Via libera della Privacy: memorizzazione solo per le informazioni fiscali
Periodo transitorio fino al 2 luglio 2019 per il completo adeguamento
È un via libera condizionato quello che il Garante della privacy ha dato al sistema di fatturazione elettronica messo in piedi dall’agenzia delle Entrate. Dopo i pesanti rilievi mossi dall’Autorità circa un mese fa (si veda Il Sole 24 Ore del 17 novembre), l’e-fattura potrà dunque decollare il 1° gennaio, ma con significative correzioni concordate nel tavolo tecnico fra Garante, ministero dell’Economia, Entrate, Agid, Consigli nazionali dei dottori commercialisti e dei consulenti del lavoro e Assosoftware.
Riguardo alla memorizzazione delle fatture elettroniche. Il Garante aveva rilevato che l’archiviazione di tutti i dati, compresi quelli non strettamente fiscali, era sproporzionata rispetto al pur legittimo interesse pubblico perseguito. Si rischiava, infatti, di costruire una super banca dati – nel 2017 sono state emesse circa 2,1 miliardi di fatture – con informazioni capaci di incidere sui diritti e le libertà degli interessati. La soluzione dell’Agenzia è di memorizzare l’intera fattura e di renderla disponibile sul proprio sito solo nel caso il contribuente aderisca esplicitamente al servizio di consultazione. Negli altri casi, i dati “superflui” saranno cancellati. Questa messa a punto richiederà, però, un periodo transitorio e solo dal 2 luglio 2019 potrà partire il servizio di consultazione su domanda.
Il principio di minimizzazione verrà adottato anche per i controlli automatizzati, dove si utilizzeranno solo le informazioni fiscali della e-fattura. Anche per le verifiche puntuali, che possono richiedere l’esame analitico delle fatture, si dovranno pensare nuove modalità di acquisizione dei dati, perché la memorizzazione totale del documento è comunque sproporzionata, considerato che nel 2016 e 2017 i controlli hanno riguardato poco più di centomila soggetti Iva all’anno, contro 4,7 milioni di interessati.
Un altro aspetto critico era la sicurezza dei dati. Le Entrate hanno acconsentito a studiare nuove tecniche di cifrature per proteggere il viaggio delle e-fatture sullo Sdi (il sistema di interscambio gestito dall’agenzia). Entro aprile prossimo l’agenzia dovrà fornire una nuova analisi al riguardo e sempre entro quella data dovrà predisporre una nuova valutazione d’impatto dell’intero sistema, documento previsto dal Gdpr e che – si raccomanda il Garante – va predisposta «evitando di sfruttare schemi standard e semplificazioni che rischiano di comprometterne l’efficacia».
Sempre in relazione alla tutela dei dati sensibili, nonostente l’esonero dall’invio dell’e-fattura previsto dalla conversione del Dl fiscale in caso di invio dei dati al Sistema tessera sanitaria (punto su cui interviene nuovamente anche il maxi-emendamento alla manovra), il Garante precisa a chiare lettere che l’e-fattura non va mai emessa dai soggetti che erogano prestazioni sanitarie. E sul punto sollecita l’Agenzia a dare uistruzioni in modo da evitare trattamenti di dati non linea con la privacy.
Infine, è stato affrontato il problema del ruolo degli intermediari. Con il provvedimento di metà novembre l’Authority aveva richiamato l’attenzione sull’articolato sistema di deleghe delineato dalle Entrate per consentire agli intermediari e ad altri soggetti di inviare, ricevere e conservare le e-fatture. Il tavolo di lavoro ha chiarito che chi riceve dal contribuente la delega per gestire le fatture elettroniche ha anche obblighi di protezione dei dati, poiché si configura – ai sensi della normativa sulla privacy – come responsabile o sub-responsabile del trattamento. In tal senso, il Garante ha ravvisato la non conformità al Gdpr di alcune clausole contrattuali di alcune società di software gestionali, che si riservano la possibilità anche di elaborare e utilizzare i dati delle fatture su base aggregata e previa anonimizzazione. Operazioni che vanno al di là delle finalità perseguite dalla fatturazione elettronica e che devono essere valutate con attenzione.
Riguardo alla memorizzazione delle fatture elettroniche. Il Garante aveva rilevato che l’archiviazione di tutti i dati, compresi quelli non strettamente fiscali, era sproporzionata rispetto al pur legittimo interesse pubblico perseguito. Si rischiava, infatti, di costruire una super banca dati – nel 2017 sono state emesse circa 2,1 miliardi di fatture – con informazioni capaci di incidere sui diritti e le libertà degli interessati. La soluzione dell’Agenzia è di memorizzare l’intera fattura e di renderla disponibile sul proprio sito solo nel caso il contribuente aderisca esplicitamente al servizio di consultazione. Negli altri casi, i dati “superflui” saranno cancellati. Questa messa a punto richiederà, però, un periodo transitorio e solo dal 2 luglio 2019 potrà partire il servizio di consultazione su domanda.
Il principio di minimizzazione verrà adottato anche per i controlli automatizzati, dove si utilizzeranno solo le informazioni fiscali della e-fattura. Anche per le verifiche puntuali, che possono richiedere l’esame analitico delle fatture, si dovranno pensare nuove modalità di acquisizione dei dati, perché la memorizzazione totale del documento è comunque sproporzionata, considerato che nel 2016 e 2017 i controlli hanno riguardato poco più di centomila soggetti Iva all’anno, contro 4,7 milioni di interessati.
Un altro aspetto critico era la sicurezza dei dati. Le Entrate hanno acconsentito a studiare nuove tecniche di cifrature per proteggere il viaggio delle e-fatture sullo Sdi (il sistema di interscambio gestito dall’agenzia). Entro aprile prossimo l’agenzia dovrà fornire una nuova analisi al riguardo e sempre entro quella data dovrà predisporre una nuova valutazione d’impatto dell’intero sistema, documento previsto dal Gdpr e che – si raccomanda il Garante – va predisposta «evitando di sfruttare schemi standard e semplificazioni che rischiano di comprometterne l’efficacia».
Sempre in relazione alla tutela dei dati sensibili, nonostente l’esonero dall’invio dell’e-fattura previsto dalla conversione del Dl fiscale in caso di invio dei dati al Sistema tessera sanitaria (punto su cui interviene nuovamente anche il maxi-emendamento alla manovra), il Garante precisa a chiare lettere che l’e-fattura non va mai emessa dai soggetti che erogano prestazioni sanitarie. E sul punto sollecita l’Agenzia a dare uistruzioni in modo da evitare trattamenti di dati non linea con la privacy.
Infine, è stato affrontato il problema del ruolo degli intermediari. Con il provvedimento di metà novembre l’Authority aveva richiamato l’attenzione sull’articolato sistema di deleghe delineato dalle Entrate per consentire agli intermediari e ad altri soggetti di inviare, ricevere e conservare le e-fatture. Il tavolo di lavoro ha chiarito che chi riceve dal contribuente la delega per gestire le fatture elettroniche ha anche obblighi di protezione dei dati, poiché si configura – ai sensi della normativa sulla privacy – come responsabile o sub-responsabile del trattamento. In tal senso, il Garante ha ravvisato la non conformità al Gdpr di alcune clausole contrattuali di alcune società di software gestionali, che si riservano la possibilità anche di elaborare e utilizzare i dati delle fatture su base aggregata e previa anonimizzazione. Operazioni che vanno al di là delle finalità perseguite dalla fatturazione elettronica e che devono essere valutate con attenzione.
Fonte “Il sole 24 ore”