Criticità nelle modalità con le quali l’Agenzia delle entrate ha deciso di dare esecuzione al nuovo obbligo generalizzato di fatturazione elettronica
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
Entrando nel merito del nuovo sistema di fatturazione elettronica il Garante ha rilevato una serie di criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali.
In primo luogo, l’Agenzia, dopo aver recapitato le fatture in qualità di “postino” attraverso il sistema di interscambio (Sdi) tra gli operatori economici e i contribuenti (2,1 miliardi di fatture nel 2017), intende archiviare e utilizzare i dati anche a fini di controllo. Tuttavia non sarebbero stati archiviati solo i dati obbligatori a fini fiscali, ma la fattura vera e propria, che contiene di per sé informazioni di dettaglio ulteriori sui beni e servizi acquistati, quali le abitudini e le tipologie di consumo, legate alla fornitura di servizi energetici e di telecomunicazioni (es. regolarità nei pagamenti, appartenenza a particolari categorie di utenti), o addirittura la descrizione delle prestazioni sanitarie o legali. Occorre poi considerare al riguardo che anche le fatture emesse nei confronti di una persona giuridica possono contenere dati riferiti a persone fisiche, come in caso di utenze telefoniche, biglietti ferroviari o aerei, pedaggi autostradali, pernottamenti.
Ulteriori criticità derivano dalla scelta dell’Agenzia delle entrate di mettere a disposizione sul proprio portale, senza una richiesta dei consumatori, in manifesto contrasto con il principio di privacy by default, oltreché di minimizzazione e di privacy by design, tutte le fatture in formato digitale, anche per chi preferirà comunque continuare a ricevere solo la fattura cartacea o digitale direttamente dal fornitore, come garantito dal legislatore, con un ingiustificato incremento dei rischi insiti in un trattamento massivo di dati accessibili tramite un applicativo web.
Il Garante ha, pertanto, rilevato, che il nuovo obbligo di fatturazione elettronica presenta un rischio elevato per i diritti e le libertà degli interessati, poiché comporta un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico perseguito, pur legittimo, poiché tutte le fatture emesse contengono anche dati ulteriori rispetto a quelli obbligatori a fini fiscali.
Non è inoltre risultato chiaro il ruolo assunto dagli intermediari delegabili dal contribuente per la trasmissione, la ricezione e la conservazione delle fatture, alcuni dei quali operano anche nei confronti di una moltitudine di imprese, accentrando enormi masse di dati personali che non si riscontrano nella normale gestione delle attività economiche in cui, di regola, non vengono messe a disposizione di terzi informazioni sui beni e servizi ceduti, sulla clientela e sulle relative abitudini di consumo, con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.
Sono state rilevate ulteriori criticità che possono verosimilmente violare il RGPD in relazione ai profili di sicurezza, di correttezza e trasparenza del trattamento. In particolare, per quanto riguarda i canali di trasmissione e recapito delle fatture elettroniche, è stato ancora previsto l’uso il protocollo FTP, che non può essere considerato un canale sicuro ai sensi dell’art. 32 del RGPD. Un’ulteriore criticità deriva dalla mancata cifratura del file xml della fattura elettronica. Ciò considerando, in particolare, il previsto utilizzo della Pec per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di gestione della posta elettronica, che espone gli interessati a maggiori rischi di accesso non autorizzato ai dati personali (utilizzo non esclusivo della Pec in ambito aziendale, furto di credenziali e attacchi informatici ai server). Non sarebbero state inoltre correttamente rappresentate agli utenti nell’informativa le ulteriori finalità di conservazione e di controllo perseguite dall’Agenzia con i dati raccolti attraverso tale applicazione. Per quanto riguarda, invece, il servizio gratuito di conservazione delle fatture offerto dall’Agenzia, non è stato ben chiarito il ruolo assunto in relazione al trattamento dei dati personali e alle conseguenti responsabilità.
Fonte: Autorità Garante - Relazione 2018