Un via libera, ma condizionato, alle nuove regole tecniche sulla memorizzazione dei dati delle fatture elettroniche: il Garante privacy ha espresso il proprio parere favorevole riguardo allo schema di provvedimento del Direttore dell’Agenzia delle entrate sul tema, ma poiché ci sono gravi rischi legati al trattamento dei dati l’Autorità ha chiesto maggiori tutele per rendere del tutto il processo adeguato al GDPR.
Allo stato attuale, come commenta l’avvocato Riccardo Berti del Centro studi processo telematico, “sembra quasi giunto a positivo componimento il contrasto fra fatturazione elettronica e normativa privacy, dopo quasi quattro anni di aggiustamenti ad una disciplina sulla quale il governo conta molto per efficientare la propria attività di contrasto all’evasione”. Per Berti l’ultima versione del provvedimento del Direttore dell’Agenzia delle entrate “mostra però ancora oggi tutta la tensione fra la necessità di minimizzare il trattamento dei dati compulsata dal Garante e il contrapposto desiderio dell’Agenzia delle Entrate di conoscere quanti più dati possibile dei contribuenti, preziosi ai fini di indagine”.
Indice degli argomenti
Memorizzazione fatture elettroniche: lo schema di provvedimento
Le nuove regole tecniche per la memorizzazione delle fatture elettroniche servono per:
- analisi del rischio;
- controlli per fini fiscali;
- attività di polizia economica e finanziaria.
Lo schema di provvedimento del Direttore dell’Agenzia delle entrate presentato al Garante fornisce tutte le spiegazioni su come l’Amministrazione ha intenzione di memorizzare i file XML delle e-fatture e i dati contenuti, per poi renderli disponibili sia al personale dell’Ente che alla Guardia di finanza. I dati compresi nella memorizzazione sono, tra gli altri, anche quelli che riguardano quantità, qualità e natura di servizi e beni acquistati.
L’analisi del Garante privacy sulle fatture elettroniche
Il Garante privacy ha quindi acquisito un campione delle fatture elettroniche relative a settori in cui, per la tipologia dei servizi e beni acquistati, è maggiore il rischio per i diritti e le libertà degli interessati. L’obiettivo era compiere un’adeguata valutazione sulla proporzionalità del trattamento dei dati previsto dall’Agenzia delle entrate.
L’analisi sul campione ha portato alla luce la presenza di dati “estremamente delicati, riferibili a specifiche persone fisiche, come quelli giudiziari relativi a cause di risarcimento danni, oppure informazioni relative a servizi investigativi, dettagli sui beni acquistati (tra cui prodotti intimi), alimenti consumati, luoghi dove si è dormito e con chi, modalità di spostamento. Ma anche dati riferibili a minorenni, come quelli giudiziari relativi a cause di affidamento minori”, spiega il Garante privacy in una nota ufficiale.
Dunque, ne consegue che memorizzare in forma integrale le fatture elettroniche e raccogliere i dati comporta la realizzazione di un dettagliato profilo dei consumatori. Profilo costruito sulle loro abitudini, sui consumi e sui gusti personali.
Memorizzazione fatture elettroniche: i fronti critici
Il Garante privacy ha quindi chiesto all’Agenzia delle entrate maggiori misure a tutela della privacy dei consumatori, per rendere il trattamento dei dati prospettato adeguato al GDPR e alla normativa nazionale sulla data protection.
Il Garante, infatti, ha precisato che “le informazioni contenute nelle fatture elettroniche – ad esclusione dei controlli svolti in relazione a richieste di detrazione e deduzione delle spese sostenute – non potranno essere utilizzate nei confronti del consumatore se non in conseguenza di verifiche fiscali già avviate su operatori economici, le quali lascino presupporre un rischio di evasione fiscale del consumatore stesso”. Sarà necessario, quindi, avviare un sistema di verifica e monitoraggio per assicurare che le garanzie sull’uso delle informazioni vengano rispettate. Inoltre, i dati che riguardano l’ambito legale dovranno essere intelligibili.
Il percorso verso la risoluzione dei problemi privacy è già stato avviato da tempo: “Tanti i correttivi apportati nel corso di questi anni rispetto alla prima versione del decreto (in primo luogo l’esclusione delle fatture emesse in ambito sanitario dal transito sullo SDI, in secondo luogo l’esclusione delle informazioni relative a natura, qualità e quantità dei beni e dei servizi oggetto dell’operazione e alle modalità di pagamento nei “dati fattura integrati” di tutte le fatture emesse nei confronti dei consumatori finali) che hanno finalmente consentito all’Amministrazione finanziaria di ottenere il via libera del Garante”, ha precisato l’avvocato Berti.
Tuttavia, non bisogna però dimenticare “che la responsabilità per questo trattamento dati non è unicamente dell’Agenzia delle entrate, in primo luogo sono responsabili i soggetti che emettono le fatture e che possono scegliere il grado di dettaglio circa la prestazione effettuata da includere nel documento”.
Un esempio pratico: fatturazione di un ristorante kosher
Per fare un esempio pratico, “un ristorante che nell’emettere fattura esplicita la maggiorazione dovuta per un menù kosher decide unilateralmente di offrire all’Agenzia delle Entrate un dato rivelatore dell’orientamento religioso del cliente e di questo trattamento dati illecito non può essere tenuta a rispondere solamente l’Agenzia delle Entrate”, evidenzia Berti. Dunque, “anche i singoli contribuenti devono quindi ripensare alla fattura, che di fatto non è un documento “privato” fra le parti, ma è invece un documento condiviso con l’Amministrazione finanziaria e potenzialmente la Guardia di Finanza, con il risultato che un numero indefinito di soggetti potrebbe venirne a conoscenza”.
In questo senso, sottolinea Berti, “il passaggio alla fatturazione elettronica è significativo perché consente di magnificare la portata dell’intrusione nella vita del soggetto, con pochi clic è possibile ad esempio sapere quante volte un soggetto ha ordinato cibo kosher, per rimanere all’esempio di cui sopra, ed è per questo che il Garante insiste sulla necessità di meccanismi di controllo del dato che vadano oltre la semplice sicurezza informatica, ed è per lo stesso motivo che anche i prestatori di servizi soggetti a fatturazione devono ripensare i loro documenti contabili in quest’ottica, specie quando il destinatario della fattura è un consumatore”.
Il Garante, in particolare, “si concentra sulle fatture emesse dai professionisti del settore legale, prescrivendo la predisposizione di misure per rendere inintelleggibili i campi contenenti dati potenzialmente più sensibili (nel settore legale, inoltre, il problema del proliferare di dati personali non si pone soltanto nelle fatture B2C, ma anche nelle fatture emesse a soggetti pubblici o persone giuridiche che, nel descrivere il fascicolo per cui viene emessa fattura, finiscono per rivelare i dati di controparti persone fisiche)”, conclude l’esperto.
La proposta per limitare l’uso dei dati delle fatture elettroniche
Il Garante ha segnalato al Parlamento e al Governo “l’opportunità di introdurre una disposizione legislativa per limitare l’utilizzo delle informazioni contenute nelle fatture elettroniche alle sole finalità di contrasto all’evasione fiscale, limitando i diritti di accesso alla documentazione amministrativa da parte di soggetti non collegati alla fattura, nel rispetto dei principi di proporzionalità, di liceità e correttezza, di limitazione della finalità e di minimizzazione del trattamento”, si evidenzia nella nota dell’Autorità.
Un invito diretto rivolto al legislatore “cui non si dubita il Garante darà eco in sede più opportuna – aggiunge Berti – ad escludere che le fatture elettroniche siano suscettibili di accesso ai sensi della legge 7 agosto 1990, n. 241, da parte di soggetti diversi dal cedente/prestatore o dal cessionario/committente. Il contesto dell’accesso agli atti è senz’altro meritevole di attenzione in quanto non sono rare le ipotesi in cui un terzo potrebbe vantare un supposto interesse a conoscere documentazione contabile fra terzi”.
Si pensi all’esempio di “un soggetto che ha acquistato un bene immobile che riceve una richiesta di pagamento per lavori di manutenzione quando invece questi suppone che i lavori siano stati saldati dal precedente proprietario”. In quest’ottica, “auspicare una chiusura totale all’accesso sembra però troppo drastica come misura, specie vista la possibilità di ostendere la quantità minima di dati necessaria al fine di soddisfare lo scopo per cui la richiesta è avanzata”, conclude Berti.
In parallelo, il Garante privacy sta compiendo un’attività di informazione con le associazioni di categoria, ricordando che non devono per forza essere emesse fatture elettroniche al posto di altri documenti (per esempio lo scontrino), se non su richiesta dell’acquirente o nei casi individuati dalla legge.