/ Luca BILANCINI Sabato, 17 novembre 2018
5-7 minuti
Il processo di fatturazione elettronica, così come attualmente delineato, presenta numerosi e rilevanti elementi critici sotto il profilo della protezione dei dati personali. Le regole che disciplinano la predisposizione, trasmissione, ricezione e conservazione dei file sono contenute in un provvedimento (n. 89757 del 30 aprile scorso) adottato senza la preventiva consultazione del Garante. L’Agenzia delle Entrate dovrà far conoscere all’Autorità le iniziative assunte per rendere i trattamenti dei dati connessi alla fatturazione elettronica conformi alle disposizioni vigenti.
Questo, in estrema sintesi, il contenuto del provvedimento emanato ieri dal Garante della privacy con riferimento al ricorso obbligatorio alla e-fattura dal prossimo 1° gennaio. Si tratta della prima volta in cui l’Autorità ha esercitato il proprio “potere correttivo di avvertimento” attribuitole dal Regolamento Ue 2016/679.
Le criticità connesse al processo, in tema di tutela della privacy, erano già note da tempo. Lo scorso 19 ottobre l’Associazione nazionale commercialisti aveva segnalato al Garante la questione, evidenziando il rischio che “i dati contenuti nelle fatture, che riportano informazioni personali e sulle transazioni commerciali, possano essere oggetto di interesse da parte di terzi, motivati a conoscere le scelte degli operatori commerciali e profilarne le caratteristiche” (si veda “E-fattura, l’ANC contro le società di software” del 20 ottobre), mentre pochi giorni or sono il CNDCEC, che ieri in un comunicato stampa ha accolto con favore il provvedimento, aveva rimarcato la delicatezza della questione.
Il Garante ha preliminarmente sottolineato come l’estensione dell’obbligo di fatturazione elettronica nei confronti, in particolare, dei soggetti privati sia stata progettata senza tenere conto adeguatamente dei rischi connessi ai diritti e alle libertà degli interessati. Non sarebbero state poste in essere le “misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati”.
Come già in parte sottolineato, il provvedimento n. 89757/2018, concernente le regole attuative, e il successivo n. 291241/2018, relativo al conferimento e alla revoca delle deleghe agli intermediari, sono stati adottati “senza che il Garante sia stato consultato”. Ad avviso dell’Autorità, un “tempestivo” e “necessario” coinvolgimento nella fase legislativa avrebbe consentito di progettare il processo nel pieno rispetto delle norme in tema di protezione dei dati personali.
Una delle questioni maggiormente critiche riguarda il fatto che il Sistema di Interscambio non si limiti alla funzione di “postino” della e-fattura, ma archivi tutti i dati contenuti nel documento, ivi compresi quelli la cui indicazione non è necessaria ai fini fiscali. Si pensi, ad esempio, alle informazioni sui rapporti fra cedente e cessionario che potrebbero trarsi dall’applicazione di sconti o fidelizzazioni, o a quei dati imposti da normative di settore che riguardano le tipologie di consumi energetici, la regolarità dei pagamenti, ecc.
Il provvedimento Agenzia delle Entrate n. 89757/2018 consente, al § 1.4, l’inserimento di tali informazioni all’interno della fattura, ma non prevede “alcuna specifica misura di garanzia volta ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza”.
Un’ulteriore problematica consiste nel fatto che siano rese disponibili ai consumatori le fatture elettroniche sul portale dell’Agenzia, nonostante essi abbiano il diritto di ottenere una copia direttamente dall’operatore. Ciò comporta un “ingiustificato incremento dei rischi per i diritti e le libertà di tutti i cittadini”.
Rilievi sono stati mossi anche per quanto concerne il ruolo degli intermediari. Per come è delineato, nel provvedimento n. 291241/2018, “l’articolato sistema di deleghe”, non risulta chiaro il ruolo assunto dai delegati rispetto ai dati personali.
Inoltre, laddove l’intermediario sia una persona fisica, devono essere assicurate garanzie affinché questi possa distinguere le fatture relative alla sfera professionale o imprenditoriale da quelle attinenti la sfera privata del delegante.
Neppure mancano rilievi in ordine ai canali di trasmissione: il protocollo FTP, utilizzabile per la trasmissione e la ricezione dei file fattura, viene ritenuto poco affidabile dal Garante, che più volte ne ha rimarcato le criticità connesse all’utilizzo. Anche la app “FatturAE” necessiterebbe di correttivi, atteso che consente agli operatori di effettuare il salvataggio di alcuni dati “non meglio specificati”, in ambiente cloud.
Da ridefinire anche il servizio di conservazione gratuita
In ultimo una critica viene mossa anche al servizio di conservazione gratuito offerto dall’Agenzia. Viola le disposizioni vigenti la previsione contenuta nel contratto di adesione secondo cui l’Amministrazione non è responsabile nel caso di perdita di dati in determinate circostanze.