Con provvedimento del 15 novembre 2018 n. 9059949, l’Autorità Garante per la protezione dei dati personali (il “Garante“) ha avvisato l’Agenzia delle entrate (l'”Agenzia“) che i trattamenti di dati personali effettuati nell’ambito della fatturazione elettronica presentano numerose criticità rispetto alla conformità alla normativa vigente. Alla luce di ciò, il Garante ha chiesto all’Agenzia di essere informato con urgenza sulle modalità con cui quest’ultima intenda rendere la fatturazione elettronica compliant alla normativa applicabile in materia di protezione dei dati personali. Stando a quanto riferito dal Garante, l’obbligo di fatturazione elettronica – che, a partire dal 1 gennaio 2019, verrà esteso anche alle operazioni effettuate tra operatori IVA e alle operazioni tra operatori IVA e consumatori – presenterebbe nell’attuale formulazione un rischio elevato per i diritti e le libertà degli interessati, comportando un trattamento obbligatorio, generalizzato e di dettaglio di dati personali, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi ad ogni aspetto della vita quotidiana della totalità della popolazione, e pertanto non proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito. È possibile visualizzare il provvedimento del Garante in versione integrale al seguente link. Di seguito, per comodità, si riassumono alcune delle principali criticità rilevate dal Garante:
  • i provvedimenti del Direttore dell’Agenzia del 30 aprile 2018 e del 5 novembre 2018 sono stati adottati senza aver consultato il Garante;
  • archiviazione della fattura contenente non solo i dati obbligatori ai fini fiscali ma dati ulteriori non necessari a perseguire tali finalità (per i quali, tra l’altro, non sono state individuate adeguate misure di sicurezza nel rispetto dei principi di limitazione delle finalità e minimizzazione) relativi a beni e servizi acquistati, quali abitudini di consumo e fidelizzazioni, ma anche legati a forniture di servizi energetici e di telecomunicazioni, quali tipologie di consumi, regolarità dei pagamenti e appartenenza a particolari categorie di utenti e pure la descrizione di prestazioni sanitarie o legali;
  • messa a disposizione delle fatture in formato digitale sul portale dell’Agenzia (in contrasto con il principio di privacy by design e by default e di minimizzazione dei dati), senza previa richiesta dei consumatori, compresi coloro che non intendono avvalersi di questo servizio, preferendo la ricezione della fattura cartacea o digitale direttamente dal fornitore;
  • non è chiaro il ruolo assunto da intermediari e da altri soggetti delegabili dal contribuente i quali operano anche nei confronti di varie imprese, accentrando un’enorme mole di dati personali con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a eventuali collegamenti e raffronti tra fatture di operatori economici;
  • utilizzo del protocollo FTP per la trasmissione delle fatture elettroniche, considerato canale non sicuro come più volte ribadito dal Garante in passato;
  • mancata cifratura del file XML della fattura elettronica che è quindi vulnerabile a eventuali attacchi informatici e possibile memorizzazione dei dati sui server di Posta Elettronica Certificata (PEC) usati per l’invio e la ricezione delle fatture e altre comunicazioni che espone ad accessi non autorizzati;
  • mancata indicazione nell’informativa all’utente delle ulteriori finalità di conservazione e di controllo perseguite dall’Agenzia con i dati raccolti tramite la mobile app FatturAE che consente agli operatori economici di salvare dati non specificati in cloud, in violazione dell’art. 13 GDPR;
  • non è chiaro il ruolo dell’Agenzia nell’ambito del servizio gratuito di conservazione della fatture basato su un accordo di servizio dove, peraltro, l’Agenzia afferma di non essere responsabile per perdite di dati e quindi in violazione degli artt. 5. § 1, lett. f) e 32 del GDPR che impongono che il trattamento dei dati garantisca un’adeguata sicurezza dei dati personali.
Da ultimo, il Garante ha evidenziato come una previa consultazione avrebbe potuto garantire fin dalla progettazione l’avvio del nuovo obbligo di fatturazione con modalità e garanzie conformi alla normativa vigente. L’Agenzia ha dichiarato che risponderà prontamente alle osservazione mosse dal Garante per cui ci si domanda se il provvedimento di quest’ultima possa comportare una proroga dell’obbligo di fatturazione elettronica, dal momento che le criticità riscontrate potranno difficilmente essere risolte in così breve tempo, e fermo restando che i trattamenti di dati personali effettuati nell’ambito della fatturazione elettronica, così come attualmente delineati, possono violare le disposizioni di cui agli artt. 5, 6, § 3, lett. b), 9, § 2, lett. g), 13, 14, 25 e 32 del GDPR. Senza dimenticare un’eventuale responsabilità civile per danni subiti ai sensi dell’art. 82 GDPR.