Il 15 novembre u.s. il Garante per la protezione dei dati personali ha emesso un provvedimento nei confronti dell’Agenzia delle Entrate rilevando che il nuovo obbligo della fatturazione elettronica tra fornitori (b2b) e tra fornitori e consumatori (b2c) in vigore dal prossimo gennaio, così come è stato regolato “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”.
È la prima volta che il Garante esercita i poteri riconosciuti dall’art. 58, par. 1, lett. a) di ingiungere al Titolare del trattamento di fornire alla stessa Autorità ogni informazione necessaria all’esecuzione dei suoi compiti nonché ai sensi del par. 2, lett. a) di rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del GDPR.
Invero la fatturazione elettronica così come è stata strutturata determinerebbe un trattamento sistematico di dati personali anche particolari su larga scala, potenzialmente relativi ad ogni aspetto della vita quotidiana, che presenterebbe un rischio elevato per i diritti e le libertà degli interessati.
Per questi motivi l’Autorità ha chiesto all’Agenzia delle Entrate di far sapere con urgenza come intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica.
Indice degli argomenti
Fatturazione elettronica: le criticità rilevate dal Garante
In breve, il Garante ha rilevato le seguenti criticità:
- l’archiviazione della fattura nella sua interezza: non saranno archiviati solo i dati obbligatori a fini fiscali ma anche le informazioni in essa contenute quali dettagli su beni e servizi acquistati, sconti applicati, fidelizzazioni, abitudini e tipologie di consumo, regolarità nei pagamenti, appartenenza a particolari categorie di utenti, descrizione di prestazioni sanitarie o legali;
- la disponibilità sul portale di tutte le fatture in formato digitale, anche per i consumatori che non ne hanno fatto richiesta e che preferiscono ricevere la fattura cartacea o digitale direttamente dal fornitore;
- la concentrazione dei dati presso gli intermediari delegabili dal contribuente e il ruolo da questi assunto per la trasmissione, la ricezione e la conservazione delle fatture;
- l’in-sicurezza dei canali di trasmissione (SDI) delle fatture elettroniche;
- la mancata cifratura del file XML della fattura elettronica;
- l’utilizzo della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di posta elettronica;
- i profili di sicurezza relativi all’app e alla conservazione dei dati offerti dall’Agenzia.
Quanto accaduto appare inverosimile se si tiene conto di quanto chiaramente espresso dal Considerando 78: “In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati”.
Tanto più quando il Considerando 78 specifica che “I principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici”.
Questo articolo prova a fare chiarezza sulle misure che titolari e responsabili del trattamento sono tenuti ad adottare per garantire – ed essere in grado di dimostrare – che il trattamento sia effettuato conformemente al Regolamento (UE) 2016/679.
Per comprendere questo è necessario richiamare i principi cardine del GDPR: sicurezza e accountability.
Sicurezza dei dati personali: cosa dice il GDPR
Con riferimento al principio di sicurezza, l’art. 5, par. 1, lett. f), GDPR prescrive che i dati “devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti o dalla perdita, dalla distruzione o dal danno accidentali (integrità e riservatezza)”. Pertanto, la mancata tutela dei dati personali rende illecito il trattamento stesso.
L’art. 24 GDPR stabilisce che il titolare è obbligato ad adottare misure tecniche e organizzative adeguate a garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al Regolamento (UE) 2016/679. Tanto è esplicitato dal Considerando 78 il quale precisa che “… tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza”.
L’art. 25 GDPR si concentra su pseudonimizzazione e minimizzazione, misure tecniche e organizzative da adottare fin dalla progettazione dei trattamenti (secondo il principio della privacy by design). La pseudonimizzazione richiede che il trattamento sia effettuato in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive; queste ultime dovranno essere conservate separatamente e soggette a misure intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile (art. 5 GDPR e cons. 28).
La minimizzazione è tesa a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo riguarda la quantità dei dati raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità.
Si aggiunga che l’art. 32 GDPR specifica che il titolare e il responsabile del trattamento devono garantire un livello di sicurezza adeguato al rischio. In particolare, devono mettere in atto le seguenti misure:
- pseudonimizzazione e cifratura (metodo che consente di trasformare un testo in chiaro e leggibile da chiunque in un testo cifrato e quindi non intellegibile);
- capacità di assicurare in maniera permanente riservatezza, integrità, disponibilità e resilienza dei sistemi e servizi di trattamento;
- capacità di ripristinare per tempo la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- una procedura per testare, verificare e valutare con regolarità l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Appare pertanto evidente come le criticità rilevate dal Garante violerebbero la sicurezza dei dati.
Importante segnalare, a questo punto, che la violazione degli obblighi previsti dagli artt. 25 e 32 del GDPR comportano a carico di titolari e responsabili del trattamento le sanzioni amministrative pecuniarie di cui all’art. 83, par. 4, lettera a), del Regolamento fino a 10.000.000,00 di euro.
Protezione dei dati: il principio di accountability
L’Agenzia delle Entrate offre un servizio gratuito di conservazione delle fatture basato su un accordo di servizio.
Da quanto emerso da alcune notizie di stampa, sembrerebbe che il testo di tale accordo preveda che “l’Agenzia non potrà essere ritenuta responsabile nei confronti del contribuente né nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione”. Tanto costituirebbe in termini di sicurezza una violazione degli artt. 5, par. 1, lett. f) e 32 del GDPR.
In verità, se il testo di tale accordo fosse confermato l’attenzione dovrebbe essere rivolta principalmente alla violazione del principio di accountability ovvero di «responsabilizzazione».
Questo principio costituisce la principale novità introdotta dal Regolamento (UE) 2016/679 e attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5 GDPR).
L’accountability è infatti la diretta conseguenza dell’ampio potere di direzione del titolare, a cui corrisponde un’articolata serie di adempimenti e di responsabilità giuridicamente rilevanti. Pertanto, la qualità di titolare discende direttamente dai poteri decisionali che si esercitano sui dati e non può essere liberamente determinata o delegata.
Una lezione per tutti i titolare del trattamento
Innanzi alle critiche mosse, ci si aspetta dunque che l’Agenzia delle Entrate specifichi le misure di garanzia che intenderà adottare al fine di assicurare la protezione dei dati personali dei contribuenti.
Tuttavia, l’eco enorme derivata dalla vicenda occorsa all’Agenzia, per la sua imponenza e per la sensibilità dei dati trattati, non deve portare a considerarla come un caso distante dalle casistiche di altri titolari.
Può infatti affermarsi che il principio dell’accountability richiede al titolare del trattamento di adottare le misure più adeguate per impostazione predefinita e pertanto appare particolarmente rilevante scegliere produttori di applicazioni e servizi sviluppati e progettati tenendo conto della protezione dei dati.
Pertanto, il titolare potrà certamente nominare responsabile del trattamento la società di servizi a cui affida la conservazione dei dati personali ma non potrà mai venir meno alle sue responsabilità.
