Il Garante Privacy torna ad occuparsi di fattura elettronica e lo fa con la deliberazione dello scorso 6 febbraio 2020 con cui ha approvato il piano ispettivo per il primo semestre dell’anno.
Per la prima volta, dunque, la fatturazione elettronica viene interessata dai controlli in materia di privacy, ma sarà comunque solo uno dei punti al centro degli 80 nuovi accertamenti ispettivi che verranno effettuati anche a mezzo del Nucleo speciale tutela privacy della GdF.
In particolare, come si legge nel testo della deliberazione (Registro dei provvedimenti n. 23 del 6 febbraio 2020), i controlli sulle fatture elettroniche verteranno sui trattamenti di dati effettuati da parte degli intermediari.
Indice degli argomenti
Fattura elettronica e rischio privacy: il precedente
La privacy, dunque, e in particolare il trattamento dei dati personali continuano ad essere punti critici nella gestione della fatturazione elettronica.
Ricordiamo tutti il clamore destato dal provvedimento del 15 novembre 2018 nei confronti dell’Agenzia delle Entrata con il quale l’Autorità Garante per la protezione dei dati personali disse “stop” alla fattura elettronica. Così facendo, il Garante esercitò per la prima volta, ponendosi in prima linea nel panorama europeo, una delle nuove e importanti prerogative a esso attribuite dal Regolamento Europeo (EU) 2016/679, l’ormai celeberrimo GDPR, costituita dall’esercizio dei cosiddetti poteri correttivi.
L’art. 58 della normativa dell’Unione prevede, infatti, la possibilità per le Autorità nazionali di controllo, di intervenire nei confronti, tra gli altri, degli enti o degli organi dello Stato, qualora ravvisi, nella loro veste di Titolari del trattamento, delle criticità che possono porsi in contrasto con la vigente normativa in materia di protezione dei dati personali.
Utilizzando il dato testuale normativo, può dirsi che ogni autorità di controllo ha, tra gli altri, il potere di “rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento”.
L’Agenzia delle Entrate poté quindi “fregiarsi” di essere stata la prima destinataria di questa nuova prerogativa, in relazione a una delle innovazioni più attese (e temute) degli ultimi anni da parte dei contribuenti, ovvero l’introduzione della fattura elettronica che, a quel punto, non parve certo nascere sotto una buona stella.
Ricordiamo come andarono i fatti.
Fattura elettronica: le criticità rilevate dal Garante
Il nuovo obbligo di fatturazione elettronica – esteso dall’1 gennaio 2019 anche ai rapporti tra fornitori e tra fornitori e consumatori – presentava, secondo il Garante, un rischio elevato per i diritti e le libertà degli interessati, comportando un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo a ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito dall’Agenzia.
Il sistema in fase di introduzione (ricordiamo che parliamo del 15 novembre 2018) prevedeva infatti che l’Agenzia archiviasse e utilizzasse i dati acquisiti attraverso il cosiddetto sistema di interscambio (SDI) anche a fini di controllo.
Non si trattava però dei soli dati obbligatori a fini fiscali, ma del contenuto della fattura vera e propria, la quale contiene per sua natura ogni informazione sui beni e servizi acquistati e dalla quale sono immediatamente evincibili abitudini e tipologie di consumo dei cittadini, anche in relazione – ad esempio – alla fornitura di servizi energetici e di telecomunicazioni (ad esempio, regolarità nei pagamenti, appartenenza a particolari categorie di utenti ecc.), sino addirittura alla descrizione dettagliata delle prestazioni sanitarie o legali di cui si è usufruito.
Quanto appena esposto sarebbe bastato di per sé a far rizzare i capelli al meno convinto dei complottisti, ma c’era di più.
Oggetto di severa critica fu difatti anche la scelta dell’Agenzia delle Entrate di mettere a disposizione sul proprio portale tutte le fatture in formato digitale, anche per chi avrebbe preferito comunque continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore, come garantito dal legislatore.
Infine, e non meno pregnante a livello di criticità, era la circostanza che gli intermediari delegabili dal contribuente, includendosi in tal senso le software house, i provider web e quant’altro, per la trasmissione, la ricezione e la conservazione delle fatture, operavano molto spesso nei confronti di una gran moltitudine di imprese e contribuenti, accentrando enormi masse di dati personali presso i loro archivi, con un evidente aumento dei rischi, non solo per la sicurezza delle informazioni o data breach, ma anche per ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.
Si trattava in sostanza di una serie di problematiche di enorme impatto che, individuate dettagliatamente dall’Autorità Garante, sembravano porre un colpo mortale, ancor prima della sua venuta alla luce, alla legittimità di un sistema che tanta innovazione si era prefigurato di portare nel sistema economico nazionale.
Fattura elettronica: non rispettato il principio di privacy by design
Eppure, come evidenziato dalla stessa Autorità Garante nel proprio comunicato stampa, pubblicato a corredo della propria iniziativa istituzionale, sarebbe bastata semplicemente una preventiva consultazione della stessa Autorità, peraltro stabilita sia dal previgente Codice della privacy che dal nuovo Regolamento UE, la quale avrebbe potuto assicurare, fin dalla sua progettazione (in applicazione del principio, oggi anch’esso normativizzato, della privacy by design), l’avvio del nuovo sistema secondo modalità e garanzie rispettose della protezione dei dati personali, introducendo misure tecnico organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica.
Sembrò quindi che l’Autorità Garante, con il suo lodevole e innovativo intervento, avesse voluto creare una nuova consapevolezza, non solo nei confronti dell’Agenzia delle Entrate, destinataria passiva del provvedimento in questione, la quale non ha inteso né ha saputo cogliere la necessità di un approccio privacy-oriented per la propria innovazione, oggi legislativamente obbligatorio, ma – a ben vedere – anche nei confronti dei cittadini.
Per questi ultimi infatti, in un mondo sempre più digitalmente connesso, non è sempre agevole scorgere e riconoscere come minacce reali e attuali alle libertà personali di ciascuno di noi situazioni che, a prima vista, non paiono di Orwelliana memoria.
Ci rassicura quindi, e non poco, che chi è preposto a vigilare in un ambito tanto delicato quale la protezione dei dati personali, abbia inteso cogliere l’opportunità di porsi proprio quale garante delle libertà personali dei cittadini e che venga in tal modo veicolato l’intento del legislatore, che il nuovo Regolamento europeo reca con sé, ovvero che il GDPR non rappresenta soltanto una serie di oneri posti a carico delle imprese, men che meno in senso meramente formalistico, bensì un apparato normativo di natura sostanziale, posto a tutela dei diritti dei cittadini dell’Unione.
Articolo pubblicato il 19 novembre 2018 e aggiornato in seguito alla deliberazione del 6 febbraio 2020 con cui il Garante privacy ha approvato il piano ispettivo per il primo semestre del 2020.
