Trattamento dei dati personali compiuto nella fatturazione elettronica è contrario alla normativa privacy

a cura di Avv. Pier Paolo Muià e Dott.ssa Maria Muià, laurea in giurisprudenza.

Provvedimento garante privacy n.481 del 15 novembre 2018

Il Garante per la protezione dei dati personali ha esercitato nei confronti dell’Agenzia dell’Entrate il potere correttivo di avvertimento attribuito dal Regolamento europeo 679/2016, segnalando alla stessa che il trattamento dei dati personali effettuato nell’ambito della fatturazione elettronica, come delineato dalla normativa, è potenzialmente contrario alle disposizioni in materia di privacy.

La fatturazione elettronica

Il Garante ha, infatti, rilevato che la disciplina della fatturazione elettronica come delineata dal quadro normativo a cura dell’Agenzia dell’entrate è prevalentemente concentrata sugli aspetti legati alla trasmissione dei dati attraverso un sistema di intercambio (SDI), prevedendo in tale ambito un trattamento obbligatorio generalizzato e di dettaglio di dati personali, anche ulteriori rispetto al quelli necessari ai fini fiscali, relativi alla totalità della popolazione non proporzionato all’obiettivo di interesse pubblico perseguito.

Il Garante nell’esame della normativa in materia di fatturazione elettronica – che prevede la predisposizione della fattura in un formato XML predefinito, trasmesso dall’emittente al ricevente attraverso il Sistema di interscambio – ha avuto modo di osservare che i dati immessi nella fattura, e trattati dall’Agenzia dell’Entrate, si riferiscono non solo a quelli obbligatori ai fini fiscali ma anche a tutti quelli utili alla gestione del ciclo attivo e passivo degli operatori. Tali dati, ad esempio, sono idonei ad individuare i beni e i servizi ceduti, attraverso la descrizione delle prestazioni contenute nella fattura, degli sconti applicati, della fidelizzazione, o delle abitudini di consumo. Possono addirittura riferirsi a dati sensibili di carattere sanitario o giudiziario.

In riferimento al trattamento di questi ultimi dati il Garante si è espresso nel senso di ritenere sproporzionato il trattamento anche rispetto all’obiettivo di interesse pubblico seppur legittimo, ritenendo che il trattamento generalizzato di dati personali richiede l’adozione da parte dell’Agenzia delle entrate e degli operatori economici, di misure appropriate al fine di fornire agli interessati un’adeguata informativa, con particolare attenzione all’eventuale inserimento nelle fatture e nei relativi allegati di informazioni di dettaglio non rilevanti ai fini fiscali, che dovrà avvenire nel rispetto del principio di minimizzazione dei dati personali.

Inoltre, il Garante ha osservato che tutti i dati trasmessi all’Agenzia dell’entrate, sia quelli obbligatori ai fini fiscali che quelli eccedenti tale finalità, saranno archiviati ed utilizzati anche per le attività di controllo effettuate dalla Guardia di Finanza.

Il Garante ha, poi, individuato un altro punto critico nella regolamentazione della fatturazione elettronica, ovverosia la scelta di rendere disponibili ai consumatori tutte le fatture elettroniche in formato XML sul portare dell’Agenzia dell’entrate, anche per coloro che non intendono avvalersi del servizio messo a disposizione sul portale dell’Agenzia, richiedendo la fattura direttamente al fornitore. Un tale trattamento, secondo il Garante, comporta un ingiustificato incremento dei rischi per i diritti e libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web.

Il protocollo FTP

Il Garante non ha risparmiato critiche anche nei confronti dei canali di trasmissioni previste per le fatture elettroniche, considerate poco sicure. Il canale pensato dall’Agenzia dell’entrate, vale a dire il protocollo FTP, è stato considerato dal Garante, già in una precedente pronuncia, poco sicuro, ed ha dunque suggerito l’utilizzo di canali di connessione sicuri ed idonei a garantire un livello di sicurezza adeguato al rischio. Ha, poi, riscontrato un possibile pericolo alla tutela dei dati nella mancata cifratura dei file XML delle fatture elettroniche. Tali fatture, infatti, possono essere inviate tramite PEC, con il conseguente pericolo di una possibile memorizzazione dei documenti sui server di gestione della posta elettronica, che espone gli interessati a maggiori rischi di accesso non autorizzato ai dati personali. In ambito aziendale, ad esempio, l’utilizzo della posta elettronica certificata non è esclusivo, con evidente rischio del furto di credenziali e attacchi informatici ai server.

Osservato tutto quanto sopra, il Garante ha conseguentemente chiesto all’Agenzia delle Entrate in qualità di titolare del trattamento dei dati personali di assumere – e rendere note – tutte le iniziative ritenute dalla stessa idonee a rendere la regolamentazione sulla fatturazione elettronica conforme alle disposizioni in materia di privacy.

Volume consigliato

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento