Il Garante Privacy ha bocciato il sistema della fattura elettronica, obbligatoria dal 2019, predisposto dall’Agenzia delle Entrate, contestando alla stessa una mancata consultazione. Il sistema viola la normativa italiana ed europea sulla privacy in quanto viene trasmessa la fattura completa con una “sproporzionata raccolta di informazioni” sui beni e servizi, prestazioni sanitarie e legali dei contribuenti, con “mancata cifratura della fattura elettronica” stessa. Il Fisco italiano deve adeguare il sistema della fattura elettronica ed è possibile il rinvio dell’obbligo di fatturazione elettronica, oggetto già di emendamenti al Decreto Fiscale.

Come un fulmine a ciel poco sereno, il Garante della Privacy ha bocciato, o per meglio dire rimandato all’Agenzia delle Entrate il sistema della fatturazione elettronica obbligatoria dal 1 gennaio 2019. Il sistema in rampa di lancio, secondo il Garante privacy, “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”. In altre parole, espone i dati trasmessi dai contribuenti italiani ad un rischio di uso improprio da parte di terzi.

Il Garante privacy ha inoltre sottolineato la mancata consultazione da parte dell’Agenzia delle Entrate nella progettazione del sistema.

Un sistema definito “potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito”.

Fattura elettronica e privacy: quali sono le criticità. Secondo il Garante, infatti, vi è una “sproporzionata raccolta di informazioni”, in primis la fattura vera e propria e non i soli dati contabili. Ciò comporta una trasmissione rischiosa di dati afferenti i beni e servizi acquistati dai contribuenti, nonché alcune informazioni sulla regolarità dei pagamenti dei contribuenti. E addirittura la descrizione di prestazioni sanitarie e legali. Ciò ha costretto il Garante privacy a chiedere una profonda revisione del sistema.

Non solo, l’Agenzia delle Entrate mette a disposizione sul proprio portale tutte le fatture in formato digitale senza possibilità di scelta da parte del contribuente.

Criticità sono state segnalate anche sul ruolo degli intermediari delegabili e sui profili di sicurezza per la mancata cifratura della fattura elettronica, con l’utilizzo della PEC per scambio delle fatture che fa emergere problemi in materia privacy sulla memorizzazione sui server di posta elettronica.

Il comunicato del Garante della privacy piomba quindi sul lancio della fatturazione elettronica, obbligatoria dal 1 gennaio 2019. L’Agenzia delle Entrate deve adeguare tutto il sistema di trasmissione, conservazione e gestione della fatturazione elettronica al quadro normativo italiano ed europeo riguardo il trattamento dei dati.

Fattura elettronica viola la privacy: cosa succede ora. La fatturazione elettronica è forse una svolta necessaria, ma data la portata del cambiamento, sono già stati presentati degli emendamenti al Decreto Fiscale con richiesta di rinvio o avvio del sistema a tappe. Gli interventi richiesti dal Garante Privacy per adeguare il sistema alla normativa italiana ed europea in materia di trattamento dei dati comporta la necessità di un lasso di tempo per l’adeguamento da parte dell’Agenzia delle Entrate. Alcune criticità segnalate sono risolvibili (si pensi all’oscuramento dei campi nell’xml) ma altre problematiche potrebbero suggerire o favorire una proroga del lancio della fatturazione elettronica, visto che siamo a poco meno di due mesi dall’obbligatorietà.

Il comunicato del Garante privacy
Il Garante privacy all’Agenzia delle entrate: la fatturazione elettronica va cambiata

I trattamenti di dati previsti dal 1 gennaio 2019 possono violare la normativa sulla protezione dei dati. Sproporzionata raccolta di informazioni e rischi di usi impropri da parte di terzi

Il Garante per la protezione dei dati personali ha avvertito l’Agenzia delle entrate che il nuovo obbligo della fatturazione elettronica, così come è stato regolato dall’Agenzia delle entrate, “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”. Per questo motivo ha chiesto all’Agenzia di far sapere con urgenza come intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica [doc. web n. 9059949].

E’ la prima volta che il Garante esercita il nuovo potere correttivo di avvertimento, attribuito dal Regolamento europeo, attraverso un provvedimento adottato anche a seguito di alcuni reclami.

Il nuovo obbligo di fatturazione elettronica – esteso a partire dal 1 gennaio 2019 anche ai rapporti tra fornitori e tra fornitori e consumatori – presenta, secondo il Garante, un rischio elevato per i diritti e le libertà degli interessati, comportando un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito.

Entrando nel merito del nuovo sistema di e-fatturazione il Garante ha rilevato una serie di criticità.

In primo luogo, l’Agenzia, dopo aver recapitato le fatture in qualità di “postino” attraverso il sistema di interscambio (SDI) tra gli operatori economici e i contribuenti, archivierà e utilizzerà i dati anche a fini di controllo. Tuttavia non saranno archiviati solo i dati obbligatori a fini fiscali, ma la fattura vera e propria, che contiene di per sé informazioni di dettaglio ulteriori sui beni e servizi acquistati, come le abitudini e le tipologie di consumo, legate alla fornitura di servizi energetici e di telecomunicazioni (es. regolarità nei pagamenti, appartenenza a particolari categorie di utenti), o addirittura la descrizione delle prestazioni sanitarie o legali.

Altre criticità derivano dalla scelta dell’Agenzia delle entrate di mettere a disposizione sul proprio portale, senza una richiesta dei consumatori, tutte le fatture in formato digitale, anche per chi preferirà comunque continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore, come garantito dal legislatore.

Ulteriori problemi pone il ruolo assunto dagli intermediari delegabili dal contribuente per la trasmissione, la ricezione e la conservazione delle fatture, alcuni dei quali operano anche nei confronti di una moltitudine di imprese, accentrando enormi masse di dati personali con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.

Anche le modalità di trasmissione attraverso lo SDI e gli ulteriori servizi offerti dall’Agenzia (come la conservazione dei dati) presentano criticità per quanto riguarda i profili di sicurezza, a partire dalla mancata cifratura della fattura elettronica, tanto più considerato l’utilizzo della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di posta elettronica.

Una preventiva consultazione dell’Autorità, peraltro stabilita dal previgente Codice privacy e dal nuovo Regolamento Ue, avrebbe potuto assicurare fin dalla progettazione l’avvio del nuovo sistema con modalità e garanzie rispettose della protezione dei dati personali, introducendo misure tecnico organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica.

Il provvedimento del Garante è stato inviato anche al Presidente del Consiglio dei ministri e al Ministro dell’economia e delle finanze per le valutazioni di competenza.

Antonio Barbato