L'APPROFONDIMENTO

Fatturazione elettronica, tra sicurezza e accountability del GDPR: che c’è da sapere

Con un provvedimento del 15 novembre scorso emesso nei confronti dell’Agenzia delle Entrate, il Garante per la protezione dei dati personali ha rilevato che l’obbligo della fatturazione elettronica tra privati presenta rilevanti criticità in ordine alla protezione dei dati personali. Cosa succederà adesso? Ecco che c’è da sapere

19 Nov 2018
C
Salvatore Coppola

Avvocato del Foro di Matera, DPO

Il 15 novembre u.s. il Garante per la protezione dei dati personali ha emesso un provvedimento nei confronti dell’Agenzia delle Entrate rilevando che il nuovo obbligo della fatturazione elettronica tra fornitori (b2b) e tra fornitori e consumatori (b2c) in vigore dal prossimo gennaio, così come è stato regolato “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”.

È la prima volta che il Garante esercita i poteri riconosciuti dall’art. 58, par. 1, lett. a) di ingiungere al Titolare del trattamento di fornire alla stessa Autorità ogni informazione necessaria all’esecuzione dei suoi compiti nonché ai sensi del par. 2, lett. a) di rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del GDPR.

Invero la fatturazione elettronica così come è stata strutturata determinerebbe un trattamento sistematico di dati personali anche particolari su larga scala, potenzialmente relativi ad ogni aspetto della vita quotidiana, che presenterebbe un rischio elevato per i diritti e le libertà degli interessati.

Per questi motivi l’Autorità ha chiesto all’Agenzia delle Entrate di far sapere con urgenza come intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica.

Fatturazione elettronica: le criticità rilevate dal Garante

In breve, il Garante ha rilevato le seguenti criticità:

  • l’archiviazione della fattura nella sua interezza: non saranno archiviati solo i dati obbligatori a fini fiscali ma anche le informazioni in essa contenute quali dettagli su beni e servizi acquistati, sconti applicati, fidelizzazioni, abitudini e tipologie di consumo, regolarità nei pagamenti, appartenenza a particolari categorie di utenti, descrizione di prestazioni sanitarie o legali;
  • la disponibilità sul portale di tutte le fatture in formato digitale, anche per i consumatori che non ne hanno fatto richiesta e che preferiscono ricevere la fattura cartacea o digitale direttamente dal fornitore;
  • la concentrazione dei dati presso gli intermediari delegabili dal contribuente e il ruolo da questi assunto per la trasmissione, la ricezione e la conservazione delle fatture;
  • l’in-sicurezza dei canali di trasmissione (SDI) delle fatture elettroniche;
  • la mancata cifratura del file XML della fattura elettronica;
  • l’utilizzo della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di posta elettronica;
  • i profili di sicurezza relativi all’app e alla conservazione dei dati offerti dall’Agenzia.

Quanto accaduto appare inverosimile se si tiene conto di quanto chiaramente espresso dal Considerando 78: “In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati”.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

Tanto più quando il Considerando 78 specifica che “I principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici”.

Questo articolo prova a fare chiarezza sulle misure che titolari e responsabili del trattamento sono tenuti ad adottare per garantire – ed essere in grado di dimostrare – che il trattamento sia effettuato conformemente al Regolamento (UE) 2016/679.

Per comprendere questo è necessario richiamare i principi cardine del GDPR: sicurezza e accountability.

Sicurezza dei dati personali: cosa dice il GDPR

Con riferimento al principio di sicurezza, l’art. 5, par. 1, lett. f), GDPR prescrive che i dati “devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti o dalla perdita, dalla distruzione o dal danno accidentali (integrità e riservatezza)”. Pertanto, la mancata tutela dei dati personali rende illecito il trattamento stesso.

L’art. 24 GDPR stabilisce che il titolare è obbligato ad adottare misure tecniche e organizzative adeguate a garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al Regolamento (UE) 2016/679. Tanto è esplicitato dal Considerando 78 il quale precisa che “… tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza”.

L’art. 25 GDPR si concentra su pseudonimizzazione e minimizzazione, misure tecniche e organizzative da adottare fin dalla progettazione dei trattamenti (secondo il principio della privacy by design). La pseudonimizzazione richiede che il trattamento sia effettuato in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive; queste ultime dovranno essere conservate separatamente e soggette a misure intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile (art. 5 GDPR e cons. 28).

La minimizzazione è tesa a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo riguarda la quantità dei dati raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità.

Si aggiunga che l’art. 32 GDPR specifica che il titolare e il responsabile del trattamento devono garantire un livello di sicurezza adeguato al rischio. In particolare, devono mettere in atto le seguenti misure:

  1. pseudonimizzazione e cifratura (metodo che consente di trasformare un testo in chiaro e leggibile da chiunque in un testo cifrato e quindi non intellegibile);
  2. capacità di assicurare in maniera permanente riservatezza, integrità, disponibilità e resilienza dei sistemi e servizi di trattamento;
  3. capacità di ripristinare per tempo la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  4. una procedura per testare, verificare e valutare con regolarità l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Appare pertanto evidente come le criticità rilevate dal Garante violerebbero la sicurezza dei dati.

Importante segnalare, a questo punto, che la violazione degli obblighi previsti dagli artt. 25 e 32 del GDPR comportano a carico di titolari e responsabili del trattamento le sanzioni amministrative pecuniarie di cui all’art. 83, par. 4, lettera a), del Regolamento fino a 10.000.000,00 di euro.

Protezione dei dati: il principio di accountability

L’Agenzia delle Entrate offre un servizio gratuito di conservazione delle fatture basato su un accordo di servizio.

Da quanto emerso da alcune notizie di stampa, sembrerebbe che il testo di tale accordo preveda che “l’Agenzia non potrà essere ritenuta responsabile nei confronti del contribuente né nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione”. Tanto costituirebbe in termini di sicurezza una violazione degli artt. 5, par. 1, lett. f) e 32 del GDPR.

In verità, se il testo di tale accordo fosse confermato l’attenzione dovrebbe essere rivolta principalmente alla violazione del principio di accountability ovvero di «responsabilizzazione».

Questo principio costituisce la principale novità introdotta dal Regolamento (UE) 2016/679 e attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5 GDPR).

L’accountability è infatti la diretta conseguenza dell’ampio potere di direzione del titolare, a cui corrisponde un’articolata serie di adempimenti e di responsabilità giuridicamente rilevanti. Pertanto, la qualità di titolare discende direttamente dai poteri decisionali che si esercitano sui dati e non può essere liberamente determinata o delegata.

Una lezione per tutti i titolare del trattamento

Innanzi alle critiche mosse, ci si aspetta dunque che l’Agenzia delle Entrate specifichi le misure di garanzia che intenderà adottare al fine di assicurare la protezione dei dati personali dei contribuenti.

Tuttavia, l’eco enorme derivata dalla vicenda occorsa all’Agenzia, per la sua imponenza e per la sensibilità dei dati trattati, non deve portare a considerarla come un caso distante dalle casistiche di altri titolari.

Può infatti affermarsi che il principio dell’accountability richiede al titolare del trattamento di adottare le misure più adeguate per impostazione predefinita e pertanto appare particolarmente rilevante scegliere produttori di applicazioni e servizi sviluppati e progettati tenendo conto della protezione dei dati.

Pertanto, il titolare potrà certamente nominare responsabile del trattamento la società di servizi a cui affida la conservazione dei dati personali ma non potrà mai venir meno alle sue responsabilità.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr