Fatturazione elettronica, Autorità a confronto

07/02/2019
di Yuri Monti

Promossa con riserva da parte del Garante Privacy l’introduzione della fatturazione elettronica. Le tappe di definizione, dal punto di vista del trattamento di dati personali, del nuovo sistema non sembrano essersi ancora esaurite. Una serie di interventi, operati dall’Autorità italiana in materia, a partire dal provvedimento del 15 novembre, hanno enucleato e analizzato le criticità di maggior peso che il progetto dell’Agenzia delle Entrate presenta allo stato attuale, sul versante della data protection.

L’obbligo di fatturazione elettronica è stato inserito all’interno della legge di bilancio 2018, con previsione di estensione a tutte le tipologie di transazioni – sia B2B che B2C. Un ampiamento notevole del raggio d’azione del meccanismo, che non è passato inosservato alla lente di ingrandimento del Garante.

Le perplessità del Garante

Tra i punti contestati, rileva innanzitutto la mancata applicazione di una delle nuove prerogative riconosciute proprio alle Autorità nazionali da parte del Regolamento EU n. 2016/679 (GDPR), specificatamente all’art. 36, ove si sancisce che “gli Stati membri consultano l’autorità di controllo durante l’elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento”; dal punto di vista della materia privacy, a dare piena legittimità all’iter legislativo sarebbe mancato, pertanto, il coinvolgimento diretto del Garante stesso, alla luce del considerevole trattamento di dati connesso all’introduzione del sistema di “e-fatturazione”. L’estensione prevista a partire dal 1° gennaio 2019 si configura come ipotesi di “trattamento sistematico di dati personali su larga scala, anche di categorie particolari di dati, potenzialmente relativi ad ogni aspetto della vita quotidiana, che presenta un rischio elevato per i diritti e le libertà degli interessati”, rendendosi dunque necessario, ai sensi dell’art. 35 GDPR, una valutazione d’impatto sul trattamento stesso.

L’ingente flusso di dati determinato dal nascituro sistema, porta con sé inevitabili considerazioni anche sul tema della sicurezza delle comunicazioni. La questione della tutela dei canali di invio e recapito delle fatture attraverso il Servizio Di Interscambio (“SDI”) costituisce uno dei principali moniti dell’Autorità italiana nei confronti dell’Agenzia delle Entrate, su cui ricadono anche le questioni di affidabilità di conservazione massiva dei documenti digitali. E, come se non bastasse, le stesse problematiche potrebbero presentarsi anche nei confronti dei c.d. “intermediari delegati”, ovvero quegli operatori di cui i “soggetti tenuti all’obbligo di fatturazione elettronica si possano avvalere, per la trasmissione, la consultazione e la ricezione delle fatture”.

Altra criticità di particolare rilievo individuata dall’Autorità è quella relativa all’eccedenza dei dati che l’Agenzia delle Entrate tratterebbe in virtù di quanto originariamente previsto: “le fatture, di regola, contengono, infatti, dati, anche molto di dettaglio, volti ad individuare – spesso a fini di garanzia, assicurativi o per prassi commerciali – i beni e i servizi ceduti, con la descrizione delle prestazioni, i rapporti fra cedente e cessionario e altri soggetti, riferiti anche a sconti applicati, fidelizzazioni, abitudini di consumo, oltre a dati obbligatori imposti da specifiche normative di settore, con particolare riguardo ai trasporti, alle forniture di servizi energetici o di telecomunicazioni (tipologie dei consumi, fatturazione dettagliata, regolarità dei pagamenti, appartenenza a particolari categorie di utenti). Ciò, vale a maggior ragione anche per categorie di dati particolari e giudiziari, rilevabili da fatture elettroniche emesse, ad esempio, da operatori attivi nel settore sanitario o giudiziario”. Dati, pertanto, che vanno oltre quelli pertinenti alle finalità di carattere fiscale proprie del servizio di fatturazione, ma addirittura idonei a fondare – ove effettuate – attività di clusterizzazione dei soggetti cui le fatture si riferiscono, creando così un evidente contrasto col principio di minimizzazione, uno dei capisaldi del GDPR.

La risposta dell’Agenzia delle entrate

A fronte delle perplessità sollevate dal Garante, l’Agenzia delle Entrate, di concerto con il Ministero dell’economia e delle finanze e altri soggetti di settore, ha provveduto a dare una prima risposta, riplasmando in maniera sostanziale alcuni punti – rivelatisi dolenti – dell’impostazione iniziale del progetto. Così, dando applicazione al nuovo istituto della valutazione d’impatto, ai sensi dell’art. 35 GDPR, l’Agenzia ha definito e sottoposto al vaglio dell’Autorità italiana una serie di correttivi, tra i quali:

  • la minimizzazione dei dati personali connessi alle fatture archiviate e conservati ai fini del servizio, che comporterà il trattamento dei soli dati necessari alle finalità di controlli automatizzati, e l’esclusione delle informazioni eccedenti rispetto alle predette finalità, quali ad esempio le abitudini di consumo dei contribuenti;
  • la messa a disposizione delle fatture elettroniche per consultazione solo sulla base di specifico accordo – che sarà a sua volta oggetto di valutazione da parte del Garante – tra Agenzia e contribuente, venendo meno la memorizzazione automatica eseguita dall’Agenzia medesima;
  • la conferma della non applicabilità del sistema di e-fatturazione per le prestazioni sanitarie, attesa la particolarità dei dati personali coinvolti;
  • l’individuazione puntuale del ruolo di Responsabile del trattamento svolto dall’Agenzia nell’ambito del servizio di conservazione offerto agli operatori economici;
  • la definizione di un canale di trasmissione sicuro, con il ricorso al protocollo SFTP.

Le risultanze del tavolo operativo avviato dall’Agenzia delle Entrate sono state considerate e valutate dal Garante nel provvedimento del 20 dicembre scorso, trovando un parziale accoglimento; permangono, di contro, le perplessità relative alla piena sicurezza del sistema – col Garante che richiede di valutare l’adozione di tecniche di cifratura – oltre alla richiesta di ulteriori approfondimenti su talune tematiche.

Appuntamento quindi rimandato quindi al 15 aprile 2019, termine ultimo in cui il Garante ha richiesto una nuova valutazione d’impatto da parte dell’Agenzia delle Entrate.

Riproduzione riservata ©

ALTRE NEWS

Bitcoin: origine e diffusione – Parte I

Il Bitcoin rappresenta un fenomeno in costante crescita. Le luci della ribalta per questo metodo di pagamento si sono accese durante il periodo del così… Leggi Tutto

GDPR: best practices, raccomandazioni e aspetti da considerare

Si è svolto a Roma Cybersecurity Summit 2018, l’evento organizzato da TIG con l’obiettivo di fare il punto sulle principali tematiche di cyber security tenendo… Leggi Tutto

Colin Focus Day – Jobs Act e controllo dipendenti: sai che c’è di nuovo?

Colin Focus Day: parliamo di Jobs Act con le imprese alla luce delle modifiche all’art 4 dello Statuto dei Lavoratori. Gli strumenti di tecnocontrollo e… Leggi Tutto

AziendaSpeech & Eventi

COLIN & PARTNERS

CHI SIAMO

Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI

Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE

Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Informativa Privacy