A partire dal primo gennaio 2019, in Italia è scattato l’obbligo della fatturazione elettronica relativamente all’emissione, trasmissione e conservazione delle fatture tra privati.
Come rilevato già dal Garante con provvedimento del 15 novembre 2018, indirizzato all’Agenzia delle Entrate, i trattamenti di dati personali effettuati nell’ambito della fatturazione elettronica appaiono suscettibili sotto vari profili di porsi in violazione del Regolamento Europeo sulla Privacy. Per tale ragione, con il medesimo provvedimento, l’Autorità aveva richiesto all’Agenzia di rendere note le iniziative intese a rendere i suddetti trattamenti conformi alla disciplina europea.
Il provvedimento oggetto di questo articolo segue dunque la proposta, inviata dall’Agenzia delle Entrate all’Autorità, recante le soluzioni intese ad una ottimizzazione della gestione della fatturazione elettronica in un’ottica di maggior rispetto della normativa privacy, secondo le istanze palesate dal Garante.
Il provvedimento analizzato rivela, tuttavia, che per quanto l’Agenzia sia sulla buona strada, occorre un ulteriore sforzo di tutte le parti coinvolte per pervenire a soluzioni che possano dirsi pienamente rispettose dei complessi principi posti dalla normativa attualmente applicabile. Di seguito, si riportano alcuni dei temi piu’ rilevanti menzionati nel provvedimento del Garante.
Trasmissione, memorizzazione, consultazione e download delle fatture
Uno dei punti più delicati nel rapporto tra fatturazione elettronica e dati personali attiene al prefigurato sistema di memorizzazione da parte dell’Agenzia delle Entrate di tutti i dati contenuti all’interno del file XML delle fatture elettroniche, ivi compresi i campi contenenti la descrizione delle operazioni di cessione di beni e servizi.
Il Garante ha osservato che, proprio nella descrizione dell’operazione, che è parte obbligatoria nella compilazione della fattura, sono contenuti dati particolarmente delicati. Le fatture, ad esempio, anche se emesse nei confronti di una persona giuridica, possono contenere dei dati riferiti a persone fisiche, come le utenze telefoniche, biglietti ferroviari o aerei, pedaggi autostradali, pernottamenti. Inoltre, in caso di fatture emesse da operatori attivi in ambito sanitario e dagli avvocati riportano, nella descrizione, informazioni specifiche sulle prestazioni eseguite riferibili anche a patologie o a puntuali vicende giudiziarie, comportando quindi anche il trattamento di particolari categorie di dati e di dati relativi a condanne penali e reati.
Il Garante ha inoltre rilevato che una memorizzazione a priori di tutti i dati compresi nel file XML contrasterebbe con i principi di minimizzazione e di privacy by design stabiliti dal Regolamento Europeo e sconfinerebbe altresi’ in attività di profilazione su larga scala.
In ugual modo, in caso di controlli ed accertamenti fiscali, un’archiviazione integrale delle fatture comporterebbe un trattamento dei dati del tutto sproporzionato.
L’Agenzia delle Entrate ha proposto un meccanismo che prevede la memorizzazione dei file XML integrale solo allorquando un operatore economico, un suo delegato ovvero il consumatore finale acconsentano espressamente alla memorizzazione dei dati integrali. In mancanza, l’Agenzia puo’ memorizzare il file XML solo in casi residuali e, cioè, se: a) la messa a disposizione della fattura nell’area riservata del portale dell’Agenzia sia una delle modalità previste per la consegna della stessa al destinatario; b) se per cause tecniche, non imputabili allo SDI, il recapito non sia disponibile. Una volta consegnata la fattura elettronica, vengono contestualmente cancellati i dati “non fiscali” e sono mantenuti presso l’Agenzia solo i dati fiscali finalizzati agli accertamenti.
Il Garante, tuttavia, dinanzi alla soluzione prospettata dall’Agenzia, ha espresso le proprie perplessità, rinviando una pronuncia definitiva al momento in cui l’Agenzia fornirà i modelli di accordo di adesione al servizio, anche al fine di poter meglio valutare la portata della memorizzazione.
Proprio per permettere all’Agenzia di realizzare un sistema di acquisizione dei dati e della consultazione della fattura, è stato concesso un periodo transitorio per un completo adeguamento da effettuarsi entro il 2 luglio 2019. La nuova procedura dovrebbe assumere la sua struttura definitiva già a partire dal 3 maggio 2019 per permettere agli operatori, in conformità alla normativa prevista dallo Statuto del Contribuente, di aderirvi entro 60 giorni. Laddove vi sia l’adesione da parte dell’operatore economico, l’Agenzia potrà memorizzare la fattura integralmente a decorrere dal 2 luglio 2019.
Fatture elettroniche emesse dai soggetti che erogano prestazioni sanitarie
Le maggiori criticità rilevate in ordine all’obbligo di fatturazione elettronica, si riscontrano in relazione alle fatture relative a prestazioni sanitarie o emesse da esercenti la professione forense, poiché comportano il trattamento di dati sulla salute e relativi a condanne penali e reati, di regola non direttamente rilevante a fini fiscali, ma connesso alle descrizioni delle cessioni di beni e prestazioni di servizi oggetto di fatturazione.
I soggetti tenuti all’invio dei dati al Sistema tessera sanitaria, ai fini dell’elaborazione della dichiarazione dei redditi precompilata, sono esonerati dall’obbligo di fatturazione elettronica con riferimento alle fatture i cui dati sono inviati al Sistema tessera sanitaria, per il periodo d’imposta 2019. Al riguardo, il Garante rileva il permanere di rilevanti criticità.
In particolare, tale esonero non opera nei confronti delle fatture emesse dai soggetti che erogano prestazioni sanitarie non trasmesse attraverso il sistema TS, in seguito all’opposizione legittimamente manifestata dagli interessati, e quindi in relazione alle situazioni piu’ delicate.
In generale, considerato che le criticità e i rischi elevati connessi al processo di fatturazione elettronica risultano amplificati in caso di fatture emesse da soggetti che erogano prestazioni sanitarie, occorre che l’Agenzia delle entrate individui idonee misure a tutela dei diritti fondamentali degli interessati.
Sicurezza del trattamento
In materia di idonei accorgimenti sulla tutela del trattamento dei dati personali nella gestione della fatturazione elettronica, l’Agenzia dichiara, con riferimento alla sicurezza dei canali di trasmissione e di recapito della fattura elettronica, di aver superato il sistema SFP e di aver già predisposto l’attivazione di un canale cifrato su protocollo SFPT per coloro che hanno richiesto l’accreditamento allo SDI.
Nonostante tali accorgimenti, il Garante evidenzia la necessità di prevedere misure tecniche ed organizzative idonee, finalizzate a garantire la protezione dei dati anche attraverso delle tecniche crittografiche, nel rispetto dei principi di privacy by design e by default. Il Garante evidenzia che “tecniche di cifratura e scambio di messaggi tra più soggetti sono da tempo disponibili e potrebbero essere implementate, anche gradualmente, tenendo conto dell’impatto della cifratura sulle prestazioni complessive e sull’usabilità dei servizi informatici a supporto del processo di fatturazione elettronica”.
Anche su tale punto viene ingiunta all’Agenzia la valutazione circa l’introduzione di tali tecniche di cifratura, rimettendo i possibili accorgimenti ad una successiva analisi.
Servizio di conservazione
Quanto alla sezione dedicata al servizio di conservazione, in primo luogo viene individuato nel dettaglio il rapporto intercorrente tra il contribuente (titolare del trattamento), l’Agenzia delle Entrate (responsabile del trattamento) e Sogei S.p.A. (sub-responsabile), in qualità di conservatore accreditato presso l’Agenzia per l’Italia digitale.
Al riguardo, l’Agenzia ha rappresentato che il predetto servizio di conservazione viene messo a disposizione degli operatori economici, gratuitamente, a seguito dell’adesione da parte di questi ultimi a un apposito accordo, che disciplina il ruolo e le responsabilità dell’Agenzia, prevedendo che la stessa assuma il ruolo di responsabile del trattamento. Ai sensi del medesimo accordo, l’operatore economico autorizza l’Agenzia ad avvalersi del sistema di conservazione realizzato e gestito dalla società Sogei S.p.a. che assume a sua volta il ruolo di sub-responsabile del trattamento.
In tale accordo, viene precisato che l’Agenzia tratta i dati esclusivamente per finalità di conservazione, ivi inclusa l’esibizione, su richiesta dell’operatore economico o dei suoi incaricati, delle fatture elettroniche conservate, e non esegue nessun tipo di trattamento che non sia individuato nell’accordo, né diffonde o comunica i dati trattati, salvo che ai soggetti eventualmente incaricati dal contribuente.
Le fatture vengono conservate per un periodo di 15 anni, fatti salvi i casi in cui sia lo stesso operatore economico a chiedere di prorogare la conservazione delle fatture elettroniche di proprio interesse. Inoltre, in caso di recesso, il contribuente puo’ richiedere la restituzione, e contestuale cancellazione, delle fatture conservate.
Circa le limitazioni di responsabilità, l’Agenzia risponde per il danno causato dal trattamento in caso di inadempimento degli obblighi di cui al GDPR o qualora agisca in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. Conseguentemente, l’Agenzia è esonerata da responsabilità nei confronti del contribuente e nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
Valutazione d’impatto sulla protezione dei dati
Il Garante, con il provvedimento del 16 novembre, rilevava che il sistema di fatturazione elettronica avrebbe comportato un trattamento sistematico di dati relativi ad ogni aspetto della vita quotidiana. Per tali motivi, il Garante richiedeva all’Agenzia delle Entrate una valutazione d’impatto ai sensi dell’art. 35 del GDPR. L’Agenzia, con nota del 17 dicembre, aveva trasmesso all’Autorità la valutazione d’impatto.
Dalle considerazioni espresse dal Garante, la valutazione ha tenuto conto soltanto degli aspetti tecnici del trattamento e dei relativi rischi informatici, senza tener conto degli altri aspetti richiesti dalla normativa. Nello specifico, “la valutazione deve essere svolta tenendo in considerazione i rischi incombenti sui diritti e sulle libertà degli interessati ed esaminando, in modo esaustivo, i diversi scenari di rischio”. Per queste ragioni, tale valutazione non è stata ritenuta pienamente soddisfacente, e pertanto sarà opportuno procedere ad una idonea integrazione entro e non oltre il 15 aprile 2019.
Ruolo assunto dagli intermediari e dagli altri soggetti operanti nell’ambito della fatturazione elettronica
Il Garante, da ultimo, focalizza l’attenzione sul ruolo e sull’attività degli intermediari, analizzando come il macchinoso sistema di deleghe introdotte dall’Agenzia delle Entrate potrebbe sollevare profili di incompatibilità con il rispetto della rilevante normativa in materia di protezione dei dati personali.
Il Garante osserva, inoltre, che gli intermediari assumono il ruolo di responsabile o sub-responsabili del trattamento a seconda delle scelte organizzative degli operatori economici e dei modelli contrattuali utilizzati. Al riguardo, l’Autorità precisa che le relative clausole contrattuali devono essere redatte in conformità ai requisiti del Regolamento Europeo sulla privacy, con particolare riguardo alla durata, alla natura e alle finalità del trattamento, nonché alle condizioni in base alle quali è consentito ricorrere ad un altro responsabile del trattamento. In proposito, il Garante avverte che potrebbero configurarsi delle violazioni degli artt. 5, 6 e 28 del suddetto Regolamento laddove dovessero essere inserite determinate clausole contrattuali attualmente previste nei contratti di erogazione dei servizi inerenti alla fatturazione elettronica.
In particolare, il Garante si focalizza su alcune clausole, secondo le quali agli intermediari è data la possibilità di poter svolgere dei trattamenti diversi e aggiuntivi a quelli necessari a consentire ai loro clienti di procedere alla fatturazione elettronica. Nel caso di specie il riferimento va a quelle previsioni contrattuali che permettono agli operatori di procedere all’elaborazione e all’utilizzo di informazioni statistiche raccolte in relazione all’utilizzo dei servizi da parte del cliente medesimo e del beneficiario.
Altri profili critici sono legati ad alcune clausole contrattuali da cui emerge una non equa ripartizione delle responsabilità in materia di rischi derivanti dal trattamento, rispetto a quanto previsto dall’articolo 28 del Regolamento Europeo sulla privacy; in particolare, vengono introdotti sproporzionati esoneri di responsabilità, soprattutto in caso di contratti standard, con margini di negoziazione pressoché nulli in capo al titolare del trattamento.
