“Sproporzionata raccolta di informazioni e rischi di usi impropri” – Il Garante avverte l’Agenzia delle entrate: la fatturazione elettronica va cambiata

 

In breve

Il 15 novembre il Garante per la protezione dei dati personali (d’ora in avanti “Garante”) ha  pubblicato il provvedimento n.9059949 (di seguito: “Provvedimento”) in cui rileva che la fatturazione elettronica, così come è stata regolata dall’Agenzia delle entrate (o “Agenzia”), “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”.

 

Background

Come previsto dalla legge di bilancio 2018 (legge 27 dicembre 2017, n. 205, art. 1, spec. comma 909), dal 1° gennaio 2019 il nuovo obbligo della fatturazione elettronica già applicato nei confronti della pubblica amministrazione verrà esteso anche ai rapporti tra fornitori (B2B) e tra fornitori e consumatori (B2C). Il 30 Aprile 2018, l’Agenzia delle entrate ha adottato il provvedimento n.89757 definendo le regole per predisporre, trasmettere, ricevere e conservare le fatture elettroniche, senza però aver preventivamente consultato Garante come invece è previsto dall’art.36, comma 4, del Regolamento UE 2016/679 (d’ora in avanti “GDPR”). Il Provvedimento è stato emesso a seguito di reclami pervenuti al Garante nonché nell’esercizio del potere correttivo di avvertimento riconosciutogli dall’art. 58, comma 2, lett. a) GDPR.

 

Punti Principali

Il nuovo obbligo di fatturazione elettronica presenta, secondo il Garante, “un rischio elevato per i diritti e le libertà degli interessati, comportando un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico […] perseguito”.

In particolare, rilevano criticità che emergono dai seguenti aspetti del nuovo sistema di e-fatturazione:

  • l’archiviazione e l’utilizzo ai fini di controllo anche di dati non obbligatori a fini fiscali, come la fattura vera e propria contenente informazioni di dettaglio ulteriori sui beni e servizi acquistati, abitudini e tipologie di consumo, o addirittura descrizioni di prestazioni sanitarie o legali, comporterebbero in tale ambito un trattamento obbligatorio, generalizzato e di dettaglio di dati personali;
  • la messa a disposizione sul portale dell’Agenzia delle entrate di tutte le fatture in formato digitale, senza che ve ne sia stata richiesta da parte dei consumatori e anche per chi preferirà comunque continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore, come, tra l’altro, garantito dal legislatore, appare manifestamente in contrasto con il principio di privacy by design e by default, oltreché col principio di minimizzazione del trattamento (artt. 5, comma 1, lett. c) e 25 del Regolamento);
  • il ruolo assunto dagli intermediari, delegabili dal contribuente per la trasmissione, la ricezione e la conservazione delle fatture e che spesso operano anche nei confronti di una moltitudine di imprese, implica un accentramento di enormi masse di dati personali (big data) con il conseguente aumento dei rischi per la sicurezza e dei rischi relativi a trattamenti ulteriori ed impropri dei dati;
  • le modalità di trasmissione attraverso il sistema di interscambio (SDI) e gli ulteriori servizi offerti (come la conservazione dei dati), possono violare il GDPR in relazione ai profili di sicurezza e di correttezza e trasparenza del trattamento, a partire dalla mancata cifratura della fattura elettronica e dal mancato uso della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei dati sui server di posta elettronica.

Il Garante, inoltre, rileva che una preventiva consultazione, come tra l’altro previsto per legge (v. supra Background), avrebbe potuto assicurare fin dalla progettazione l’avvio del nuovo sistema con modalità e garanzie adeguate nel rispetto della protezione dei dati personali.

Nel frattempo, è stato dato il via ad un tavolo congiunto tra il Garante e l’Agenzia delle Entrate sul tema della fatturazione elettronica atto ad affrontare le carenze nel nuovo sistema con riferimento alla protezione dei dati personali.

 

Implicazioni pratiche

Le implicazioni pratiche del Provvedimento del Garante non sono ancora prevedibili. L’obbligo legale per i cittadini di adottare la fatturazione elettronica a partire dal 1° gennaio 2019, infatti, persiste: e tuttavia il Provvedimento rende l’uso del sistema attualmente predisposto assai problematico, in quanto è stato adottato in maniera non conforme ai principi fondamentali in materia di protezione dei dati personali (cfr. GDPR e Codice Privacy come novellato dal D.Lgs 101/2018). È auspicabile che la consultazione tra il Garante e l’Agenzia delle Entrate conduca in tempi brevi agli opportuni aggiustamenti, visti i termini ormai prossimi applicazione dell’obbligo. Dati infatti gli imponenti investimenti già messi in campo dalle aziende, esso pare poco praticabile ed anzi, pare essere stato escluso dal Garante in una recente intervista radiofonica, durante la quale lo stesso Garante ha paventato anche il rischio sanzionatorio  a cui sarà soggetta l’Agenzia delle Entrate qualora non si adeguasse entro il primo gennaio.

Antonello Soro, Presidente dell’Autorità Garante per la Protezione dei Dati Personali, ha infatti affermato nel corso della citata intervista: “il titolare del trattamento è l’Agenzia delle Entrate e col nuovo quadro giuridico il titolare del trattamento è responsabile di tutto quello che accade all’interno della sua responsabilità e quindi è un problema loro. Non intendiamo minimamente rallentare o mettere un freno all’avvio dal primo gennaio. Tuttavia, facciamo notare che come il titolare del trattamento è responsabile noi abbiamo la responsabilità anche a posteriori di verificare il rispetto della legge e di trarne le conseguenze”. E ancora: “Il provvedimento che noi abbiamo adottato è di tipo abbastanza nuovo, quello dell’avvertimento, che discende dal nuovo quadro giuridico europeo e che consente al destinatario dell’avvertimento, in questo caso l’Agenzia delle Entrate, e di prendere nota delle nostre considerazioni per adeguare alla norma i propri provvedimenti, riservandosi naturalmente un giudizio a posteriori sul trattamento, una volta che fosse avviato, ma dando al titolare del trattamento di questi dati, l’Agenzia delle entrate, la possibilità di non incorrere in una violazione delle leggi e quindi delle conseguenti sanzioni”.