Fatturazione elettronica – Criticità rispetto la normativa in materia di Privacy

Il provvedimento del 15 novembre 2018 reso dal Garante per la protezione dei dati personali evidenzia alcuni aspetti problematici sull’obbligo di fatturazione elettronica.

Come a tutti ben noto, la fattura elettronica, dal 1° gennaio 2019, è obbligatoria per tutte le cessioni di beni e prestazioni di servizi comunque effettuate tra soggetti residenti o stabiliti in Italia (art. 1, comma 916, della legge di bilancio 2018).

Il Garante osserva che l’obbligo di fatturazione elettronica, così come delineato dalla normativa primaria e secondaria di riferimento, presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali (D. Lgs. 196/2003 c.d. “Codice della Privacy”, così come modificato dal D. Lgs. 101/2018 e Reg. UE 2016/679 c.d. “GDPR”).

In via preliminare, si rileva che, in violazione del previgente art. 154, comma 4, del Codice, il provvedimento del Direttore dell’Agenzia delle entrate n. 89757 del 30 aprile 2018, e dell’art. 36, § 4, del Regolamento, il provvedimento n. 291241 del 5 novembre 2018, sono stati adottati senza che il Garante sia stato consultato.

Inoltre, è previsto che l’Agenzia, dopo aver recapitato le fatture in qualità di “postino”, non archivi solo i dati necessari ad assolvere gli obblighi fiscali, ma la fattura vera e propria in formato XML, che contiene di per sé informazioni non necessarie a fini fiscali (oltre agli eventuali allegati inseriti dall’operatore, certamente ultronei).

Ulteriori criticità derivano dalla scelta di rendere disponibili ai consumatori tutte le fatture elettroniche in formato XML sul portale dell’Agenzia. Un siffatto trattamento comporta, infatti, un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web.

Altra problematica deriva dalla mancata cifratura del file XML della fattura elettronica. Ciò, considerando, in particolare, il previsto utilizzo della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di gestione della posta elettronica, che espone gli interessati a maggiori rischi di accesso non autorizzato ai dati personali (utilizzo non esclusivo della PEC in ambito aziendale, furto di credenziali e attacchi informatici ai server).

Infine, la mobile app, messa a disposizione dall’Agenzia, consente agli operatori economici di attivare il salvataggio di alcuni dati, non meglio specificati, in ambiente cloud. Da una prima analisi, non sarebbero correttamente rappresentate agli utenti nell’informativa le ulteriori finalità di conservazione e di controllo perseguite dall’Agenzia con i dati raccolti attraverso tale applicazione, in violazione dell’art. 13 del Regolamento.

Posti i rischi elevati per le libertà e i diritti degli interessati, il Garante ritiene che i trattamenti di dati personali effettuati nell’ambito della fatturazione elettronica dall’Agenzia delle entrate, così come attualmente delineati, possono violare le disposizioni del Regolamento di cui agli artt. 5, 6, § 3, lett. b), 9, § 2, lett. g), 13, 14, 25 e 32.

I professionisti Andersen Tax & Legal sono a disposizione per fornire ulteriori informazioni e chiarimenti in merito all’argomento in commento.