Diritto & Internet

Garante contro Agenzia delle Entrate: sì alla fatturazione elettronica, ma nel rispetto della privacy

Sembra essere passato per tutti, o quasi, il tempo dell’emissione delle fatture cartacee. La fatturazione elettronica, già prevista obbligatoriamente per la Pubblica amministrazione ed estesa alle operazioni Business to Business come mera possibilità alternativa alla “carta”, a partire dal 1° gennaio 2019 sarà obbligatoria per tutte le cessioni di beni e prestazioni di servizi comunque effettuate tra soggetti residenti o stabiliti in Italia. A prevederlo è l’art. 1, comma 916, della legge 27 dicembre 2017, n. 205 (la legge di bilancio 2018). Una previsione, questa, con l’effetto di introdurre un obbligo generale di fatturazione elettronica, con l’unica eccezione degli operatori che rientrano nei c.d. regimi di vantaggio o regimi forfettari ­– per i quali è facoltativa – nonché evidentemente per i produttori agricoli, poiché totalmente esonerati dall’emissione di fattura.

Si tratta sostanzialmente di una fattura in formato XML predefinito, trasmessa attraverso il Sistema di Interscambio (SDI) messo a disposizione dal Ministero dell’economia e delle finanze e gestito dall’Agenzia delle Entrate. La nuova fatturazione elettronica, così come progettata, comporta anche il trattamento, da parte dell’Agenzia delle Entrate, di tutti i dati presenti nelle fatture emesse.

Dai provvedimenti n. 89757 e n. 291241, adottati dal Direttore dell’Agenzia delle Entrate rispettivamente il 30 aprile e il 5 novembre 2018, si evince che l’Agenzia effettuerà un trattamento obbligatorio, generalizzato e di dettaglio dei dati personali contenuti nelle fatture. In particolare, saranno oggetto di trattamento i dati volti ad individuare i beni e i servizi ceduti, con la descrizione delle prestazioni e dei rapporti fra cedente, cessionario e altri soggetti. I dati possono essere riferiti a sconti applicati, fidelizzazioni, abitudini di consumo e può trattarsi di dati obbligatori imposti da specifiche normative di settore, con particolare riguardo ai trasporti, alle forniture di servizi energetici o di telecomunicazioni (tipologie dei consumi, regolarità dei pagamenti, appartenenza a particolari categorie di utenti). A questi devono poi aggiungersi le categorie particolari di dati personali, come quelli rilevabili dalle fatture elettroniche emesse, ad esempio, dagli operatori attivi nel settore sanitario.

Il Garante per la protezione dei dati personali ha emesso un provvedimento (n. 481 del 15 novembre 2018) nei confronti dell’Agenzia, con il quale ha individuato una serie di rilevanti criticità della nuova disciplina in relazione alla normativa in materia di protezione dei dati personali.

Innanzitutto, il Garante ravvisa nella mancata consultazione della stessa Autorità, prima dell’adozione dei provvedimenti dell’Agenzia, la violazione dell’art. 36, comma 4, del Regolamento (UE) 2016/679, che stabilisce il necessario coinvolgimento dell’Autorità di controllo “durante l’elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento”.

In secondo luogo, ritiene che la nuova disciplina preveda un trattamento su larga scala dei dati personali contenuti nelle fatture che presenta un rischio elevato per i diritti e le libertà degli interessati. L’Agenzia delle Entrate – secondo il Garante – avrebbe dovuto conseguentemente effettuare, in qualità di titolare del trattamento, la valutazione di impatto di cui all’art. 35 del Regolamento.

I provvedimenti n. 89757 e n. 291241 prescrivono altresì che l’Agenzia, dopo aver recapitato le fatture in qualità di “postino”, non archivi solo i dati personali necessari ad assolvere gli obblighi fiscali, ma la fattura vera e propria in formato XML, che contiene anche informazioni non necessarie a fini fiscali. A tal riguardo, il Garante sostiene che si configuri un trattamento generalizzato non proporzionato all’interesse pubblico perseguito e in contrasto con il principio di limitazione della finalità, minimizzazione e riservatezza di cui all’art. 5, par. 1, lett. b), c) e f) del GDPR.

Ulteriore criticità individuata dall’Autorità è nella scelta  di rendere disponibili ai consumatori tutte le fatture elettroniche in formato XML sul portale dell’Agenzia, anche in assenza di una puntuale richiesta degli stessi, e senza considerare che gli stessi hanno diritto di ottenerne una copia, digitale o analogica, direttamente dall’operatore. Secondo il Garante privacy, un siffatto trattamento è in evidente contrasto con i principi di “privacy by design” e “by default” di cui all’art. 25 del Regolamento

In seguito a tale intervento del Garante per la protezione dei dati personali, è stato istituito un tavolo tecnico tra Agenzia e lo stesso Garante per tentare di trovare soluzioni adeguate alla “problematica privacy”.

Le incertezze ad oggi esistenti non sono poche. Ci si domanda, in particolare, quali saranno le risposte dell’Agenzia delle Entrate e se la stessa riuscirà ad adeguare la disciplina entro il termine previsto per l’entrata in vigore dell’obbligo di fatturazione elettronica.

Per avere risposte certe non resta che aspettare la soluzione proposta dal tavolo.

Dott. Carla Cerasa

Direttore Scientifico
Prof. Avv. Giusella Finocchiaro
Curatrice Editoriale
Dott. Giulia Giapponesi