Fatturazione elettronica, Autorità a confronto
Promossa con riserva da parte del Garante Privacy l’introduzione della fatturazione elettronica. Le tappe di definizione, dal punto di vista del trattamento di dati personali, del nuovo sistema non sembrano essersi ancora esaurite. Una serie di interventi, operati dall’Autorità italiana in materia, a partire dal provvedimento del 15 novembre, hanno enucleato e analizzato le criticità di maggior peso che il progetto dell’Agenzia delle Entrate presenta allo stato attuale, sul versante della data protection.
L’obbligo di fatturazione elettronica è stato inserito all’interno della legge di bilancio 2018, con previsione di estensione a tutte le tipologie di transazioni – sia B2B che B2C. Un ampiamento notevole del raggio d’azione del meccanismo, che non è passato inosservato alla lente di ingrandimento del Garante.
Le perplessità del Garante
Tra i punti contestati, rileva innanzitutto la mancata applicazione di una delle nuove prerogative riconosciute proprio alle Autorità nazionali da parte del Regolamento EU n. 2016/679 (GDPR), specificatamente all’art. 36, ove si sancisce che “gli Stati membri consultano l’autorità di controllo durante l’elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento”; dal punto di vista della materia privacy, a dare piena legittimità all’iter legislativo sarebbe mancato, pertanto, il coinvolgimento diretto del Garante stesso, alla luce del considerevole trattamento di dati connesso all’introduzione del sistema di “e-fatturazione”. L’estensione prevista a partire dal 1° gennaio 2019 si configura come ipotesi di “trattamento sistematico di dati personali su larga scala, anche di categorie particolari di dati, potenzialmente relativi ad ogni aspetto della vita quotidiana, che presenta un rischio elevato per i diritti e le libertà degli interessati”, rendendosi dunque necessario, ai sensi dell’art. 35 GDPR, una valutazione d’impatto sul trattamento stesso.

L’ingente flusso di dati determinato dal nascituro sistema, porta con sé inevitabili considerazioni anche sul tema della sicurezza delle comunicazioni. La questione della tutela dei canali di invio e recapito delle fatture attraverso il Servizio Di Interscambio (“SDI”) costituisce uno dei principali moniti dell’Autorità italiana nei confronti dell’Agenzia delle Entrate, su cui ricadono anche le questioni di affidabilità di conservazione massiva dei documenti digitali. E, come se non bastasse, le stesse problematiche potrebbero presentarsi anche nei confronti dei c.d. “intermediari delegati”, ovvero quegli operatori di cui i “soggetti tenuti all’obbligo di fatturazione elettronica si possano avvalere, per la trasmissione, la consultazione e la ricezione delle fatture”.
Altra criticità di particolare rilievo individuata dall’Autorità è quella relativa all’eccedenza dei dati che l’Agenzia delle Entrate tratterebbe in virtù di quanto originariamente previsto: “le fatture, di regola, contengono, infatti, dati, anche molto di dettaglio, volti ad individuare – spesso a fini di garanzia, assicurativi o per prassi commerciali – i beni e i servizi ceduti, con la descrizione delle prestazioni, i rapporti fra cedente e cessionario e altri soggetti, riferiti anche a sconti applicati, fidelizzazioni, abitudini di consumo, oltre a dati obbligatori imposti da specifiche normative di settore, con particolare riguardo ai trasporti, alle forniture di servizi energetici o di telecomunicazioni (tipologie dei consumi, fatturazione dettagliata, regolarità dei pagamenti, appartenenza a particolari categorie di utenti). Ciò, vale a maggior ragione anche per categorie di dati particolari e giudiziari, rilevabili da fatture elettroniche emesse, ad esempio, da operatori attivi nel settore sanitario o giudiziario”. Dati, pertanto, che vanno oltre quelli pertinenti alle finalità di carattere fiscale proprie del servizio di fatturazione, ma addirittura idonei a fondare – ove effettuate – attività di clusterizzazione dei soggetti cui le fatture si riferiscono, creando così un evidente contrasto col principio di minimizzazione, uno dei capisaldi del GDPR.
La risposta dell’Agenzia delle entrate
A fronte delle perplessità sollevate dal Garante, l’Agenzia delle Entrate, di concerto con il Ministero dell’economia e delle finanze e altri soggetti di settore, ha provveduto a dare una prima risposta, riplasmando in maniera sostanziale alcuni punti – rivelatisi dolenti – dell’impostazione iniziale del progetto. Così, dando applicazione al nuovo istituto della valutazione d’impatto, ai sensi dell’art. 35 GDPR, l’Agenzia ha definito e sottoposto al vaglio dell’Autorità italiana una serie di correttivi, tra i quali:
- la minimizzazione dei dati personali connessi alle fatture archiviate e conservati ai fini del servizio, che comporterà il trattamento dei soli dati necessari alle finalità di controlli automatizzati, e l’esclusione delle informazioni eccedenti rispetto alle predette finalità, quali ad esempio le abitudini di consumo dei contribuenti;
- la messa a disposizione delle fatture elettroniche per consultazione solo sulla base di specifico accordo – che sarà a sua volta oggetto di valutazione da parte del Garante – tra Agenzia e contribuente, venendo meno la memorizzazione automatica eseguita dall’Agenzia medesima;
- la conferma della non applicabilità del sistema di e-fatturazione per le prestazioni sanitarie, attesa la particolarità dei dati personali coinvolti;
- l’individuazione puntuale del ruolo di Responsabile del trattamento svolto dall’Agenzia nell’ambito del servizio di conservazione offerto agli operatori economici;
- la definizione di un canale di trasmissione sicuro, con il ricorso al protocollo SFTP.
Le risultanze del tavolo operativo avviato dall’Agenzia delle Entrate sono state considerate e valutate dal Garante nel provvedimento del 20 dicembre scorso, trovando un parziale accoglimento; permangono, di contro, le perplessità relative alla piena sicurezza del sistema – col Garante che richiede di valutare l’adozione di tecniche di cifratura – oltre alla richiesta di ulteriori approfondimenti su talune tematiche.
Appuntamento quindi rimandato quindi al 15 aprile 2019, termine ultimo in cui il Garante ha richiesto una nuova valutazione d’impatto da parte dell’Agenzia delle Entrate.