Il Garante della Privacy boccia la fatturazione elettronica

“Il diritto di essere lasciato in pace è l’inizio di ogni libertà.”
William O. Douglas

Il Garante della Privacy, a poche settimane dall’entrata in vigore della fatturazione elettronica, punta i piedi e avverte come “non siano state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento le garanzie necessarie a soddisfare i requisiti del regolamento e a tutelare i diritti degli interessati“.

Con il provvedimento n. 481 del 15 novembre 2018, l’autorità garante si lamenta tra l’altro del mancato coinvolgimento da parte dell’Agenzia delle Entrate in merito agli atti n. 89757 del 30 aprile 2018Regole tecniche per l’emissione e la ricezione delle fatture elettroniche per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti, stabiliti o identificati nel territorio dello Stato e per le relative variazioni, utilizzando il Sistema di Interscambio, nonché per la trasmissione telematica dei dati delle operazioni di cessione di beni e prestazioni di servizi transfrontaliere e per l’attuazione delle ulteriori disposizioni di cui all’articolo 1, commi 6, 6bis e 6ter, del decreto legislativo 5 agosto 2015, n. 127” e n. 291241 del 5 novembre 2018Modalità di conferimento/revoca delle deleghe per l’utilizzo dei servizi di Fatturazione elettronica“. Coinvolgimento che avrebbe “certamente potuto contribuire ad avviare il nuovo progetto con modalità e garanzie rispettose della protezione dei dati personali fin dalla progettazione.

Poiché, rileva il Garante (e questo è l’aspetto davvero degno di nota):

Il nuovo obbligo di fatturazione elettronica determina, inoltre, un trattamento sistematico di dati personali su larga scala, anche di categorie particolari di dati, potenzialmente relativi ad ogni aspetto della vita quotidiana, che presenta un rischio elevato per i diritti e le libertà degli interessati, richiedendo, per questo, l’effettuazione di una valutazione di impatto ai sensi dell’art. 35 del Regolamento.

Provvedimento nei confronti dell’Agenzia delle entrate sull’obbligo di fatturazione elettronica – 15 novembre 2018

Trattamento sistematico di dati su larga scala

La fattura elettronica, che vede la sua prima applicazione nella PA italiana già dal 2014 per i rapporti con i fornitori, già dal 2017 è stata messa a disposizione anche delle imprese e dei professionisti. Solo dal 1° gennaio 2019 l’uso del Sistema di Interscambio dell’Agenzia delle Entrate, detto SDI, sarà obbligatorio per tutti, sia tra professionisti che con i privati, e prevede che “tutti i dati presenti nelle fatture emesse (compresi quelli ulteriori rispetto a quelli obbligatori a fini fiscali) che, oltre ad essere trasmesse e rese disponibili ai destinatari attraverso lo SDI, saranno archiviate e utilizzate anche per le attività di controllo, effettuate anche dalla Guardia di finanza, come emerge chiaramente dal punto 10 del citato provvedimento n. 89757 del Direttore dell’Agenzia.

In pratica tutte le fatture, in formato XML, che dovranno per legge essere veicolate attraverso l’SDI, saranno integralmente conservate (compresi i dati non rilevanti ai fini fiscali). Comprese quelle delle operazioni B2C (Business to Consumer), per i quali il Garante riserva le maggiori criticità, poiché possono comportare “rischio elevato per i diritti e le libertà degli interessati“, ed è quindi necessario, ai sensi dell’art. 35 del GDPR, l’effettuazione di una valutazione di impatto (DPIA): “aver progettato e definito la fatturazione elettronica nel quadro normativo primario e secondario, prevedendo in tale ambito un trattamento obbligatorio, generalizzato e di dettaglio di dati personali, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi ad ogni aspetto della vita quotidiana della totalità della popolazione, non appare proporzionato all’obiettivo di interesse pubblico”.

Lotta all’evasione o sistematica profilazione di governo ?

Se da un lato la raccolta massiva e sistematica di tutte le informazioni relative alle transazioni economiche, in un formato analizzabile automaticamente come XML, può indubbiamente favorire l’analisi dei flussi finanziari e, quindi, far emergere eventuali discrepanze, dall’altra si mette in piedi e si automatizza un trattamento sistematico ed invasivo anche di elementi che poco hanno che vedere con la fiscalità e la necessità di verifica sul pagamento delle imposte.

Si profilano quindi scenari ben poco tranquillizzanti: gli acquisti che facciamo, se ci pensate, delineano un profilo molto preciso di noi, delle nostre abitudini ed inclinazioni, delle passioni e delle preferenze. Amazon lo sa bene, stimolandoci continuamente ad effettuare acquisti secondo ciò che abbiamo già acquistato o anche solo desiderato di acquistare sul portale.

Immaginate quindi le potenziali conseguenze di un eventuale leak dei dati conservati sul Sistema di Interscambio o su uno dei tanti account di altrettanti fornitori o cittadini (saranno infatti disponibili, per tutti i cittadini, le relative fatture sul portale dell’Agenzia dell’Entrate, “anche in assenza di una puntuale richiesta degli stessi“): “Un siffatto trattamento comporta, infatti, un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web.

Intermediari interessati

Criticità a cui si aggiunge il ruolo degli intermediari (e gli altri soggetti delegabili), che lo stesso Garante sottolinea essere a rischio, poiché “la possibilità di accedere a simili banche dati stimoli grandi interessi rispetto ai quali sono, quindi, elevati i rischi di ulteriori utilizzi impropri, non solo con riferimento a trattamenti illeciti, ma anche alla proliferazione di possibili collegamenti e raffronti tra fatture di migliaia di operatori economici, in violazione dei principi applicabili al trattamento dei dati personali (art. 5 del Regolamento).”

“Se vuoi, te le conservo io gratis…”

Capitolo a parte il tema della conservazione delle fatture elettroniche, obbligatorio per un periodo di almeno 10 anni. L’Agenzia delle Entrate mette a disposizione un servizio di conservazione gratuito ma che, a quanto sembra dagli accordi di servizio, “l’Agenzia non potrà essere ritenuta responsabile nei confronti del contribuente né nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione”.

Concludendo, sarà interessante vedere come reagiranno gli Enti interessati alle osservazioni del Garante. L’impressione è che, come sempre più spesso avviene in Italia quando si parla di burocrazia e digitale, la montagna partorirà il solito topolino. Se non altro, speriamo che almeno l’applicazione della normativa europea GDPR sappia porre un freno alla raccolta indiscriminata e massiva dei dati relativi ai nostri acquisti, tutelando la nostra privacy.

Michele Pinassi

Blogger, appassionato di tecnologia, società e politica. Attualmente Responsabile del Sistema telefonico di Ateneo presso l'Università degli Studi di Siena ed esperto di sicurezza informatica nello staff del DPO. Utilizza quasi esclusivamente software libero.

Potrebbero interessarti anche...

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

%d blogger hanno fatto clic su Mi Piace per questo: