, ,

📃💻Fatturazione elettronica e privacy: le novità rilevanti alla luce dei provvedimenti del Garante

Dal primo Gennaio 2019 la fatturazione elettronica è ufficialmente obbligatoria anche tra privati, ma negli ultimi due mesi ci sono state numerose novità dovute all’intervento del Garante per la protezione dei dati personali: nuovi esoneri e una serie di adeguamenti da porre in essere a carico dell’Agenzia delle Entrate per conformarsi alle regole del nuovo Regolamento privacy europeo n. 679/2016 (GDPR).

Fonte: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9069072

I trattamenti dei dati tramite la fatturazione elettronica e l’intervento del Garante 

Con la legge di bilancio 2018, l’obbligo di fatturazione elettronica, già applicato nei confronti della pubblica amministrazione, è stato esteso alle cessioni di beni e prestazioni di servizi effettuate tra due operatori Iva (B2B), ma anche a quelle effettuate verso un consumatore finale (B2C) con l’eccezione degli operatori che rientrano nei c.d. regimi di vantaggio e regimi forfettari, per i quali è facoltativo, nonché dei piccoli produttori agricoli già esonerati dall’emissione di fattura.

I dati obbligatori da riportare, a norma di legge, nella fattura elettronica sono i medesimi di quelli stessi già riportati nelle fatture cartacee. È previsto, tuttavia, che le informazioni obbligatorie a fini fiscali, indicate nelle fatture elettroniche, possano essere integrate con ulteriori dati utili alla gestione del ciclo attivo e passivo degli operatori.

Con il provvedimento n. 481 del 15 novembre 2018 il Garante per la protezione dei dati personali ha avvertito l’Agenzia delle entrate che il nuovo obbligo di fatturazione elettronica presenta un rischio elevato per i diritti e le libertà degli interessati, comportando un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito. Si tratta della prima volta che il Garante esercita il nuovo potere correttivo di avvertimento, attribuito dal GDPR.

Nello specifico, con riferimento ai trattamenti dei dati personali della fatturazione elettronica così come inizialmente disciplinata dall’Agenzia delle Entrate, il Garante ha rilevato una serie di criticità. In primo luogo, l’Agenzia non ha preventivamente consultato l’Autorità garante, il che avrebbe potuto garantire un rispetto della protezione dei dati sin dalla progettazione, pertanto  secondo la struttura delineata, il trattamento dei dati dovrebbe avvenire non solo per recapitare le fatture attraverso il sistema di interscambio (SDI) tra gli operatori economici e i contribuenti, ma anche per archiviare ed utilizzare i dati a fini di controllo. Tuttavia il trattamento non si limiterebbe ai soli dati obbligatori a fini fiscali, ma verrebbe archiviata la fattura vera e propria, che contiene di per sé informazioni di dettaglio ulteriori sui beni e servizi acquistati, come le abitudini e le tipologie di consumo.

Ulteriori criticità sotto il profilo della sicurezza e dei rischi di utilizzi impropri delle informazioni sono state rilevate con riguardo alle modalità di trasmissione attraverso lo SDI e gli ulteriori servizi offerti dall’Agenzia (come la conservazione dei dati) oltre che sul ruolo assunto dagli intermediari delegabili dal contribuente per la trasmissione, la ricezione e la conservazione delle fatture, che secondo il Garante potrebbero potenzialmente raccogliere una quantità elevata di informazioni con un conseguente aumento dei rischi.

L’intervento del Garante di Novembre si è sostanziato in una richiesta di chiarimenti circa le attività di trattamento delineate dall’Agenzia – con annessa richiesta della valutazione d’impatto ex. Art.35 del GDPR – e nell’apertura di un tavolo di lavoro tecnico con il Ministero dell’Economia e delle Finanze, in cui l’Agenzia ha presentato alcune soluzioni per superare le obiezioni mosse dal Garante sulla precedente strutturazione del sistema.

Le soluzioni proposte sono state analizzate dal Garante che con il provvedimento n. 511 del 20 dicembre 2018 ha individuato i presupposti e le condizioni perché la stessa Agenzia possa procedere dal 1 gennaio 2019 con i trattamenti di dati connessi al nuovo obbligo.

Per quanto riguarda la memorizzazione eccessiva delle informazioni, l’Agenzia ha garantito che verranno memorizzati esclusivamente:

  • i dati obbligatori di cui all’art. 21 e 21-bis del DPR n. 633/1972 e fiscalmente rilevanti;
  • le informazioni obbligatorie indicate nelle specifiche tecniche allegate al Provvedimento n. 89757 dell’Agenzia delle entrate del 30 aprile 2018 (es. “codice destinatario”), indispensabili ai fini di una corretta trasmissione della fattura al soggetto destinatario; e
  • le altre informazioni facoltative utili ad agevolare la gestione digitale dei flussi di fatturazione.

Una volta consegnata la fattura elettronica i dati “non fiscali” verranno cancellati e verranno tenuti presso l’Agenzia i soli dati fiscali rilevanti ai fini degli accertamenti. L’Agenzia potrà inoltre conservare in archiviazione le fatture solo su richiesta dei contribuenti che avranno necessità di consultarle e si limiterà a trattare tali dati per finalità di conservazione.

Il provvedimento del Garante inoltre estende a tutti gli operatori sanitari la deroga alla fatturazione elettronica legislativamente prevista per coloro che inviano i dati al Sistema Tessera Sanitaria.

Con riferimento alla valutazione d’impatto presentata dall’Agenzia, è stata richiesta una integrazione in quanto non è stata ritenuta sufficiente poiché troppo focalizzata su aspetti tecnici e poco sugli scenari di rischio effettivi per i diritti e le libertà degli individui. L’Agenzia è stata inoltre invitata a prendere in considerazione tecniche di cifratura delle informazioni per aumentare la sicurezza della trasmissione dei messaggi.

OPERATIVAMENTE

Alcuni dei miglioramenti apportati al sistema di fatturazione elettronica a seguito dell’intervento del Garante hanno già avuto effetto, tuttavia per la piena implementazione dei correttivi suggeriti l’Agenzia ha evidenziato la necessità di un periodo transitorio per adeguare i propri sistemi, che durerà fino al 2 luglio 2019, in cui non saranno eliminati i campi relativi ai dati “non fiscali” delle fatture elettroniche. Durante questo periodo è opportuno valutare gli effetti sulla propria struttura di gestione degli adempimenti fiscali anche in vista delle novità relative alla conservazione delle fatture introdotte.

Sulla profilazione puà interessarti questo articolo: “PROFILARE I CLIENTI SENZA IL LORO CONSENSO: LE NUOVE OPPORTUNITÀ INTRODOTTE DAL GDPR“.

Resta aggiornato sui prossimi articoli -> segui Technolawgy su Twitter – su Fb e su Telegram  

Se ti è stata utile questa analisi, diffondila condividendo sui tuoi canali #Social, Be Influent!

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.