Il Garante all’Agenzia delle entrate: la fatturazione elettronica va cambiata
Colpo di scena: manca poco più di un mese all’introduzione dell’obbligo (previsto dalla manovra dell’anno scorso) ed il Garante Privacy chiede chiarimenti all’Agenzia delle Entrate, su profili di rischio in materia di privacy. Tutto il sistema fatto dall’Agenzia delle Entrate per l’obbligo di fatturazione elettronica, che scatta da gennaio, non è “privacy by design”, quindi non conforme al GDPR.
Il Garante per la protezione dei dati personali ha chiesto all’Agenzia, di far sapere con urgenza come intenda rendere conformi al quadro normativo italiano ed europeo, i trattamenti di dati che verranno generati ai fini della fatturazione elettronica [doc. web n. 9059949].
a) ai sensi dell’art. 58, § 2, lett. a), del Regolamento, avverte l’Agenzia delle entrate del fatto che i trattamenti di dati personali, effettuati nell’ambito della fatturazione elettronica, ai sensi dell’art. 1 del decreto legislativo 5 agosto 2015, n. 127 e dei provvedimenti n. 89757 del 30 aprile 2018 e n. 291241 del 5 novembre 2018 del Direttore, così come attualmente delineati, possono violare le disposizioni del Regolamento, di cui agli artt. 5, 6, § 3, lett. b), 9, § 2, lett. g), 13, 14, 25 e 32;
b) ai sensi dell’art. 58, § 1, lett. a), del Regolamento, ingiunge all’Agenzia delle entrate di far conoscere all’Autorità le iniziative assunte per rendere conformi i predetti trattamenti alle disposizioni sopra citate, allorché gli obblighi di fatturazione elettronica divengano pienamente operativi. I trattamenti di dati, previsti dal 1 gennaio 2019, possono violare la normativa sulla protezione degli stessi. Sproporzionata raccolta di informazioni e rischi di usi impropri, da parte di terzi
Il Garante della Privacy ha emesso un provvedimento, nei confronti dell’Agenzia delle Entrate, rilevando che «l’estensione dell’obbligo di fatturazione elettronica, in particolare, anche alle operazioni B2C, così come delineato dalla normativa primaria e secondaria di riferimento, presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali».
Il punto di snodo è che l’Agenzia delle Entrate, nel nuovo adempimento, non tiene «adeguatamente conto dei rischi» che «l’implementazione della fatturazione elettronica determina per i diritti e le libertà degli interessati», non essendo «state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati».
Quella del Garante è una presa di posizione molto forte, che evidenzia come l’Agenzia delle Entrate non sia onnipotente. I provvedimenti del Direttore dell’Agenzia del 30 aprile 2018 e del 5 novembre 2018, sono stati adottati senza che il Garante sia stato consultato: questi ha esercitato un nuovo potere, previsto dal GDPR. In dettaglio elenchiamo i problemi rilevati dal Garante.
1- l’Agenzia, dopo aver recapitato le fatture in qualità di “postino” (col sistema di interscambio, SDI) tra gli operatori economici ed i contribuenti, archivierà e utilizzerà i dati anche a fini di controllo. Ma non saranno archiviati solo i dati obbligatori a fini fiscali, ma la fattura vera e propria (violazione minimizzazione dei dati), contenente informazioni di dettaglio aggiuntive (beni e servizi acquistati, le abitudini e le tipologie di consumo), legate alla fornitura di servizi energetici e di telecomunicazioni (es. regolarità nei pagamenti, appartenenza a particolari categorie di utenti) o addirittura la descrizione delle prestazioni sanitarie o legali.
2- Criticità derivano anche dalla scelta, dell’Agenzia delle entrate, di mettere a disposizione (sul proprio portale in formato XML), senza una richiesta dei consumatori, tutte le fatture in formato digitale, anche per chi preferirà comunque continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore, come garantito dal legislatore.
3- Ulteriori problemi per il ruolo degli intermediari (delegabili dal contribuente), per la trasmissione, la ricezione e la conservazione delle fatture, alcuni dei quali operano anche nei confronti di una moltitudine di imprese, accentrando enormi masse di dati personali, con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.
4- Le modalità di trasmissione (con lo SDI) e gli ulteriori servizi offerti dall’Agenzia (conservazione dei dati), presentano criticità per quanto riguarda i profili di sicurezza, a partire dalla mancata cifratura della fattura elettronica, tanto più considerato l’utilizzo della PEC per lo scambio delle fatture, con conseguente possibile memorizzazione di documenti sui server di posta elettronica.
Altri problemi riguardano la sicurezza dei canali di trasmissione delle fatture elettroniche (il previsto protocollo FTP, non è considerabile un canale sicuro). L’APP messa a disposizione dall’Agenzia, consente agli operatori di salvare dati in ambiente cloud, senza chiarire nell’informativa le ulteriori finalità di conservazione e di controllo perseguite dall’Agenzia, con i dati raccolti con l’APP. Il contribuente, nel caso delle spese sanitarie, può negare il consenso all’utilizzo per la dichiarazione dei redditi precompilata, ma per altre tipologie di dati, che vengono utilizzati, questa opzione non è prevista. Sostanzialmente vengono chieste informazioni non necessarie ai fini fiscali.
L’Agenzia dovrà quindi rifare in corsa il sistema. Non si sa se questo comporterà un ritardo: è la questione principale. Alcuni aspetti sono facilmente risolvibili (l’oscuramento dei campi nel “Xml”), altri comportano attività ben più gravose ed un rallentamento del sistema stesso (la cifratura di tutto ciò che si conserva). E apre dubbi sulla su tenuta complessiva. L’Agenzia sembra essere stata presa un po’ in contropiede e, per il momento, si limita ad assicurare che risponderà il più brevemente possibile.
Ci sarà una proroga, quindi la fattura elettronica non partirà, come previsto, il prossimo primo gennaio? Oppure il Fisco riuscirà a fornire tutti gli elementi necessari ad assicurare che la privacy venga pienamente garantita? L’Ordine dei Commercialisti (presa di posizione) vorrebbe una maggiore gradualità. Il provvedimento del Garante mette in discussione buona parte dell’impianto su cui si basa l’operazione “obbligo fattura elettronica fra privati”, con un anticipo obiettivamente scarso: l’incertezza coinvolge così tutte le imprese ed i professionisti a partita IVA.
Non è poco!
BIBLIOWEB:
Garante della Privacy https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9059957
Garante della Privacy Provvedimento nei confronti dell’Agenzia delle entrate sull’obbligo di fatturazione elettronica – Registro dei provvedimenti n. 481 del 15 novembre 2018 [doc. web n. 9059949] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9059949
C’è SIOPE http://newmicro.altervista.org/?p=3829
Le agevolazioni fiscali sulle spese sanitarie http://newmicro.altervista.org/?p=4764
@ Farmacies http://newmicro.altervista.org/?p=4824
Privacy Europea: GDPR, Informativa e i nuovi diritti http://newmicro.altervista.org/?p=4122
GDPR Now http://newmicro.altervista.org/?p=4728
Cibersecurity & Blockchain in Sanità http://newmicro.altervista.org/?p=4646
Articoli correlati:
NOV
Per qualsiasi comunicazione tecnica riguardante il presente Sito Web, potete contattare il WEBMASTER inviando un messaggio di posta elettronica. Grazie.
About the Author
Email: [email protected]