Gli impatti privacy del nuovo obbligo di fatturazione elettronica

Il Garante esercita per la prima volta il potere correttivo attribuitogli dal GDPR

di Maura Mialich

1. Premessa

Con la Legge di Bilancio 2018 (n. 205/2017 – recante “Bilancio di previsione dello Stato per l’anno finanziario 2018 e bilancio pluriennale per il triennio 2018-2020”), dal 1° gennaio 2019, la fatturazione elettronica è divenuta obbligatoria per tutti i soggetti titolari di partita IVA residenti o stabiliti in Italia.

In particolare, l’obbligo di e-fatturazione, già applicato nei confronti della Pubblica Amministrazione, è stato esteso alle cessioni di beni e prestazione di servizi effettuata tra due operatori IVA (operazioni Business to Business, c.d. B2B), nonché a quelle effettuate da un operatore IVA nei confronti di un consumatore finale (operazioni Business to Consumer, c.d. B2C).

Le regole per predisporre, trasmettere, ricevere e conservare le fatture elettroniche sono definite nel provvedimento n. 89757 del 30 aprile 2018 pubblicato sul sito internet dell’Agenzia delle Entrate.

Diversamente, per le fatture elettroniche emesse verso le Pubbliche Amministrazioni restano valide le regole riportate nel Decreto Ministeriale n. 55/2013.

L’origine di questa evoluzione nell’ambito della fatturazione elettronica, a livello europeo, risiede nella Direttiva 201/55/UE del 16 aprile 2014, relativa alla fatturazione elettronica negli appalti pubblici e, in un’ottica di sviluppo del mercato digitale europeo, costituisce un importante tassello nell’ambito dell’industria 4.0 e del processo di digitalizzazione delle imprese.

Gli obiettivi della nuova normativa sono la dematerializzazione dei processi aziendali finalizzata all’incremento della competitività delle imprese e l’esigenza di generare risparmi aumentando l’efficienza delle misure di contrasto all’evasione, al fine di ottenere una migliore allocazione delle risorse disponibili per la gestione della spesa pubblica.

La fatturazione elettronica, inoltre, consente di ottimizzare i costi, di ridurre il rischio di errore, falso e duplicazione e di contenere i tempi di pagamento.

2. Come funziona l’attuale sistema di fatturazione elettronica

Il modello di fatturazione elettronica adottato in Italia tra privati B2B ricalca, sostanzialmente, quello già vigente dal 6 giugno 2014 per la Pubblica Amministrazione e prevede l’impiego di una piattaforma informatica, denominata Sistema di Interscambio (SdI), gestita dall’Agenzia delle Entrate tramite l’ausilio di Sogei, e che i soggetti IVA devono utilizzare per trasmettere ai clienti le fatture elettroniche in formato XML. In caso di utilizzo di formati e modalità di trasmissione diverse, la fattura si considera non emessa, con le relative conseguenze sanzionatorie.

La stessa Agenzia delle Entrate descrive il Sistema di Interscambio come una sorta di postino, che verifica la presenza nella fattura dei dati obbligatori ai fini fiscali e dell’indirizzo telematico (c.d. “codice destinatario”) presso il quale il cliente desidera ricevere la fattura.

Per agevolare l’assolvimento dell’obbligo di fatturazione elettronica, l’Agenzia delle Entrate ha messo a disposizione degli operatori economici tre strumenti gratuiti, alternativi a quelli già presenti in commercio, per elaborare il file XML. Più precisamente, si tratta di una procedura web “Fatturazione elettronica”, utilizzabile accedendo al portale “Fatture e Corrispettivi” dell’Agenzia; di un software scaricabile su PC e una mobile app, denominata FatturAE, che consente di salvare i dati in locale, sul dispositivo utilizzato oppure in cloud.

I canali di comunicazione con il Sistema di Interscambio per trasmettere le fatture sono la posta elettronica certificata (PEC), i servizi informatici messi a disposizione dall’Agenzia delle entrate sopra descritti, il sistema di cooperazione applicativa, su rete Internet, tramite web service, nonché il sistema di trasmissione dati tra terminali remoti, basato su protocollo FTP.

In caso di operazioni B2B, le fatture sono poi rese disponibili ai destinatari attraverso i canali di comunicazione di cui sopra, mentre, in caso di operazioni B2C le fatture sono rese disponibili al consumatore finale, in formato XML, nella sezione riservata del sito web dell’Agenzia delle Entrate. Una copia della fattura, in formato elettronico o analogico, è messa a disposizione del consumatore, su richiesta di quest’ultimo, anche direttamente da chi la emette. A prescindere dalle modalità di consegna, un duplicato è reso sempre disponibile anche nell’area riservata dell’operatore economico che ha emesso la fattura.

Infine, ai soggetti tenuti all’obbligo di fatturazione elettronica è data la possibilità di avvalersi di un intermediario delegato ad hoc, per la trasmissione, la consultazione e la ricezione delle fatture.

3. Chi è esonerato dall’obbligo di fatturazione elettronica 

Sono esonerati dall’emissione della fattura elettronica solo gli operatori (imprese e lavoratori autonomi) che rientrano nel cosiddetto “regime di vantaggio” (di cui all’art. 27, cc.1 e 2, del D.L., n. 98/2011, convertito dalla L. n. 111/2011) e quelli che rientrano nel cosiddetto “regime forfettario” (di cui all’art. 1, cc. da 54 a 89, della L. n. 190/2014).

In particolare, sono esentati dall’obbligo di fatturazione elettronica i medici, le farmacie e tutti gli altri operatori sanitari (limitatamente al ciclo attivo di fatturazione e solo per i dati trasmessi attraverso il Sistema Tessera Sanitaria); imprese o lavoratori autonomi che rientrano nel “regime di vantaggio” previsto dall’art. 27 c. 3 del D. L. n. 98/2011; imprese o lavoratori autonomi che rientrano nel regime forfettario previsto dalla L. n. 190/14; piccoli produttori agricoli; società sportive dilettantistiche; soggetti non residenti in Italia che effettuano o ricevono operazioni.

Gli operatori in regime di vantaggio o forfettario possono comunque emettere fatture elettroniche seguendo le disposizioni del summenzionato provvedimento del 30 aprile 2018.

4. Impatti privacy e posizione del Garante per la protezione dei dati personali

4.1. Il Provvedimento del Garante del 15 novembre 2018

Il Garante per la protezione dei dati personali, esercitando per la prima volta il nuovo potere correttivo di avvertimento attribuitogli dall’art.  58 c. 2 lett. a) del GDPR, con Provvedimento n. 481 del 15 novembre 2018, ha evidenziato all’Agenzia delle Entrate come il nuovo obbligo di fatturazione elettronica, così come regolato dall’ente stesso, presenti “rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”.

L’Agenzia delle Entrate, dunque, è stata chiamata a rendere conto, con urgenza, circa le modalità con le quali avrebbe adeguato il nuovo processo alla vigente normativa in materia di protezione dei dati personali.

Il provvedimento del Garante è stato inviato poi al Presidente del Consiglio dei ministri e al Ministro dell’economia e delle finanze per le valutazioni di competenza.

Nel provvedimento, in primis, si lamenta la mancata preventiva consultazione del Garante stabilita dal GDPR. Infatti, in ossequio al principio di privacy by design, il parere dell’Autorità avrebbe potuto assicurare fin dalla progettazione l’avvio del nuovo sistema con modalità e garanzie rispettose della protezione dei dati personali, introducendo misure tecnico-organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica.

Il nuovo obbligo di fatturazione elettronica, ad avviso del Garante, implica un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente inerente a ogni aspetto della vita quotidiana degli interessati e non proporzionato alla finalità d’interesse pubblico perseguita. Atteso che tale trattamento presenta un rischio elevato per i diritti e le libertà degli interessati, si richiede l’effettuazione di una valutazione d’impatto ai sensi dell’art. 35 del GDPR.

Più concretamente, non risulterebbe compatibile con la vigente normativa in materia di protezione dei dati personali la circostanza che l’Agenzia delle Entrate, dopo aver recapitato le fatture attraverso il Sistema di Interscambio tra gli operatori economici e i contribuenti, archivi e utilizzi non solo i dati necessari ad assolvere gli obblighi fiscali, ma la fattura vera e propria in formato XML, anche con finalità di controllo, come emerge chiaramente al punto 10 del citato provvedimento n. 89757 del Direttore dell’Agenzia delle Entrate. Oggetto di archiviazione, infatti, non solo i dati obbligatori a fini fiscali, ma la fattura stessa, che, spesso a fini di garanzia, assicurativi o per prassi commerciali, contiene anche dati relativi ai beni e i servizi ceduti, con la descrizione delle prestazioni, i rapporti fra cedente e cessionario e altri soggetti, riferiti anche a sconti applicati, fidelizzazioni, abitudini di consumo, oltre a dati obbligatori imposti da specifiche normative di settore, con particolare riguardo ai trasporti, alle forniture di servizi energetici o di telecomunicazioni (tipologie dei consumi, fatturazione dettagliata, regolarità dei pagamenti, appartenenza a particolari categorie di utenti). Ne deriva un rischio di profilazione delle abitudini consumeristiche degli utenti.

Inoltre, ha evidenziato il Garante, l’Agenzia delle Entrate mette a disposizione sul proprio portale, senza una richiesta dei consumatori, tutte le fatture in formato digitale, anche per chi dovesse preferire comunque continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore, come garantito dal legislatore. Un siffatto trattamento comporta “un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web”, in aperto contrasto con i principi di privacy by default, privacy by design e di minimizzazione del trattamento.

Un ulteriore profilo di rischio in punto di protezione dei dati personali è posto dal ruolo assunto dagli intermediari delegabili dal contribuente per la trasmissione, la ricezione e la conservazione delle fatture, alcuni dei quali operano anche nei confronti di una moltitudine di imprese, accentrando enormi masse di dati personali.

E’ agevole comprendere come il nuovo obbligo metta a disposizione di terzi una mole enorme di informazioni, comprese le categorie particolari di dati personali, che normalmente non rientrano gestione delle attività degli operatori economici coinvolti. In altri termini, atteso il forte interesse di molti soggetti terzi all’accesso di una simile banca dati stimoli, sono facilmente prevedibili i rischi derivanti da un utilizzo improprio dei dati personali coinvolti del processo, grazie a possibili collegamenti le tra fatture di migliaia di operatori economici.

Devono essere individuate, quindi, misure tecniche e organizzative adeguate ad assicurare rispetto della normativa in materia di protezione dei dati personali e la riservatezza delle informazioni in tutta la filiera del trattamento dei dati personali effettuato a fini della fatturazione elettronica.

Il Garante, infine, ha evidenziato le problematicità legate alla sicurezza dei canali di trasmissione delle fatture: il protocollo FTP attualmente previsto non è considerato un canale sicuro e sarebbe necessario cifrare i file XML delle fatture, tanto più se si considera l’utilizzo della PEC per lo scambio delle fatture, con conseguente possibilità di memorizzare i documenti sui server di posta elettronica (si pensi all’utilizzo non esclusivo della PEC in ambito aziendale, al furto di credenziali e agli attacchi informatici ai server).

La previsione dell’accordo di servizio gratuito di conservazione offerto dall’Agenzia delle Entrate, laddove si prevede che “il ruolo assunto dagli intermediari delegabili dal contribuente per la trasmissione, la ricezione e la conservazione delle fatture, alcuni dei quali operano anche nei confronti di una moltitudine di imprese, accentrando enormi masse di dati personali”, violerebbe l’art. 5, par. 1, lett. f) e l’art. 32 del GDPR.

A seguito del Provvedimento del Garante del 15 novembre 2018, è stato costituito un tavolo di lavoro tecnico, con l’Agenzia delle Entrate e il MEF, al fine di esaminare congiuntamente le criticità evidenziate, con il coinvolgimento dell’Agid, del Consiglio nazionale dei dottori commercialisti e degli esperti contabili, del Consiglio nazionale dell’ordine dei consulenti del lavoro e dell’Associazione dei produttori di software gestionale e fiscale (AssoSoftware).

4.2. La nota dell’Agenzia delle Entrate del 17 dicembre 2018

Con nota del 17 dicembre 2018, l’Agenzia delle Entrate ha sottolineato l’importanza strategica della fatturazione elettronica per la riduzione del tax gap IVA in Italia e ha illustrato le proposte di modifica al sistema di fatturazione elettronica, sulla scorta degli approfondimenti tecnici condotti e a seguito dei rilievi espressi dal Garante. In particolare, con riferimento ai seguenti aspetti: la sproporzione della memorizzazione di tutti i dati contenuti all’interno del file XML delle fatture elettroniche, emesse e ricevute nell’ambito del Sistema di Interscambio, e del conseguente utilizzo di tali dati anche per finalità di controllo da parte dell’Agenzia; la specificazione del ruolo assunto dall’Agenzia in relazione al trattamento dei dati personali effettuato nell’ambito del servizio di conservazione, e chiarimenti in ordine all’esonero di responsabilità per l’Agenzia; l’utilizzo del canale non sicuro (FTP) per la trasmissione delle fatture, mancata cifratura dei file e uso della PEC nell’ambito dello SDI; l’informativa sul trattamento dei dati personali resa in relazione all’app FatturAE; i rischi connessi al trattamento dei dati da parte degli intermediari, con particolare riguardo alla gestione dei dati delle fatture a cura dei fornitori di servizi tecnologici che possono intervenire nel processo.

Con Provvedimento del 20 dicembre 2018, il Garante, preso atto delle modifiche proposte dall’Agenzia delle Entrate all’impianto originario della fatturazione elettronica, ha precisato le condizioni alle quali è possibile effettuare i trattamenti di dati connessi ai nuovi adempimenti dal 1° gennaio 2019.

4.3. La soluzione individuata dall’Agenzia delle Entrate e la replica del Garante

4.3.1. Servizio di consultazione e download delle fatture elettroniche

In punto di consultazione e download delle fatture elettroniche ha proposto di memorizzare l’intero file XML e di renderlo disponibile ai fini della consultazione e download solo nel caso in cui l’operatore economico, un suo delegato ovvero il consumatore finale aderisca espressamente al servizio di consultazione. In assenza dell’adesione al servizio, l’Agenzia si limiterà a registrare il file XML della fattura nelle sole ipotesi residuali in cui la messa a disposizione della fattura nell’area riservata del portale dell’Agenzia sia una delle modalità previste per la consegna della stessa al destinatario, oppure nel caso in cui si verifichino impedimenti tecnici all’invio della fattura, non imputabili al Sistema di Interscambio (es. casella PEC piena o non attiva). Trattandosi di un processo simmetrico, ai fini della memorizzazione è sufficiente che l’adesione provenga da una delle due parti del rapporto economico (fornitore o cliente), fermo restando che le fatture sono rese disponibili in consultazione esclusivamente a chi abbia manifestato la propria volontà in tal senso. Una volta consegnata la fattura, sarebbero memorizzati unicamente i dati fattura, mentre sarebbero cancellati i dati “non fiscali” contenuti nel file XML, unitamente al dato fiscale relativo alla descrizione dell’operazione.

A regime, i file XML delle fatture debitamente consegnate all’indirizzo telematico del cessionario o visionati dal portale “Fatture e Corrispettivi”, nonché nei casi di mancata adesione al servizio di consultazione da parte del cedente o del cessionario, verrebbero cancellati.

La consultazione dei file XML delle fatture, in ogni caso, sarebbe possibile fino al 31 dicembre del secondo anno successivo a quello di ricezione della fattura da parte del Sistema di Interscambio.

L’Agenzia delle Entrate ha altresì precisato che, nell’ambito del predetto servizio, la stessa agirebbe in qualità di responsabile del trattamento dei dati personali.

Al riguardo, il Garante ha osservato che dalla nota dell’Agenzia non si riesce a comprendere le caratteristiche del trattamento dei dati fiscali e non fiscali e, in particolare, la base giuridica, la finalità del trattamento e le tipologie di dati. Inoltre, non risulta possibile esaminare l’ulteriore ipotesi di memorizzazione dei file XML, essendo necessari specifici approfondimenti al riguardo, da effettuarsi anche a seguito dell’esame dell’accordo di adesione al servizio di consultazione predisposto dall’Agenzia.

4.3.2. Criticità della memorizzazione integrale delle fatture in formato XML

In relazione all’individuazione dei “dati fattura”, l’Agenzia ha precisato che non sono memorizzati i dati contenuti nei campi relativi alle “descrizioni” e sono memorizzati (se valorizzati) i dati riferiti ad appalti pubblici ovvero a codifiche stabilite esclusivamente per rispettare norme tributarie (es. i codici che identificano le tipologie di carburante nel caso di cessioni di tale prodotto, come previsto dalla L. n. 205/2017, codici che identificano la ricevuta fiscale emessa prima della fattura e collegata a quest’ultima, la targa dell’autoveicolo prevista per consentire solo al cliente IVA di usufruire del credito d’imposta sulle accise, ecc.). Sono quindi presi in considerazione solo “i dati fiscalmente rilevanti di cui all’articolo 21 del D.P.R. 633 del 1972, ad esclusione dei dati di cui al comma 2, lettera g), e alle altre disposizioni tributarie, nonché i dati necessari a garantire il processo di fatturazione elettronica attraverso il SdI, riportati in allegato, compreso il codice hash del file XML”. Tale codice alfanumerico, riportato all’interno delle ricevute, caratterizza in modo univoco il file XML trasmesso ed è calcolato dal Sistema di Interscambio per ogni file elaborato, quindi inserito tra i dati fattura per consentire all’Agenzia delle Entrate di verificare l’autenticità e l’integrità del documento esibito in sede di controllo.

In punto di criticità della memorizzazione integrale delle fatture in formato XML, Il Garante ha valutato positivamente la circostanza che l’Agenzia delle Entrate abbia deciso di memorizzare solo i dati fiscali funzionali ai controlli automatizzati (es. i dati necessari alla verifica di determinate discrasie tra i beni dichiarati e quelli disponibili all’Agenzia), eliminando i dati di dettaglio descrittivi del bene o del servizio fatturato. Tuttavia, ha evidenziato come permangano alcuni dubbi in relazione ad alcune tipologie di dati che l’Agenzia intenderebbe memorizzare in maniera sistematica, in possibile contrasto con il principio di minimizzazione di cui al GDPR. Il Garante, in particolare, fa riferimento alla memorizzazione sistematica dei campi relativi ai “dati trasporto” (da inserire nei casi di fattura “accompagnatoria”) e ai dati anagrafici del vettore (nome, cognome e numero identificativo della “licenza di guida”). Con riferimento, invece, al “codice articolo”, talvolta identificativo del bene o del servizio fatturato, il Garante chiarisce la necessità di precisare i casi in cui le informazioni in esso contenute debbano essere memorizzate tra i dati fattura. A tal proposito, l’autorità di controllo ha invitato l’Agenzia a trasmettere le proprie valutazioni a riguardo e un’eventuale nuova versione dell’allegato B al provvedimento del Direttore del 30 aprile 2018.

4.3.3. Periodo transitorio

L’Agenzia ha rappresentato che la soluzione sopra illustrata necessita, in ogni caso, di un periodo transitorio, dal 1° gennaio al 2 luglio 2019, per realizzare l’acquisizione dei “dati fattura” e il servizio di consultazione, che sarà disponibile dal 3 maggio 2019 e sarà possibile per gli operatori aderire entro 60 giorni (ai sensi dell’art. 3, c. 2, L. n. 212/2000 – Statuto del contribuente).

Nelle more del periodo del periodo transitorio, l’Agenzia delle Entrate ha dichiarato che, al fine di evitare disservizi, memorizzerà temporaneamente tutti i dati contenuti nel file XML delle fatture elettroniche. 

4.4. Le fatture elettroniche emesse da soggetti che erogano prestazioni sanitarie ed esercenti la professione forense

Rilevanti impatti privacy sono emersi con riferimento alle fatture relative a prestazioni sanitarie o emesse da esercenti la professione forense, atteso che comportano il trattamento di dati relativi alla salute e a condanne penali e reati, di norma non direttamente rilevanti a fini fiscali, ma connessi alle descrizioni delle cessioni di beni e prestazioni di servizi oggetto di fatturazione.

La L. n. 136/2018, che ha convertito il D. L. n. 119/2018, recante disposizioni urgenti in materia fiscale e finanziaria, ha introdotto l’art. 10-bis (Disposizioni di semplificazione in tema di fatturazione elettronica per gli operatori sanitari), ai sensi del quale “per il periodo d’imposta 2019, i soggetti tenuti all’invio dei dati al Sistema tessera sanitaria, ai fini dell’elaborazione della dichiarazione dei redditi precompilata, ai sensi dell’articolo 3, commi 3 e 4, del decreto legislativo 21 novembre 2014, n. 175, e dei relativi decreti del Ministro dell’economia e delle finanze, sono esonerati  dall’obbligo di fatturazione elettronica di cui all’articolo 1, comma 3, del decreto legislativo 5  agosto 2015, n. 127, con riferimento alle fatture i cui dati sono inviati al Sistema tessera sanitaria”.

Tale esonero, paradossalmente, non opererebbe proprio nei confronti delle situazioni più delicate, cioè verso le fatture emesse da soggetti che erogano prestazioni sanitarie non trasmesse attraverso il sistema TS in seguito all’opposizione legittimamente manifestata dagli interessati (art. 3 del decreto del MEF del 31 luglio 2015, attuativo del D. Lgs. n. 175/2014).

E’ necessario chiarire, peraltro, se l’eventuale emissione di una fattura elettronica attraverso il Sistema di Interscambio possa essere ritenuta conforme al GDPR.

Occorre, quindi, che l’Agenzia delle entrate individui idonee misure a tutela dei diritti fondamentali degli interessati nei casi in esame, fornendo adeguate istruzioni agli utenti del settore.

4.5. Sicurezza del trattamento 

Al fine di allinearsi alle indicazioni del Garante, l’Agenzia delle Entrate ha previsto l’attivazione di un canale cifrato basato su protocollo SFTP per tutti i soggetti che abbiano presentato una richiesta di accreditamento al Sistema di Interscambio, aggiornando le specifiche tecniche dell’allegato A al Provvedimento del Direttore dell’Agenzia delle Entrate del 30 aprile 2018. L’ente ha inoltre avviato un piano di migrazione al protocollo SFTP, comunicando a tutti gli enti che ancora utilizzano il protocollo FTP che, dal 1° gennaio 2019, il canale FTP non cifrato non potrà essere garantito.

In relazione alle misure di protezione crittografica dei file XML delle fatture elettroniche, l’Agenzia ha rappresentato che l’applicazione al file XML della fattura di algoritmi di cifratura (anche parziali), sia simmetrici che asimmetrici, non risulterebbe compatibile con un modello in cui la fattura deve essere leggibile dal cedente/prestatore, dal cessionario/committente, dagli eventuali soggetti delegati alla gestione delle fatture nonché, ai fini dell’estrazione dei dati fattura, dall’Agenzia delle Entrate. Il Garante, a sua volta, ha replicato osservando che “spetta al titolare del trattamento individuare le misure tecniche e organizzative adeguate per garantire la protezione dei dati anche con tecniche crittografiche, nel rispetto dei principi di privacy by design e by default, attraverso un’attenta analisi dei processi e un adeguato impegno progettuale”.

Pertanto, l’Agenzia è stata invitata a fornire una nuova analisi in merito agli aspetti sopra evidenziati (in particolare in caso di utilizzo della PEC), entro il 15 aprile 2019, anche in sede di valutazione d’impatto.

4.6. Conservazione delle fatture elettroniche

Con provvedimento del 15 novembre 2018, il Garante ha rilevato come sia poco chiaro il ruolo assunto dall’Agenzia delle entrate e da Sogei rispetto al trattamento dei dati effettuato ai fini della conservazione nonché quelli concernenti le limitazioni di responsabilità e i termini di conservazione dei dati. L’autorità evidenziava, inoltre, la criticità di alcune disposizioni contrattuali rispetto gli artt. 5, par. 1, lett. f) e 32 del GDPR.

L’Agenzia delle Entrate ha precisato che l’attivazione del servizio di conservazione avviene a seguito dell’adesione, da parte dell’operatore economico, a un accordo ad hocin forza del quale una parte del processo di conservazione delle fatture elettroniche è affidato all’Agenzia delle Entrate. Tale accordo disciplina il ruolo di responsabile del trattamento e prevede il trattamento dei dati esclusivamente per finalità di conservazione, inclusa l’esibizione, su richiesta dell’operatore economico o dei suoi incaricati, delle fatture elettroniche conservate. In caso di recesso, il contribuente può richiedere la restituzione completa delle fatture elettroniche conservate e le fatture elettroniche restituite sono contestualmente cancellate dal sistema di conservazione.

L’Agenzia, ai sensi dell’art. 82.3 del GDPR, “è esonerata da responsabilità nei confronti del Contribuente e nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del Servizio se dimostra che l’evento dannoso non gli è in alcun modo imputabile. L’Agenzia, pertanto non è responsabile ove gli eventi dannosi siano connessi o derivanti da: a) fatture elettroniche inviate volontariamente dal Contribuente per la conservazione o trasmesse e ricevute dallo stesso tramite il Sistema di Interscambio, contenenti dati non accurati, o non corretti, o in un formato diverso da quello previsto, o non completi o di scarsa qualità; b) forza maggiore o caso fortuito (anche nella fattispecie di fatto di terzo); c) situazioni oggettivamente al di fuori della sfera di controllo e delle possibilità di intervento dell’Agenzia”.

Le fatture elettroniche sono conservate per un periodo di 15 anni, ad eccezione delle ipotesi in cui sia lo stesso operatore economico a chiedere di prorogare la conservazione delle stesse.

4.7. La valutazione d’impatto sulla protezione dei dati

Con particolare riferimento alla DPIA (Data Protection Impact Assessment), l’Agenzia delle Entrate, con nota del 17 dicembre 2018, ha trasmesso all’Autorità la valutazione d’impatto sul trattamento dei dati relativi al processo di fatturazione elettronica tra privati (B2B e B2C).

Con Provvedimento del 20 dicembre 2019, il Garante ha precisato che “la valutazione d’impatto sulla protezione dei dati deve in primo luogo tenere conto dei rischi incombenti sui diritti e sulle libertà degli interessati, esaminando, in modo esaustivo, i diversi scenari di rischio e i possibili impatti al fine di individuare misure adeguate ad affrontarli, annullandoli o, quantomeno, riducendoli a un livello accettabile” e che “La valutazione di impatto effettuata dall’Agenzia risulta, invece, focalizzata su aspetti meramente tecnici del trattamento, risultando prevalentemente, se non esclusivamente, un documento di valutazione del rischio informatico incombente sui dati. Pertanto, tale valutazione appare carente nella parte analitica riferita agli impatti sui diritti e sulle libertà degli interessati derivanti dai diversi scenari di rischio considerati, anche laddove non siano riferibili alla fattispecie degli incidenti informatici.”

L’Agenzia, inoltre, non avrebbe raccolto le opinioni dei soggetti interessati o dei loro rappresentanti, quali le associazioni di categoria o di consumatori, come previsto dall’art. 35.9 del GDPR e, in ogni caso, avrebbe dovuto motivare e documentare le ragioni per cui ha ritenuto di non procedere in tal senso.

L’Agenzia delle Entrate, pertanto, dovrà produrre entro il 15 aprile 2019, “evitando di sfruttare schemi standard e semplificazioni che rischiano di comprometterne l’efficacia, fornendo alla stessa un connotato di eccessiva genericità e, quindi, di inadeguatezza, soprattutto in relazione all’analisi dei rischi che ne costituisce il presupposto essenziale”.

4.8. Gli intermediari e gli altri soggetti operanti nell’ambito della fatturazione elettronica

 I dati personali contenuti nelle fatture non sono riferiti esclusivamente all’operatore economico che le ha emesse e ricevute, ma anche a persone fisiche terze con cui intrattiene rapporti economici. I trattamenti effettuati in qualità di responsabile e sub-responsabile del trattamento, infatti, devono essere limitati solo ed esclusivamente a quanto necessario per la fornitura dei servizi forniti al titolari e, dunque, per l’esecuzione del contratto stesso.

L’Agenzia ha individuato due categorie di intermediari: quelli previsti dall’articolo 3, c. 3 del D.P.R. n. 322/1998 e quelli cc.dd. tecnici, che possono essere delegati a svolgere esclusivamente servizi quali la generazione, l’invio e la ricezione delle fatture elettroniche, nonché l’adesione alla conservazione.

Stante il numero dei soggetti coinvolti e il prevedibile frequente ricorso al supporto degli intermediari, sono state individuate alcune misure di sicurezza. Nello specifico, “le deleghe sono attivate solo a seguito della verifica di alcuni elementi di riscontro desumibili dalla dichiarazione IVA presentata dal delegante nell’anno precedente, che l’intermediario deve indicare nella richiesta, a garanzia dell’effettivo conferimento della delega da parte del contribuente. È, poi, previsto l’obbligo di istituire un registro cronologico delle deleghe per garantire che il conferimento sia avvenuto prima della richiesta di attivazione e agevolare le successive fasi di controllo sulle deleghe. Tali misure ricalcano, sostanzialmente, quelle già in uso per autorizzare i CAF e i professionisti a consultare ed acquisire le dichiarazioni precompilate dei redditi delle persone fisiche”.

Inoltre, le clausole contrattuali devono essere redatte in conformità al GDPR, specie in relazione alla durata, alla natura e alle finalità del trattamento, nonché alle condizioni in base alle quali è consentito ricorrere ad un altro responsabile del trattamento. Tra i modelli contrattuali utilizzati dalle maggiori società produttrici di software gestionali e fiscali, infatti, sono emerse alcune clausole in violazione degli artt. 5, 6 e 28 del GDPR, pertanto il Garante ha posto l’attenzione sui rischi di utilizzo improprio dei dati personali nell’ambito dei trattamenti effettuati dagli intermediari e dagli altri soggetti delegati dagli operatori economici nel processo di fatturazione.

Non sarebbe conforme al GDPR, ad esempio, la clausola che permette a una società produttrice di software gestionali e fiscali di procedere “all’elaborazione e utilizzo di informazioni puramente statistiche, su base aggregata e previa anonimizzazione, raccolte in relazione all’utilizzo dei Servizi da parte del Cliente e del Terzo Beneficiario, ivi incluse informazioni relative ai meta-dati associati ai Documenti, a fini di studio e statistici, concedendo a tal fine [alla predetta società] una licenza non esclusiva, perpetua, irrevocabile, valida in tutto il mondo e a titolo gratuito, ad utilizzare tali informazioni per dette finalità”.

Il Garante ha evidenziato che “gli operatori economici devono prestare particolari cautele in ordine all’articolato sistema di deleghe, delineato dall’Agenzia nel provvedimento del 5 novembre 2018, per consentire agli intermediari e ad altri soggetti di utilizzare le varie funzionalità rese disponibili, soprattutto in considerazione dei rischi connessi al trattamento dei personali di soggetti terzi coinvolti nel processo di fatturazione”.

5. Conclusioni

Il Garante per la protezione dei dati personali, quindi, non ha inteso bloccare o procrastinare l’avvio del nuovo sistema di fatturazione elettronica, ma ha messo in discussione i termini dell’impianto delineato dall’Agenzia delle Entrate, imponendo a quest’ultima il rispetto di precise condizioni.

Le determinazioni del Garante sono espressione dei principi e delle prescrizioni imposte dalla nuova normativa europea e nazionale in materia di protezione dei dati personali e sono sintomatiche di una ormai acquisita sensibilità rispetto alla tutela della privacy dei cittadini.

Sulla scorta delle indicazioni del Garante, pertanto, entro il 15 aprile 2019, l’Agenzia delle Entrate dovrà fornire riscontro alla stessa Autorità, a norma dell’art. 58.1, lett. a) del GDPR e dell’art. 157 del Codice Privacy.

In particolare, l’Agenzia delle Entrate dovrà trasmettere al Garante un’analisi in merito alle possibili tecniche di cifratura del file XML trasmessi tramite il Sistema di Interscambio; i modelli di accordi di adesione al servizio di consultazione e download delle fatture; una rivalutazione dei dati fattura inseriti nell’allegato B al Provvedimento del Direttore dell’Agenzia delle entrate del 30 aprile 2018; una nuova valutazione di impatto (DPIA).


Fonti:

  • Barbaro, P. Bompani, B. Dei, Fatturazione Elettronica, Ipsoa, Assago, 2019.
  • Garante per la protezione dei dati personali, Provvedimento nei confronti dell’Agenzia delle entrate sull’obbligo di fatturazione elettronica, 481 del 15 novembre 2018, reperibile al link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9059949
  • Garante per la protezione dei dati personali, Provvedimento in tema di fatturazione elettronica, 511 del 20 dicembre 2018, reperibile al link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9069072
  • Agenzia delle Entrate, Provvedimento del Direttore n. 89757del 30 aprile 2018, reperibile al link https://www.agenziaentrate.gov.it/wps/file/Nsilib/Nsi/Normativa+e+Prassi/Provvedimenti/2018/Aprile+2018+Provvedimenti/Testo+coordinato_21122018/provvedimento+300418+testo+coordinato+modifiche+211218.pdf

Autore:

 

en_USEnglish
it_ITItaliano en_USEnglish