Il Garante per la privacy è intervenuto sul tema della fatturazione elettronica fra privati, ponendo dei seri dubbi sul nuovo obbligo che entrerà in vigore dal prossimo 1° gennaio 2019. In particolare il Garante per la protezione dei dati personali ha avvertito l’Agenzia delle entrate che il suo sistema di gestione della fattura elettronica “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”.
Le questioni poste dal Garante sono molto serie, tanto da spingere lo stesso a richiedere con urgenza delle spiegazioni su come l’Agenzia intenda rendere il sistema di gestione della e-fattura conforme al quadro normativo italiano ed europeo sul trattamento dei dati personali; soprattutto alla luce delle recenti novità in materia introdotte dal GDPR privacy Regolamento Ue 2016/679. Questo avvertimento è una novità anche per il Garante stesso, che per la prima volta esercita il potere correttivo di avvertimento che gli viene espressamente attribuito dal GDPR. Ecco in breve cosa contiene il provvedimento adottato nei confronti dell’Agenzia delle entrate sull’obbligo di fatturazione elettronica del 15 novembre 2018 (trovate il testo completo a fondo pagina).
Fatturazione elettronica fra privati, le criticità sulla privacy riscontrate dal Garante
Per il Garante il nuovo obbligo generalizzato di fatturazione elettronica presenta un rischio elevato per i diritti e le libertà degli interessati; questo comporta infatti un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, che potrebbe essere, almeno in teoria, relativo a tutti gli aspetti della vita quotidiana dei cittadini. Questo punto in particolare è ritenuto sproporzionato rispetto all’obiettivo di interesse pubblico perseguito dal Fisco, anche se questo è del tutto legittimo.
Per il Garante il nuovo sistema di fatturazione elettronica fra privati offerto dall’Agenzia presenta quindi una serie di criticità.
Il ruolo di “postino” dell’Agenzia
L’Agenzia recapita le e-fatture fra i privati attraverso il sistema di interscambio (SDI), dopodichè archivia e utilizza i dati anche a fini di controllo. Tuttavia il sistema non si limiterà ad archiviare i dati fiscali, ma l’intera fattura. Quindi potenzialmente verranno archiviati nel dettaglio anche i dati relativi ai beni e servizi acquistati, andando di fatto a carpire le abitudini e le tipologie di consumo; di fatto quindi le Entrate sapranno anche se il contribuente è puntuale con i pagamenti delle utenze, per quanto rigurda le fatture per energia e telecomunicazioni, oppure addirittura potranno accedere alla descrizione delle prestazioni sanitarie o legali.
Altra criticità riguarda invece la scelta dell’Agenzia delle entrate di rendere disponibile sul proprio portale tutte le fatture in formato digitale, senza una richiesta specifica dei consumatori; questo sistema riguarderà anche chi preferirà comunque continuare a ricevere la fattura cartacea o digitale dal fornitore, come previsto dalla legge.
Il ruolo degli intermediari
Altro problema posto dal Garante riguarda il ruolo degli intermediari delegabili dal contribuente. Gli intermediari abilitati, lo ricordiamo, possono essere delegati alla trasmissione, ricezione e conservazione delle fatture elettroniche; questi tuttavia operano spesso per una moltitudine di imprese e accentrano di fatto una enorme quantità di dati personali. In questo modo aumentano anche i rischi per la sicurezza delle informazioni e anche per eventuali usi impropri. (Ad esempio si potrebbero collegare e raffrontare le fatture di migliaia di operatori economici).
Uso della PEC
Infine ulteriori criticità riguardano la trasmissione dei dati attraverso lo SDI e anche gli altri servizi offerti dall’Agenzia, come ad esempio la conservazione delle e-fatture. Una delle criticità riguarda la mancata cifratura dei dati; questo è un problema che si amplifica perchè nelle varie fasi di e-fatturazione si può usare la PEC. Infatti la Posta Elettronica Certificata prevede anch’essa la possibile memorizzazione dei documenti sui server di posta elettronica.
Mancata consultazione del Garante Privacy
In ultimo il Garante lamenta la sua mancata consultazione preventiva da parte dell’Agenzia delle Entrate. Questa fase infatti è prevista sia dal previgente Codice privacy che dal nuovo Regolamento Ue; una preventiva consultazione avrebbe potuto pertanto assicurare fin dalla progettazione un sistema di fatturazione elettronica rispettoso della protezione dei dati personali.
Si sarebbero cioè potute inserire le misure tecnico organizzative adeguate su tutta la linea di trattamento dei dati; in questo modo si sarebbero pertanto evitate le criticità sopra esposte.
Provvedimento Garante Privacy nei confronti dell’Agenzia delle entrate sull’obbligo di fatturazione elettronica
Ecco il testo del provvedimento del Garante Privacy nei confronti dell’Agenzia delle entrate sull’obbligo di fatturazione elettronica.
Garante Privacy Prvv. 9059949 del 15/11/2018 (31,3 KiB, 599 hits)