Modalità di trattamento dati personali effettuati nell'ambito della fattrazione elettronica alla luce del provvedimento del Garante n. 511/2018
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
A seguito delle gravi criticità, rilevate dal Garante, in ordine alle modalità con cui l’Agenzia delle entrate ha deciso di dare esecuzione al nuovo obbligo generalizzato di fatturazione elettronica, su richiesta di quest'ultima è stato costituito un tavolo di lavoro tecnico per esaminare congiuntamente le criticità rilevate dal Garante, nell’ambito del quale, per gli aspetti di competenza, sono stati coinvolti anche il Mef, l’AgID, il Consiglio nazionale dei dottori commercialisti e degli esperti contabili, il Consiglio nazionale dell’ordine dei consulenti del lavoro e l’associazione dei produttori di software gestionale e fiscale (AssoSoftware).
All’esito di tale tavolo di lavoro, con un articolato provvedimento, il Garante − preso atto delle modifiche apportate all’impianto normativo originario della fatturazione elettronica e delle ulteriori rassicurazioni fornite dall’Agenzia delle entrate − ha individuato i presupposti e le condizioni perché la stessa Agenzia potesse avviare dal 1° gennaio 2019 i trattamenti di dati connessi al nuovo obbligo (provv. 20 dicembre 2018, n. 511, doc. web n. 9069072).
In tale provvedimento, di seguito sintetizzato, il Garante ha esaminato i trattamenti a rischio elevato effettuati nell’ambito della fatturazione elettronica, anche ai sensi dell’art. 36, par. 5, del RGPD e dell’art. 2-quinquesdecies del Codice, e si è espresso sulle modifiche apportate dall’Agenzia ai relativi provvedimenti attuativi. In primo luogo, è stato reputato sproporzionato, rispetto alle finalità perseguite, l’impianto originario della fatturazione elettronica prefigurato dell’Agenzia, che aveva ritenuto di procedere alla memorizzazione integrale – in formato xml – di tutte le fatture, emesse e ricevute, comprensive dei relativi allegati, contenenti anche dati personali ulteriori rispetto a quelli obbligatori a fini fiscali; ciò avuto riguardo anche ai rischi elevati per i diritti e le libertà degli interessati che un simile trattamento inevitabilmente determina. La sproporzione è stata eccepita dal Garante non solo per i dati non rilevanti a fini fiscali, riportati dagli operatori economici nelle fatture e negli allegati, ma anche per le informazioni obbligatorie ai sensi dell’art. 21, d.P.R. 29 settembre 1973, n. 600, quali quelle relative alla descrizione del bene o del servizio oggetto di fatturazione (natura, qualità e quantità del bene ceduto o del servizio reso). Particolari criticità presenta poi il trattamento delle fatture emesse da operatori attivi in ambito sanitario e dagli avvocati, che riportano, nella descrizione, informazioni specifiche sulle prestazioni eseguite riferibili anche a patologie o a puntuali vicende giudiziarie, con il trattamento di particolari categorie di dati e di dati relativi a condanne penali e reati (artt. 9 e 10 del RGPD).
Al fine di conformare il trattamento al RGPD, nel tavolo di lavoro si è reso necessario anzitutto individuare puntualmente le finalità perseguite dall’Agenzia nell’esecuzione dei compiti di interesse pubblico affidatile dal legislatore, individuando, per ciascuna, i correttivi necessari.
a) Recapito delle fatture attraverso lo Sdi a operatori economici e consumatori. L’integrale memorizzazione del file xml e dei relativi allegati risulta indubbiamente necessaria al fine di recapitare la fattura elettronica attraverso il Sistema d’interscambio (Sdi) mediante il canale (cd. indirizzo telematico) prescelto dai contribuenti. Il Garante ha tuttavia rilevato che tale trattamento deve avvenire nel più rigoroso rispetto dei principi di minimizzazione, integrità e riservatezza, con l’adozione di adeguate misure tecniche e organizzative a cura di tutti i soggetti coinvolti nella filiera della fatturazione elettronica (operatori economici, intermediari, altri soggetti delegati e Agenzia delle entrate).
b) Servizio di consultazione delle fatture per gli operatori economici e i consumatori. L’Autorità ha ritenuto tale trattamento proporzionato e conforme al RGPD solo se espressamente richiesto ed effettuato in nome e per conto degli operatori economici. La finalità perseguita attraverso una generalizzata messa a disposizione di tutti i contribuenti di tale servizio, anche in assenza di una loro specifica richiesta, non può giustificare, infatti, per impostazione predefinita, una complessiva e integrale archiviazione da parte dell’Agenzia delle entrate di miliardi di fatture; soprattutto considerato che i consumatori hanno sempre il diritto di ottenere sempre una copia della fattura, digitale o analogica, direttamente dall’operatore valida a fini fiscali. Il servizio di consultazione deve pertanto essere messo a disposizione dall’Agenzia agli operatori economici in base di uno specifico accordo che, nell’ambito delle proprie scelte organizzative, volessero avvalersi a tal fine dell’Agenzia delle entrate, ai sensi dell’art. 28 del RGPD, in qualità di responsabile del trattamento dei dati personali relativi a terzi contenuti nelle fatture. Analogamente, anche i consumatori che volessero utilizzare tale servizio dovrebbero stipulare un apposito accordo, base giuridica per il trattamento da parte dell’Agenzia ai sensi dell’art. 6, par. 1, lett. b), del RGPD. In assenza dell’adesione ai predetti servizi, l’Agenzia memorizzerà il file xml della fattura nei soli casi residuali in cui la messa a disposizione della fattura nell’area riservata del portale dell’Agenzia sia una delle modalità previste per la consegna della stessa al destinatario, ovvero quando, per cause tecniche, il recapito non fosse possibile. L’Autorità ha ingiunto, in ogni caso, all’Agenzia di trasmettere, appena predisposti, i modelli di accordi di adesione al servizio di consultazione e download delle fatture, al fine di verificarne la conformità al RGPD.
c) Controlli fiscali automatizzati e puntuali. Nell’ottica della protezione dei dati personali, le attività di controllo fiscale effettuate dall’Agenzia possono essere ricondotte a due tipologie: la prima basata su trattamenti automatizzati (ad es., quelli volti a rilevare le incongruenze tra i dati dichiarati e quelli a disposizione dell’Agenzia nonché quelli relativi all’analisi del rischio evasione) e l’altra, più analitica, fondata sull’esame puntuale della posizione fiscale del contribuente e della documentazione fiscale nell’ambito di accertamenti fiscali e verifiche, anche da parte della Guardia di finanza. I controlli automatizzati richiedono, per loro natura, la memorizzazione e l’elaborazione massiva dei dati estratti dalle fatture (cd. dati fattura), utilizzati anche per finalità di assistenza, controllo finalizzato all’erogazione dei rimborsi Iva e predisposizione della dichiarazione dei redditi e dell’Iva, e messi anche a disposizione del contribuente sul portale dell’Agenzia per rilevare le incongruenze con i versamenti Iva. In ossequio al principio di minimizzazione, il Garante ha ritenuto sproporzionato far ricadere, tra i dati utilizzabili per i controlli automatizzati, il campo della fattura contenente la descrizione dell’operazione che, oltre a contenere dati di dettaglio sopra esemplificati, relativi alla natura, qualità e quantità dei beni e dei servizi fatturati, e presentare quindi rischi elevati per gli interessati, non si presta ad elaborazioni massive, poiché richiede un esame puntuale, caso per caso, del contenuto. L’Agenzia ha quindi proposto al Garante, di non memorizzare i dati contenuti nei campi relativi alle “descrizioni” (compresi quelli attinenti ai codici “parlanti”), contenenti dati personali di dettaglio e più delicati. Una volta consegnata la fattura, devono essere, pertanto, memorizzati unicamente i dati fattura necessari ai controlli automatizzati e quelli necessari a garantire il processo di fatturazione (compreso il codice hash del file xml, codice alfanumerico necessario a verificarne l’autenticità e l’integrità del documento esibito in sede di controllo), mentre i dati “non fiscali”, unitamente al dato fiscale relativo alla descrizione dell’operazione, saranno cancellati. Al riguardo, tuttavia, il Garante ha invitato l’Agenzia a rivalutare anche la memorizzazione di alcuni campi relativi ai “dati trasporto” che deve risultare adeguata, pertinente e limitata rispetto alla finalità per le quali tali dati devono essere trattati. Più in generale, con riferimento ai trattamenti automatizzati a fini di controllo, il Garante ha ricordato all’Agenzia che, oltre agli specifici obblighi di trasparenza del trattamento nei confronti degli interessati, il nuovo quadro giuridico prevede precise garanzie e adempimenti in relazione ai trattamenti automatizzati di dati personali che presentano rischi elevati per i diritti e le libertà degli interessati di cui occorre tenere conto. L’archiviazione generalizzata delle fatture è risultata sproporzionata anche per l’esecuzione dei controlli puntuali, risultati molto limitati rispetto alla generale platea di contribuenti alla luce dei dati quantitativi di accertamenti fiscali e verifiche effettuati negli anni passati forniti dall’Agenzia. L’introduzione della fattura elettronica potrà invece agevolare i controlli a distanza, con nuove modalità di acquisizione delle fatture da parte dell’Agenzia, anche in relazione alle fatture per le quali il contribuente ha aderito al servizio di consultazione e download delle fatture.
d) Servizio di conservazione delle fatture. L’Agenzia ha perfezionato nell’ambito del tavolo di lavoro l’accordo in base al quale, a richiesta, mette a disposizione dei contribuenti, in qualità di responsabile del trattamento dei dati, tramite Sogei s.p.a., un servizio di conservazione delle fatture. Il Garante ha convenuto che, per realizzare il nuovo impianto della fatturazione elettronica conforme al RGPD, l’Agenzia necessiti, di un periodo transitorio, che decorre dal 1° gennaio 2019 fino al 2 luglio 2019, per realizzare l’acquisizione dei dati fattura e il servizio di consultazione, in cui il trattamento sarà limitato alla sola memorizzazione dei dati fattura per la consultazione e download dei file xml, evitando qualunque altro utilizzo.
Fonte: Autorità Garante - Relazione 2018