Il Garante per la protezione di dati personali, con il provvedimento n. 481 del 15 novembre 2018, si è pronunciato in merito al fatto che, dal 1° gennaio 2019, la fatturazione elettronica sarà obbligatoria per tutte le cessioni di beni e prestazioni di servizi effettuate tra soggetti residenti o stabiliti in Italia (art. 1, comma 916, della legge di bilancio 2018).Da tale normativa restano esclusi gli operatori che rientrano nei c.d. regimi di vantaggio e regimi forfettari, per i quali è facoltativo, nonché dei piccoli produttori agricoli già esonerati dall’emissione di fattura.
Infatti, con la legge di bilancio 2018 l’obbligo di fatturazione elettronica, già applicato nei confronti della pubblica amministrazione, è stato esteso alle cessioni di beni e prestazioni di servizi effettuate tra due operatori Iva (operazioni Business to Business, c.d. B2B), ma anche a quelle effettuate verso un consumatore finale (operazioni Business to Consumer, c.d. B2C).
La fattura elettronica è una fattura predisposta in un formato XML predefinito, trasmesso dall’emittente al ricevente attraverso il Sistema d’interscambio (SDI), messo a disposizione dal Ministero dell’economia e delle finanze e gestito dall’Agenzia delle Entrate, anche per l’acquisizione dei dati fiscalmente rilevanti, (art. 1 del d.lgs. 127 del 2015). La fattura si considera non emessa, in caso di utilizzo di formati e modalità di trasmissione diverse da quelle sopra esposte, con le relative conseguenze sanzionatorie.
Ebbene, con il provvedimento n. 481/2018, il Garante ha ritenuto che l’estensione dell’obbligo di fatturazione elettronica anche alle operazioni B2C, presenti rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali. L’Autorità ha ritenuto che la disciplina della fatturazione elettronica, così come delineata a cura dell’Agenzia delle Entrate, sia prevalentemente concentrata sugli aspetti legati alla trasmissione dei dati attraverso lo SDI, prevedendo un trattamento di dati personali, anche ulteriori rispetto a quelli necessari ai fini fiscali, relativi alla totalità della popolazione.
Il Garante ha chiesto all’Agenzia di modificare i provvedimenti elaborati, facendo presente che, i trattamenti di dati personali effettuati nell’operazione della fatturazione elettronica, possano violare le disposizioni sulla privacy. L’autorità Garante ha ingiunto all’Ente di voler conoscere le iniziative assunte per rendere conformi i predetti trattamenti alle disposizioni a tutela della privacy; inoltre, ha trasmesso copia del proprio provvedimento n. 4811/2018 al Presidente del Consiglio dei ministri e al Ministro dell’economia e delle finanze per le valutazioni di competenza.
Il Garante ha evidenziato che il Direttore dell’Agenzia delle Entrate ha elaborato il provvedimento n. 89757 del 30 aprile 2018 senza consultare l’Autorità, dettando le regole per predisporre, trasmettere, ricevere e conservare le fatture elettroniche e che, con il provvedimento n. 291241 del 5 novembre 2018 ha, altresì, disciplinato le modalità di conferimento e revoca delle deleghe per l’utilizzo dei servizi di fatturazione elettronica. Si configura la violazione del previgente art. 154, comma 4, del Codice, in quanto era necessario consultare tempestivamente l’Autorità, la quale avrebbe potuto contribuire ad avviare il nuovo progetto con modalità e garanzie rispettose della protezione dei dati personali fin dalla progettazione.
In merito alla mancata tutela dei dati personali, il Garante ha ritenuto che l’Agenzia, dopo aver recapitato le fatture in qualità di “postino”, non archivi solo i dati necessari ad assolvere gli obblighi fiscali, ma la fattura vera e propria in formato XML, oltre agli allegati, raccogliendo anche informazioni non necessarie a fini fiscali.
Infatti, le fatture contengono dati dettagliati volti ad individuare i beni e i servizi ceduti, con la descrizione delle prestazioni, i rapporti fra cedente e cessionario e altri soggetti basti pensare alle categorie di consumatori i cui dati particolari e giudiziari sono rilevabili da fatture elettroniche emesse da operatori attivi nel settore sanitario o giudiziario. Tuttavia, l’Agenzia non ha individuato al riguardo nessuna specifica misura di garanzia volta ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza!
Un’altra criticità è data dal fatto che i dati personali sono accessibili tramite un applicativo web, incrementando rischi per i diritti e le libertà di tutti i privati cittadini. Infatti, saranno rese disponibili ai consumatori tutte le fatture elettroniche in formato XML sul portale dell’Agenzia, anche in assenza di una puntuale richiesta degli stessi, nonostante il diritto di ottenerne una copia, digitale o analogica, direttamente dall’operatore.
Poco chiaro è anche il ruolo assunto dagli intermediari e dagli altri soggetti operanti nell’ambito della fatturazione elettronica. Non risulta specificato, nei citati provvedimenti, il ruolo svolto da parte degli intermediari e degli altri soggetti delegati rispetto al trattamento di dati personali, senza considerare il fatto che la possibilità di accedere a simili banche dati può aumentare i rischi di utilizzi impropri.
Inoltre, con riferimento alla sicurezza dei canali di trasmissione delle fatture elettroniche, si evidenzia che nel provvedimento n. 89757 dell’Agenzia, sembrerebbe attualmente previsto l’utilizzo del protocollo FTP, che non è considerabile un canale sicuro.
Il Garante ha eccepito la poca sicurezza della mobile app FATTURAe, messa a disposizione dall’Agenzia, la quale consente agli operatori economici di attivare il salvataggio di alcuni dati in ambiente cloud . Infatti, nell’informativa, non sarebbero correttamente rappresentate agli utenti le ulteriori finalità di conservazione e di controllo perseguite dall’Agenzia con i dati raccolti attraverso tale applicazione, in violazione dell’art. 13 del Regolamento.
-Infine, il Garante rileva che l’Agenzia offre si il servizio gratuito di conservazione delle fatture, senza tener conto che, il testo di tale accordo di servizio per la conservazione delle fatture elettroniche prevede che “l’Agenzia non potrà essere ritenuta responsabile nei confronti del contribuente né nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione”!.
Alla luce di queste criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali, si attende il riscontro dell’Agenzia, del Presidente del Consiglio dei ministri e al Ministro dell’economia e delle finanze per le valutazioni di competenza.
Avv. Crisenza Salvia
Avv. Crisenza Salvia, classe 1981, lavora a Treviso. Nel suo percorso di studi giuridici ed economici, si è appassionata alle tematiche sociopolitiche della economista Saskia Sassen, sulla quale ha conseguito un master. Unisce l’amore e l’entusiasmo per la scrittura e la volontà di svolgere un attività di divulgazione di informazione giuridica e non solo. “ Imparare significa non sentirsi mai arrivati, vuol dire che ogni obiettivo raggiunto è un nuovo punto di partenza, mai di arrivo.” (ct. Isac Randazzo)
