Il sistema di fatturazione elettronica
La Legge di Bilancio 2018 ha previsto, dal 1° gennaio 2019, l’estensione dell’obbligo di fatturazione elettronica, già in precedenza applicato nei confronti della Pubblica Amministrazione, alle cessioni di beni e prestazione di servizi effettuate non solo tra due soggetti IVA (operazioni c.d. Business to Business), ma anche verso un consumatore finale (operazioni c.d. Business to Consumer).
Con l’espressione “fatturazione elettronica” si indica quella particolare tipologia di fattura predisposta in formato XML predefinito, trasmessa dall’emittente fattura al ricevente, attraverso il Sistema d’interscambio (SDI), messo a disposizione dal MeF (Ministero dell’Economia e delle Finanze) ai soggetti passivi IVA.
L’SDI, gestito dall’Agenzia delle Entrate, diviene dunque, in quest’ottica, un centro di raccolta e smistamento di tutti i dati personali contenuti all’interno della fattura stessa: è evidente che queste attività possono comportare un forte pregiudizio in materia di privacy, in particolar modo alla luce dell’imminente estensione alle operazioni B2C (e quindi ai dati anche di persone fisiche).
Per facilitare l’assolvimento dell’obbligo di fatturazione elettronica da parte dei contribuenti, l’Agenzia mette a disposizione di questi vari strumenti gratuiti per predisporre il file XML: in particolare, una procedura web “Fatturazione elettronica”, accessibile tramite l’apposito portale dell’Agenzia, un software scaricabile sul pc ed un’applicazione ad hoc denominata “Fatturae”.
Criticità connesse all’incompatibilità del nuovo strumento con la normativa in materia di protezione dei dati personali
In data 15 novembre 2018, il Garante per la protezione dei dati personali è intervenuto sul tema, in applicazione dei poteri ad esso conferiti dal GDPR e dei principi sanciti dal Regolamento Europeo, per avvertire l’Agenzia circa le criticità operative del nuovo strumento. In questo senso, infatti, varie sono le questioni emerse relativamente alla non conformità dello strumento in questione rispetto alle nuove norme italiane ed europee in ambito privacy.
In primis, il Garante ha eccepito la mancata consultazione preventiva dello stesso, che, in un’ottica di privacy by design, avrebbe sicuramente potuto evitare problemi relativi alla tutela della protezione dei dati personali, fin dalla progettazione e dalla realizzazione del nuovo strumento, mediante la previsione di misure adeguate ad assicurare un trattamento corretto e trasparente.
Una prima problematica concreta rilevata dal Garante attiene poi al trattamento, mediante tale strumento, non solo di dati necessari ai fini fiscali, ma anche di informazioni dettagliate che di per sé non sono necessarie per queste finalità. Si tratta, infatti, di informazioni legate ad ogni aspetto della vita quotidiana della popolazione, il cui trattamento non sembra, per il Garante, bilanciato all’obiettivo di interesse pubblico (fiscale) perseguito. Il trattamento generalizzato che ne deriva dovrebbe dunque richiedere l’adozione, da parte dell’Agenzia, di garanzie appropriate a tutela degli interessati, in particolar modo fornendo ad essi tutte le informazioni richieste dal Regolamento Europeo.
Ulteriore criticità deriva dal fatto che l’Agenzia delle Entrate intenderebbe archiviare per finalità di controllo non solo i dati rilevanti ai fini fiscali contenuti nella fattura, ma la fattura nella sua totalità, comprensiva dunque di quei dati personali anche particolari, relativi ad esempio alle abitudini dei consumatori, che comportano un rischio notevole soprattutto con riferimento alle operazioni B2C. Anche perché tali fatture, una volta archiviate, vengono messe a disposizione di tutti i consumatori sul portale dell’Agenzia, con ulteriori ed evidenti rischi per i privati cittadini, determinato da un trattamento massivo di dati facilmente accessibili tramite il web.
Il Garante sollecita quindi l’adozione di specifiche garanzie al fine di rispettare i principi di limitazione della finalità, minimizzazione e riservatezza dei dati personali.
Altro tema sul quale è necessario porre attenzione è quello relativo all’articolato sistema di deleghe che si realizza con il sistema di fatturazione elettronica. Infatti, non risulta chiaro il ruolo degli intermediari e degli altri soggetti delegati rispetto al trattamento di dati personali contenuti nelle fatture elettroniche.
In particolare, i c.d. intermediari abilitati, entrando in contatto con un numero elevato di imprese, avranno la possibilità di accentrare enormi quantità di dati personali con un aumento dei rischi, in particolare, per eventuali usi impropri, realizzabili, ad esempio, raffrontando i dati contenuti in migliaia di fatture.
Da ultimo, Il Garante ha evidenziato come i canali di trasmissione dell’SDI, basati sull’utilizzo del protocollo FTP, non possano essere realmente considerati sicuri, come più volte prescritto all’Agenzia. È necessario dunque l’utilizzo di canali che garantiscano un livello di tutela adeguato al rischio.
Peraltro, sempre in ambito sicurezza, un altro problema si è posto in relazione alla mancata cifratura del file XML della fattura elettronica. Ciò in particolare relativamente all’utilizzo della PEC per lo scambio delle fatture e per la possibile memorizzazione dei documenti nei server di posta elettronica.
La situazione ad oggi
Nonostante il Garante, con il succitato intervento, abbia reso edotti delle problematiche esistenti sia l’Agenzia delle Entrate sia il Presidente del Consiglio dei ministri ed il Ministro dell’economia e delle finanze, il Governo non pare intenzionato a posticipare o modificare l’introduzione della fatturazione elettronica.
Da un punto di vista economico, infatti, tale strumento porterà nelle casse dello Stato quasi due miliardi di euro, sebbene l’interesse economico dello Stato si scontri con il probabile pregiudizio per la tutela dei dati personali di milioni di contribuenti, chiaramente evidenziato dal Garante con il parere sopra esaminato.
Stando così le cose, c’è da attendersi un nuovo intervento del Garante volto a sanzionare l’Agenzia delle Entrate, salvo interventi che prevedano almeno piccole modifiche a tutela dei cittadini, rinviando successivamente le modifiche più complesse.
Dott. Alvise Nisato