Fatturazione elettronica e gdpr

La fatturazione elettronica e il GDPR

Frizioni tra Autorità Garante della Privacy e Agenzia delle entrate?

 

Fatturazione elettronica: obbligatoria da gennaio 2019

Da gennaio 2019 diventa obbligatoria la fatturazione elettronica per tutti quanti. È stata prevista per la prima volta in Italia dalla Decreto Legislativo 52 del 2004. A partire dal 2007 è stata resa obbligatoria per tutte le fatturazioni nei confronti delle PA e successivamente è stata estesa fino a raggiungere la totalità dei soggetti.

In breve trattasi di una fattura in formato digitale caratterizzata da immutabilità e inalterabilità, dotata di riferimento temporale e firma digitale dell’emittente. L’obiettivo consiste nel trattare l’intero ciclo degli acquisti in forma elettronica per garantire un maggior controllo da parte dell’Agenzia delle Entrate.

 

Fatturazione elettronica: necessaria per il controllo fiscale ma attenzione al flusso di dati personali

Per quanto sia importante consentire allo Stato di verificare il pagamento delle tasse da parte dei cittadini, è di tutta evidenza che questo progetto genererà un flusso di dati personali assai rilevante. Dati di centrale importanza riguaranti sia elementi identificanti la persona fisica (nome, cognome, indirizzo), sia dati inerenti la situazione economica del soggetto (capacità reddituale, dati bancari).

A fronte di questo massivo trattamento di dati personali nessuna riflessione è stata fatta in termini di privacy. E ciò pare assai grave se si tiene presente il numero di adempimenti che la nuova norma richiede a tutti i soggetti, privati e pubblici.

Sulla questione la voce del Garante della Privacy, nella persona del Presidente Antonello Soro, non ha tardato ad arrivare. In un primo provvedimento del Garante datato 15 novembre 2018 rileva che nell’estendere la fattura elettronica a tutti i soggetti, si pongono seriamente a rischio i diritti e le libertà degli interessati.

In primo luogo il Presidente Soro lamenta la mancata consultazione preventiva del Garante, in palese violazione dell’obbligo di collaborazione tra Autorità amministrative e Garante della Privacy sancito dell’articolo 154 quarto comma del codice privacy (tutt’ora in vigore).

 

Dati personali: quali dati si registrano nella fatturazione elettronica?

Entrando nel merito si evidenzia che l’Agenzia delle entrate, registrando l’intera fattura elettronica, non entra in possesso solo dei dati fiscali, ma di tutta una serie di dati eccedenti rispetto le finalità (dai beni e servizi forniti fino ad arrivare a veri e propri dati sanitari e giudiziari). Si pensi alla fattura emessa da uno studio medico che indicando il tipo di esame effettuato o anche solo la specializzazione del medico diagnosticante permette di entrare a conoscenza dello stato di salute del soggetto.

È di tutta evidenza che trattasi di una violazione dei principi di limitazione delle finalità e minimizzazione del trattamento. In sostanza il trattamento effettuato è sproporzionato rispetto alla finalità di interesse pubblico perseguita.

Anche la messa a disposizione delle fatture sul portale dell’Agenzia delle Entrate, senza peraltro richiesta da parte dell’interessato, genera un massivo trattamento informatizzato che incrementa il rischio per la protezione dei dati. Scelta questa che si pone in attrito con i principi base non solo di minimizzazione ma anche di privacy by design e privacy by default imposti dal GDPR.

 

Il ruolo degli intermediari e le carenze di sicurezza

Infine il ruolo degli intermediari viene messo in discussione. Gli stessi sarebbe opportuno fossero meglio definiti, più chiari dovrebbero essere i loro compiti e bisognerebbe tenere in considerazione la grande concentrazione di dati presso questi ultimi con tutti i rischi a ciò connessi.

Rilevati i problemi in termini di principio, il Garante della privacy scende nel dettaglio tecnico delle carenze di sicurezza:

  • il canale di trasmissione utilizzato, essendo un mero FTP, non è da ritenersi idoneo alle misure di sicurezza adeguante;
  • in considerazione dell’uso del mezzo della PEC per la trasmissione (che per sua natura risulta critico rimanendo il file nei server di posta elettronica e potendo essere facilmente soggetto ad attacchi informatici) risulta opportuno prevedere una cifratura dei file XML contenenti le fatture elettroniche, ad oggi inesistente;
  • la app messa a disposizione dall’Agenzia non specifica nell’informativa sul trattamento dei dati in modo sufficientemente dettagliato le finalità perseguite dalla stessa;
  • parrebbe che il servizio di storage gratuito messo a disposizione dall’Agenzia sia “a rischio e pericolo” dell’utilizzatore. In altre parole l’Agenzia nell’accordo si esonera da ogni responsabilità per perdita o furto di dati.

 

Attendiamo il nuovo anno

L’avvertimento per ora è caduto nel vuoto, sia l’Agezia delle entrate che il Ministero dell’economia e delle finanze, non hanno dato seguito agli inviti del Garante della Privacy. Ma il Presidente Soro, a una settimana dal provvedimento, tiene a precisare che in questa operazione il titolare del trattamento è l’Agenzia delle Entrate e che il ruolo dell’Autorità Garante è quella di controllare il rispetto della normativa ed eventualmente sanzionare i comportamenti difformi.

Bisognerà aspettare il primo gennaio per vedere l’evolversi della vicenda. È però possibile rilevare fin da ora l’importanza dell’intervento del Garante postosi a tutela dei privati cittadini contro i possibili abusi dello stato dimostrando, non che ci fossero dubbi, di rimanere fedele al suo ruolo di Garanzia e Autonomia.

 

Avv. Francesco Pittaluga

SUITE GDPR SENTINEL

  • ✓ Inventario e discovery della rete aziendale
  • ✓ Analisi delle vulnerabilità e delle anomalie
  • ✓ Registrazione dei log di sistema
  • ✓ Monitoraggio intelligente degli accessi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *