FATTURAZIONE ELETTRONICA

Consulenza su fatturazione elettronica

Lo studio fornisce consulenza e assistenza in materia di organizzazione aziendale in materia di "Fatturazione elettronica".

Intervento dell'Authority privacy

La fattura elettronica non garantisce il rispetto del GDPR

Sebastiano Cristaldi, 18 novembre 2018

 

Con il Provvedimento n. 9059949 del 15/11/2018, il Garante per la protezione dei dati personali ha bocciato sonoramente la disciplina della fatturazione elettronica al debutto il 1° gennaio 2019, avvertendo e ingiungendo l’Agenzia delle entrate, ai sensi dell’art. 58, paragrafo 2, lett. a) del Regolamento, che i trattamenti dei dati personali effettuati nell’ambito della fatturazione elettronica, ai sensi dell’art. 1 del D. Lgs. 5/8/2015, n. 127 e dei Provvedimenti n. 89757 del 30/4/2018 e n. 291241 del 5/11/2018 del Direttore, così come attualmente delineati, possono violare gli artt. 5, 6, paragrafo 3, lett. b), 9, paragrafo 2, lett. g), 13, 14, 25 e 32 del GDPR.

 

Ai sensi dell’art. 58, paragrafo 1, lett. a) del Regolamento, l’Authority privacy ha ingiunto all’Agenzia delle entrate, di far conoscere al Garante le iniziative assunte per rendere conformi i predetti trattamenti alle disposizioni normative previste dal GDPR.

 

Purtroppo, dobbiamo far rilevare che, ancora una volta, l’Agenzia delle entrate è scivolata sulla privacy: era già successo per il “redditometro”, ma l’esperienza non pare che sia servita molto, visto che l’errore è stato ripetuto per la fatturazione elettronica.

In particolare, con il predetto provvedimento, il Garante:

 

a)    ha ritenuto che il trattamento obbligatorio, generalizzato e di dettaglio di dati personali, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi a ogni aspetto della vita quotidiana della totalità della popolazione, non sia proporzionato all’obiettivo di interesse pubblico perseguito;

 

b)    ha sottolineato come l’estensione dell’obbligo di fatturazione elettronica nei confronti dei soggetti privati sia stata progettata senza tenere conto adeguatamente dei rischi connessi ai diritti e alle libertà degli interessati, poiché non sarebbero state attuate le “misure tecniche e organizzative adeguate ad attuare in modo efficace i principi di protezione dei dati”;

 

c)    ha fatto rilevare che i provvedimenti n. 89757/2018, concernente le regole attuative, e n. 291241/2018, relativo al conferimento e alla revoca delle deleghe agli intermediari, sono stati adottati senza consultare che il Garante stesso; un “tempestivo” e “necessario” coinvolgimento nella fase legislativa avrebbe consentito di progettare il processo nel pieno rispetto delle norme in tema di protezione dei dati personali;

 

d)   ha ritenuto poco affidabile il protocollo FTP, utilizzabile per la trasmissione e la ricezione dei file fattura, rimarcando le criticità connesse con il suo utilizzo;

 

e)   ha riscontrato che anche l’App “FatturAE” necessiterebbe di correttivi, atteso che consente agli operatori di effettuare il salvataggio di alcuni dati “non meglio specificati”, in ambiente cloud;

 

f)     ha criticato anche il servizio di conservazione gratuito delle fatture, offerto dall’Agenzia delle entrate, ritenendo la previsione contenuta nel contratto di adesione secondo cui l’Amministrazione non è responsabile nel caso di perdita di dati in determinate circostanze, violi le norme sulla privacy vigenti;

 

g)    ha mosso rilievi anche al ruolo affidato agli intermediari. Per come è delineato, nel provvedimento n. 291241/2018, “l’articolato sistema di deleghe”, non risulta chiaro il ruolo assunto dai delegati rispetto ai dati personali. Inoltre, laddove l’intermediario sia una persona fisica, devono essere assicurate garanzie affinché questi possa distinguere le fatture relative alla sfera professionale o imprenditoriale da quelle attinenti alla sfera privata del delegante.

 

h)    ha sostenuto che una delle questioni maggiormente critiche riguarda il fatto che il Sistema di Interscambio non si limiti alla funzione di “postino” della e-fattura, ma archivi tutti i dati contenuti nel documento, ivi compresi quelli la cui indicazione non è necessaria ai fini fiscali. Ad esempio, l’Authority ha citato le informazioni sui rapporti fra cedente e cessionario che potrebbero trarsi dall’applicazione di sconti o fidelizzazioni, o a quei dati imposti da normative di settore che riguardano le tipologie di consumi energetici, la regolarità dei pagamenti, i dati sanitari o giudiziari contenuti nelle fatture, ecc.;

 

i)      ha evidenziato che il paragrafo 1.4 del provvedimento dell’Agenzia delle entrate n. 89757/2018, consente l’inserimento delle predette informazioni nelle fatture, ma non prevede “alcuna specifica misura di garanzia volta ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza”.

L’Associazione nazionale dei commercialisti aveva segnalato al Garante per la protezione dei dati personali le criticità riscontrabili nella normativa sulla e-fattura connesse alla tutela della privacy, evidenziando il rischio che “i dati contenuti nelle fatture, che riportano informazioni personali e sulle transazioni commerciali, potevano essere oggetto di interesse da parte di terzi, motivati a conoscere le scelte degli operatori commerciali e profilarne le caratteristiche. Anche il CNDCEC, aveva rimarcato la delicatezza della questione, ma tali interventi non sono serviti a far riflettere l’Agenzia delle entrate, che ora non potrà certamente ignorare l’intervento del Garante per protezione dei dati personali.