19/11/2018

Troppe rilevanti criticità sulla compatibilità con la normativa in materia di protezione dei dati personali. Per questo motivo il Garante della privacy ha pubblicato un provvedimento sulla fatturazione elettronica in cui chiede all’Agenzia delle entrate di far sapere con urgenza come intenda rendere conformi al quadro normativo italiano e europeo i trattamenti di dati che verranno effettuati con l’introduzione della nuova normativa.

Il Garante denuncia in particolare una raccolta sproporzionata di dati sensibili e con un forte rischio di usi impropri da parte di soggetti terzi. Il provvedimento dell’Autorità Garante arriva anche a seguito di molti reclami provenienti da cittadini e imprese ed è espressione di un nuovo potere attribuito al Garante dalla normativa europea, il così detto “potere correttivo di avvertimento”.

Il nuovo obbligo di fatturazione elettronica comporta, per il Garante, un rischio elevato per i diritti e le libertà delle parti coinvolte, poiché configura un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito.

Oltretutto il provvedimento del Garante esprime dubbi anche sulle modalità di trasmissione attraverso lo SDI e sugli ulteriori servizi offerti dall’Agenzia, come la conservazione dei dati, che presentano criticità per quanto riguarda i profili di sicurezza informatica, in primis per la mancata cifratura della fattura elettronica, tanto più considerato l’utilizzo della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di posta elettronica.

Anche sui singoli aspetti inerenti la fatturazione e la sua trasmissione il Garante ha rilevato  alcune criticità. Innanzitutto, l’Agenzia delle Entrate, chiamata a recapitare le fatture attraverso il sistema di interscambio (SDI) tra gli operatori economici e i contribuenti, archivierà e utilizzerà tutti i dati contenuti nelle fatture, anche a fini di controllo. Infatti, contrariamente ad ogni logica di ragionevolezza, non saranno archiviati solo i dati obbligatori a fini fiscali, ma tutta la fattura, che contiene ovviamente in se’ ulteriori informazioni dettagliate sui beni e servizi acquistati, sulle abitudini e le tipologie di consumo.

Tra questi dati sono due le categorie che maggiormente preoccupano il Garante per la Privacy: i dati legati alla fornitura di servizi energetici e di telecomunicazioni e quelli relativi a prestazioni sanitarie o legali. Riguardo alle prime l’Agenzia potrebbe addirittura, tramite la fatturazione digitale, conoscere la regolarità nei pagamenti da parte dei consumatori e la loro eventuale appartenenza a particolari categorie di utenti; Per quanto riguarda le seconde a preoccupare è che l’Agenzia possa conoscere addirittura la descrizione delle singole prestazioni sanitarie o legali.

Motivo di altri dubbi è la scelta dell’Agenzia delle entrate di mettere a disposizione sul proprio portale, senza una richiesta espressa dei consumatori, tutte le fatture in formato digitale, anche per quei consumatori che anzi preferiranno comunque continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore, possibilità garantita dal legislatore.

Alla fine del provvedimento, il Garante sottolinea come se ci fosse stata una preventiva consultazione dell’Autorità garante, che peraltro è una procedura stabilita sia dal Codice privacy che dal nuovo Regolamento Ue in materia di trattamento dei dati personali, si sarebbe potuto assicurare fin dalla progettazione “l’avvio del nuovo sistema con modalità e garanzie rispettose della protezione dei dati personali, introducendo misure tecnico organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica.”

Il Garante della Privacy ha chiesto all’Agenzia delle Entrate di rendere noto con urgenza come intenda risolvere questi problemi e rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica. Il provvedimento del Garante è stato inviato anche al Presidente del Consiglio dei ministri e al Ministro dell’economia e delle finanze per le valutazioni di competenza.

Al momento non cambia niente e vi aggiorneremo sugli sviluppi.