fatturazione elettronica 2019 e gdpr

Fatturazione elettronica e il GDPR – AGGIORNAMENTI 2019

Un punto di incontro tra Garante e Agenzia delle entrate?

La fatturazione elettronica è realtà

La fatturazione elettronica è obbligatoria dal primo gennaio per milioni di realtà italiane. Semplificando le imprese e le partite IVA, con alcune eccezioni, dovranno trasmettere le fatture in formato digitale attraverso il c.d. sistema di interscambio (SdI) che memorizza i dati contenuti in esse anche per finalità di controllo da parte dell’Agenza dell’entrate.

Il provvedimento del garante del 15 novembre e il tavolo di lavoro

A novembre il Garante della Privacy si era pronunciato sulla non conformità della fatturazione elettronica con la normativa privacy, chiedendo all’Agenzia delle entrate e al Ministero dell’economia di apportare le modifiche necessarie per garantire il corretto trattamento dei dati.

Riassumendo il Garante aveva rilevato che detto trattamento dei dati era in conflitto con i principi di limitazione delle finalità e minimizzazione del trattamento. Inoltre aveva segnalato diverse carenze sia tecniche sia legali: i canali di trasmissione dei dati non presentavano una sicurezza adeguata, l’informativa inerente l’app non era sufficientemente dettagliata, l’esonero di responsabilità per perdita o distruzione di dati era in contrasto con la normativa, la figura degli intermediari era poco chiara.

A seguito del provvedimento di cui sopra è stato costituito un tavolo di lavoro per esaminare e risolvere le criticità sollevate dal Garante. Al tavolo hanno partecipato, oltre all’Agenzia delle entrate e al Garante, anche il Ministero dell’economia, l’Agenzia per l’Italia digitale, l’ordine dei dottori commerialisti e dei consulenti del lavoro e AssoSoftware. Il 12 dicembre, a seguito del confronto. il Garante ha emesso un provvedimento nel quale riassume quanto accaduto e prende posizione su alcuni aspetti.

Memorizzazione parziale dei dati e sistema di conservazione

Primo punto importante del provvedimento riguarda la memorizzazione dei dati contenuti nelle fatture. Nello specifico l’Agenzia delle entrate non memorizzerà i dati inerenti la descrizione della fattura (salvo particolari casi quali ad esempio gli appalti pubblici).

Ciò appare un importante passo in avanti se si considera che nella descrizione sono spesso contenuti dati importanti quali la prestazione erogata o il bene acquistato, dati che certamente esulano dal profilo fiscale.

Punto dolente è il periodo transitorio che è stato stimato in sei mesi: durante questo periodo l’Agenzia delle entrate continuerà a memorizzare per intero i dati contenuti nella fattura, in attesa di adeguare i propri sistemi informatici.

Critico risulta essere anche il sistema di conservazione e download messo a disposizione del contribuente dall’Agenzia. Tale servizio infatti può ritenersi proporzionato e necessario solo ove sia il cittadino a richiederlo. Diversamente si verrebbe a creare un massivo trattamento di dati consistente in archiviazione automatizzata certamente in contrasto col principio di privacy by default e privacy by design.

Risulta pertanto necessario attivare il sistema di conservazione e download solo a richiesta dell’interessato attraverso appositi accordi.

Esonero per gli esercenti professioni sanitarie

Altro aspetto fondamentale riguarda la fatturazione elettronica dei soggetti esercenti professioni sanitarie. Dette fatture, infatti, sovente contengono nella descrizione dati dai quali è possibile dedurre la salute dei pazienti. Basti pensare dalla fattura contenente la descrizione dell’esame effettuato o del farmaco acquistato.

Per ovviare a questo problema, quantomeno in attesa dell’adeguamento circa la memorizzazione dell’intera fattura, l’Agenzia delle entrate ha esonerato per il 2019 dalla fatturazione elettronica i soggetti tenuti all’invio dei dati al sistema Tessera sanitaria.

Per quanto l’esonero sia pregevole, il Garante ha rilevato prontamente che detta deroga è troppo limitata e che pertanto è necessario estenderla a tutti i soggetti esercenti le professioni sanitarie. È doveroso tenere a mente che non tutti i soggetti che esercitano una professione sanitaria sono tenuti all’invio dei dati al sistema Tessera sanitaria. Ove ciò non dovesse accadere si prevedono sanzioni sia per l’Agenzia dell’entrate che per il singolo medico.

Incremento della sicurezza

In risposta alla critica circa la mancata sicurezza della trasmissione dei dati, è da registrare con postività l’iniziativa dell’Agenzia di abbandonare il protocollo FTP per migrare verso il protocollo SFTP. Questa modifica garantirà un incremento della sicurezza nella trasmissione dei dati. Incerto è però il periodo che verrà impiegato per raggiungere un grado di protezione adeguato.

Nessun adeguamento invece in merito alla richiesta di cifratura dei file XML contenenti la fattura. L’Agenzia delle entrate sostiene infatti che sarebbe incompatibile con un modello che prevede la possibilità di lettura della stessa da parte di diversi soggetti (prestatore, committente, intermediari e Agenzia stessa).

Non soddisfatto il Garante ha assegnato all’Agenzia 4 mesi per analizzare nuovamente il problema, ribadendo che è onere del titolare del trattamento individuare le misure tecniche necessarie che, peraltro, risultano attualmente già disponibili.

In merito al sistema di conservazione delle fatture messo a disposizione dall’Agenzia delle entrate, quest’ultima si è limitata a precisare il funzionamento del sistema e a chiarire il contenuto degli accordi del servizio di conservazione, poi integrati su indicazione del Garante stesso. Rilevante la spiegazione fornita in merito al criticato esonero di responsabilità che, a dire dell’Agenzia, si limiterebbe ai casi di forza maggiore, caso fortuito, per fatto del contribuente o di terzo.

La valutazione d’impatto e il ruolo degli intermediari

Altro punto critico riguarda la valutazione d’impatto sulla protezione dei dati effettuata dall’Agenzia delle entrate in merito al trattamento conseguente la fatturazione elettronica. A parere del Garante questa sarebbe del tutto inadeguata in quanto incentrata sugli aspetti tecnici, quasi fosse una valutazione del rischio informatico, quando l’aspetto saliente dovrebbe riguardare i rischi incomenti sui diritti e sulle libertà degli interessati.

Infine il provvedimento tratta della problematica degli intermediari definendo la loro posizione quali responsabili o sub-responsabili del trattamento e prevedendo una serie di garazie tecniche che consantano di accertare che vi sia stata effettivamente una delega e che questa sia antecedente alla sua attivazione.

In attesa degli adeguamenti

In conclusione si può dire che lo sforzo fatto dall’Agezia delle entrate a dagli altri enti coinvolti è senza dubbio apprezzabile. Restano però numerosi punti oscuri. Innanzitutto sorgono problemi per il periodo di transizione: per i primi sei mesi di fatturazione elettronica l’Agenzia delle entrate registrerà la totalità della fattura compesa la descrizione, si tratta di un quantitativo stimabile in un miliardo e mezzo di documenti fino a luglio. Ugualmente può dirsi per il passaggio al SFTP e per la cifratura che al momento non solo non è stata prevista, ma, a detta dell’Agezia delle entrate, non è nemmeno realizzabile.

Altre criticità si riscontrano per le categorie degli esercenti la professione sanitaria che non sono tenuti all’invio dei dati al sistema Tessera sanitaria i quali, ad oggi, dovrebberò emettere le fatture consentendo all’Agenzia delle entrate di venire a conoscenza e registrare una moltitudine di dati sulla salute delle persone.

Pare opportuno estendere un regime di questo tipo anche alla categoria degli avvocati, in considerazione dei dati di carattere giudiziario che possono figurare all’interno di una fattura o, quantomeno, predisporre delle best practies che riducano al minimo le informazioni contenute in descrizione al fine di minimizzare i rischi.

Non resta che aspettare i primi mesi di vita della fatturazione elettronica per vedere come l’intero modello sarà adeguato alla normativa privacy e se lo stesso reggerà alle problematiche che inevitabilmente sorgeranno dalla pratica.

 

Avv. Francesco Pittaluga

SUITE GDPR SENTINEL

  • ✓ Inventario e discovery della rete aziendale
  • ✓ Analisi delle vulnerabilità e delle anomalie
  • ✓ Registrazione dei log di sistema
  • ✓ Monitoraggio intelligente degli accessi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *