21 Nov Privacy: il Garante per la protezione dei dati personali rileva alcune criticità del sistema di fatturazione elettronica (Provvedimento 15 novembre 2018, n. 481 [doc. web 9059949]).
Con Provvedimento del 15 novembre 2018, il Garante Privacy ha rivolto un monito all’Agenzia delle entrate sottolineando l’incompatibilità del nuovo obbligo della fatturazione elettronica con la normativa in materia di protezione dei dati personali.
In particolare, il Garante Privacy, intervenendo ex post ed esercitando per la prima volta il potere correttivo di avvertimento attribuito dall’art. 58, par. 2, lett. a) del GDPR, ha segnalato all’Agenzia delle entrate i seguenti rischi/criticità che determinerebbe l’implementazione dell’obbligo di fatturazione elettronica per i diritti e le libertà degli interessati:
• Dati personali presenti nelle fatture elettroniche: le fatture potrebbero contenere dati non necessari a fini fiscali, incluse categorie particolari di dati. L’Agenzia delle entrate non avrebbe, infatti, individuato al riguardo nessuna specifica misura di garanzia volta ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza, ai sensi dell’art. 5, par. 1, lett. b), c) e f) del GDPR. Tale trattamento generalizzato, oltre ad essere sproporzionato rispetto all’obiettivo di interesse pubblico perseguito, non sarebbe sorretto da un’adeguata informativa rilasciata agli interessati ai sensi degli artt. 13 e 14 del GDPR.
• Messa a disposizione delle fatture sul portale dell’Agenzia: l’Agenzia delle entrate si propone di mettere a disposizione dei consumatori tutte le fatture elettroniche in formato XML sul suo portale. Ciò comporterebbe un trattamento massivo e informatizzato di dati, non sorretto, però, da alcuna adeguata misura di sicurezza.
• Ruolo degli intermediari e dei soggetti delegabili nell’ambito della fatturazione elettronica: secondo il Garante Privacy, come anticipato, non sono state individuate adeguate misure tecniche e organizzative idonee ad assicurare il rispetto della normativa in materia di protezione dei dati personali nell’ambito di tutta la filiera del trattamento dati effettuato ai fini di fatturazione elettronica,. Ciò determinerebbe, inoltre, un elevato rischio di accessi non autorizzati o utilizzi impropri dei dati da parte degli intermediari e dei soggetti delegabili dal contribuente nella gestione degli obblighi connessi al sistema di fatturazione elettronica.
Infine, nel processo di fatturazione elettronica, sempre secondo il Garante Privacy, vi sarebbero ulteriori criticità in relazione ai profili di sicurezza e di correttezza e trasparenza del trattamento, in particolare, per quanto riguarda i canali di trasmissione/recapito delle fatture, la conservazione dei dati attraverso l’apposita mobile app e il servizio gratuito di conservazione delle fatture messi a disposizione dall’Agenzia delle entrate.
Alla luce delle criticità rilevate, il Garante ha richiesto all’Agenzia delle Entrate di far sapere con urgenza come intenda rendere privacy compliant i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica. A tal fine, il provvedimento del Garante è stato trasmesso anche al Presidente del Consiglio dei ministri e al Ministro dell’economia e delle finanze per le valutazioni di rispettiva competenza.
