Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI

Fattura elettronica a rischio privacy: i nodi giuridici

Altolà del Garante Privacy all’Agenzia delle Entrate: profili di illegittimità per la nuova normativa. Un’analisi giuridica per capire cosa succederà adesso, in attesa che il 1° gennaio 2019 scatti l’obbligo della fattura elettronica anche tra privati

19 Nov 2018
P

Luigi Padovan

Avvocato e Data Protection Officer (DPO), Co-founder DPO Compliance Consulting


Ha destato molto clamore il provvedimento nei confronti dell’Agenzia delle Entrata con il quale l’Autorità Garante per la Protezione dei Dati personali ha detto “stop” alla fattura elettronica. Così facendo, il Garante ha esercitato per la prima volta, ponendosi in prima linea nel panorama europeo, una delle nuove e importanti prerogative a esso attribuite dal Regolamento Europeo (EU) 2016/679, l’ormai celeberrimo GDPR, costituita dall’esercizio dei cosiddetti poteri correttivi.

L’art. 58 della nuova normativa dell’Unione prevede, infatti, la possibilità per le Autorità nazionali di controllo, di intervenire nei confronti, tra gli altri, degli enti o degli organi dello Stato, qualora ravvisi, nella loro veste di Titolari del trattamento, delle criticità che possono porsi in contrasto con la vigente normativa in materia di protezione dei dati personali.

Utilizzando il dato testuale normativo, può dirsi che ogni autorità di controllo ha, tra gli altri, il potere di “rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento”.

L’Agenzia delle Entrate può quindi “fregiarsi” di essere stata la prima destinataria di questa nuova prerogativa, in relazione a una delle innovazioni più attese (e temute) degli ultimi anni da parte dei contribuenti, ovvero l’introduzione della fattura elettronica che, a questo punto, non pare certo nascere sotto una buona stella.

Fattura elettronica: le criticità rilevate dal Garante

Il nuovo obbligo di fatturazione elettronica – esteso dall’1 gennaio 2019 anche ai rapporti tra fornitori e tra fornitori e consumatori – presenta, secondo il Garante, un rischio elevato per i diritti e le libertà degli interessati, comportando un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo a ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito dall’Agenzia.

Il sistema in fase di prossima introduzione prevede infatti che l’Agenzia archivi e utilizzi i dati acquisiti attraverso il cosiddetto sistema di interscambio (SDI) anche a fini di controllo.

Non si tratta però dei soli dati obbligatori a fini fiscali, ma del contenuto della fattura vera e propria, la quale contiene per sua natura ogni informazione sui beni e servizi acquistati e dalla quale sono immediatamente evincibili abitudini e tipologie di consumo dei cittadini, anche in relazione – ad esempio – alla fornitura di servizi energetici e di telecomunicazioni (ad esempio, regolarità nei pagamenti, appartenenza a particolari categorie di utenti ecc.), sino addirittura alla descrizione dettagliata delle prestazioni sanitarie o legali di cui si è usufruito.

Quanto appena esposto basterebbe di per sé a far rizzare i capelli al meno convinto dei complottisti, ma c’è di più.

Oggetto di severa critica è difatti anche la scelta dell’Agenzia delle Entrate di mettere a disposizione sul proprio portale tutte le fatture in formato digitale, anche per chi preferirà comunque continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore, come garantito dal legislatore.

Infine, e non meno pregnante a livello di criticità, è la circostanza che gli intermediari delegabili dal contribuente, includendosi in tal senso le software house, i provider web e quant’altro, per la trasmissione, la ricezione e la conservazione delle fatture, operano molto spesso nei confronti di una gran moltitudine di imprese e contribuenti, accentrando enormi masse di dati personali presso i loro archivi, con un evidente aumento dei rischi, non solo per la sicurezza delle informazioni o data breach, ma anche per ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.

Si tratta in sostanza di una serie di problematiche di enorme impatto che, individuate dettagliatamente dall’Autorità Garante, sembrano porre un colpo mortale, ancor prima della sua venuta alla luce, alla legittimità di un sistema che tanta innovazione si era prefigurato di portare nel sistema economico nazionale.

Fattura elettronica: non rispetta il principio di privacy by design

Eppure, come evidenziato dalla stessa Autorità Garante nel proprio comunicato stampa, pubblicato a corredo della propria iniziativa istituzionale, sarebbe bastata semplicemente una preventiva consultazione della stessa Autorità, peraltro stabilita sia dal previgente Codice della privacy che dal nuovo Regolamento UE, la quale avrebbe potuto assicurare, fin dalla sua progettazione (in applicazione del principio, oggi anch’esso normativizzato, della privacy by design), l’avvio del nuovo sistema secondo modalità e garanzie rispettose della protezione dei dati personali, introducendo misure tecnico organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica.

Sembra quindi che l’Autorità Garante, con questo lodevole e innovativo intervento, abbia voluto creare una nuova consapevolezza, non solo nei confronti dell’Agenzia delle Entrate, destinataria passiva del provvedimento in questione, la quale non ha inteso né ha saputo cogliere la necessità di un approccio privacy-oriented per la propria innovazione, oggi legislativamente obbligatorio, ma – a ben vedere – anche nei confronti dei cittadini.

Per questi ultimi infatti, in un mondo sempre più digitalmente connesso, non è sempre agevole scorgere e riconoscere come minacce reali e attuali alle libertà personali di ciascuno di noi situazioni che, a prima vista, non paiono di Orwelliana memoria.

Ci rassicura quindi, e non poco, che chi è preposto a vigilare in un ambito tanto delicato quale la protezione dei dati personali, abbia inteso cogliere l’opportunità di porsi proprio quale garante delle libertà personali dei cittadini e che venga in tal modo veicolato l’intento del legislatore, che il nuovo Regolamento europeo reca con sé, ovvero che il GDPR non rappresenta soltanto una serie di oneri posti a carico delle imprese, men che meno in senso meramente formalistico, bensì ma di un apparato normativo di natura sostanziale, posto a tutela dei diritti dei cittadini dell’Unione.

Obbligo di fatturazione elettronica: cosa succede adesso

A questo punto, però, si pongono ulteriori problemi e si ha la sensazione che l’intervento dell’Autorità Garante abbia scoperchiato un vaso di Pandora, soprattutto in caso di un eventuale ritardo, da parte della politica, nelle necessarie determinazioni conseguenti dall’emanazione del provvedimento di avvertimento ex art. 58 del GDPR.

Alla luce dell’intervento in questione, non appare infatti così remota la possibilità che il nuovo sistema di fatturazione elettronica venga clamorosamente disatteso proprio dai contribuenti, ai quali è rivolto, proprio in considerazione della pronuncia dell’Autorità Garante di cui si tratta, la quale, al di là di ogni ulteriore ragionamento, pare averne di fatto sancito l’illegittimità per contrarietà alle norme imperative vigenti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5