deleghe; i canali di trasmissione dello SDI sono stati progettati dall’Agenzia offrendo soluzioni gratuite per le piccole imprese, ma anche dando la possibilità di trasmettere grandi volumi di dati, prevedendo quindi modalità di colloquio totalmente automatizzato, con il rischio di ulteriori utilizzi impropri; il protocollo FTP, utilizzato come canale di trasmissione delle fatture elettroniche, non è considerabile sicuro; il servizio gratuito di conservazione delle fatture messo a disposizione dall’Agenzia è basato su un accordo di servizio in cui non è chiaro lo stesso ruolo dell’Agenzia in relazione al trattamento dei dati personali.

 

L’Autorità pertanto ha avvertito l’Agenzia delle entrate del fatto che i trattamenti di dati personali effettuati nell’ambito della fatturazione elettronica possono violare le disposizioni del Regolamento; ha ingiunto alla stessa Agenzia a far conoscere le iniziative assunte per rendere conformi i predetti trattamenti; ha trasmesso le proprie considerazioni al Presidente del Consiglio dei Ministri e al Ministro dell’economia e delle finanze per le valutazioni di competenza. Il rischio sottolineato dal Garante è quello di una vera e propria «profilazione di tutti i contribuenti, anche minori d'età», a fronte del quale, «attesi i rischi elevati per i diritti e le libertà degli interessati» è necessario approfondire ulteriormente l'istruttoria. Insomma l'ingordigia di dati da parte del fisco non può superare certi paletti. Tutto ciò che è superfluo e non necessario per il contrasto all'evasione fiscale, non può essere acquisito, memorizzato e trattato.