Fatturazione elettronica: il sistema viola il regolamento privacy

Nell’ambito del nuovo sistema di fatturazione elettronica obbligatorio dal 1° gennaio 2019, così come regolato dall’Agenzia delle Entrate, i trattamenti dei dati contenuti nelle fatture presentano profili di criticità che possono violare la normativa in materia di protezione dei dati. Con il Provvedimento n. 481 del 15 novembre 2018, dunque, il Garante della privacy ha avvertito l’Agenzia delle Entrate di introdurre i necessari adeguamenti al processo di trasmissione, consultazione e conservazione delle fatture elettroniche.

Il Garante per la protezione dei dati personali ha osservato che il nuovo sistema di fatturazione elettronica obbligatorio dal 1° gennaio 2019, così come regolato dall’Agenzia delle Entrate, prevede il trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, che realizza una sproporzionata raccolta di informazioni esposte al rischio di uso improprio da parte di terzi.
Di conseguenza, ha avvertito l’Agenzia delle Entrate di provvedere ad introdurre i necessari cambiamenti al sistema di fatturazione elettronica, affinché i conseguenti trattamenti dei dati risultino conformi alle prescrizioni in materia di protezione dei dati personali prima che gli obblighi di fatturazione elettronica siano pienamente operativi.
Come accennato dal 1° gennaio 2019 scatta l’obbligo di fatturazione elettronica obbligatoria per tutte le cessioni di beni e prestazioni di servizi comunque effettuate tra soggetti residenti o stabiliti in Italia, sia nei rapporti tra due operatori Iva (operazioni Business to Business, cd. “B2B”), sia per le operazioni effettuate verso un consumatore finale (operazioni Business to Consumer, cd. “B2C”), con eccezione degli operatori che rientrano nei cd. “regimi di vantaggio” e “regimi forfetari”, e dei piccoli produttori agricoli già esonerati dall’emissione di fattura.
Ecco una sintesi delle principali criticità del sistema di trattamento dei dati individuati dal Garante della privacy:

OMESSA VALUTAZIONE DI IMPATTO
I provvedimenti attuativi del nuovo sistema di fatturazione elettronica sono stati adottati senza la preventiva consultazione del Garante della privacy, nonostante il nuovo obbligo di fatturazione elettronica determini un trattamento sistematico di dati personali su larga scala, anche di categorie particolari di dati, potenzialmente relativi ad ogni aspetto della vita quotidiana, che presenta un rischio elevato per i diritti e le libertà degli interessati. Per tale rischio è richiesta l’effettuazione di una valutazione di impatto.

ASSENZA DI MISURE DI GARANZIA PER I CONTENUTI DELLE FATTURE
Secondo il processo di fatturazione elettronica, nella fase successiva al recapito delle fatture elettroniche in qualità di “postino”, l’Agenzia delle Entrate archivia la fattura vera e propria in formato XML. Dunque, non solo i dati necessari ad assolvere gli obblighi fiscali, ma anche informazioni di dettaglio riguardanti elementi ulteriori, che consentono di individuare i beni e i servizi ceduti, con la descrizione delle prestazioni, i rapporti fra cedente e cessionario e altri soggetti, riferiti anche a sconti applicati, fidelizzazioni, abitudini di consumo, oltre a dati obbligatori imposti da specifiche normative di settore, con particolare riguardo ai trasporti, alle forniture di servizi energetici o di telecomunicazioni (tipologie dei consumi, fatturazione dettagliata, regolarità dei pagamenti, appartenenza a particolari categorie di utenti), ovvero categorie di dati particolari e giudiziari, rilevabili da fatture elettroniche emesse da operatori attivi nel settore sanitario o giudiziario. A fronte della presenza di informazioni non rilevanti ai fini fiscali, è necessario individuare specifiche misure di garanzia volte ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza.

CONSULTAZIONE DELLE FATTURE B2C
Nelle operazioni B2C, vale a dire nei confronti dei consumatori, la scelta di rendere disponibili tutte le fatture elettroniche in formato XML sul portale dell’Agenzia, anche in assenza di una puntuale richiesta degli stessi, nonostante il diritto di ottenerne una copia, digitale o analogica, direttamente dall’operatore, comporta un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web. Tale impostazione predefinita determina un’imprescindibile trattamento, da parte dell’Agenzia delle entrate, di dati non obbligatori a fini fiscali relativi alla totalità dei cittadini, compresi coloro che, non rinunciando a ricevere la fattura direttamente dal fornitore, non intenderanno avvalersi del servizio messo a disposizione sul portale dell’Agenzia.

INTERMEDIARI DELEGATI ALLA GESTIONE DELLA FATTURAZIONE
Con riferimento agli intermediari delegabili per la trasmissione, la ricezione e la conservazione delle fatture, considerato che alcuni di essi operano anche nei confronti di una moltitudine di imprese, si realizza un accentramento di enormi masse di dati personali con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.

SISTEMI DI TRASMISSIONE E RECAPITO DELLE FATTURE ELETTRONICHE
Il Garante della privacy ha riscontrato criticità legate alla mancata cifratura della fattura elettronica, per quanto riguarda i profili di sicurezza in relazione alle modalità di trasmissione delle fatture elettroniche tramite lo SDI e gli altri servizi offerti dall’Agenzia delle Entrate (come la conservazione dei dati), ovvero per l’utilizzo della PEC per lo scambio delle fatture, in considerazione della possibile memorizzazione dei documenti sui server di posta elettronica.