Fattura Elettronica e Privacy: troppi dati personali memorizzati

Fattura Elettronica e privacy: il parere del Garante sul Decreto Fiscale 2020

Ancora una volta il Garante della Privacy interviene in materia di fatturazione elettronica. Il 5 novembre il Presidente del Garante, Antonello Soro, ha pubblicato una memoria riferita all’articolo 14 del Decreto Fiscale 2020 (DL. 124/2019), sull’utilizzo dei file XML delle fatture elettroniche. Secondo il Garante, infatti, ci sarebbero seri problemi di tutela della privacy. Vediamo in questo articolo cosa ha detto il Garante in tema di fattura elettronica e privacy.

 

Decreto Fiscale 2020: novità in tema di fattura elettronica e privacy

Il Decreto Fiscale 2020 prevede un’intera sezione dedicata alle misure da adottare per combattere l’evasione fiscale e contributiva e le frodi fiscali in generale. Il governo si è occupato, in questa sede, anche di fatturazione elettronica, concedendo un lasso di tempo maggiore di disposizione dei file alle autorità: i file acquisiti delle fatture elettroniche verranno salvati nel Sistema di Interscambio fino al 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento. I dati contenuti nei file XML saranno a disposizione di:

  • Guardia di Finanza, per l’assolvimento delle funzioni di polizia economica e finanziaria;
  • Agenzia delle entrate e Guardia di Finanza per attività di controllo fiscale.

In riferimento alla Guardia di Finanza, in pratica il decreto estende la possibilità di accedere ai dati non solo per le verifiche fiscali (com’è sempre stato), ma anche per tutte le funzioni di polizia economica-finanziaria (previste dal d.lgs. 68 del 2001). La motivazione, che ha spinto il governo ad allargare il potere delle Fiamme Gialle, è la possibilità di potenziare l’attività dell’arma anche “in settori diversi da quello strettamente tributario, come per esempio la spesa pubblica, il mercato dei capitali e la tutela della proprietà intellettuale”.

In merito poi ai dati che l’AdE memorizzerà, questa norma include non solo quelli puramente fiscali, ma tutti quelli contenuti nel file della fattura elettronica, compresi i dati contenuti negli allegati e quelli che riguardano natura, qualità e quantità dei beni e servizi oggetto del documento.

 

Il Garante: troppi dati personali non fiscali memorizzati

Già nel 2018 il Garante aveva espressamente dichiarato non idonea la memorizzazione di dati non fiscalmente rilevanti, in particolare quelli che riguardano la descrizione delle prestazioni effettuate, in quanto potrebbero riportare informazioni relative allo stato di salute o anche eventuali procedimenti penali dell’interessato (si pensi alle fatture in ambito sanitario o forense).

Ogni anno ci sono poco più di 2 miliardi di fatture che riportano dati che individuano nel dettaglio, oltre alla descrizione di beni e servizi forniti, informazioni come:

  • rapporti fra cedente e cessionario e altri soggetti;
  • sconti applicati e/o fidelizzazioni;
  • abitudini di consumo.

Fra queste poi anche tutte quelle fatture che, per particolari servizi (ad esempio luce, gas, telefonia, trasporti, eccetera), riportano obbligatoriamente informazioni come tipologia di consumi, regolarità nei pagamenti, appartenenza a particolari categorie di utenza e così via. Informazioni che, a livello fiscale, non hanno rilevanza, ma che interessano fortemente la sfera privata dei soggetti.

Consideriamo che, quando l’Agenzia delle Entrate o la Guardia di finanza effettuano controlli automatizzati ai fini fiscali, i dati che vengono utilizzati sono quelli esclusivamente fiscali detti anche dati fattura: tra questi non rientrerebbero dati come la descrizione delle prestazioni o dei beni venduti o simili, perché questi non si prestano ad elaborazioni massive, essendo campi di testo libero e non strutturato. I controlli puntuali, invece, quelli che vengono fatti analizzando i singoli documenti, sono solo circa il 3,5% di tutte le fatture presentate (dato aggiornato al 2016).

 

Il principio di proporzionalità non viene rispettato

Fatte queste premesse, la memorizzazione di tutti i dati presenti nel file XML della fattura elettronica appare al Garante davvero sproporzionata rispetto alle reali esigenze perseguite e in contrasto con il principio di proporzionalità del trattamento dei dati, che ribadisce che i dati raccolti devono essere proporzionati alla finalità di trasparenza perseguita.

Pertanto, nella comunicazione di inizio novembre, il Garante si augurava che il governo rivalutasse con attenzione gli aspetti più delicati del nuovo articolo: l’invito era di fare una riflessione accurata su quanto sia funzionale alle finalità da perseguire la memorizzazione di tutti i dati. E il Garante si spinge ad auspicare che vengano trovate misure altrettanto efficaci, ma meno invasive sulla privacy dei soggetti (per esempio acquisire tutti i dati con l’oscuramento di quelli non rilevanti ai fini fiscali).

 

E in caso di data breach?

Non va assolutamente trascurato l’aspetto dei data breach ossia di eventuali attacchi informatici, a seguito dei quali si verificherebbero delle gravi violazioni di privacy. A questo proposito il governo, sempre nell’articolo 14, demanda all’emanazione di idonee misure di garanzia alla Guardia di Finanza e all’Agenzia delle Entrate, sempre dietro parere del Garante. Il Garante, invece, sottolinea la non idoneità di questa soluzione: vista l’importanza dei dati trattati e il patrimonio informativo così sensibile, sarebbe più corretto demandare ad un atto normativo le misure necessarie a proteggere questi dati, piuttosto che a provvedimenti amministrativi dei due organi citati.

Fonti articolo:
GAZZETTA UFFICIALE | DL 124/2019
GARANTE PRIVACY | Memoria del Presidente del Garante del 05/11/2019
GAZZETTA UFFICIALE | D.Lgs. 68/2001



 

Vuoi saperne di più?

Vuoi ricevere maggiori informazioni?
Contattaci subito: siamo a tua completa disposizione!