[A cura di: Ivano Rossi – CEO Rokler Management & Consulting Srl ] La legge del 27 dicembre 2017, n. 205, art. 1, spec. comma 909, più nota come legge di bilancio 2018, ha esteso l’obbligo di fatturazione elettronica anche alle cessioni di beni e le prestazioni di servizi tra operatori IVA (B2B) e da operatore IVA a consumatore finale (B2C).

L’obbligo scatta dal 1° gennaio 2019 verso tutti gli operatori con l’eccezione di quelli che rientrano nei regimi di vantaggio o forfettari, e dei piccoli produttori agricoli.

Lo scorso 15 novembre, il Garante Privacy è intervenuto con provvedimento n. 481 (doc. web 9059949) esercitando, per la prima volta dall’entrata in vigore del Regolamento UE 2016/679, i suoi poteri correttivi e di indagine nei confronti del titolare e del responsabile del trattamento dei dati (art. 58 § 2 lett.a) e § 1 lett. a)), ritenendo che questo trattamento “presenta un rischio elevato per i diritti e le libertà degli interessati, comportando un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito” (cfr. Garante Privacy, comunicato stampa del 16/11/2018).

La fatturazione elettronica

Per comprendere questa osservazione cerchiamo di capire come avviene la fatturazione elettronica e quali dati personali e/o particolari possono venire trattati.

Dal 1° gennaio 2019 ogni fornitore dovrà emettere la fattura in formato XML predefinito, trasmettendo il documento al cliente, soggetto IVA o cliente finale, attraverso lo SDI (Sistema di interscambio), una sorta di grande contenitore, messo a disposizione dal Ministero dell’economia e delle finanze, e gestito dall’Agenzia delle entrate. Il provvedimento n. 89757 del 30/04/2018 dell’Agenzia delle entrate ha specificato che i dati di interesse della stessa Agenzia e della Guardia di Finanzia, oltre a essere quelli predefiniti e obbligatori ai fini fiscali, potranno essere anche quelli “ulteriori” indicati nella fattura stessa.

Questo significa che, ad esempio, informazioni quali agevolazioni per appartenenza a particolari categorie di utenti, scontistiche per disabilità o semplicemente abitudini d’acquisto potranno essere oggetto di esame sia da parte degli operatori economici che degli intermediari attirando gli interessi di chi, attraverso questo tipo di dati, può profilare i consumatori traendo vantaggi economici rilavanti, con la possibilità di manipolazione dei dati stessi e delle abitudini d’acquisto. Tutto ciò comprometterebbe i diritti e le libertà fondamentali degli interessati.

Il Garante, nel suo provvedimento, ha rilevato, pertanto, il mancato rispetto del principi di limitazione delle finalità, minimizzazione e riservatezza (art. 5, par. 1, lett. b), c) e f) Reg. UE 2016/679) considerando questi ulteriori trattamenti non proporzionati e non pertinenti rispetto alla finalità perseguita.

Aspetti critici di sicurezza

Altro aspetto critico messo in evidenza dal Garante è legato alla sicurezza del formato, della trasmissione e della conservazione delle fatture elettroniche.

La fatturazione elettronica sostanzialmente prevede due momenti:

• il primo è quello dell’invio del documento fiscale da parte dell’emittente/fornitore presso lo SDI;
• il secondo è quello di accesso allo SDI per il recupero della fattura stessa da parte di altro fornitore (B2B) o dal consumatore finale (B2C) e dall’intermediario.

L’invio allo SDI può avvenire attraverso quattro modalità:

• posta elettronica certificata;
• procedura web o tramite mobile app;
• sistema di cooperazione applicativa, su rete internet, tramite web service;
• sistema di trasmissione dati tra terminali remoti, basato su protocollo FTP.

I destinatari possono accedere con le seguenti modalità:

• in caso di operazioni B2B con gli stessi canali previsti ai punti precedenti;
• in caso di operazioni B2C le fatture saranno rese disponibili al consumatore finale, nel formato XML, nella sezione riservata del sito web dell’Agenzia delle entrate. Una copia dovrà essere in ogni caso resa disponibile in formato digitale o analogico.

Tenuto conto della enorme mole di dati, e soprattutto delle modalità di trasmissione e conservazione, questo pone il fianco a diversi aspetti con criticità ad oggi non valutabili.

Non risulterebbe, da parte del Ministero dell’economia e delle finanze e dall’Agenzia delle entrate, una valutazione iniziale dei rischi (art. 25 § 1 Reg. UE 2016/679) “…aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento…”  attraverso l’adozione di “misure tecniche e organizzative adeguate…” che attraverso la raccolta dei dati strettamente necessari per il perseguimento delle finalità (principio di proporzionalità e minimizzazione). Altresì non risulterebbero chiare le modalità di accesso alle informazioni raccolte e le misure di sicurezza applicate in modo predefinito (art. 25 § 2 Reg. UE 2016/679).

Tradotto in termini pratici, le criticità per la sicurezza più evidenti sono:

• il formato XML per l’elaborazione della fattura elettronica: i vantaggi sono la flessibilità, la compatibilità e la portabilità. Il limite/svantaggio è la facilità di manipolazione attraverso semplici linguaggi di programmazione;
• trasmissione dei file dall’emittente allo SDI: sembrerebbe che l’invio del file non sia protetto da tecniche di cifratura e che il protocollo utilizzato sia FTP base. Questo significa che le trasmissioni dei file avverrebbero in chiaro esponendo ad un attacco di tipo man-in-the-middle con la possibilità di furto o di manipolazione dei dati oggetto di trasmissione;
• la conservazione delle fatture elettroniche presso l’Agenzia delle entrate attraverso un accordo di servizio: sembrerebbe il testo di tale accordo preveda che “l’Agenzia non potrà essere ritenuta responsabile nei confronti del contribuente né nei confronti di altri soggetti, direttamente e indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazioni di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione” violando di fatto il principio di garanzia della sicurezza dei dati personali trattati, mediante misure tecniche e organizzative adeguate, da possibili accessi non autorizzati o illeciti, dalla perdita, dalla distruzione o dal danno accidentale (art. 5 § 1 lett. f); art. 32 Reg. UE 2016/679).

Il Garante lamenta, sostanzialmente, la mancata valutazione di impatto dei trattamenti che si vogliono mettere in atto (art. 35 Reg. UE 2016/679), l’adozione di misure di sicurezza adeguate (art. 32 Reg. UE 2016/679) e, di fronte ai rischi elevati per i diritti e le libertà degli interessati, alla mancata consultazione preventiva dello stesso Garante (art. 36 Reg. 2016/679).

Di contro, abbiamo già avuto esempi di consultazione preventiva del Garante proprio in ambito di fatturazione elettronica nei confronti degli enti del Servizio sanitario nazionale per acquisti di prodotti farmaceutici (doc. web 7457312 del 7 dicembre 2017). In questo caso, con provvedimento n. 516 del 07/12/2017, il Garante è intervenuto preventivamente fornendo indicazioni sui limiti dei controlli che l’AIFA (Agenzia Italiana del Farmaco) potesse effettuare sulle fatture elettroniche emesse dalle aziende farmaceutiche.

In attesa di chiarimenti

Non si comprendono, pertanto, le motivazioni per le quali l’Agenzia delle entrate attraverso il provvedimento dello scorso aprile, non si sia interfacciata con l’Autorità di controllo per valutare preventivamente le modalità e i limiti dei trattamenti dei dati personali che si volevano mettere in atto.

Essendo ormai prossima la data di obbligo della fatturazione elettronica, 1° gennaio 2019, il Garante ha avvertito l’Agenzia delle entrate della possibile violazione delle disposizioni del Regolamento e ha ingiunto alla stessa di comunicare le iniziative che prenderà per rendere conformi i trattamenti dei dati personali prima che divengano operativi.

Rimaniamo pertanto in attesa dei chiarimenti da parte dell’Agenzia delle entrate entro trenta giorni dal ricevimento della richiesta, in mancanza dei quali potremmo assistere all’esercizio dei poteri correttivi dell’Autorità di controllo (art. 58 § 2 Reg. UE 2016/679) così come dell’irrogazione di sanzioni amministrative pecuniarie nei confronti della Pubblica Amministrazione per violazioni al Regolamento, di fatto applicando per la prima volta quanto previsto dal Decreto legislativo del 10 agosto 2018, n. 101 art. 166 commi 3 e 4.

Lascia un commento Annulla risposta

Devi essere connesso per inviare un commento.