30 Dicembre 2021

Garante della privacy e sicurezza dei dati nella fatturazione elettronica

Garante approva lo schema di decreto su fatturazione elettronica e privacy

Il 22 dicembre 2021 il Garante per la protezione dei dati personali esprime parere positivo sullo schema di decreto del Direttore dell’Agenzia delle Entrate. Tale decreto ha come fine la sostituzione per intero del precedente provvedimento del 30 aprile 2018. Tuttavia, il Garante ritiene necessario apportare alcuni correttivi.

Grande flusso di fatturazioni elettroniche mettono a rischio la privacy, interviene il Garante

Il problema principale della fatturazione elettronica si può evincere da una semplice constatazione. Ovvero, che sullo SDI dell’Agenzia delle Entrate transitano circa 2 miliardi di fatture elettroniche all’anno. Di queste, poco meno della metà è emessa nei confronti dei consumatori persone fisiche. Inoltre, alcuni dati presenti in questi documenti elettronici non hanno finalità prettamente fiscale.

Quindi, il Garante esegue un’analisi delle fatture elettroniche per valutare gli aspetti con maggior impatto sui diritti e sulle libertà degli interessati. In particolare, per quanto riguarda l’emissione di fatture elettroniche nei confronti dei consumatori finali nell’ambito del commercio elettronico. Questo vale anche quando questi documenti non si impongono nella normativa fiscale.

L’analisi del Garante Privacy su fatturazione elettronica e sicurezza dati di settori diversi

Nell’effettuare questa analisi, il Garante si occupava distintamente dei seguenti settori:

  • attività legale;
  • servizi di investigazione;
  • commercio al dettaglio;
  • servizi alberghieri;
  • trasporti, noleggi/riparazioni veicoli e parcheggi;
  • ristorazione;
  • fornitura di energia elettrica;
  • gas;
  • acqua e altre utenze.

Ora, questi sono i settori in cui il Garante rileva dei profili di criticità in relazione ai dati presenti nelle fatture elettroniche. In particolare, quello maggiormente colpito è il settore dei servizi legali.

Infatti, il punto nodale per quanto riguarda i servizi legali è che la memorizzazione integrale dei file XML comporta la concentrazione presso l’Agenzia delle Entrate di miliardi di fatture elettroniche. Queste contengono dati, anche appartenenti a categorie particolari o relativi a condanne penali e reati. Comunque, di ogni aspetto della vita quotidiana, comprese abitudini e scelte di consumo delle persone fisiche.

Rispetto e tutela personale secondo le normative, nei confronti di fatturazione elettronica

Per il Garante:

“Tali trattamenti – in assenza di adeguate misure di garanzia a tutela degli interessati che assicurino, in modo rigoroso, nel rispetto del principio di privacy by design e by default (art. 25 del Regolamento), il trattamento delle sole informazioni necessarie ai fini del contrasto all’evasione dell’IVA, cui l’istituto della fatturazione elettronica è preordinato – determinano un’ingerenza, sistematica e preventiva, nella sfera privata più intima delle persone fisiche, non proporzionata all’obiettivo di interesse pubblico, pur legittimo, perseguito dall’Agenzia e dalla Guardia di finanza.”

Dunque, il Garante ritiene opportuno applicare misure di garanzia per garantire che il trattamento dei dati avvenga in modo conforme al Regolamento UE e al Codice interno che si occupa della tutela dei dati personali.

Inoltre, il Garante sottolinea che non è sempre necessaria l’identificazione del cessionario/committente. Tuttavia, ad eccezione di alcuni casi particolari come quando occorre rispettare gli obblighi antiriciclaggio.

Inoltre, il Garante specifica che:

“la riferibilità a un consumatore dei dati personali presenti nelle fatture, a fini diversi da quelli per i quali sono raccolti (quali, in particolare, l’attuazione delle disciplina dell’IVA), potrebbe portare a trattamenti non corretti, con errata rappresentazione della sua capacità contributiva, e in relazione ai quali potrebbe risultare impossibile (o, quantomeno, difficile) per l’interessato comprovare, a posteriori e a distanza di tempo, l’inesattezza.”

Garante Privacy: i rimedi per tutelare la privacy con la fatturazione elettronica

In seguito all’analisi, il Garante pondera provvedimenti per la tutela della privacy. In particolare, risultano necessarie misure per:

  • Proteggere le informazioni presenti nei campi di descrizione dei beni ceduti e dei servizi prestati. In particolare, in riferimento al settore legale e agli eventuali allegati, i file XML delle fatture elettroniche (con le relative operazioni B2BB2C e B2G);
  • Garantire che i dati contenuti nei file XML delle fatture elettroniche non siano utilizzabili nei confronti del consumatore finale. Oppure, che questo si faccia esclusivamente nel caso di un controllo delle verifiche fiscali;
  • Limitare l’utilizzo delle informazioni nei file XML delle fatture elettroniche alle sole finalità individuate dall’art. 14 del d.l. n. 124/2019. Dunque, sottraendole anche dall’accesso ai sensi della legge 7 agosto 1990, n. 241 da parte di soggetti diversi dal cedente/prestatore o dal cessionario/committente;
  • Individuare con sufficiente chiarezza il ruolo assunto dall’Agenzia delle Entrate in relazione a tali attività di trattamento;
  • Rappresentare agli operatori economici che l’emissione dei dati comporta anche i trattamenti da parte dell’Agenzia delle Entrate e dalla Guardia di Finanza disciplinati dallo schema in esame. Questa pratica è autorizzata ai sensi del Regolamento unicamente laddove ciò sia previsto da un obbligo di legge (art. 6par. 1lett. c). Ovvero, su richiesta del consumatore finale.

———————————–

LEGGI ANCHE:

Contributo unificato, chi rimborsa la sanzione?

IVA agevolata per le ristrutturazioni edilizie

TORNA ALLE NOTIZIE

Servicematica

Nel corso degli anni SM - Servicematica ha ottenuto le certificazioni ISO 9001:2015 e ISO 27001:2013.
Inoltre è anche Responsabile della protezione dei dati (RDP - DPO) secondo l'art. 37 del Regolamento (UE) 2016/679. SM - Servicematica offre la conservazione digitale con certificazione AGID (Agenzia per l'Italia Digitale).

Iso 27017
Iso 27018
Iso 9001
Iso 27001
Iso 27003
Agid
RDP DPO
CSA STAR Registry
PPPAS
Microsoft
Apple
vmvare
Linux
veeam
0
    Prodotti nel carrello
    Il tuo carrello è vuoto