Al termine della scorsa settimana, il Garante della privacy ha esercitato, per la prima volta, il suo nuovo potere correttivo e di avvertimento, comunicando all’Agenzia delle Entrate che il processo della fattura elettronica “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”.

Quali sono le criticità segnalate dal Garante?

L’obbligo di fatturazione elettronica che sarà introdotto dal 1° gennaio 2019, sia per i rapporti tra le imprese che tra i rapporti tra imprese e consumatori, determina un elevato rischio dei diritti e della libertà degli interessati.

L’enorme mole di dati che l’Agenzia delle Entrate raccoglierà tramite il Sistema di Interscambio, andrebbe ben oltre all’obiettivo di interesse pubblico per il quale è stato istituito l’obbligo di fatturazione elettronica, ovvero, il contrasto all’evasione ed il recupero di gettito per l’Erario.

Infatti, grazie al flusso informativo che sarà canalizzato dal SdI, saranno raccolte in maniera sistematica non solo le informazioni “fiscali” utili allo scopo di contrastare l’evasione. Il sistema prevede, infatti, la raccolta delle intere fatture, dalle quali è possibile risalire nel dettaglio anche alle abitudini dei cittadini.

Rischio uso improprio dei dati

Sono molti gli aspetti personali della vita quotidiana che possono emergere da un’analisi di tali dati, come ad esempio:

• i fornitori abitualmente utilizzati dai cittadini per la fruizione di determinati servizi o per l’acquisto dei prodotti;
• i prodotti ed i servizi abitualmente acquistati;
• le problematiche di ordine sanitario o legale (dalla descrizione delle fatture);
• la regolarità nei pagamenti.

Il SdI non si limiterà a fare il “postino” inoltrando a mezzo PEC le fatture ai cessionari ed ai committenti, ma metterà copia delle fatture elettroniche in una sezione loro riservata sul portale web, indipendentemente dalla volontà di tali soggetti di voler ricevere le fatture solo in formato cartaceo.

Sempre in ordine alla trasmissione, il Garante segnala che la mancata cifratura dei documenti trasmessi rappresenta un ulteriore rischio, dato che le fatture elettroniche potranno essere recapitate anche tramite PEC, pertanto, conservate nei server di posta elettronica, quindi potenzialmente violabili.

Un ulteriore problema riguarda gli intermediari delegabili per l’invio, la ricezione e la conservazione delle fatture, i quali accentreranno un’enorme mole di dati, anche personali, generando rischi non solo in ordine alla sicurezza dei dati, ma anche per gli eventuali usi impropri grazie alla possibilità di effettuare raffronti e statistiche su larga scala.

In ordine a questo rilievo mosso dal Garante, c’è infatti da interrogarsi sulle offerte di gestione gratuita dei servizi di fatturazione, trasmissione, ricezione e conservazione che sono stati pubblicizzati e proposti in questi mesi.

Nella comunicazione trasmessa all’Agenzia è stato fatto rilevare che se fosse stata seguita la procedura del previgente codice della privacy e del nuovo regolamento, la preventiva consultazione dell’Autorità avrebbe potuto garantire sin dalla fase di progettazione del sistema della fatturazione elettronica, modalità rispettose della protezione dei dati personali attraverso l’introduzione di misure tecniche ed organizzative adeguate in tutta la filiera del trattamento dei dati.

L’Agenzia a questo punto dovrà correre ai ripari. Speriamo che, a poco più di un mese dall’avvio generalizzato dell’obbligo di fatturazione elettronica, si possano trovare soluzioni che non aggiungano ulteriori gravami alle imprese ed ai consulenti che le assistono.

- Allegato: Provvedimento del Garante nei confronti dell'Agenzia delle entrate sull'obbligo di fatturazione elettronica - 15 novembre 2018 [9059949]