Fatturazione elettronica e privacy: il parere del Garante

• Ancora correttivi su fatturazione elettronica e privacy
• L'analisi del Garante, il settore legale il più critico
• Rimedi per tutelare la privacy

Ancora correttivi su fatturazione elettronica e privacy

Il Garante per la protezione dei dati personali, il 22 dicembre 2021, ha espresso parere positivo sullo schema di decreto presentato dal Direttore dell'Agenzia delle Entrate finalizzato a sostituire interamente il precedente provvedimento del 30 aprile 2018 che aveva già tenuto conto del parere del Garante del 20 dicembre 2018. Parere positivo (sotto allegato), condizionato però dalla necessità di apportare alcuni correttivi.

Il problema principale della fatturazione elettronica e della sua commistione con la tutela della privacy riguarda il fatto che, come osservato dal garante "attualmente risultano transitare sullo SDI dell'Agenzia delle entrate circa 2 miliardi di fatture elettroniche all'anno, di cui poco meno della metà è emessa nei confronti dei consumatori persone fisiche" e che alcuni dati contenuti in questi documenti elettronici non hanno finalità prettamente fiscale.

L'analisi del Garante, il settore legale il più critico

Il Garante ha quindi eseguito un'analisi delle fatture elettroniche, per valutare gli aspetti con maggior impatto sui diritti e sulle libertà degli interessati, soprattutto per quanto riguarda l'emissione di fatture elettroniche nei confronti dei consumatori finali nell'ambito del commercio elettronico, anche quando questi documenti non sono imposti dalla normativa fiscale.

Nell'effettuare questa analisi il Garante si è occupato distintamente dei seguenti settori: attività legale, servizi di investigazione, commercio al dettaglio, servizi alberghieri, trasporti, noleggi/riparazioni veicoli e parcheggi, ristorazione, fornitura di energia elettrica, gas, acqua e altre utenze.

Settori in cui il Garante, ha rilevato, in diversa misura, profili di criticità (soprattutto per quanto riguarda il settore dei servizi legali) in relazione ai dati presenti nelle fatture elettroniche.

Il punto nodale, per quanto riguarda soprattutto i servizi legali infatti è che "la memorizzazione integrale dei file XML (…) comporta comunque la concentrazione presso l'Agenzia delle entrate di miliardi di fatture elettroniche contenenti dati, anche appartenenti a categorie particolari o relativi a condanne penali e reati, riferiti a ogni aspetto della vita quotidiana, abitudini e scelte di consumo delle persone fisiche."

Per il Garante "Tali trattamenti – in assenza di adeguate misure di garanzia a tutela degli interessati che assicurino, in modo rigoroso, nel rispetto del principio di privacy by design e by default (art. 25 del Regolamento), il trattamento delle sole informazioni necessarie ai fini del contrasto all'evasione dell'IVA, cui l'istituto della fatturazione elettronica è preordinato – determinano un'ingerenza, sistematica e preventiva, nella sfera privata più intima delle persone fisiche, non proporzionata all'obiettivo di interesse pubblico, pur legittimo, perseguito dall'Agenzia e dalla Guardia di finanza."

Come rilevato anche dal legislatore, il Garante ritiene opportuno applicare misure di garanzia per garantire che il trattamento dei dati avvenga in modo conforme al Regolamento UE e al Codice interno che si occupa della tutela dei dati personali. Il Garante inoltre sottolinea:

• che non sempre è necessario identificare il cessionario/committente, ad eccezione di alcuni casi particolari, come quando occorre rispettare gli obblighi antiriciclaggio;
• e che "la riferibilità a un consumatore dei dati personali presenti nelle fatture, a fini diversi da quelli per i quali sono raccolti (quali, in particolare, l'attuazione delle disciplina dell'IVA), potrebbe portare a trattamenti non corretti, con errata rappresentazione della sua capacità contributiva, e in relazione ai quali potrebbe risultare impossibile (o, quantomeno, difficile) per l'interessato comprovare, a posteriori e a distanza di tempo, l'inesattezza."

Rimedi per tutelare la privacy

Alla conclusione di questa analisi e alla luce delle criticità emerse, il Garante ritiene necessaria l'adozione di misure atte a:

• proteggere, non alterare ed escludere le informazioni contenute, nei campi relativi alla descrizione dei beni ceduti e dei servizi prestati (in riferimento al settore legale) e agli eventuali allegati, dei file XML delle fatture elettroniche (relative alle operazioni B2B, B2C e B2G);
• garantire che i dati contenuti nei file XML delle fatture elettroniche non siano utilizzabili nei confronti del consumatore finale se non esclusivamente in caso di un controllo avviato in conseguenza di puntuali verifiche fiscali;
• "limitare l'utilizzo delle informazioni contenute nei file XML delle fatture elettroniche alle sole finalità specifiche individuate dall'art. 14 del d.l. n. 124/2019, sottraendole anche dall'accesso ai sensi della legge 7 agosto 1990, n. 241, da parte di soggetti diversi dal cedente/prestatore o dal cessionario/committente";
• individuare con sufficiente chiarezza il ruolo assunto dall'Agenzia delle entrate in relazione a tali attività di trattamento;
• "rappresentare agli operatori economici che l'emissione, in luogo di altri documenti commerciali, di fatture elettroniche nei confronti dei consumatori finali – che, in conseguenza della trasmissione allo SDI, comporta anche i trattamenti da parte dell'Agenzia delle entrate e dalla Guardia di finanza disciplinati dallo schema in esame – può ritenersi autorizzata ai sensi del Regolamento unicamente laddove ciò sia previsto da un obbligo di legge (art. 6, par. 1,lett. c)), ovvero avvenga su richiesta del consumatore finale."