Privacy e fatturazione elettronica

 

La fatturazione elettronica ha impegnato molto il lavoro del Garante, intervenuto sulla questione con oltre 20 provvedimenti.

In via generale, si ricorda al lettore che la fatturazione elettronica tra privati e verso i consumatori è divenuta obbligatoria a partire dal 1° gennaio 2019 e ha ad oggetto le prestazioni commerciali, a seguito di forniture di beni e servizi effettuate sia tra due professionisti sia da un professionista verso un consumatore, ad eccezione di alcune specifiche categorie.

Se la prima tappa (2014) ha riguardato la fatturazione in modalità elettronica verso la pubblica amministrazione, gli enti pubblici (e poi verso le società quotate inserite nell’indice FTSE MIB della Borsa Italiana, dal 2017) lo “SDI”, ossia il Sistema di Interscambio (il sistema dell’Agenzia delle Entrate utilizzato per lo scambio delle fatture elettroniche) è stato messo a disposizione anche degli operatori economici privati (imprese, professionisti, ecc…) per poter trasmettere e/o ricevere fatture elettroniche in modo facoltativo.

Introdotta in Italia con la Legge Finanziaria 2008 per adeguarsi alle direttive UE, la fatturazione elettronica permette di gestire elettronicamente l’intero ciclo attivo e passivo delle fatture, utilizzando il suddetto Sistema di Interscambio.

Il tracciato con cui le fatture elettroniche devono essere prodotte rappresenta un flusso di dati strutturati in formato digitale con gli stessi contenuti informativi di una fattura cartacea, ma scritto in linguaggio XML.

A detta del Garante, tra i principi cardine enunciati dal Regolamento UE 679/2016, il trattamento dei dati sotteso  alla fatturazione elettronica, deve avvenire nel rispetto dei principi di minimizzazione, integrità e riservatezza dei dati, con l’adozione di adeguate misure tecniche ed organizzative a cura di tutti i soggetti coinvolti nella fatturazione elettronica (operatori economici, intermediari anche tecnici, altri soggetti delegati e Agenzia delle Entrate).

Con riguardo invece alle finalità del trattamento, secondo il Garante, l’Agenzia delle Entrate tratta i dati personali dei contribuenti per recapitare attraverso il Sistema d’Interscambio le fatture emesse e ricevute, per finalità di controllo fiscale, rimborsi, predisposizione della dichiarazione dei redditi e dell’IVA e assistenza ai contribuenti, nonché per la realizzazione di strumenti di ausilio all’adempimento spontaneo da parte degli operatori economici.

Quanto infine alla tipologia dei dati trattati, il portale “fatture e corrispettivi” dell’Agenzia delle Entrate consente a ciascun operatore economico autenticato, o ai soggetti da lui delegati, di accedere ai dati fattura (tra i quali, ad esempio, data di emissione, numero progressivo, partita IVA dell’operatore economico) ad eccezione dei dati relativi alla descrizione dell’operazione (natura, quantità e qualità dei beni e servizi oggetto dell’operazione).

L’Agenzia delle Entrate offre inoltre agli operatori economici servizi di consultazione e conservazione delle fatture elettroniche. Anche i consumatori che lo richiedono possono consultare le fatture emesse nei loro confronti.

E proprio dall’Agenzia delle Entrate, il Garante privacy è stato di recente interrogato circa la necessità di un confronto in ordine all’attuazione dell’art. 14 del decreto legge 26 ottobre 2019, n. 124, convertito dalla legge 19 dicembre 2019, n. 157, che introduce la memorizzazione dei file delle fatture elettroniche.

Con il parere sullo schema di provvedimento del Direttore dell’Agenzia delle entrate concernente Regole tecniche per l’emissione e la ricezione delle fatture elettroniche per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti e stabiliti nel territorio dello Stato e per le relative variazioni, emesso in data  9 luglio 2020 [Doc web n. 9434785], il Garante osserva  che non solo “lo schema di provvedimento in esame è volto a dare attuazione al citato art. 14 del decreto legge n. 124 del 2019 che è stata già oggetto di rilievi critici del Garante formulati nella memoria, inviata alla Commissione VI (Finanze) della Camera dei Deputati”,  ma anche che “… lo stesso prevede, senza effettuare alcuna distinzione tra tipologie di dati o categorie di interessati, la memorizzazione e l’utilizzo dei file delle fatture elettroniche che contengono i dati inerenti la natura, qualità e quantità dei beni e servizi..”

Il Garante ci ricorda infatti che ogni anno vengono emessi circa 2 miliardi di fatture, e questi documenti non possono essere intesi come semplici “giustificativi” indirizzati all’erario in quanto devono in realtà assolvere molteplici funzioni, tra cui ad esempio descrivere al cliente che cosa sta pagando.

Di fronte quindi ad un documento-fattura che contiene già numerosi dati, “la previsione della memorizzazione e dell’utilizzazione, senza distinzione alcuna, dell’insieme dei  dati personali contenuti nei file delle fatture elettroniche, anche laddove si assicurino elevati livelli di sicurezza e accessi selettivi, risulta sproporzionata in uno stato democratico, per quantità e qualità delle informazioni oggetto di trattamento, rispetto al perseguimento del legittimo obiettivo di interesse pubblico di contrasto all’evasione fiscale perseguito;…”.

Il Garante esprime quindi preoccupazione per l’estensione bidirezionale del trattamento promossa dall’Autorità finanziaria, diretta sia ad ampliare l’oggetto della memorizzazione (“dati fattura integrati”), sia l’ambito di utilizzo di tali dati e contestualmente

La conclusione del Garante privacy è chiara e sancisce che un simile  trattamento di dati si pone  in violazione degli artt. 5, par. 1., lett. a), 6, par. 3, 9, 10, 24 e 25 del Regolamento, riguardante, peraltro senza distinzione alcuna tra tipologie di informazioni o categorie di interessati e dati personali di dettaglio, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi alla totalità della popolazione, non proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito, non individuando, in ossequio ai principi di privacy by design e by default, misure di garanzia adeguate per assicurare la protezione dei dati, anche in relazione a quelli di cui agli artt. 9 e 10 del Regolamento.

 

Condividi
Cart
Your cart is currently empty.
Contatta consulente
1
Hai bisogno di aiuto?
Hai bisogno di una consulenza?