Garante Privacy: semaforo verde per la fatturazione elettronica

Dall’1 Gennaio 2019, è applicabile il nuovo obbligo di fatturazione elettronica.

Dopo numerose discussioni relative anche alle possibili violazioni lato privacy che il trattamento di dati connesso alla fatturazione elettronica potesse comportare e che si era ipotizzato portassero ad uno slittamento della misura predetta, è arrivato l’ok, pur condizionato del Garante Privacy.

In data 20 dicembre 2018 il Garante Privacy ha pubblicato un provvedimento[1] nel quale ha enunciato i presupposti e le condizioni affinchè l’Agenzia delle Entrate (l'”Agenzia”) possa procedere con i trattamenti di dati riguardanti il nuovo obbligo di fatturazione elettronica.

Come precedentemente trattato nell’articolo “Il provvedimento del Garante Privacy in materia di fatturazione elettronica”[2], la fatturazione elettronica, così come concepita dall’Agenzia, presentava delle criticità che il Garante Privacy aveva prontamente rilevato nel provvedimento del 15 novembre[3], ingiungendo all’Agenzia di provvedere agli opportuni accorgimenti ed informarla al riguardo affinchè i trattamenti potessero essere conformi a quanto stabilito dalla normativa privacy vigente ed applicabile.

In particolare, è stato costituito un tavolo di lavoro tecnico con l’Agenzia delle entrate e con il MEF per analizzare le problematiche riscontrate nel predetto provvedimento con la partecipazione del CNDCEC, CNOCL nonché Assosoftware.

L’Agenzia ha presentato le iniziative assunte in merito alle seguenti criticità:

• mancata proporzionalità nella memorizzazione di tutti i dati, oltre a quelli fiscali, contenuti nel file XML della fattura elettronica;
• ulteriore specificazione del ruolo svolto dall’Agenzia con riferimento al trattamento di dati personali nel servizio di conservazione e chiarimenti all’esonero di responsabilità per la medesima;
• utilizzo del canale non sicuro per trasmettere le fatture, non cifratura dei file e uso della pec nell’ambito dello SDI;
• informativa sul trattamento dei dati personali fornita in relazione all’App FatturAE;
• rischi connessi al trattamento dei dati da parte degli intermediari, con particolare riguardo alla gestione dei dati delle fatture a cura dei fornitori di servizi tecnologici che possono intervenire nel processo.

Il piano proposto dall’Agenzia e le osservazioni del Garante Privacy

Individuazione dei dati fattura

Con riferimento alla mancata proporzionalità nella memorizzazione dei dati anche non fiscali, l’Agenzia memorizzerà il file XML che sarà possibile consultare e scaricare solo in presenza di adesione dell’operatore economico al servizio di consultazione. A seguito della consegna della fattura, saranno memorizzati solo i dati fiscali mentre quelli” non fiscali” saranno eliminati.

In particolare, ad eccezione di quei dati fiscali necessari per i controlli automatizzati (es. verifica di incongruenze tra dati dichiarati e quelli disponibili all’Agenzia), sono esclusi dalla memorizzazione i dati relativi alla descrizione del bene o servizio oggetto di fattura.

Saranno memorizzati solo quei dati inerenti ad appalti pubblici o a codifiche stabilite per rispettare quanto previsto dalle norme tributarie quali a titolo esemplificativo, codici relativi al tipo di carburante in presenza di cessioni del prodotto, codice relativi allo scontrino/ricevuta fiscale, la targa dell’autoveicolo).

Ai fini della piena applicazione della predetta soluzione sarà necessario un periodo transitorio, ossia dall’1 Gennaio 2019 al 2 Luglio 2019, per l’acquisizione dei dati fattura e il servizio di consultazione, che sarà avviato dal 3 maggio 2019 e a cui gli operatori potranno aderire entro 60 giorni.

Il Garante Privacy ha accolto con favore la limitazione dei dati fattura solo ai dati fiscali con l’esclusione di ulteriori dati inclusi nelle fatture non necessari ai fini del controllo automatizzato. Ciò nonostante, ha rilevato come vi siano alcuni dubbi in merito alla memorizzazione in via sistematica di alcune tipologie di dati quali ad es. dati relativi alla vettura, che in ogni caso dovrebbe essere proporzionata, adeguata, pertinente e limitata alle finalità perseguite.

Alla luce di ciò, secondo il Garante è “necessario che l’Agenzia rivaluti, alla luce di tali considerazioni, la memorizzazione sistematica dei campi relativi ai “dati trasporto” (da inserire nei casi di fattura “accompagnatoria”), con particolare riguardo al blocco contenente i dati anagrafici del vettore, che comprende, oltre al nome e il cognome, anche il numero identificativo della “licenza di guida”. Con riferimento, invece, al blocco relativo al codice articolo, talvolta identificativo del bene o del servizio fatturato, occorre precisare i casi in cui le informazioni in esso contenute debbano essere memorizzate tra i dati fattura.”

Pertanto, l’Agenzia dovrà trasmettere le valutazioni effettuate e l’eventuale nuova versione dell’allegato B al provvedimento del Direttore del 30 aprile 2018.

Fatture relative alle prestazioni sanitarie

I soggetti che erogano prestazioni sanitarie per l’anno di imposta 2019 non dovranno emettere fattura elettronica.

Tuttavia per il Garante Privacy vi sono ancora degli aspetti critici già posti all’attenzione dell’Autorità, dato che l’esonero non si estende alle fatture non trasmesse attraverso il sistema TS e quindi proprio per i casi più delicati. Ove i soggetti interessati si oppongano all’invio dei dati al sistema TS, nonostante l’assenza di tale invio, l’operatore sanitario sarebbe obbligato ad emettere la fattura elettronica includendo i dati alla cui pubblicazione l’interessato si era opposto.

Inoltre, nel caso in cui un operatore emetta la fattura, nonostante la deroga, si tratterebbe di trattamento illecito di dati, stante l’assenza di una base giuridica per il trattamento.

Alla luce di ciò, il Garante ha ingiunto all’Agenzia di fornire adeguate istruzioni agli operatori affinché in nessun caso sia emessa una fattura elettronica tramite SDI relativamente all’erogazione di una prestazione sanitaria, evitando così il rischio di effettuare trattamenti non conformi al GDPR e agli artt. 2-sexies e 2-septies del Codice Privacy.

Inoltre, sono prese in considerazione anche le fatture emesse dagli avvocati, le quali, in molti casi, prevedono nella descrizione l’indicazione dei procedimenti giudiziari, il capo di imputazione ed il cliente per cui sono state effettuate le attività.

Il Garante pur evidenziando che si tratta di dati “relativi a condanne penali e reati” ex art.10 GDPR e che essi non sono necessari ai fini fiscali, non fornisce alcuna indicazione a coloro che esercitano la professione forense.

A tal riguardo, recentemente il Consiglio Nazionale Forense ha predisposto delle FAQ[4] sulla fatturazione elettronica in base alle quali l’avvocato potrà inserire le descrizione dell’attività effettuata ma dovrà evitare di includere nella descrizione dati appartenenti alle categorie particolari di dati personali ex art. 9 GDPR o dati giudiziari ex art. 10, dati relativi a minori e in ogni caso dati non ritenuti necessari in ossequio al principio di minimizzazione ai sensi dell’art. 5 comma 1, lett. c) GDPR.

Sicurezza del trattamento

In relazione ai canali di trasmissione, l’Agenzia ha previsto l’attivazione di un canale cifrato su protocollo SFTP per coloro i quali hanno richiesto l’accreditamento allo SDI.

Ulteriori sforzi sono richiesti all’Agenzia per implementare delle misure di cifratura dei dati (specie in caso di utilizzo della pec), per minimizzare i dati da memorizzare e per conformarsi agli obblighi di trasparenza e correttezza nei confronti degli interessati riguardo ai controlli fiscali effettuati attraverso trattamenti automatizzati o con l’acquisizione delle fatture per le quali il contribuente usufruisce dei servizi di consultazione e conservazione.

Anche in merito a ciò, viene ingiunto all’Agenzia di effettuare una valutazione sull’introduzione di dette tecniche di cifratura fornendo successive informazioni al riguardo.

Servizio di conservazione delle fatture

Il Garante Privacy nel suo provvedimento del 15 novembre aveva rilevato la poco chiarezza in merito al ruolo svolto dall’Agenzia nel servizio di conservazione delle fatture.

A tal riguardo, l’Agenzia ha delineato i rapporti nell’ambito di tale servizio che svolgerà in qualità di responsabile del trattamento e Sogei che svolge il ruolo di sub- responsabile e che è il conservatore accreditato presso l’AGID.

Inoltre, l’Agenzia conserverà i dati esclusivamente per finalità limitate alla conservazione ed all’eventuale esibizione dei documenti.

Nello schema di accordo sono inoltre state inserite le regole e procedure per la notificazione dei data breach (ex art. 33 del GDPR) e le esclusioni di responsabilità dell’Agenzia delle Entrate sono state limitate a casi specifici.[5]

Ruolo degli intermediari

Per quanto riguarda il rischio di usi impropri dei dati a causa del sistema di deleghe adottato dall’Agenzia, il Garante, ha avvertito tutti gli operatori che alcune clausole contrattuali, predisposte dalle società di software, possono violare il Regolamento ed espongono a sanzioni.

In particolare, in base a queste clausole, gli operatori possono trattare i dati ricevuti nelle fatture per ulteriori finalità a quelle rilevanti nell’ambito del servizio di intermediazione.

Tuttavia, ciò mal si coniuga con la figura del Responsabile del trattamento[6], e che anzi sembra rientrare in un’ipotesi di autonoma titolarità.

Conclusioni

L’Agenzia dovrà trasmettere all’Autorità, ex art. 58, § 1, lett. a), del GDPR e dell’art. 157 del Codice:

• un’analisi relativa alla possibilità di introdurre tecniche di cifratura, anche parziale, del file XML trasmessi tramite SDI, entro il 15 aprile 2019;
• i modelli di accordi di adesione al servizio di consultazione e download delle fatture, appena predisposti;
• una rivalutazione dei dati fattura inseriti nell’allegato B al provvedimento del Direttore dell’Agenzia delle entrate del 30 aprile 2018, entro il 15 aprile 2019;
• una nuova versione della valutazione di impatto, entro il 15 aprile 2019.

Da ultimo, proprio in merito all’analisi della valutazione d’impatto (“DPIA”) trasmessa dall’Agenzia, il Garante ha fornito delle chiare indicazioni su quali requisiti debba avere la DPIA, secondo cui “la valutazione d’impatto sulla protezione dei dati deve in primo luogo tenere conto dei rischi incombenti sui diritti e sulle libertà degli interessati, esaminando, in modo esaustivo, i diversi scenari di rischio e i possibili impatti al fine di individuare misure adeguate ad affrontarli, annullandoli o, quantomeno, riducendoli a un livello accettabile. La valutazione di impatto effettuata dall’Agenzia risulta, invece, focalizzata su aspetti meramente tecnici del trattamento, risultando prevalentemente, se non esclusivamente, un documento di valutazione del rischio informatico incombente sui dati. Pertanto, tale valutazione appare carente nella parte analitica riferita agli impatti sui diritti e sulle libertà degli interessati derivanti dai diversi scenari di rischio considerati, anche laddove non siano riferibili alla fattispecie degli incidenti informatici.”

[1] Provvedimento in tema di fatturazione elettronica – 20 dicembre 2018 [9069072] disponibile al seguente link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9069072

[2] Giovanna Fragalà, Il provvedimento del Garante Privacy in materia di fatturazione elettronica, novembre 2018, disponibile qui:  https://www.iusinitinere.it/il-provvedimento-del-garante-privacy-in-materia-di-fatturazione-elettronica-15823

[3] Provvedimento nei confronti dell’Agenzia delle entrate sull’obbligo di fatturazione elettronica – 15 novembre 2018 [9059949] disponibile al seguente link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9059949

[4] Coniglio Nazionale Forense, FAQ in materia di fatturazione elettronica disponibili al seguente link https://www.consiglionazionaleforense.it/documents/20182/0/FAQ+in+materia+di+fatturazione+elettronica+%284-1-2019%29.pdf/c8866bbc-5f38-4343-9b93-ef019c5c081c

[5]  L’Agenzia, ex art. 82, paragrafo 3, del Regolamento, “è esonerata da responsabilità nei confronti del Contribuente e nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del Servizio se dimostra che l’evento dannoso non gli è in alcun modo imputabile. L’Agenzia, pertanto non è responsabile ove gli eventi dannosi siano connessi o derivanti da: a) fatture elettroniche inviate volontariamente dal Contribuente per la conservazione o trasmesse e ricevute dallo stesso tramite il Sistema di Interscambio, contenenti dati non accurati, o non corretti, o in un formato diverso da quello previsto, o non completi o di scarsa qualità; b) forza maggiore o caso fortuito (anche nella fattispecie di fatto di terzo); c) situazioni oggettivamente al di fuori della sfera di controllo e delle possibilità di intervento dell’Agenzia”.

[6] Ai sensi dell’art. 28 GDPR, “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.”