La Legge di Bilancio 2018 (Legge n. 205/2017) ha introdotto a partire dal 1° gennaio 2019 l’obbligo generalizzato di fatturazione elettronica per tutti i soggetti titolari di partita IVA residenti o stabiliti in Italia (modalità esercitabile su base opzionale già a partire dal 2015).
L’obbligo di trasmissione telematica dei dati delle fatture ha fatto emergere sin da subito numerose incertezze in tema di privacy tanto che già a fine 2018, in fase di prima applicazione del Regolamento europeo per la protezione dei dati personali (Regolamento UE 2016/679, cd Regolamento GDPR), si è reso necessario l’intervento da parte del Garante della Privacy. Tra i dati che confluiscono nei file telematici, infatti, ve ne erano anche molti di quelli classificati come “sensibili”, quali quelli sanitati, per cui era necessario garantire una forma di tutela. Da una possibile “fuga” o dall’illegittimo utilizzo dei dati transitati dal Sistema di Interscambio e archiviati dall’Agenzia delle Entrate ne sarebbe scaturita una grave violazione delle disposizioni in materia di privacy.
Le disposizioni in materia di privacy ed e-fattura– L’art. 25 del Regolamento GDPR) prevede quanto segue:
- “sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”.
In sostanza, per effetto dell’introduzione dei concetti di
- privacy by design (valutazione del rischio di possibile illecito utilizzo dei dati da valutare in fase di progettazione dei sistemi di tutela) e
- privacy by default (raccolta dei soli dati personali necessari e sufficienti per le finalità previste e per il periodo strettamente necessario)
il titolare del trattamento (in questo caso l’Ufficio) deve adottare gli strumenti e le corrette impostazioni necessari al fine di tutelare i dati personali transitati da SDI da possibili utilizzi illeciti degli stessi.
Al fine di adeguare le norme in tema di fatturazione elettronica ai principi sopra esposti, il Legislatore è da subito intervenuto esonerando dall’obbligo di fatturazione elettronica i soggetti tenuti all’invio dei dati al Sistema tessera sanitaria ai fini della dichiarazione dei redditi precompilata, i quali, pertanto, non possono emettere fatture elettroniche, anche in caso di fattura cd “mista” (ossia contenente dati, oltre a quelli sanitari, che non confluiscono nel sistema TS.
L’intervento del Garante della Privacy – L’art. 58, comma 2, lett. a) del Regolamento GDPR conferisce il Garante della privacy il potere di emettere pareri circa le misure tecnico-organizzative in tema di trattamento dei dati personali e, in tema di fatturazione elettronica, in ottemperanza a quanto disposto dalla norma, una volta emessi, detti pareri sono vincolanti per l’Agenzia delle Entrate che deve tenerne conto, chiedendo eventualmente anche l’adeguamento dell’assetto normativo.
Con provvedimento annotato al Registro dei provvedimenti n. 133 del 9 luglio scorso, il Garante della privacy ha emesso un nuovo parere sulle “Regole tecniche per l’emissione e la ricezione delle fatture elettroniche per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti e stabiliti nel territorio dello Stato e per le relative variazioni” in base al quale l’attuale sistema di controlli incrociati sui dati delle fatture elettroniche violerebbe la privacy dei contribuenti in quanto privi di limiti. I dati dei file xml e degli allegati, una volta acquisiti, vengono conservati dal sistema informativo per i successivi otto anni. Ciò in base a quanto disposto dal nuovo comma 5-bis dell’art. 1 del DLgs. 5.8.2015, n. 127 che ne consente l’utilizzo da parte della Guardia di Finanza per le proprie funzioni di polizia economica e finanziaria e dall’Agenzia delle Entrate per le attività di analisi del rischio e di controllo ai fini fiscali. Da tali fini, tuttavia, esulano l’elevato numero di informazioni extrafiscali legate alla sfera dei rapporti commerciali, ma non solo. Dalle fatture potrebbero emergere informazioni “sensibili” sulle abitudini dei consumatori, anche di minori, pervenendo ad una vera e propria profilazione (di consumo più che di rischio di evasione) di tutti i contribuenti. Per le ragioni esposte, col predetto parere il Garante evidenzia la necessità di ridefinire il perimetro informativo, adeguando gli strumenti e i processi di memorizzazione per la raccolta dei soli dati rilevanti ai fini fiscali.
Pubblicato il: 2020-07-15 10:27:01
