Fatturazione Elettronica, provvedimento del Garante della Privacy

Con il provvedimento di richiesta n. 9059949 emesso nel corso della seduta n. 481 del 15 novembre 2018, il Garante per la Privacy ha richiesto chiarimenti all’Agenzia delle Entrate in merito alla conformità dell’obbligo di fatturazione elettronica, che entrerà in vigore dal 01 gennaio 2019, rispetto a quanto previsto dal Gdpr Reg. (Ue) 2016/679. 

Come noto la legge di bilancio 2018 ha previsto con il comma 909 dell’articolo 1 che l’obbligo di fatturazione elettronica, già in vigore nei confronti della pubblica amministrazione, venga esteso dal 1° gennaio 2019 anche alle cessioni di beni e prestazioni di servizi effettuate tra due operatori Iva e a quelle effettuate verso un consumatore finale.

In proposito il Garante per la Privacy ha espresso il parere secondo cui tale obbligo, per quanto ritenuto legittimo ai fini fiscali e di monitoraggio, possa risultare in contrasto con quanto previsto dal Gdpr in materia di conservazione e trattamento di dati personali poiché testualmente “presenta un rischio elevato per i diritti e le libertà degli interessati, comportando un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico”.

Comunicazione Garante della Privacy

Viste le tempistiche ravvicinate, con questa motivazione il Garante ha richiesto con urgenza all’Agenzia delle Entrate di comunicare come intende procedere per rendere conforme rispetto al quadro normativo le misure che presto diverranno obbligatorie, allineando il trattamento dei dati che ne deriverà a quelle che sono le disposizioni comunitarie e nazionali in materia di tutela della privacy.

In particolare, suscitano le perplessità del Garante alcune criticità evidenziate all’interno del documento di sintesi disponibile sul portale dell’Autorità.

In primo luogo l’Agenzia delle Entrate, che si configura nel ruolo di titolare del trattamento dei dati, prevede di conservare le fatturazioni elettroniche che saranno archiviate anche a scopo di controllo. Tale operazione prevede necessariamente che i dati conservati non siano soltanto quelli obbligatori a fini del controllo fiscale ma anche le formazioni dettagliate contenute nella fattura, quali ad esempio quelle sui servizi e sui prodotti acquistati, incluse le abitudini e le tipologie di consumo, sulle informazioni sulla fornitura dei servizi energetici piuttosto che sulle telecomunicazioni o addirittura la descrizione delle prestazioni sanitarie o legali.

Inoltre, l’Agenzia delle entrate prevede di rendere disponibili sul proprio sito, tutte le fatture in formato elettronico, anche senza che il consumatore ne abbia fatto richiesta e anche per i soggetti che preferiranno continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore, come consentito dalle nuove disposizioni.

Ulteriori criticità sono rappresentate dal ruolo degli intermediari delegabili dal contribuente, che gestiranno le informazioni contenute nelle fatture elettroniche di una ampia moltitudine di soggetti, raccogliendo informazioni anche personali contenute nei documenti, con derivanti rischi per la sicurezza dei dati raccolti e per eventuali usi impropri dei dati stessi.

Il garante per la privacy, che per la prima volta interviene esercitando il diritto, consentito dal Gdpr di adozione di un provvedimento di avvertimento correttivo, conclude che “Una preventiva consultazione dell’Autorità, peraltro stabilita dal previgente Codice privacy e dal nuovo Regolamento Ue, avrebbe potuto assicurare fin dalla progettazione l’avvio del nuovo sistema con modalità e garanzie rispettose della protezione dei dati personali, introducendo misure tecnico organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica.”