Il Garante Privacy con provv. del 20 dicembre 2018 è tornato a pronunciarsi sulla conformità al Reg. Ue 2016/679 dei trattamenti di dati personali connessi all’obbligo di fatturazione elettronica.
Fatturazione elettronica: obbligatoria dal 1° gennaio 2019.
Come noto, a seguito della legge di bilancio 2018 (legge 27 dicembre 2017, n. 205, art. 1, spec. comma 909), l’obbligo di fatturazione elettronica, già applicato nei confronti della pubblica amministrazione, è stato esteso a partire dal 1° gennaio anche alle cessioni di beni e prestazioni di servizi effettuate tra due operatori con partita Iva (operazioni Business to Business, c.d. B2B) e a quelle effettuate verso un consumatore finale (operazioni Business to Consumer, c.d. B2C).
Dall’obbligo saranno esclusi gli operatori che rientrano nei c.d. regimi di vantaggio e forfettario, per i quali è, comunque, facoltativa, nonché i piccoli produttori agricoli, già esonerati dall’emissione di fattura.
Fatturazione elettronica e privacy: quali rischi?
Sotto il profilo della protezione dei dati personali, ancor prima dell’entrata in vigore del nuovo regime, sono stati sollevati dubbi in merito ai rischi che il nuovo obbligo di fatturazione elettronica, così come inizialmente concepito dall’Agenzia delle Entrate, poteva presentare per i diritti e le libertà degli interessati sotto il profilo della tutela dei loro dati personali.
Nello specifico la preoccupazione discendeva principalmente dalla circostanza che la fatturazione elettronica, così come delineata, avrebbe comportato un trattamento sistematico, generalizzato e di dettaglio di dati personali, sovrabbondanti rispetto a quelli necessari a fini fiscali, potenzialmente rivelatori di ogni aspetto della vita quotidiana dell’intera popolazione.
Tale trattamento è apparso sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito, al punto da spingere il Garante Privacy ad intervenire sul punto, esercitando per la prima volta il potere correttivo di avvertimento attribuitogli dal Reg. UE 2016/679.
Con provvedimento n. 481 del 15 novembre (cfr. doc. web n. 9059949) il Garante aveva infatti avvertito l’Agenzia delle Entrate che il nuovo obbligo della fatturazione elettronica presentava “rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”, imponendo alla stessa di rendere noto con urgenza come intendesse conformare al quadro normativo italiano ed europeo i trattamenti di dati effettuati ai fini della fatturazione elettronica.
Provvedimento Garante Privacy n. 481 del 15 novembre 2018.
Nello specifico, tra i principali profili di criticità denunciati dal Garante nel provvedimento del 15 novembre 2018, si segnalano:
-la circostanza che l’Agenzia, dopo aver recapitato le fatture in qualità di “postino” attraverso il sistema di interscambio (SDI) tra gli operatori economici e i contribuenti, avrebbe archiviato in formato XML, e così potuto utilizzare, tutti i dati ivi riportati anche a fini di controllo.
Secondo quanto osservato dal Garante, il problema principale discendeva dal fatto che non sarebbero stati archiviati solo i dati obbligatori a fini fiscali ma l’intera fattura che, di regola, contiene una moltitudine di informazioni, anche molto dettagliate. Tali informazioni infatti possono consentire di individuare – spesso a fini di garanzia, assicurativi o per prassi commerciali – non solo i beni e i servizi ceduti, la descrizione delle prestazioni, ma anche i rapporti fra cedente e cessionario e altri soggetti, eventuali sconti applicati, fidelizzazioni, abitudini di consumo, per non parlare poi dei dati obbligatori imposti da specifiche normative di settore, quali ad esempio quello dei trasporti, delle forniture di servizi energetici o di telecomunicazioni (es: tipologie dei consumi, fatturazione dettagliata, regolarità dei pagamenti, appartenenza a particolari categorie di utenti).
Il rischio per la privacy poi aumenta se si pensa alle fatture elettroniche emesse da operatori attivi nel settore sanitario o giudiziario, da cui possono essere desunti addirittura particolari categorie di dati (es: dati indicativi dello stato di salute) e dati giudiziari (si pensi ad esempio alla fattura dell’avvocato, da cui si può desumere la ragione per la quale è stata prestata l’assistenza legale).
-La scelta di rendere disponibili ai consumatori tutte le fatture elettroniche in formato XML sul portale dell’Agenzia, anche in assenza di una puntuale richiesta da parte degli stessi e nonostante fosse comunque salvo il diritto di ottenerne una copia, digitale o analogica, direttamente dall’operatore.
Secondo il Garante tale archiviazione automatica di tutte le fatture avrebbe comportato, da un lato, un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insito in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web e, dall’altro, una manifesta violazione dei principi di privacy by default, di minimizzazione e di privacy by design sanciti agli artt. 5, comma 1, lett. c) e 25 del Reg. UE 2016/679.
-Il ruolo assunto dagli intermediari delegabili dal contribuente (commercialisti in primis) per la trasmissione, la ricezione e la conservazione delle fatture.
Accentrando enormi masse di dati personali infatti, il ruolo assunto dagli intermediari delegabili dal contribuente poteva comportare molteplici rischi non solo per la sicurezza delle informazioni ma anche in relazione a probabili usi impropri delle stesse, resi possibili grazie a collegamenti e raffronti tra fatture di migliaia di operatori economici.
Le modalità di trasmissione attraverso lo SDI e gli ulteriori servizi offerti dall’Agenzia (come la conservazione dei dati) che, ad opinione del Garante, presentavano pericoli per quanto riguarda i profili di sicurezza, a partire dalla mancata cifratura della fattura elettronica. Inoltre il Garante evidenziava come l’utilizzo della PEC per lo scambio delle fatture avrebbe potuto comportare anche il rischio della memorizzazione dei documenti sui server di posta elettronica.
Le soluzioni prospettate dall’Agenzia delle Entrate.
In seguito al summenzionato provvedimento del Garante, su richiesta dell’Agenzia delle Entrate, è stato costituito un tavolo di lavoro tecnico per esaminare congiuntamente le criticità rilevate, nell’ambito del quale sono stati altresì coinvolti, per gli aspetti di competenza, il Ministero dell’economia e delle finanze e l’Agenzia per l’Italia digitale, nonché il Consiglio nazionale dei dottori commercialisti e degli esperti contabili (CNDCEC), il Consiglio nazionale dell’ordine dei consulenti del lavoro (CNOCL) e, in rappresentanza dei produttori di software gestionale e fiscale, l’associazione di categoria AssoSoftware.
All’esito degli approfondimenti effettuati, con la nota del 17 dicembre u.s., l’Agenzia ha prospettato al Garante alcune soluzioni volte a superare le criticità rilevate. Esse sono al centro dell’articolato provvedimento n. 511 del 20 dicembre 2018 in cui il Garante – prendendo atto delle modifiche apportate all’impianto originario della fatturazione elettronica e delle ulteriori rassicurazioni fornite dall’Agenzia delle Entrate – ha individuato i presupposti e le condizioni perché la stessa Agenzia potesse avviare dal 1gennaio 2019 i trattamenti di dati connessi al nuovo obbligo.
Come sono state superate le criticità connesse alla memorizzazione integrale dei dati connessi alla fatturazione elettronica?
Sul punto l’Agenzia ha proposto di memorizzare l’intero file XML e di renderlo disponibile ai fini della consultazione e download solamente nel caso in cui l’operatore economico – o un suo delegato – ovvero il consumatore finale aderisca espressamente al servizio di consultazione.
Nella sua nota l’Agenzia ha precisato che, essendo il processo di fatturazione simmetrico, ai fini della memorizzazione sarà sufficiente che l’adesione provenga anche da una delle due parti del rapporto economico (fornitore o cliente), fermo restando che le fatture saranno rese disponibili in consultazione esclusivamente a chi abbia manifestato la propria volontà in tal senso.
Con riguardo, nello specifico, alle fatture emesse nei confronti dei consumatori, l’Agenzia ha inoltre rappresentato che, in mancanza di adesione al servizio di consultazione, le fatture e i dati fattura non saranno resi disponibili nell’area riservata del contribuente.
Allo stato attuale quindi, in assenza dell’adesione al servizio, l’Agenzia memorizzerà il file XML della fattura nei soli casi residuali in cui la messa a disposizione della fattura nell’area riservata del portale dell’Agenzia sia una delle modalità previste per la consegna della stessa al destinatario ovvero quando, per cause tecniche, non imputabili allo SDI, il recapito non fosse possibile (es: casella PEC piena o non attiva; canale telematico non attivo ecc.).
Inoltre una volta consegnata la fattura, resteranno memorizzati unicamente i dati fattura, mentre i dati “non fiscali”, contenuti nel file XML, unitamente al dato fiscale relativo alla descrizione dell’operazione, saranno cancellati.
Sempre nella nota del 17 dicembre u.s., l’Agenzia ha inoltre chiarito che non saranno memorizzati i dati contenuti nei campi relativi alle “descrizioni” (compresi quelli contenenti codici “parlanti”) e saranno memorizzati – solo se valorizzati – i dati riferiti ad appalti pubblici ovvero a codifiche stabilite esclusivamente per rispettare norme tributarie (ad esempio, codici che identificano le tipologie di carburante nel caso di cessioni di tale prodotto, come previsto dalla legge n. 205/2017, codici che identificano lo scontrino/ricevuta fiscale emesso prima della fattura e collegato a quest’ultima, la targa dell’autoveicolo prevista per consentire – solo al cliente IVA – di usufruire del credito d’imposta sulle accise ecc.).
A tal proposito l’Agenzia ha inoltre dichiarato di voler sottoporre all’attenzione dell’Autorità anche le modalità con cui saranno utilizzati, anche da parte della Guardia di finanza, i dati presenti nei file XML, trattati dall’Agenzia in nome e per conto del contribuente, per le attività di controllo, in considerazione proprio dei rischi elevati che tali trattamenti, effettuati per compiti di interesse pubblico presentano per i diritti e le libertà degli interessati (cfr. artt. 36, § 4, del Regolamento e 2-quinquiesdecies del Codice).
Prestazioni sanitarie: saranno escluse dall’obbligo di fatturazione elettronica?
Per quanto concerne le censure mosse dal Garante in ordine all’obbligo di fatturazione elettronica anche per prestazioni sanitarie, la recente legge 17 dicembre 2018, n. 136, nel convertire in legge il decreto legge 23 ottobre 2018, n. 119, recante disposizioni urgenti in materia fiscale e finanziaria, ha introdotto l’art.10-bis il quale ha previsto che “per il periodo d’imposta 2019, i soggetti tenuti all’invio dei dati al Sistema tessera sanitaria, ai fini dell’elaborazione della dichiarazione dei redditi precompilata, (…) sono esonerati dall’obbligo di fatturazione elettronica, (…) con riferimento alle fatture i cui dati sono inviati al Sistema tessera sanitaria”.
Tale temporaneo regime derogatorio è stato accolto con favore dal Garante, anche se è apparso contraddittorio escludere dalla esenzione proprio le fatture non trasmesse attraverso il sistema TS (in seguito all’opposizione legittimamente manifestata dagli interessati) che rappresentano le situazioni ragionevolmente più delicate.
In ogni caso il Garante, considerato che le criticità e i rischi elevati connessi al processo di fatturazione elettronica risultano amplificati in caso di fatture emesse da soggetti che erogano prestazioni sanitarie, ha ritenuto necessario ingiungere all’Agenzia delle Entrate di dare idonee istruzioni a tali soggetti affinché non vengano in nessun caso emesse fatture elettroniche attraverso lo SDI, a prescindere dall’invio dei dati attraverso il sistema TS, in modo da evitare trattamenti di dati in violazione del Regolamento e del Codice da parte dell’Agenzia stessa e di tutti i soggetti a vario titolo coinvolti nel processo di fatturazione elettronica.
Come verrà implementata la sicurezza dei canali di trasmissione?
Con riferimento alle criticità evidenziate dal Garante in merito alla sicurezza del canale di trasmissione e di recapito delle fatture elettroniche, l’Agenzia ha precisato che, allo scopo di incrementare i livelli di sicurezza del canale di comunicazione con lo SDI e di allinearsi con le precedenti raccomandazioni del Garante, già dal 5 giugno 2018, ha previsto l’attivazione di un canale cifrato basato su protocollo SFTP per tutti i soggetti che, a partire da quella data, hanno presentato una richiesta di accreditamento allo SDI.
A differenza infatti del precedente sistema FTP (protocollo di trasferimento dati che non prevede alcuna forma di cifratura) il sistema SFTP garantisce comunicazioni cifrate e accessi sicuri.
L’Agenzia ha, inoltre, rappresentato di aver avviato un piano di migrazione al protocollo SFTP, comunicando a tutti gli enti che ancora utilizzano il protocollo FTP, da ultimo con la nota del 4 dicembre u.s., che “dal 1° gennaio 2019 il canale FTP non cifrato non potrà essere garantito”.
Ulteriori sforzi sono richiesti all’Agenzia delle Entrate per implementare la cifratura dei dati (utile soprattutto in caso di utilizzo della pec), per minimizzare i dati da memorizzare e per conformarsi agli obblighi di trasparenza e correttezza nei confronti degli interessati riguardo ai controlli fiscali effettuati attraverso trattamenti automatizzati o con l’acquisizione delle fatture per le quali il contribuente usufruisce dei servizi di consultazione e conservazione.
Come sarà gestito il servizio di conservazione delle fatture elettroniche?
Per quanto concerne le perplessità manifestate dal Garante in relazione al servizio gratuito fornito dall’Agenzia delle Entrate, l’Agenzia delle Entrate ha chiarito che l’attivazione del predetto servizio avverrà solo a seguito dell’adesione, da parte dell’operatore economico, a un apposito accordo, nell’ambito del quale lo stesso operatore economico affida all’Agenzia parte del processo di conservazione delle fatture elettroniche.
L’accordo del servizio di conservazione disciplina il ruolo e le responsabilità dell’Agenzia (che rivestirà il ruolo di responsabile del trattamento) e che verrà autorizzata dall’operatore economico ad avvalersi del sistema di conservazione realizzato e gestito dalla società Sogei S.p.a., conservatore accreditato presso l’Agenzia per l’Italia digitale (che assumerà il ruolo di sub-responsabile del trattamento).
L’Agenzia ha inoltre chiarito che il trattamento avverrà esclusivamente per finalità di conservazione, ivi inclusa l’esibizione, su richiesta dell’operatore economico o dei suoi incaricati, delle fatture elettroniche conservate e che non verrà eseguito nessun tipo di trattamento che non sia individuato nell’accordo né verranno diffusi o comunicati i dati trattati, salvo che ai soggetti eventualmente incaricati dal contribuente.
Inoltre, in caso di recesso, il contribuente potrà richiedere la restituzione completa (export) delle fatture elettroniche conservate e che le fatture elettroniche restituite siano contestualmente cancellate dal sistema di conservazione.
Quale ruolo assumeranno gli intermediari e dagli altri soggetti operanti nell’ambito della fatturazione elettronica?
Nell’ambito del tavolo di lavoro a cui hanno partecipato, oltre all’Agenzia, anche il CDDCEC, il CNOCL e AssoSoftware, è emerso che gli intermediari e gli altri soggetti delegati assumeranno il ruolo di responsabile o sub-responsabili del trattamento, ai sensi dell’art. 28 del Regolamento, a seconda delle scelte organizzative degli operatori economici e dei relativi modelli contrattuali utilizzati.
Per quanto riguarda il rischio di usi impropri dei dati il Garante, con l’istituto dell’avvertimento, ha messo in guardia tutti gli operatori (soggetti Iva e intermediari, anche tecnici) che alcune clausole contrattuali, predisposte dalle società di software, possono violare il Regolamento ed espongono a sanzioni.
Al riguardo occorre ricordare che i dati personali contenuti nelle fatture non sono riferiti esclusivamente all’operatore economico che le ha emesse e ricevute ma anche ai terzi – anche persone fisiche – con cui intrattiene rapporti economici. I trattamenti svolti in qualità di responsabile e di sub-responsabile dovranno essere limitati solo ed esclusivamente a quanto necessario per la fornitura dei servizi forniti al titolare e, dunque, per l’esecuzione del contratto stesso, senza introdurre operazioni di trattamento ulteriori (ivi compresa l’anonimizzazione dei dati) preordinate al perseguimento di finalità proprie del responsabile, rispetto alle quali dovrà essere, di volta in volta, valutata la rispondenza ai requisiti del Regolamento, in particolare la sussistenza dei presupposti di liceità del trattamento.
