
Tra fatturazione elettronica e GDPR: i dubbi del Garante e le risposte dell’Agenzia delle Entrate
18 Gennaio 2019
Abbiamo accolto il 2019 con una grande novità: la fatturazione elettronica. Facciamo chiarezza sull’argomento più discusso durante il primo mese dell’anno.
Si tratta di un processo digitale che gestisce le fatture nel corso dell’intero ciclo di vita che le caratterizza: iniziando dalla generazione, passando per l’emissione e ricezione, giungendo sino alla conservazione dei documenti per circa 10 anni. L’obbligo di fatturazione elettronica è stato esteso, a partire dal 1° Gennaio 2019, non solo alle cessioni di beni e prestazioni di servizi B2B tra operatori IVA, ma anche alle B2C, effettuate verso un consumatore finale. Sono stati fatti molti progetti, giunti ad una conclusione senza interpellare un importante protagonista: il Garante Privacy. Possiamo annunciare che egli ha emanato una serie di provvedimenti, i quali sembrerebbero non condividere il disegno originario del progetto. Scopriamo insieme il suo parere e gli sviluppi della vicenda, fino ad ora!
Che cosa ne pensa il Garante?
Sicuramente dal punto di vista ecologico e della prevenzione dell’evasione fiscale, l’introduzione della fatturazione elettronica è certamente un’ottima mossa. Essa permette infatti di risparmiare notevoli quantità di carta e di controllare tutti, specialmente i furbetti che di tasse non ne vogliono sentire parlare neanche lontanamente. Come tutte le cose ci sono pregi e difetti: il nuovo obbligo infatti presenta un rischio elevato per i diritti e le libertà degli interessati, comportando un “trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito”.
Con questa premessa abbiamo scardinato quanto precedentemente annunciato: il dissenso del Garante quando si parla di fatturazione elettronica si riconduce ad una serie di criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali.
Esse sono state rilevate dallo stesso nel provvedimento del 15 Novembre 2018, n. 481: anzitutto viene segnalata la mancata consultazione del Garante nella fase di progettazione della misura, seguita dall’indicazione dell’aspetto principale oggetto di opposizione, dato dalla natura dei dati raccolti e archiviati dall’Agenzia.
Da che cosa deriva questa presa di posizione?
Capire la posizione del Garante è ancora più semplice se si pensa che la fattura vera e propria in formato XML, oltre che contenere dati prettamente fiscali, riporta anche dati di dettaglio, volti ad individuare beni, servizi ceduti, fidelizzazioni, abitudini di consumo, nonché categorie di dati particolari e giudiziari, rilevabili da fatture elettroniche emesse da operatori sanitari o del settore giudiziario. Aggravio ulteriore è la mancata adozione di misure di garanzia da parte dell’Agenzia dell’Entrate, volte ad assicurare il rispetto dei principi di limitazione delle finalità, minimizzazione e riservatezza sanciti dall’articolo 5 del GDPR.
Peraltro, la memorizzazione sul portale dell’Agenzia di tutte le fatture elettroniche in formato XML e con esse di tutti i dati non obbligatori di natura non fiscale, ostacola ulteriormente le prescrizioni del Regolamento europeo 679/2016. L’Autorità Garante ha messo in luce, a novembre 2018, la scarsa sicurezza dei canali di trasmissione utilizzati, motivo per cui occorre pertanto prevedere anche nell’ambito del Sistema d’Interscambio (SDI), l’utilizzo di connessioni sicure, idonee a garantire un livello di sicurezza adeguato al rischio, in conformità a quanto sancito dall’art. 32 del GDPR.
A tali aspetti si è aggiunta la mancata cifratura del file XML della fattura, la mancata indicazione delle finalità di conservazione e di controllo perseguite dall’Agenzia nell’app Fatturae ed infine il ruolo ambiguo assunto dall’Agenzia dell’Entrate in relazione al trattamento dei dati personali nell’erogazione del servizio gratuito di conservazione delle fatture. Sulla base di tali criticità il Garante ha imposto di rivedere il progetto originario, rendendolo conforme a quanto stabilito dal Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
Dopo il NO del Garante sono comparse le soluzioni dell’Agenzia
Con la nota del 17 dicembre 2018 l’Agenzia dell’Entrate è corsa ai ripari, illustrando le iniziative che intende adottare in relazione alle criticità evidenziate dal Garante. Per quanto concerne la sproporzionata memorizzazione di tutti i dati contenuti all’interno del file XML, è stato proposto di memorizzare l’intero file e renderlo disponibile ai fini della consultazione e download solo nel caso in cui l’operatore economico ovvero il consumatore finale abbia espressamente fornito il suo consenso per il servizio di consultazione, disponibile dal 3 maggio 2019. Nella nota in esame l’Agenzia rassicura circa la natura dei dati memorizzati, escludendo i campi relativi alle descrizioni. Riguardo il trattamento dei dati a fini di controllo, si riserva di comunicare all’Autorità le modalità di trattamento di tali dati. La necessità di memorizzarli emerge per evitare eventuali disservizi. Al fine di rendere sicuro il processo di fatturazione l’Agenzia si impegna ad attivare un canale cifrato basato su protocollo SFTP (Secure File Transfer Protocol), un protocollo di rete per i trasferimenti di file, utile a tutti i soggetti che a partire dal 5 giugno 2018 hanno presentato una richiesta di accreditamento allo SDI. Al contrario, in merito alla mancata adozione di misure di protezione crittografica dei file XML delle fatture elettroniche, si afferma che l’applicazione al file XML della fattura di algoritmi di cifratura non risulterebbe compatibile con un modello in cui la fattura deve essere leggibile. Nella medesima nota si sottopongono all’attenzione del Garante alcuni miglioramenti delle applicazioni nell’ambito dei servizi online della fatturazione elettronica, nonché una valutazione d’impatto sulla protezione dei dati trattati. Non si sono fatte attendere risposte da parte dell’Autorità Garante che sul punto ha già sollevato obiezioni nel provvedimento n. 511 del 20 dicembre 2018 e ha fornito suggerimenti all’Agenzia per adempiere correttamente agli obblighi di legge in ambito privacy.
Il confronto tra le due Autorità non sembrerebbe concluso considerata la strada ancora lunga che l’Agenzia dovrà percorrere per essere compliance al GDPR. Entro il 15 Aprile 2019 dovrà essere presentata una nuova valutazione d’impatto relativa al trattamento dei dati relativi al processo di fatturazione elettronica.