Il Garante: la fattura elettronica va ripensata

Il Garante della Privacy in un parere rilasciato il 15 novembre scorso ha rilevato delle criticità relative al sistema strutturato per far partire dal primo gennaio 2019 la trasmissione e conservazione delle fatture elettroniche tra imprese e privati. Il provvedimento del Garante ha evidenziato numerose problematiche riguardo la compatibilità della fatturazione elettronica B2B con la normativa in materia di protezione dei dati personali, definita nel Regolamento UE n°679/2016.

In primis, nel provvedimento è stato fatto presente che per l’adozione del provvedimento del 30 aprile 2018 n°89757 e di quello del 5 novembre scorso, entrambi dell’Agenzia delle Entrate, non è stato consultato il Garante.  Inoltre, l’Autorità ha evidenziato criticità nel ruolo che l’Agenzia delle Entrate, attraverso il sistema di interscambio (SDI), assume in qualità di “postino”; nello specifico, si è fatto presente che con questo ruolo l’Agenzia consulterà i dati non solo per assolvere agli obblighi fiscali, ma anche ai fini di controllo. Come afferma il Garante “Tuttavia non saranno archiviati solo i dati obbligatori a fini fiscali, ma la fattura vera e propria, che contiene di per sé informazioni di dettaglio ulteriori sui beni e servizi acquistati, come le abitudini e le tipologie di consumo, legate alla fornitura di servizi energetici e di telecomunicazioni (es. regolarità nei pagamenti, appartenenza a particolari categorie di utenti), o addirittura la descrizione delle prestazioni sanitarie o legali. Altre criticità derivano dalla scelta dell’Agenzia delle entrate di mettere a disposizione sul proprio portale, senza una richiesta dei consumatori, tutte le fatture in formato digitale, anche per chi preferirà comunque continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore, come garantito dal legislatore.”

Ulteriori criticità derivano dalla scelta di rendere disponibili ai consumatori tutte le fatture in formato XML sul portale dell’Agenzia, anche in assenza di una puntuale richiesta degli stessi. Un trattamento del genere comporta un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i cittadini privati, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web. Questa scelta si pone in contrasto con i principi di privacy by design e privacy by default.

Il Garante ha poi reso evidenti dei rischi relativi alla figura degli intermediari e al ruolo assunto da quest’ultimi. In particolare, per il Garante si dovrebbero individuare delle misure tecniche ed organizzative adeguate ad assicurare il rispetto della normativa in materia di protezione dei dati personali. Andrà prestata attenzione al sistema delle deleghe delineato nel provvedimento del 5 novembre 2018; per il Garante non risulta chiaro il ruolo assunto da parte degli intermediari e degli altri soggetti delegati rispetto al trattamento dei dati personali, anche di dettaglio, contenuti nelle fatture elettroniche emesse e ricevute; alcuni degli intermediari, infatti, operano anche nei confronti di una moltitudine di imprese, accentrando enormi masse di dati personali con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.

Anche le modalità di trasmissione attraverso lo SDI e gli ulteriori servizi offerti dall’Agenzia (come la conservazione dei dati) presentano criticità riguardo i profili di sicurezza, a partire dalla mancata cifratura della fattura elettronica, tanto più considerato l’utilizzo della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di posta elettronica.

Il provvedimento è stato trasmesso in copia sia al Presidente del Consiglio dei ministri, sia al Ministero dell’Economia e delle finanze per le valutazioni di competenza.