Il provvedimento del Garante privacy in materia di fatturazione elettronica

La fatturazione elettronica

Fin dalla sua introduzione, l’obbligo di fatturazione elettronica ha acceso il dibattito in merito alla presenza di problematiche, per altro condivise anche dai professionisti del settore, in materia di protezione dei dati personali. La fattura elettronica[1] è una fattura in formato XML trasmessa dall’emittente al ricevente tramite SDI, ossia Sistema d’interscambio, reso disponibile per i soggetti passivi dell’IVA e utilizzato dall’Agenzia delle Entrate per acquisire dati fiscali. Nonostante i dati obbligatori da riportare siano i medesimi della fattura cartacea è possibile raccogliere “ulteriori dati utili alla gestione del ciclo attivo e passivo degli operatori”[2]. Il nuovo obbligo di fatturazione elettronica, così regolato, permette all’Agenzia delle Entrate di trattare tutti i dati presenti nelle fatture, ivi inclusi quelli ulteriori e non necessari a fini fiscali, e di archiviarle e utilizzarle per i controlli condotti dalla Guardia di finanza.

Il provvedimento

Con provvedimento del 15 novembre 2018 n. 9059949[3], l’Autorità Garante per la Protezione dei Dati Personali (il “Garante Privacy”) ha avvertito l’Agenzia delle Entrate (l’”Agenzia“) che i trattamenti di dati personali effettuati nell’ambito della fatturazione elettronica presentano numerose criticità rispetto alla tutela dei dati personali. In considerazione di ciò, il Garante Privacy ha intimato all’Agenzia di essere reso edotto prontamente sulle misure adottate per rendere la fatturazione elettronica conforme alla normativa privacy vigente.

L’obbligo di fatturazione elettronica, infatti, – esteso, a partire dal 1 gennaio 2019, anche alle operazioni effettuate tra operatori IVA e alle operazioni tra operatori IVA e consumatori – presenta “un rischio elevato per i diritti e le libertà degli interessati, comportando un trattamento obbligatorio, generalizzato e di dettaglio di dati personali, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi ad ogni aspetto della vita quotidiana della totalità della popolazione, e che non risulta proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito”.

È interessante rilevare che si tratta della prima volta in cui il Garante Privacy esercita il potere correttivo di cui all’art. 58, § 2 lett. a) GDPR, secondo il quale il Garante Privacy può “rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del regolamento”.[4]

Le criticità

Di seguito, si analizzano le principali criticità riscontrate dal Garante Privacy:

• i provvedimenti del Direttore dell’Agenzia datati il 30 aprile 2018 e del 5 novembre 2018 sono stati adottati senza aver consultato il Garante Privacy;
• le fatture archiviate contengono non solo i dati obbligatori a fini fiscali ma altri dati non necessari a tali finalità (per i quali, tra l’altro, non sono state individuate adeguate misure di sicurezza in ossequio ai principi di limitazione delle finalità e minimizzazione) relativi a beni e servizi acquistati, quali abitudini di consumo e fidelizzazioni, ma anche connessi a forniture di servizi energetici e di telecomunicazioni, quali tipologie di consumi, regolarità dei pagamenti e appartenenza a particolari categorie di utenti e pure la descrizione di prestazioni sanitarie o legali;
• le fatture in formato digitale sono disponibili sul portale dell’Agenzia (in contrasto, quindi, con il principio di privacy by design e by default e di minimizzazione dei dati), senza previa richiesta dei consumatori, compresi coloro i quali non intendono avvalersi di questo servizio, preferendo la ricezione della fattura cartacea o digitale direttamente dal fornitore;
• non è chiaro il ruolo assunto da intermediari e da altri soggetti delegabili dal contribuente i quali operano anche nei confronti di varie imprese, accentrando un’enorme mole di dati personali con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a eventuali collegamenti e raffronti tra fatture di operatori economici;[5]
• il protocollo FTP, utilizzato per trasmettere le fatture elettroniche, non è un canale sicuro come già ribadito dal Garante Privacy in varie occasioni;
• il file XML della fattura elettronica non è cifrato e risulta quindi vulnerabile a eventuali attacchi informatici e i dati ivi inclusi possono essere memorizzati sui server di Posta Elettronica Certificata (PEC) usati per l’invio e la ricezione delle fatture e altre comunicazioni che espone ad accessi non autorizzati;
• nell’informativa all’utente non sono indicate le ulteriori finalità di conservazione e di controllo perseguite dall’Agenzia con i dati raccolti tramite la mobile app FatturAE che permette agli operatori economici di salvare dati non specificati in cloud, in violazione dell’art. 13 GDPR;
• non è chiaro il ruolo dell’Agenzia nell’ambito del servizio gratuito di conservazione delle fatture basato su un accordo di servizio dove, peraltro, l’Agenzia afferma di non essere responsabile per perdite di dati e quindi in violazione degli artt. 5. Par. 1, lett. f) e 32 del GDPR in base ai quali il trattamento dei dati deve garantire un’adeguata sicurezza dei dati personali.

Conclusioni

Da ultimo, il Garante Privacy ha sottolineato come una consultazione preventiva avrebbe potuto assicurare fin dalla progettazione l’avvio del nuovo obbligo di fatturazione con modalità e garanzia conformi alla normativa privacy vigente.

L’Agenzia ha dichiarato che risponderà tempestivamente per cui occorre domandarsi se il provvedimento del Garante Privacy possa comportare una proroga dell’obbligo di fatturazione elettronica, dal momento che le problematiche rilevate potranno difficilmente essere risolte in un così breve lasso di tempo. A tal riguardo, manca solo un mese all’entrata in vigore del nuovo obbligo di fatturazione elettronica.

Permane comunque il rischio di incorrere in sanzioni[6] non di poca rilevanza. Con riguardo alle violazioni sopra menzionate si rischiano sanzioni fino a 10.000 euro (per mancato rispetto del principio privacy by design e by default e mancata adozione di misure di sicurezza adeguate ex artt. 25 e 32 GDPR) e rispettivamente fino a 20.000 euro (per mancato rispetto dei principi base del trattamento e dei diritti degli interessati ex artt. 5, 6, 9, 13 GDPR). Senza tralasciare un’eventuale responsabilità civile per danni subiti ai sensi dell’art. 82 GDPR in base al quale chiunque può agire per chiedere il risarcimento.

Si tratta di rischi confermati recentemente anche dal Garante Privacy, Antonello Soro, il quale in un’intervista[7] rilasciata a Radio Radicale ha sottolineato che “Prima di avviare l’esperienza della fattura elettronica, confidiamo vengano rimosse le criticità che noi abbiamo evidenziato e che avremmo fatto anche se ce lo avessero chiesto prima. In ogni caso noi abbiamo fatto queste osservazioni, il titolare del trattamento è l’Agenzia delle Entrate e col nuovo quadro giuridico il titolare del trattamento è responsabile di tutto quello che accade all’interno della sua responsabilità e quindi è un problema loro. Non intendiamo minimamente rallentare o mettere un freno all’avvio dal primo gennaio. Tuttavia, facciamo notare che come il titolare del trattamento è responsabile noi abbiamo la responsabilità anche a posteriori di verificare il rispetto della legge e di trarne le conseguenze”. Per questo occorre: “Rimuovere le criticità entro dicembre altrimenti scattano sanzioni per l’Agenzia delle Entrate”.

 

[1] D.Lgs. 5 agosto 2015 n. 127, in materia di trasmissione telematica delle operazioni IVA e di controllo delle cessioni di beni effettuate attraverso distributori automatici disponibile al seguente link http://www.gazzettaufficiale.it/eli/id/2015/08/18/15G00143/sg

[2] Provvedimento del Direttore dell’Agenzia delle Entrate, 30 aprile 2018 n. 89757 disponibile al seguente link https://www.agenziaentrate.gov.it/wps/content/nsilib/nsi/normativa+e+prassi/provvedimenti/2018/aprile+2018+provvedimenti/provvedimento+30042018+fatturazione+elettronica

[3] Garante Privacy, Provvedimento nei confronti dell’Agenzia delle entrate sull’obbligo di fatturazione, 15 novembre 2018 n. 9059949 disponibile al seguente link https://www.garanteprivacy.it/en/home/docweb/-/docweb-display/docweb/9059949

[4] Regolamento (UE) 2016/679 del parlamento europeo e del consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE disponibile al seguente link https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679&from=IT

[5] Si tratta di un punto non di poca rilevanza dal momento che i trattamenti effettuati da responsabili del trattamento dovrebbe essere regolati con un DPA (“data protection agreement” ossia un accordo o altro contratto rilevante) che delimiti i diritti e obblighi del titolare nei confronti del responsabile, nonché la materia disciplinata, la durata del trattamento, la natura e la finalità del trattamento, le tipologie di dati personali trattate e le categorie di interessati ai sensi dell’art. 28 del GDPR. Un aspetto non di poco conto per le società di software house che operano infatti come intermediari in merito all’emissione della fattura o anche come subfornitori di servizi per i commercialisti. Il Garante Privacy, Antonello Soro, durante un’intervista a Radio Radicale del 23 novembre 2018, ha altresì confermato come: “Questi intermediari andrebbero identificati in modo più puntuale e non affidati ad un contratto di natura privatistica, come se questo non riguardasse il sistema, cioè il rigore con cui l’intermediario tratta i dati personali, perché l’agenzia delle entrate nel momento in cui adotta un provvedimento di questo genere non solo deve garantire il proprio ruolo, le tutele messe in essere dall’Agenzia stessa, ma deve garantire che nel procedimento tutti quelli che intervengono devono osservare una serie di tutele”.

[6] Simone Cedrola, La disciplina delle sanzioni previste dal GDPR, marzo 2018, disponibile al seguente link: https://www.iusinitinere.it/disciplina-sanzioni-previste-dal-gdpr-8445

[7] Alessio Falconio intervista Antonello Soro, Presidente dell’Autorità Garante per la Protezione dei Dati Personali, disponibile al seguente link https://www.radioradicale.it/scheda/558239/alessio-falconio-intervista-antonello-soro-presidente-dellautorita-garante-per-la