Vuoi ricevere i nostri aggiornamenti?
Fatturazione elettronica ai blocchi di partenza ma arriva lo stop del Garante privacy; analizziamo i motivi
Tutti noi operatori economici stiamo affrontando in questa chiusura di anno l’adeguamento dei nostri sistemi operativi e modelli organizzativi in vista dell’entrata in vigore, a far data dal 1/1/2019, dell’obbligo di fatturazione elettronica previsto dalla legge di bilancio 2018 (Legge 205/2017) per le cessioni di beni e servizi effettuate sia tra operatori IVA sia verso un consumatore finale.
Qualche giorno fa però il Garante privacy ha emanato un provvedimento nei confronti dell’Agenzia delle Entrate con cui, in attuazione dei poteri conferitegli dall’art. 58
- avvisa l’Agenzia delle Entrate che i trattamenti dati così come attualmente delineati nell’ambito della fatturazione elettronica violano le disposizioni del Reg. UE
- ingiunge all’Agenzia delle Entrate di far conoscere al Garante le misure adottate per rendere il trattamento dei dati conforme ai principi previsti dal GDPR.
Ma quali sono i rilievi mossi dal Garante?
La nuova fatturazione elettronica comporta il trattamento da parte dell’Agenzia delle Entrate di tutti i dati presenti nelle fatture emesse, che oltre ad essere trasmesse e rese disponibili attraverso lo SDI, saranno archiviate e utilizzate per finalità di controllo, anche da parte della Guardia di Finanza.
Per la corretta emissione della fattura elettronica sono previsti come obbligatori una serie di dati fiscalmente rilevanti, ma le fatture potranno essere integrate con ulteriori dati utili alla gestione del ciclo attivo e passivo degli operatori.
Il sistema messo a punto prevede dunque che l’Agenzia delle Entrate non archivi solo i dati fiscalmente rilevanti ma tutti i dati ulteriori contenuti nella fattura, che in determinati settori saranno certamente dati particolari ai sensi dell’art. 9 del Regolamento; si pensi ad esempio alle fatture emesse dagli operatori sanitari in cui è contenuta la descrizione della prestazione resa.
La fatturazione elettronica così concepita prevede dunque un trattamento obbligatorio, generalizzato e di dettaglio di dati personali, anche particolari, ulteriori a quelli necessari a fini fiscali; si palesa dunque un trattamento sproporzionato rispetto all’obiettivo di interesse pubblico perseguito.
Il previsto trattamento generalizzato di dati personali dovrà comportare anche da parte degli operatori economici una particolare attenzione
- nel fornire agli interessati un’informazione adeguata ai sensi degli artt. 13 e 14 del Regolamento ma anche
- nel rispetto del principio di minimizzazione ovvero nell’inserire all’interno delle fatture solo dati strettamente necessari.
Il Garante ritiene inoltre che l’Agenzia delle Entrate non abbia effettuato una adeguata valutazione di impatto ai sensi dell’art. 35 del Regolamento, tenuto conto del fatto che la fatturazione elettronica comporta un trattamento sistematico di dati personali, anche particolari, e potenzialmente relativi ad ogni aspetto della vita quotidiana, su larga scala, rappresentando di conseguenza un rischio elevato per i diritti e le libertà degli interessati.
Non avere effettuato una corretta valutazione dei rischi ha comportato che non siano state individuate, in ossequio ai principi di privacy by design e privacy by default, misure tecniche ed organizzative adeguate per garantire una efficace protezione dei dati ed il rispetto dei principi del trattamento in ogni fase.
Considerando che l’entrata in vigore dell’obbligo di fatturazione elettronica è previsto tra un mese, viene da chiedersi come l’Agenzia delle Entrate pensi di rispondere ai rilievi dell’Autorità garante ed adeguare il sistema di trattamento dei dati della fatturazione elettronica alle prescrizioni del GDPR.