Il Garante per la protezione dei dati personali ha avvertito l’Agenzia delle entrate che il nuovo obbligo della fatturazione elettronica, così come è stato regolato dall’Agenzia delle entrate, “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”. Per questo motivo ha chiesto all’Agenzia di far sapere con urgenza come intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica

E’ la prima volta che il Garante esercita il nuovo potere correttivo di avvertimento, attribuito dal Regolamento Europeo  attraverso un provvedimento adottato anche a seguito di alcuni reclami pervenuti alla sede del Garante

Il nuovo obbligo di fatturazione elettronica - esteso a partire dal 1 gennaio 2019 anche ai rapporti tra fornitori e tra fornitori e consumatori - presenta, secondo il Garante, un rischio elevato per i diritti e le libertà degli interessati, comportando un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito:

- I provvedimenti del Direttore dell’Agenzia delle entrate del 30 aprile 2018 e del 5 novembre 2018, sono stati adottati senza che il Garante sia stato consultato;

- Le fatture inoltrate e archiviate dall'Agenzia delle Entrate tramite il sistema Sdi contengono innumerevoli dati personali che alcune volte non sono strettamente riferiti alle finalità fiscali dichiarate: beni e servizi ceduti, descrizione delle prestazioni, rapporti fra cedente e cessionarioi, sconti applicati, fidelizzazioni, abitudini di consumo, dati su trasporti, forniture di servizi energetici, telecomunicazioni, tipologie dei consumi, fatturazione dettagliata, regolarità dei pagamenti, appartenenza a particolari categorie di utenti, dati sanitari o giudiziari;

- Vengono rese disponibili ai consumatori tutte le fatture elettroniche in formato XML sul portale dell’Agenzia;

- Il canale di trasmissione delle fatture elettroniche è tramite l’utilizzo del protocollo FTP considerato poco sicuro in termini di Sicurezza Informatica;

- La mobile App dell'Agenzia dell'entrata è messa a disposizione degli utenti senza dare una esaustiva informativa privacy in termini di archiviazione e conservazione in ambiente Cloud;

- Servizio gratuito di archiviazione dati da parte dell'Agenzia senza specificare in modo esaustivo le modalità di archiviazione e di conservazione e le relative misure di sicurezza;

- Società di servizi che offrono Software per la Fatturazione Elettronica senza l'implementazione di adeguate Misure di Sicurezza Informatica e Informative per la gestione della Privacy Policy in termini di Sicurezza, Protezione e Conservazione dati: assenza di nomina di Responsabile al trattamento dati, assenza di Misure di Protezione dati file Xml, nessuna Formazione o Nomina per Incaricati / Autorizzati al trattamento dati, assenza di DPIA Valutazione di Impatto, assenza di Sistemi di Crittografia, non corretta Politica di gestione delle Password a norma Privacy GDPR Regolamento Europeo 2016/679.

Entrando nel merito del nuovo sistema di e-fatturazione il Garante ha rilevato una serie di criticità. In primo luogo, l’Agenzia, dopo aver recapitato le fatture in qualità di “postino” attraverso il sistema di interscambio (SDI) tra gli operatori economici e i contribuenti, archivierà e utilizzerà i dati anche a fini di controllo. Tuttavia non saranno archiviati solo i dati obbligatori a fini fiscali, ma la fattura vera e propria, che contiene di per sé informazioni di dettaglio ulteriori sui beni e servizi acquistati, come le abitudini e le tipologie di consumo, legate alla fornitura di servizi energetici e di telecomunicazioni (es. regolarità nei pagamenti, appartenenza a particolari categorie di utenti), o addirittura la descrizione delle prestazioni sanitarie o legali. Altre criticità derivano dalla scelta dell’Agenzia delle entrate di mettere a disposizione sul proprio portale, senza una richiesta dei consumatori, tutte le fatture in formato digitale, anche per chi preferirà comunque continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore, come garantito dal legislatore.

Ulteriori problemi pone il ruolo assunto dagli intermediari delegabili dal contribuente per la trasmissione, la ricezione e la conservazione delle fatture, alcuni dei quali operano anche nei confronti di una moltitudine di imprese, accentrando enormi quantità di dati personali con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.

Anche le modalità di trasmissione attraverso lo SDI e gli ulteriori servizi offerti dall’Agenzia (come la conservazione dei dati) presentano criticità per quanto riguarda i profili di sicurezza, a partire dalla mancata cifratura della fattura elettronica, tanto più considerato l’utilizzo della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di posta elettronica.

Una preventiva consultazione dell’Autorità, peraltro stabilita dal previgente Codice privacy e dal nuovo Regolamento Europeo, avrebbe potuto assicurare fin dalla progettazione l’avvio del nuovo sistema con modalità e garanzie rispettose della protezione dei dati personali, introducendo misure tecnico organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica.    

Il provvedimento del Garante è stato inviato anche al Presidente del Consiglio dei ministri e al Ministro dell’economia e delle finanze per le valutazioni di competenza.

Fonte: Garante Privacy 

Per tutti coloro a cui compete la gestione della fatturazione elettronica segnaliamo in promozione il

Corso completo online di Privacy GDPR Regolamento Europeo 2016/679

Corso online Sicurezza informatica Cyber Security Industria 4.0