Novità del GDPR e criticità rilevate dal Garante Privacy in tema di fattura elettronica

Dal 1° gennaio 2019 l’obbligo di fatturazione elettronica è stato esteso. Ma l’attuazione dovrà tener conto dei rilievi del Garante alla luce delle novità introdotte per adeguare la normativa nazionale al Regolamento europeo sulla protezione dei dati personali.

Sono ormai ben noti i benefici sia economici che procedurali ottenibili in termini di efficienza complessiva attraverso la “dematerializzazione documentale”.

Anche per questo, con la legge di bilancio 2018 l’obbligo di fatturazione elettronica, già applicato nei confronti della pubblica amministrazione, è stato esteso alle cessioni di beni e prestazioni di servizi effettuate tra soggetti residenti o stabiliti in Italia.

Dal 1° gennaio 2019 la fattura elettronica è diventata obbligatoria per tutte le cessioni di beni e prestazioni di servizi comunque effettuate sia tra fornitori (operazioni Business to Business, c.d. B2B) che verso un consumatore finale (operazioni Business to Consumer, c.d. B2C), con l’eccezione dei regimi di vantaggio e regimi forfettari, per i quali è facoltativa, nonché dei piccoli produttori agricoli.

Intanto, il 4 settembre è stato pubblicato nella Gazzetta Ufficiale n. 205 il decreto legislativo 101 del 10 agosto 2018 contenente le disposizioni per l’adeguamento della normativa nazionale ai principi del Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. La funzione del decreto legislativo n. 101/2018 è quindi quella di armonizzare le norme già previste nel nostro Codice in materia di protezione dei dati personali (D.Lgs. 196/2003) con quelle introdotte dal Regolamento Europeo 2016/679 entrato in vigore il 25 maggio scorso e che abroga la direttiva 95/46/CE (Regolamento Generale Protezione dei Dati).

Ed è proprio alla luce della piena applicazione delle nuove norme che il Garante Privacy ha esercitato per la prima volta il nuovo potere correttivo di avvertimento, attribuito dal Regolamento europeo, attraverso un provvedimento adottato anche a seguito di alcuni reclami. Con il “Provvedimento nei confronti dell’Agenzia delle entrate sull’obbligo di fatturazione elettronica – 15 novembre 2018”  il Garante per la protezione dei dati personali ha avvertito che il nuovo obbligo della fatturazione elettronica, così come finora  regolato, “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”, chiedendo pertanto all’Agenzia delle entrate di “far conoscere all’Autorità le iniziative assunte per rendere conformi i predetti trattamenti alle disposizioni sopra citate allorché gli obblighi di fatturazione elettronica divengano pienamente operativi”.

Innanzitutto, va ricordato che le regole per predisporre, trasmettere, ricevere e conservare le fatture elettroniche sono definite nel provvedimento n. 89757 del 30 aprile 2018 dell’Agenzia delle Entrate. Per fattura elettronica si intende una fattura predisposta in un formato XML predefinito, trasmesso dall’emittente al ricevente attraverso il Sistema d’interscambio (SDI), messo a disposizione dei soggetti passivi dal Ministero dell’economia e delle finanze e gestito dall’Agenzia delle Entrate “anche per l’acquisizione dei dati fiscalmente rilevanti”.

I dati obbligatori da riportare, a norma di legge, nella fattura elettronica sono i medesimi di quelli stessi già riportati nelle fatture cartacee, ma possano essere integrati “con ulteriori dati utili alla gestione del ciclo attivo e passivo degli operatori”. Ciò comporta quindi il trattamento, da parte dell’Agenzia delle entrate, di tutti i dati presenti nelle fatture emesse che, oltre ad essere trasmesse e rese disponibili ai destinatari attraverso lo SDI, saranno archiviate e utilizzate anche per le attività di controllo, effettuate anche dalla Guardia di finanza.

I canali di colloquio con lo SDI per trasmettere le fatture sono:

1. posta elettronica certificata (PEC);
2. servizi informatici messi a disposizione dall’Agenzia delle entrate (procedura web e mobile app);
3. sistema di cooperazione applicativa, su rete Internet, tramite web service;
4. sistema di trasmissione dati tra terminali remoti, basato su protocollo FTP.

Le fatture sono rese disponibili ai destinatari con le stesse modalità in caso di operazioni B2B, mentre per operazioni B2C le fatture saranno rese disponibili al consumatore finale, nel formato XML, nella sezione riservata del sito web dell’Agenzia delle entrate. Resta fermo che una copia della fattura, in formato elettronico o analogico, sarà messa a disposizione del consumatore e un duplicato sarà reso sempre disponibile anche nell’area riservata dell’operatore economico che ha emesso la fattura.

Viene, inoltre, previsto che l’Agenzia delle entrate metta a disposizione del contribuente, mediante l’utilizzo di reti telematiche e anche in formato strutturato, le informazioni acquisite, affinando anche i meccanismi di ausilio all’adempimento spontaneo da parte degli operatori economici che consentono di rilevare le incongruenze tra dati presenti nelle fatture e i versamenti IVA.

Il Garante osserva che tutto il sistema previsto non rispetta i principi di “privacy by design” e “privacy by default”, cioè come, nel progettare il nuovo adempimento, non si sia tenuto adeguatamente conto dei rischi che l’implementazione della fatturazione elettronica determina per i diritti e le libertà degli interessati, e, quindi, non siano state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento le garanzie necessarie a soddisfare i requisiti del regolamento e a tutelare i diritti degli interessati.

(...)

(tratto da ICT Security Magazine)