Parere del Garante Privacy sulla e-fattura: rilevanti criticità su compatibilità con GDPR

MILANO - Il Garante per la protezione dei dati personali ha evidenziato "rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali” riferendosi al nuovo obbligo della fatturazione elettronica – il 1° gennaio 2019 scatta quello B2B – così come è stato regolato dall’Agenzia delle entrate, che è stata avvertita del problema e a cui è stato chiesto di rendere a breve noto come intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica.

Si tratta della prima volta che il Garante esercita il nuovo potere correttivo di avvertimento, attribuito dal Regolamento europeo, attraverso un provvedimento adottato anche a seguito di alcuni reclami.

Il nuovo obbligo di fatturazione elettronica presenta, stando al parere del Garante, fattori di rischio per i diritti e le libertà degli interessati, poiché comporta un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo a ogni aspetto della vita quotidiana di tutta la popolazione, non proporzionato rispetto all’obiettivo di interesse pubblico perseguito, per quanto sia esso legittimo.

Sono diverse le criticità rilevate. L’Agenzia, dopo aver recapitato le fatture in qualità di “postino” attraverso il sistema di interscambio (Sdi) tra gli operatori economici e i contribuenti, archivierà e utilizzerà i dati anche a fini di controllo, ma non verranno archiviati solo i dati obbligatori a fini fiscali, bensì la fattura vera e propria.

Questo documento contiene per sua natura informazioni di dettaglio ulteriori sui beni e servizi acquistati, come le abitudini e le tipologie di consumo, legate alla fornitura di servizi energetici e di telecomunicazioni (regolarità nei pagamenti, appartenenza a particolari categorie di utenti), o addirittura la descrizione delle prestazioni sanitarie o legali. Altre criticità derivano dalla scelta dell’Agenzia delle entrate di mettere a disposizione sul proprio portale, senza una richiesta dei consumatori, tutte le fatture in formato digitale, anche per chi vorrà continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore, come garantito dal legislatore.

A porre altri problemi è il ruolo assunto dagli intermediari delegabili dal contribuente per la trasmissione, la ricezione e la conservazione delle fatture. Alcuni di essi operano per numerose imprese e quindi accentrano grandi quantità di dati personali. E' dunque elevato il rischio, non solo per la sicurezza delle informazioni, ma anche relativo a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.

Anche le modalità di trasmissione sono oggetto di analisi: lo Sdi e gli ulteriori servizi offerti dall’Agenzia (come la conservazione dei dati) presentano criticità per quanto riguarda i profili di sicurezza, a partire dalla mancata cifratura della fattura elettronica, tanto più considerato l’utilizzo della Pec per lo scambio delle fatture, con la conseguente possibile memorizzazione di documenti sui server di posta elettronica.

“Una preventiva consultazione dell’Autorità, peraltro stabilita dal previgente Codice privacy e dal nuovo Regolamento Ue – evidenzia il Garante –  avrebbe potuto assicurare fin dalla progettazione l’avvio del nuovo sistema con modalità e garanzie rispettose della protezione dei dati personali, introducendo misure tecnico organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica”.

Il provvedimento del Garante è stato inviato anche al Presidente del Consiglio dei ministri e al Ministro dell’Economia e delle finanze per le valutazioni di competenza.