Fatturazione elettronica e GDPR: dal 1° gennaio 2019 entrerà in vigore l’obbligo della fatturazione elettronica (fino ad oggi applicata solo nei confronti dei fornitori della Pubblica Amministrazione), ma l’Agenzia delle Entrate si trova già costretta dal Garante della Privacy a rimettere mano alla struttura della fattura elettronica.
il Garante ha rilevato le seguenti criticità:
- vi è un problema di “trattamento sistematico, generalizzato e dettagliato di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito”. In questo modo l’Agenzia delle Entrate potrebbe acquisire non solo i dati fiscali relativi alla fattura ma anche tutte le altre informazioni in essa contenute come ad esempio quali sono i beni ed i servizi acquistati, quali sono le abitudini di consumo, o addirittura la descrizione delle prestazioni sanitarie o legali
- gli intermediari delegabili dal contribuente per la trasmissione, la ricezione e la conservazione delle fatture potrebbero utilizzare impropriamente la mole di dati in loro possesso
- la modalità di trasmissione della fattura elettronica non soddisferebbe i requisiti di sicurezza previsti dal GDPR, la mancata cifratura della fattura potrebbe comportare violazioni della privacy molto serie
- l’in-sicurezza dei canali di trasmissione (SDI) delle fatture elettroniche
- l’utilizzo della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di posta elettronica
- i profili di sicurezza relativi alla App e alla conservazione dei dati offerti dall’Agenzia
- la disponibilità sul portale di tutte le fatture in formato digitale, anche per i consumatori che non ne hanno fatto richiesta e che preferiscono ricevere la fattura cartacea o digitale direttamente dal fornitore.
Cosa offre l’Agenzia delle Entrate
Con la fatturazione elettronica l’Agenzia delle Entrate offre un servizio gratuito di conservazione delle fatture basato su un accordo di servizio:
“l’Agenzia non potrà essere ritenuta responsabile nei confronti del contribuente né nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione”.
Questo costituirebbe in termini di sicurezza una violazione degli artt. 5, par. 1, lett. f) e 32 del GDPR.
Se tale accordo fosse confermato si incorrerebbe in una violazione del principio di accountability ovvero di “responsabilizzazione”.
Questo principio costituisce la principale novità introdotta dal Regolamento (UE) 2016/679 e attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5 GDPR).
Questi sono alcuni degli aspetti messi in discussione dal Garante della Privacy!
Ci si aspetta quindi che l’Agenzia delle Entrate specifichi le misure di garanzia che intenderà adottare per garantire la protezione dei dati personali dei contribuenti.