Fatturazione elettronica: pollice verso del Garante Privacy

Secondo il Garante Privacy, che ha opportunamente allertato l’Agenzia delle Entrate, il nuovo obbligo della fatturazione elettronica, così come è stato regolato, “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali“.
Per questo motivo il Garante ha chiesto all’Agenzia delle Entrate di far sapere con urgenza come intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica.

Dal 1° gennaio 2019 scatta infatti l’obbligo dell’invio e dello scambio di fatture elettroniche tra privati titolari di partita IVA e residenti in Italia (restano esclusi dai nuovi adempimenti coloro che hanno scelto o che sceglieranno il regime forfettario).

La normativa in materia di emissione di fatture elettroniche richiede la produzione di un file XML secondo il formato FatturaPA già noto e utilizzato per batter cassa nei confronti della pubblica amministrazione. La fattura così prodotta può essere emessa e ricevuta solo utilizzando il cosiddetto Sistema di Interscambio (SdI). Ne parlammo per la prima volta oltre quattro anni fa, nel 2014: Cos’è la fattura elettronica per l’Agenzia delle Entrate.

La fattura elettronica può essere emessa dal cedente/prestatore, da un terzo che emette per conto del fornitore (per esempio: provider, software house, commercialista…) o dallo stesso cliente per conto del fornitore.

Il Garante Privacy ha però rilevato una serie di criticità ritenendo opportuno esercitare i nuovi poteri conferiti e riconosciuti dal nuovo regolamento europeo sul trattamento dei dati personali (GDPR).

Secondo il Garante i meccanismi alla base della fatturazione elettronica presenterebbero un rischio elevato per i diritti e le libertà degli interessati “comportando un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito“.

L’Autorità osserva che l’Agenzia delle Entrate, dopo aver recapitato le fatture in qualità di “postino” attraverso il sistema di interscambio (SdI) archivierà e utilizzerà i dati anche ai fini di controllo. E non saranno archiviati solo i dati obbligatori a fini fiscali, ma la fattura vera e propria, che contiene di per sé informazioni di dettaglio ulteriori sui beni e servizi acquistati, come le abitudini e le tipologie di consumo, legate alla fornitura di servizi energetici e di telecomunicazioni (es. regolarità nei pagamenti, appartenenza a particolari categorie di utenti), o addirittura la descrizione delle prestazioni sanitarie o legali.

Il Garante solleva eccezioni anche rispetto alla scelta dell’Agenzia delle Entrate di mettere a disposizione sul suo portale, senza una richiesta dei consumatori, tutte le fatture in formato digitale, anche per chi preferirà comunque continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore.

Gli intermediari sono soggetti preziosi perché si occupano di tutte le pratiche tecniche e amministrative legate alla gestione della fatturazione elettronica obbligatoria. La stragrande maggioranza dei possessori di P.IVA non in regime forfettario si appoggerà a uno dei provider che offrono strumenti per l’emissione e l’archiviazione delle fatture elettroniche.
Il Garante ha fatto presente, a questo proposito, che alcuni intermediari delegabili dal contribuente operano nei confronti di una moltitudine di imprese “accentrando enormi masse di dati personali con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici“.

Emettere fatture elettroniche può quindi essere in ultima analisi uno strumento preziosissimo per alcuni soggetti che potrebbero effettuare trattamenti di dati aggiuntivi senza averne alcun diritto, creando veri e propri profili di utenti, professionisti e realtà d’impresa.

“Anche le modalità di trasmissione attraverso il SdI e gli ulteriori servizi offerti dall’Agenzia delle Entrate (come la conservazione dei dati) presentano criticità per quanto riguarda i profili di sicurezza, a partire dalla mancata cifratura della fattura elettronica, tanto più considerato l’utilizzo della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di posta elettronica“, scrive ancora il Garante.

La nota riassuntiva e il provvedimento pubblicato a questo indirizzo contengono anche un commento aggiuntivo: la preventiva consultazione dell’Autorità, peraltro stabilita dal previgente Codice privacy e dal nuovo Regolamento UE, “avrebbe potuto assicurare fin dalla progettazione l’avvio del nuovo sistema con modalità e garanzie rispettose della protezione dei dati personali, introducendo misure tecnico organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica“.

La regolamentazione in materia di fatturazione elettronica per il momento non cambia così come non viene modificata l’entrata in vigore delle novità, il prossimo 1° gennaio. Non è però escluso un rinvio, fintanto che non saranno puntualmente risolte le criticità rilevate dal Garante.
Spettano al Presidente del Consiglio dei Ministri e al Ministro dell’Economia e delle Finanze tutte le valutazioni di competenza.