Provvedimento del Garante Privacy sull’entrata in vigore della fatturazione elettronica

Provvedimento del Garante Privacy sull’entrata in vigore della fatturazione elettronica
(doc. web n. 9059949 – si veda allegato)

Il giorno 15 novembre 2018 il Garante per la Protezione dei Dati Personali ha reso pubblico il provvedimento nei confronti dell’Agenzia delle Entrate sull’obbligo di fatturazione elettronica.

Il provvedimento ha rilevato che “l’obbligo di fatturazione elettronica […] così come delineato dalla normativa primaria e secondaria di riferimento, presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”.

Il Garante osserva in particolare la violazione dei principi di privacy by design privacy by default espressi dall’art. 25 del Regolamento Europeo 679/2016.
L’approccio del GDPR è centrato, come noto, sulla valutazione del rischio (risk based approach), con il quale si determina la misura di responsabilità del titolare del trattamento (nel caso della fatturazione elettronica l’Agenzia delle Entrate), tenendo conto della natura, della portata, del contesto e delle finalità del trattamento nonché – ed è qui che il Garante torna più volte nel suo provvedimento – della probabilità e della gravità dei rischi per i diritti e le libertà degli interessati.

Secondo il Garante nell’implementazione di questo nuovo adempimento (la fatturazione elettronica) non si sarebbe tenuto conto degli elevati rischi sottesi tra i quali:
1) Il rischio di un trattamento di dati “ulteriori rispetto a quelli necessari ai fini fiscali”
2) Il rischio di un trattamento massivo ed informatizzato di dati accessibili tramite web app (il riferimento è in particolare alla possibilità di rendere disponibile per tutti i consumatori le fatture elettroniche sul portale dell’Agenzia a prescindere da una puntuale richiesta degli stessi).
3) La concentrazione presso pochi operatori di una grandissima mole di dati (anche particolari) inutili ai fini fiscali ed in grado, potenzialmente, di stimolare l’interesse ad utilizzi impropri (leciti ed illeciti).
4) L’utilizzo di protocolli (FTP) non sicuri e la mancata cifratura del file XML della fattura elettronica con aumento del rischio di accessi non autorizzati.

Il Garante ha quindi ravvisato la violazione di diversi principi cardine del GDPR, tra i quali:
a) Il principio di privacy by desing e by default – art. 25
b) Il principio di minimizzazione – art. 5.1 lett. c)
c) Il principio di adeguatezza delle misure tecniche ed organizzative di sicurezza e protezione dei dati – art. 5.1 lett. f) e art. 32
d) Il principio di correttezza e trasparenza delle informative – art. 13

A corollario il Garante lamenta altresì il suo mancato preventivo coinvolgimento da parte dell’Agenzia delle Entrate (art. 34.4 GDPR e art. 154 comma 4 Codice Privacy ante D.lgs. 101/2018) nonché la mancata predisposizione di una apposita Valutazione di Impatto (DPIA) ex art. 35 GDPR.

Le conclusioni a cui arriva il Garante sono – almeno per il momento – di illiceità del trattamento in quanto “non proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito”, con espressa richiesta all’Agenzia di far conoscere quali iniziative intende assumere per rendere conformi i predetti trattamenti alle disposizioni violate.
L’intervento del Garante si è limitato, per il momento, all’esercizio del suo potere di indagine di cui all’art. 58. 1 lett. a), in attesa che l’Agenzia delle Entrate fornisca i chiarimenti richiesti.
Trovandoci di fronte ad un trattamento di dati non ancora iniziato, ma solo programmato, l’Autorità non ha voluto né potuto esercitare i poteri correttivi che il nuovo Reg. 679/2016 le affida, inclusi i poteri di limitazione o divieto di trattamento (art. 58.2 lett. f).

Data l’ampiezza delle contestazioni mosse dal Garante, alcune delle quali direttamente riferibili all’infrastruttura tecnologica predisposta per la gestione della fatturazione elettronica, sarà molto importante attendere tempi e contenuti della risposta dell’Agenzia delle Entrate.

Chi scrive ritiene che sussistano tutte le condizioni per un eventuale slittamento dell’obbligo vista l’importanza delle correzioni richieste dal Garante e i tempi tecnici per le modifiche sull’infrastruttura e considerate anche le numerose richieste in tal senso provenienti dalle Categorie.

È bene chiarire che il provvedimento del Garante, per quanto invasivo e foriero di possibili conseguenze, non ha bloccato l’entrata in vigore dell’obbligo di fatturazione elettronica che, ad oggi, permane invariato, in attesa di eventuali interventi del legislatore.

Studio MB
Avv. Lorenzo Bianchi

GarantePrivacy-9059949-1.1