La nuova norma, sull’obbligo di fatturazione elettronica tra privati, doveva essere operativa a partire dal 1 gennaio 2019, ma evidentemente il suo contenuto è destinato a cambiare. Il Garante privacy ha rilevato diverse incongruenze rispetto al GDPR e di conseguenza potenziali rischi e danni per tutti gli interessati coinvolti da questo specifico trattamento.
Il responso del Garante Privacy
“I trattamenti di dati previsti dal 1 gennaio 2019 possono violare la normativa sulla protezione dei dati, a causa della sproporzionata raccolta di informazioni e dei rischi di usi impropri da parte di terzi”. Sono perentori i termini con cui il Garante per la protezione dei dati personali si è espresso qualche settimana fa, intervenendo, in virtù del nuovo potere correttivo attribuitogli dal GDPR, sull’obbligo di fatturazione elettronica tra privati.
Sollecitato da diverse associazioni di categoria (tra cui l’ANC, Associazione Nazionale Commercialisti) l’autorità di controllo ha invitato l’Agenzia delle Entrate a rivedere il proprio provvedimento e a comunicare gli interventi correttivi che intende intraprendere per adeguare la fatturazione elettronica al quadro normativo europeo.
Al momento, per come è strutturato e articolato, il trattamento di dati personali destinato a scaturire dal nuovo obbligo di fatturazione elettronica rappresenta un rischio concreto ed elevato per i diritti e le libertà dei soggetti interessati. Vediamo perché.
Le criticità della fatturazione elettronica
Uno degli aspetti più problematici del nuovo sistema è senz’altro l’archiviazione. L’Agenzia delle Entrate non è solo chiamata a recapitare le fatture attraverso il sistema di interscambio (SDI) ma anche a conservare i dati ai fini del controllo. Fin qui tutto normale. Il problema è la modalità con cui viene effettuata la conservazione, non comprende solo i dati utili ai fini fiscali ma anche le fatture (in formato XML) nel loro intero contenuto.
Una previsione che si scontra con il GDPR determinando una raccolta di informazioni eccessiva rispetto alle finalità del trattamento, in contrasto con il principio di minimizzazione.
Le fatture, infatti, sono dimora di innumerevoli informazioni (beni e servizi acquistati, come abitudini e tipologie di consumo, appartenenza a determinate categorie di utenti) e in alcuni casi possono anche contenere dati particolari, come ad esempio quella riguardante una prestazione medica o un acquisto di uno specifico medicinale.
Il secondo fattore di rischio riguarda gli intermediari delegabili, quei soggetti giuridici che possono essere incaricati della trasmissione, ricezione e conservazione delle fatture. Questi soggetti non solo accorpano enormi quantità di dati personali, situazione che rappresenta già di per sé una fonte di rischio, ma occupano anche una posizione sensibile che gli permetterebbe un uso improprio degli stessi attraverso raffronti e collegamenti tra migliaia di operatori economici.
La difformità con il GDPR risulta evidente sotto altri aspetti. Parliamo delle modalità di trasmissione attraverso lo SDI, deboli sotto il profilo della sicurezza informatica a causa della mancanza di cifratura. Altra perplessità sull’applicazione per smartphone messa a disposizione dall’AE che consente agli operatori di salvare le fatture sul cloud senza che siano dichiarate nell’informativa le finalità di conservazione.
Infine, molto discutibile la scelta di mettere a disposizione sul sito dell’Agenzia delle Entrate le fatture in formato digitale, comprese quelle dei soggetti che hanno deciso di riceverle direttamente dal proprio fornitore.
Tanti limiti, tante incongruenze, un provvedimento con un basso livello di compliance. In teoria non doveva accadere. Perché?
Difetto di privacy by design e by default
Le criticità evidenziate potevano e dovevano essere evitate. Infatti, come ha stabilito il GDPR introducendo i principi di privacy by design e by default, la protezione dei dati è un’attività che non può essere fatta a posteriori, ma pensata fin dalla progettazione ancora prima di iniziare la raccolta dei dati e tutelando ciascun trattamento con le misure tecniche e organizzative adeguate al contesto e al rischio per le persone fisiche.
Su questo versante si innesta un'ulteriore critica del Garante che lamenta di non essere stato coinvolto alla progettazione del nuovo sistema di fatturazione.
In ogni caso Il 2018 è agli sgoccioli, manca poco meno di un mese all’inizio del nuovo anno. Ed è abbastanza difficile che, entro quel periodo, l’Agenzia delle Entrate riesca ad allineare il provvedimento secondo le richieste dell’autorità di controllo. È più che legittimo aspettarsi una proroga, che sarà decisa dal Governo o Parlamento.
Nel frattempo potete continuare a seguirci, in attesa di futuri sviluppi. Per qualsiasi dubbio o curiosità sull’applicazione del GDPR, noi ci siamo.
