Il Garante è stato chiamato nuovamente ad esprimersi sulla questione della fatturazione elettronica in relazione all’attuazione dell’art. 14, d.l. 26 ottobre 2019, n. 124, convertito dalla legge 19 dicembre 2019, n. 157, che introduce la memorizzazione dei file XML delle fatture.

Rilievi critici erano stati espressi dal Presidente dell’Autorità con la memoria inviata alla Commissione VI Finanze della Camera dei deputati in relazione al disegno di legge di conversione C. 2220 del 5 novembre 2019 (doc. web n. 9178137), in linea con quanto già rilevato dall’Autorità nei provvedimenti del 15 novembre 2018, n. 481 (doc. web n. 9059949) e del 20 dicembre 2018, n. 511 (doc. web n. 9069072), nei quali si era ritenuta sproporzionata la memorizzazione di dati non fiscalmente rilevanti e inerenti alla descrizione delle prestazioni fornite.

In particolare, l’Agenzia ha trasmesso all’Autorità un nuovo schema di provvedimento del Direttore volto ad attuare il predetto articolo, disciplinando la memorizzazione e l’utilizzo dei file XML delle fatture elettroniche e prevedendo, rispetto al quadro vigente individuato sulla base del menzionato provvedimento del 20 di-cembre 2018, la memorizzazione dei cd. dati fattura integrati con le informazioni relative a natura, qualità e quantità dei beni e dei servizi oggetto dell’operazione (ovvero la descrizione dell’oggetto della fattura), nonché la memorizzazione integrale dei file XML delle fatture, utilizzabili da parte del personale centrale e delle strutture territoriali dell’Agenzia delle entrate specificatamente autorizzato nell’ambito di al-cune attività istruttorie. È stata prevista, inoltre, la stipula di una convenzione con la Guardia di finanza per la messa a disposizione dei file delle fatture elettroniche e dei dati fattura integrati per le attività di polizia economica e finanziaria ai sensi dell’art. 1, comma 5-bis, d.lgs. n. 127/2015.

Nel parere, il Garante ha osservato che l’Agenzia, nel dare attuazione alla disposizione, ha previsto la memorizzazione e l’utilizzo dei file delle fatture elettroniche che contengono i dati inerenti alla natura, qualità e quantità dei beni e servizi oggetto dell’operazione economica, estendendo così tanto l’oggetto della memorizzazione, quanto l’ambito di utilizzazione dei dati presenti nella fattura elettronica. Ciò senza nemmeno escludere alcune tipologie di dati, quali quelli non rilevanti a fini fiscali o relativi alla descrizione delle prestazioni fornite, suscettibili di comprendere anche dati appartenenti a categorie particolari o l’eventuale sottoposizione dell’interessato a procedimenti penali − si pensi alle fatture relative a prestazioni in ambito forense (cfr. artt. 9 e 10 del RGPD) −, né i codici fiscali dei consumatori (quantomeno per fatture relative a spese non detraibili).

Il Garante ha rilevato che la previsione della memorizzazione e dell’utilizzazione, senza distinzione alcuna, dell’insieme dei dati personali contenuti nei file delle fatture elettroniche, anche laddove si assicurino elevati livelli di sicurezza e accessi selettivi, risulta sproporzionata in uno stato democratico, per quantità e qualità delle informazioni oggetto di trattamento, rispetto al perseguimento del legittimo obiet-ivo di interesse pubblico di contrasto all’evasione fiscale; ciò pur tenendo conto che, allo stato, le spese sanitarie trasmesse attraverso il Sistema TS sono escluse da tale previsione. L’Autorità aveva già invitato il legislatore a selezionare opportunamente le tipologie di informazioni trattate, che dovevano essere oggetto di specifica valutazione rispetto alle esigenze in concreto perseguite, al fine di non violare il principio di proporzionalità del trattamento dei dati sancito dal RGPD e assurto a parametro di legittimità in materia nella giurisprudenza della CGUE, della CEDU e della Cor-te costituzionale (cfr. sentenza n. 20/2019).

Nel parere, pertanto, il Garante ha ritenuto che lo schema di provvedimento introducesse un trattamento di dati in violazione degli artt. 5, par. 1, lett. a), 6, par. 3, 9, 10, 24 e 25 del RGPD, riguardante, peraltro senza distinzione alcuna tra tipologie di informazioni o categorie di interessati e dati personali di dettaglio, anche dati ulteriori rispetto a quelli necessari a fini fiscali, relativi alla totalità della popolazione, non proporzionato all’obiettivo di interesse pubblico (pur legittimo) perseguito, e senza che venissero individuate, in ossequio ai principi di privacy by design e by default, adeguate misure di garanzia per assicurare la protezione dei dati, anche in relazione a quelli di cui agli artt. 9 e 10 del RGPD (provv. 9 luglio 2020, n. 133, doc. web n. 9434785).

Con un successivo provvedimento, l’Autorità ha quindi preso atto della volontà dell’Agenzia di trasmettere una nuova bozza del provvedimento attuativo dell’art. 14, d.l. n. 124/2019, sostitutiva del precedente, e della conseguente esigenza di pro-rogare al 1° marzo 2021 il termine per l’adesione al servizio di consultazione dei file XML delle fatture elettroniche allo stato memorizzate e, correlativamente, per l’eventuale cancellazione dei file XML in caso di mancata adesione da parte degli operatori economici e dei consumatori (provv. 7 agosto 2020, n. 151, doc. web n. 9451049).

Fonte : Relazione GPDP 2020

http://file:///Users/segreteria/Downloads/Relazione%20annuale%202020-1.pdf