• Privacy -

13 marzo 2019

Fatturazione elettronica e potere correttivo del Garante Privacy: si attende per aprile il documento di valutazione d'impatto dell'Agenzia delle Entrate

di Maria Alessandra Monanni

Il 1° gennaio 2019 è entrato in vigore l'obbligo di fatturazione elettronica in relazione alle "cessioni di beni e prestazioni di servizi" eseguite tra due soggetti titolari di partita IVA (operazioni B2B) o da un soggetto titolare di partita IVA verso un consumatore finale (operazioni B2C). Il Garante per la protezione dei dati personali (di seguito Garante) ha evidenziato - con Provvedimento n. 481, 15 novembre 2018 e, a replica della nota dell'Agenzia delle Entrate del 17 dicembre 2018, con Provvedimento n. 511, 20 dicembre 2018 - che tale obbligo, così come disciplinato e strutturato dall'Agenzia delle Entrate (di seguito Agenzia) mostrasse "rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali".

Infatti, dalla valutazione del Garante, risulterebbe che nella progettazione della procedura di fatturazione elettronica non siano stati considerati i possibili rischi che la sua attivazione avrebbe potuto generare in termini di diritti e libertà dei soggetti interessati.

Oltre alla mancata assunzione di adeguate misure tecniche e organizzative che garantiscano un'efficace protezione dei dati personali in conformità al Regolamento UE 2016/679.

In tale sede il Garante ha messo in pratica per la prima volta il potere correttivo, assegnatogli dal GDPR (art. 58, comma 2, lett.a): ha richiesto all'Agenzia di uniformare la nuova procedura sulla fatturazione elettronica alle prescrizioni della recente normativa europea e nazionale in materia di protezione dei dati personali.

L'Agenzia delle Entrate, pertanto, entro il 15 aprile 2019, sarà tenuta ad effettuare un attento esame delle criticità e a dare un puntuale riscontro delle soluzioni al Garante - come da disposizione dell'art.58, comma1, lett.a) del GDPR e dell'art.157 del Codice Privacy - inviando quindi:

  • un'analisi relativa alla possibilità di introdurre tecniche di cifratura, anche parziale, del file XML trasmessi tramite Sistema di Interscambio (SDI);

  • i modelli di accordi di adesione al servizio di consultazione e download delle fatture, appena predisposti;

  • una rivalutazione dei dati fattura inseriti nell'allegato B al provvedimento del Direttore dell'Agenzia delle entrate del 30 aprile 2018;

  • una nuova versione della valutazione di impatto sulla protezione dei dati personali (Data protection impact assesment-DPIA).

Il tutto anche in base a ciò che risulterà dalla valutazione dei primi mesi di applicazione dell'obbligo di fatturazione elettronica.

Impatto della Privacy sulla fatturazione elettronica

Con il Provvedimento del 15 novembre 2018 il Garante rende noto all'Agenzia i diversi rischi che possono prodursi dall'attivazione della fatturazione elettronica rispetto all'applicazione del GDPR, con la conseguente violazione dei principi di liceità, correttezza e trasparenza (art. 5 GDPR).

In esso si evidenzia che, all'atto della progettazione della nuova procedura, l'Agenzia non avrebbe preventivamente consultato il Garante per adeguarsi, sin dall'inizio, alla normativa a protezione dei dati personali. In tal modo è andata in contrasto con il principio di privacy by design, per il quale eventuali criticità e rischi sono da vagliarsi proprio nella fase della progettazione (art.25 GDPR).

Pertanto, per superare tali problematiche, esposte dal Garante, l'Agenzia segnala in una nota le possibili soluzioni e proposte di modifica.

Valutazione di impatto sulla protezione dei dati personali

Il Garante richiede all'Agenzia di effettuare una "valutazione di impatto sulla protezione dei dati personali" (art. 35 GDPR).

Questa valutazione, secondo il Garante, tiene conto del "trattamento sistematico dei dati personali su larga scala", come della tipologia di dati indicati sulla fattura elettronica in formato XML[1]. Pertanto, essa deve in prima battuta fare attenzione ai possibili rischi sui diritti e sulle libertà degli interessati "esaminando, in modo esaustivo, i diversi scenari di rischio e i possibili impatti, al fine di individuare misure adeguate ad affrontarli, annullandoli o, quantomeno, riducendoli a un livello accettabile".

Invece la valutazione di impatto proposta dall'Agenzia risulterebbe incentrata sugli aspetti propriamente tecnici del trattamento e "carente nella parte analitica riferita agli impatti sui diritti e sulle libertà degli interessati derivanti dai diversi scenari di rischio considerati".

Individuazione e memorizzazione dei "dati fattura"

Nella fattura di norma, sono presenti dati obbligatori a fini fiscali e quelli propri della normativa di settore, oltre al dettaglio dei prodotti e servizi che sono stati ceduti, la relazione tra cedente e cessionario, eventuali sconti applicati e abitudini di consumo.

La modalità di archiviazione e conservazione dei questi dati però comporta un concreto rischio di profilazione delle relative abitudini di consumo degli utenti.

In relazione alla memorizzazione integrale delle fatture in formato XML, l'Agenzia sottolinea che sono registrati solamente i "dati fiscalmente rilevanti di cui all'articolo 21 del D.P.R. 633 del 1972, ad esclusione dei dati di cui al comma 2, lettera g), e alle altre disposizioni tributarie, nonché i dati necessari a garantire il processo di fatturazione elettronica attraverso il SdI, compreso il codice hash del file XML".

Il codice hash è un codice alfanumerico, calcolato dal Sistema di Interscambio, che, inserito tra i dati di ogni fattura elettronica, fa sì che l'Agenzia possa "verificare l'autenticità e l'integrità del documento esibito in sede di controllo".

Il Garante approva la proposta dell'Agenzia di memorizzare solo i dati fiscali rilevanti ai fini dei controlli automatizzati, cancellando invece i dati puramente descrittivi del prodotto o servizio messo in fattura.

Nonostante ciò però il Garante rimane dubbioso circa alcuni tipi di dati, quali ad esempio i dati di trasporto, i dati anagrafici del vettore di riferimento, che l'Agenzia avrebbe intenzione di memorizzare in maniera sistematica che, se non "adeguata, pertinente e limitata rispetto alla finalità per le quali tali dati devono essere trattati", può andare in contrasto con la normativa sulla protezione dei dati personali. Ritiene inoltre che i codici identificativi del prodotto o del servizio a seconda dei casi andrebbero opportunamente inseriti nei dati fattura.

Quindi occorre che l'Agenzia trasmetta le valutazioni in merito.

Consultazione e conservazione delle fatture elettroniche

Il fatto stesso, secondo il Garante, che l'Agenzia metta a disposizione le fatture elettroniche sul proprio portale senza che vi sia stata un'apposita richiesta del consumatore, comporta di per sé "un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web".

L'Agenzia quindi avanza l'idea di un servizio di consultazione e di conservazione delle fatture elettroniche.

  1. Servizio di consultazione - L'Agenzia propone di memorizzare l'intero file XML e renderlo disponibile alla consultazione o al download, solamente qualora l'operatore economico o l'intermediario o lo stesso consumatore finale aderiscano al "servizio di consultazione". Per la memorizzazione, precisa, basta l'adesione al servizio anche di uno solo dei soggetti del rapporto economico, che sia il fornitore o il cliente.

Le fatture comunque saranno rese disponibili alla consultazione solamente a coloro che abbiano reso noto il loro proposito in tal senso.

In mancanza di adesione al servizio, la memorizzazione della fattura avverrà solo nei "casi residuali in cui la messa a disposizione della fattura nell'area riservata del portale dell'Agenzia sia una delle modalità previste per la consegna della stessa al destinatario, ovvero quando, per cause tecniche, non imputabili allo SDI, il recapito non fosse possibile".

Consegnata la fattura elettronica, resteranno memorizzati nel file XML solamente i dati fattura, mentre saranno cancellati tutti i dati non rilevanti ai fini fiscali, insieme al dato fiscale inerente alla descrizione dell'operazione. Sarà possibile consultare comunque le relative fatture elettroniche fino al 31 dicembre del "secondo anno successivo a quello di ricezione della fattura da parte dello SDI".

L'Agenzia però dispone che, affinché entri a regime tale soluzione, avrà necessità di un periodo transitorio - decorso dal 1° gennaio 2019 fino al 2 luglio 2019 - al fine di "realizzare l'acquisizione dei dati fattura e il servizio di consultazione, che sarà reso disponibile dal 3 maggio 2019, consentendo agli operatori di aderire entro 60 giorni" (art. 3, comma 2, della legge 27 luglio 2000, n. 212 - Statuto del contribuente).

Durante tale periodo, per evitare eventuali disservizi, l'Agenzia provvederà alla memorizzazione temporanea di tutti i dati presenti nei file XML delle fatture elettroniche.

Nell'eventualità di mancata adesione del contribuente al servizio di consultazione, l'Agenzia provvederà entro il 2 luglio 2019 alla cancellazione delle fatture elettroniche che sono state memorizzate nel suddetto periodo transitorio. I dati fattura saranno conservati solamente "per le previste attività istituzionali di assistenza e di controllo automatizzato".

La soluzione proposta dall'Agenzia però non convince il Garante in quanto non permette di capire le "caratteristiche del trattamento dei dati fiscali e non fiscali" - come riferiti dall'Agenzia - in particolare, la base giuridica, le finalità del trattamento, le tipologie di dati".

  1. Servizio di conservazione - Il Garante ha individuato criticità anche nell'ambito del "servizio gratuito di conservazione fornito dall'Agenzia delle entrate, ritenendo che non fosse chiaro il ruolo assunto dalla stessa Agenzia in relazione al trattamento dei dati personali e che talune disposizioni contrattuali potessero violare gli artt. 5, par. 1, lett. f) e 32 del Regolamento".

Per poter attivare il servizio occorre aderire ad un accordo attraverso il quale il contribuente "affida all'Agenzia parte del processo di conservazione delle fatture elettroniche. L'accordo del servizio di conservazione disciplina il ruolo e le responsabilità dell'Agenzia, prevedendo che la stessa assuma il ruolo di responsabile del trattamento".

Si prevede, altresì, che i dati presenti nell'accordo sono trattati dall'Agenzia solamente per finalità di conservazione, in conformità a quanto previsto, in materia di trattamento, nel medesimo accordo.

Le fatture vengono conservate per 15 anni, salvo diversa richiesta di proroga da parte dell'operatore economico.

In ogni caso, qualora il contribuente decida di recedere dal servizio, ha diritto alla restituzione delle proprie fatture elettroniche conservate e alla contestuale cancellazione dal sistema di conservazione.

Responsabilità dell'Agenzia delle Entrate

Nell'accordo di conservazione viene focalizzata la mansione dell'Agenzia di assicurare "un'idonea e integrale tutela dei dati personali, adottando tutte le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio".

Pertanto, l'Agenzia è esonerata da qualsiasi responsabilità -in termini di violazione di diritti di terzi, perdita di dati, problemi tecnici- verso il contribuente o soggetti connessi con lo stesso, direttamente o indirettamente, "se dimostra che l'evento dannoso non gli è in alcun modo imputabile".

Inoltre, su invito del Garante, l'Agenzia ha inserito nell'accordo del servizio di conservazione "specifiche previsioni contrattuali in materia di notifica delle violazioni dei dati personali, stabilendo che l'Agenzia, dopo essere venuta a conoscenza di una violazione dei dati personali, informi senza ingiustificato ritardo, l'operatore economico e, su autorizzazione di quest'ultimo, notifichi la violazione al Garante".

Ruolo degli intermediari

Il Garante inoltre ha messo in evidenza il rilevante rischio di utilizzo improprio dei dati personali "nell'ambito dei trattamenti effettuati dagli intermediari e dagli altri soggetti delegati dagli operatori economici nel processo di fatturazione, non solo con riferimento a trattamenti illeciti, ma anche alla proliferazione di possibili collegamenti e raffronti tra fatture di migliaia di operatori economici".

Da procedura infatti è previsto che i contribuenti sottoposti all'obbligo di fatturazione elettronica possano ricorrere ad intermediari a cui delegare le operazioni di trasmissione, consultazione e ricezione delle fatture. La criticità dipende dal fatto che alcuni di questi intermediari svolgono tale compito anche verso più imprese, trattando così un massivo quantitativo di dati personali.

Per rispondere a tale criticità," l'Agenzia ha presentato un sistema di deleghe a cui gli stessi operatori economici dovranno prestare attenzione per non incappare "nei rischi connessi al trattamento dei dati  personali di soggetti terzi coinvolti nel processo di fatturazione".

Difatti, dato l'elevato numero di soggetti coinvolti nell'emissione delle fatture elettroniche e del consueto ricorso agli intermediari, soprattutto nella fase iniziale del processo, l'Agenzia adotta misure di sicurezza "per tutelare il delegante e assicurare che le deleghe siano attivate solo a seguito dell'effettivo conferimento all'intermediario".

Criticità su canali di trasmissione delle fatture elettroniche

Il Garante infine ha evidenziato criticità in merito alla sicurezza dei canali di trasmissione delle fatture elettroniche in quanto il protocollo utilizzato FTP (ossia protocollo di trasmissione dati) non è ritenuto un canale sicuro.

Diventa quindi necessario cifrare i file XML delle fatture, tanto più se si considera che le stesse possano essere trasmesse via PEC (posta certificata). Per cui assume rilevanza il passaggio ad un protocollo che assicuri un idoneo livello di sicurezza a tutela dei dati personali.

Per rispondere a quanto richiesto dal Garante, l'Agenzia ha previsto la sostituzione del protocollo FTP con il protocollo SFTP per tutti i soggetti che abbiano" presentato una richiesta di accreditamento allo SDI, aggiornando contestualmente le specifiche tecniche dell'allegato A al citato provvedimento del Direttore dell'Agenzia delle entrate del 30 aprile 2018".

Il Garante quindi, nonostante le diverse problematiche sopra esposte, non ha bloccato il sistema di fatturazione elettronica ma ha lasciato che si procedesse comunque alla sua esecuzione, predisponendo però che l'Agenzia delle Entrate adempia alle richieste di modifiche e ricerca di soluzioni del sistema da lei presentato.


[1] Formato eXtensible Markup Language, unico formato accettato dal Sistema di Interscambio

 


Dott.ssa Maria Alessandra Monanni

Legal Specialist in Proprietà Intellettuale 
Copywriter e Blogger