La fatturazione elettronica ha impegnato molto il lavoro del Garante, intervenuto sulla questione con oltre 20 provvedimenti.
In via generale, si ricorda al lettore che la fatturazione elettronica tra privati e verso i consumatori è divenuta obbligatoria a partire dal 1° gennaio 2019 e ha ad oggetto le prestazioni commerciali, a seguito di forniture di beni e servizi effettuate sia tra due professionisti sia da un professionista verso un consumatore, ad eccezione di alcune specifiche categorie.
Tale modalità di fatturazione è stata Introdotta in Italia con la Legge Finanziaria 2008 e consente, mediante il Sistema di Interscambio, di digitalizzare tutte le fatture relative ai rapporti commerciali di un’azienda.
A detta del Garante, tra i principi cardine enunciati dal Regolamento UE 679/2016, il trattamento dei dati sottesi alla fatturazione elettronica, deve avvenire nel rispetto dei principi di minimizzazione, integrità e riservatezza dei dati, con l’adozione di adeguate misure tecniche ed organizzative a cura di tutti i soggetti coinvolti nella fatturazione elettronica (operatori economici, intermediari anche tecnici, altri soggetti delegati e Agenzia delle Entrate).
Con riguardo invece alle finalità del trattamento, secondo il Garante, l’Agenzia delle Entrate tratta i dati personali dei contribuenti per recapitare attraverso il Sistema d’Interscambio le fatture emesse e ricevute, per finalità di controllo fiscale, rimborsi, predisposizione della dichiarazione dei redditi e dell’IVA e assistenza ai contribuenti, nonché per la realizzazione di strumenti di ausilio all’adempimento spontaneo da parte degli operatori economici.
Quanto infine alla tipologia dei dati trattati, il portale “fatture e corrispettivi” dell’Agenzia delle Entrate consente a ciascun operatore economico autenticato, o ai soggetti da lui delegati, di accedere ai dati fattura (tra i quali, ad esempio, data di emissione, numero progressivo, partita IVA dell’operatore economico) ad eccezione dei dati relativi alla descrizione dell’operazione (natura, quantità e qualità dei beni e servizi oggetto dell’operazione).
E proprio dall’Agenzia delle Entrate, il Garante privacy è stato di recente interrogato circa la necessità di un confronto in ordine all’attuazione dell’art. 14 del decreto legge 26 ottobre 2019, n. 124, convertito dalla legge 19 dicembre 2019, n. 157, che introduce la memorizzazione dei file delle fatture elettroniche.
Con il parere sullo schema di provvedimento del Direttore dell’Agenzia delle entrate concernente Regole tecniche per l’emissione e la ricezione delle fatture elettroniche per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti e stabiliti nel territorio dello Stato e per le relative variazioni, emesso in data 9 luglio 2020 [Doc web n. 9434785], il Garante osserva che non solo “lo schema di provvedimento in esame è volto a dare attuazione al citato art. 14 del decreto legge n. 124 del 2019 che è stata già oggetto di rilievi critici del Garante formulati nella memoria, inviata alla Commissione VI (Finanze) della Camera dei Deputati”, ma anche che “… lo stesso prevede, senza effettuare alcuna distinzione tra tipologie di dati o categorie di interessati, la memorizzazione e l’utilizzo dei file delle fatture elettroniche che contengono i dati inerenti la natura, qualità e quantità dei beni e servizi..”
Si legge ancora in detto provvedimento che “la previsione della memorizzazione e dell’utilizzazione, senza distinzione alcuna, dell’insieme dei dati personali contenuti nei file delle fatture elettroniche, anche laddove si assicurino elevati livelli di sicurezza e accessi selettivi, risulta sproporzionata in uno stato democratico, per quantità e qualità delle informazioni oggetto di trattamento, rispetto al perseguimento del legittimo obiettivo di interesse pubblico di contrasto all’evasione fiscale perseguito;…”.
A detta del Garante, quindi, tale metodo di fatturazione si pone in contrasto con gli artt. 5, par. 1., lett. a), 6, par. 3, 9, 10, 24 e 25 del Regolamento, in quanto, rispetto al principio di minimizzazione ex art 5, il sistema di interscambio elabora dati personali ulteriori rispetto a quelli necessari a fini fiscali e invece con riferimento alla violazione dell’art 25 GDPR, tale meccanismo non è sorretta da adeguate misure di sicurezza, soprattutto se si tiene conto del fatto che oggetto di fatturazione elettronica non è solo il trattamento di dati personali comuni ma ben può accadere che siano interessati dati di natura particolare ex art 9 GDPR nonché quelli relativi al casellario giudiziale ex art 10 GDPR.
Avv. Eleonora Mataloni