Si addensano nubi minacciose all’orizzonte della fattura elettronica. Questa volta a scendere in campo, non è l’associazione di categoria di turno ma il Garante della privacy.
E lo fa con un provvedimento (il primo emanato da quando il GDPR è entrato in vigore), indirizzato all’Agenzia delle entrate, ma rivolto anche agli intermediari, che rappresenta un serio e difficile ostacolo per arrivare, in piena regola, al debutto della fattura elettronica il 1° gennaio 2019.
Si sa che il tema della privacy è molto delicato e particolarmente attenzionato a livello europeo, ma che esso facesse un così dirompente ingresso sul palcoscenico della fattura elettronica in pochi erano ad aspettarselo.
Nel provvedimento, datato 15 novembre 2016, cui ha fatto seguito un comunicato del giorno dopo, si evidenzia, sostanzialmente, che la fatturazione elettronica, così come concepita dall’Agenzia delle entrate, va cambiata in quanto i trattamenti di dati previsti dal 1° gennaio 2019 possono violare la normativa sulla protezione dei dati.
In particolare, appare sproporzionata la raccolta di informazioni e sono molto elevati i rischi che tali informazioni possano essere usati impropriamente da terzi.
Pertanto, viene chiesto all’Agenzia di far sapere con urgenza come intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica.
Cerchiamo di capirne di più analizzando i rilievi del Garante e provando a immaginare quali saranno le conseguenze di tutto ciò.
Fattura elettronica e GDPR: aspetti critici
Il Garante, nel proprio provvedimento, parte da un dato di fatto: il processo di fatturazione elettronica comporta “un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione , sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito”.
Tradotto, vuol dire che, con le fatture, vengono veicolate una serie di informazioni che esulano dal campo fiscale e che, in alcuni casi, possono interessare dati sensibili dei soggetti.
Si pensi, ad esempio, ad una fattura di un medico che contiene, nella descrizione della prestazione, un riferimento ad un aspetto sanitario del cliente.
O, ancora, una fattura per la fornitura di energia elettrica che riporta l’avvertenza che i pagamenti precedenti non sono regolari.
Per non parlare delle fatture emesse dai professionisti che operano in ambito giudiziario (CTU, periti ed esperti dei Tribunali).
Gli esempi possono essere innumerevoli, come innumerevoli sono i dati che l’Agenzia delle entrate verrebbe a conoscere con le fatture elettroniche.
A fronte di tutto ciò, il Garante rileva che l’Agenzia delle entrate, nei provvedimenti sin qui emanati, non ha nessuna specifica misura di garanzia volta ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza.
In definitiva, per il Garante l’aver previsto, nell’ambito del processo di fatturazione elettronica, un trattamento obbligatorio, generalizzato e di dettaglio di dati personali, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi ad ogni aspetto della vita quotidiana della totalità della popolazione, non appare proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito (il riferimento, in particolare è all’artt. 6, par. 3, lett. b), e 9, par. 2, lett. g), del Regolamento n. 2016/679).
E continua affermando che “il trattamento generalizzato di dati personali effettuato nell’ambito della fatturazione elettronica richiede, inoltre, l’adozione -da parte dell’Agenzia delle entrate, ma anche degli operatori economici- di misure appropriate al fine di fornire agli interessati tutte le informazioni di cui agli artt. 13 e 14 del Regolamento. Ciò, soprattutto per quanto riguarda l’eventuale inserimento nelle fatture, e nei relativi allegati, di informazioni di dettaglio non rilevanti a fini fiscali, che dovrà comunque avvenire nel più rigoroso rispetto del principio di minimizzazione dei dati personali”.
Altri aspetti critici
Ma le critiche mosse dal Garante non si limitano a quanto detto sin qui.
Ci sono ulteriori problemi in merito:
– alla messa a disposizione delle fatture nel portale Fatture e corrispettivi;
– al ruolo degli intermediari;
– ai software e servizi messi a disposizione dall’Agenzia delle entrate.
Sul primo aspetto, si segnala che la scelta di rendere disponibili ai consumatori tutte le fatture elettroniche in formato XML sul portale dell’Agenzia, anche in assenza di una puntuale richiesta degli stessi, nonostante il diritto di ottenerne una copia, digitale o analogica, direttamente dall’operatore, non fa altro che incrementare i rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web.
Per quanto riguarda gli intermediari, la questione è ancor più delicata.
Per costoro dovrebbero essere individuate misure tecniche e organizzative adeguate ad assicurare il rispetto della normativa in materia di protezione dei dati personali in tutta la filiera del trattamento dei dati personali effettuato a fini di fatturazione elettronica.
Ciò rischia di tradursi in ulteriori oneri a carico degli intermediari considerato anche che, allo stato attuale leggendo quanto è riportato nel provvedimento del 5 novembre sulla gestione delle deleghe, non è chiaro il ruolo assunto da parte di questi rispetto al trattamento di dati personali, anche di dettaglio, contenuti nelle fatture elettroniche emesse e ricevute.
E che dire dei soggetti che operano nei confronti di una grande moltitudine di operatori economici?
Costoro acquisiranno una mole enorme di informazioni, anche appartenenti a categorie particolari di dati personali, e quindi potranno disporre di enormi banche dati che si potrebbero prestare ad elevati i rischi di ulteriori utilizzi impropri, non solo con riferimento a trattamenti illeciti, ma anche alla proliferazione di possibili collegamenti e raffronti tra fatture di migliaia di operatori economici, in violazione dei principi applicabili al trattamento dei dati personali.
Infine, ma non meno importante, è la critica mossa alla struttura tecnica e software messa in piedi dall’Agenzia delle entrate.
In particolare, si evidenzia che:
– l’utilizzo del protocollo FTP non è da considerare un canale sicuro;
– l’app Fatturae consente il salvataggio di alcuni dati, non meglio specificati, in ambiente cloud, ma nell’informativa non sono chiare le finalità di conservazione e di controllo perseguite dall’Agenzia con i dati raccolti attraverso tale applicazione;
– l’accordo sulla conservazione non è in linea con il GDPR specie laddove si afferma che l’Agenzia non può essere ritenuta responsabile nei confronti del contribuente né nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione.
Le conseguenze della presa di posizione del Garante
Da queste poche righe è evidente che il provvedimento del Garante, a poche settimane dal debutto ufficiale della norma, potrebbe avere effetti dirompenti e difficilmente pronosticabili.
Ci sarà una correzione in corsa delle procedure informatiche e non solo da qui a fine anno?
E se si, a che prezzo, in termini di ulteriori adempimenti (e quindi, complicazioni), per i contribuenti e i loro intermediari?
Oppure ciò determinerà uno slittamento, se non un (temporaneo) accantonamento dell’intera operazione?
Domande a cui è difficile dare, a caldo, una risposta.
Un dato, comunque, appare certo: ora spetterà all’Agenzia delle entrate rispondere ai rilievi e cercare di porre in essere tutte le misure atte a garantire il rispetto delle norme sulla privacy.
Certo il tempo a disposizione è strettissimo e ciò fa sorgere spontaneo un ultimo e ben più pesante dubbio: riuscirà la fattura elettronica a stappare la bottiglia di spumante la mezzanotte di capodanno 2018?