Il nuovo obbligo di fatturazione elettronica – esteso a partire dal 1 gennaio 2019 anche ai rapporti tra fornitori e tra fornitori e consumatori – presenta, secondo il Garante, un rischio elevato per i diritti e le libertà degli interessati, comportando un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito.

Infatti i provvedimenti del 30 aprile e del 5 novembre 2018 sono stati emessi senza consultare l’Autorità per la protezione dei dati personali, violando molteplici disposizioni del Codice in materia di protezione dei dati personali (D.Lgs. 196/2003, modificato dal D.Lgs 101/2018 che lo armonizza al GDPR europeo). Così infatti si esprime il Garante Privacy: “Il tempestivo, e necessario, coinvolgimento dell’Autorità, ora previsto anche in fase legislativa, avrebbe certamente potuto contribuire ad avviare –sin dalla fase di progettazione by design- il nuovo progetto con modalità e garanzie rispettose della protezione dei dati personali”.

Altro problema attiene ai dati personali contenuti nelle fatture elettroniche (archiviate in formato xml) le quali contengono informazioni non necessarie ai fini fiscali (beni e servizi ceduti, descrizione delle prestazioni, fidelizzazioni, abitudini di consumo). Il Garante afferma infatti che il Fisco non abbia «individuato al riguardo nessuna specifica misura di garanzia volta ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza.”

Ulteriori problemi pone il ruolo assunto dagli intermediari delegabili dal contribuente per la trasmissione, la ricezione e la conservazione delle fatture, alcuni dei quali operano anche nei confronti di una moltitudine di imprese, accentrando enormi masse di dati personali con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.

Infine non sono adeguatamente chiarite le responsabilità dell’Agenzia in merito al servizio di conservazione gratuito delle fatture. Si pensi ai files xml i quali non sono cifrati, al protocollo FTP (trasmissione dati fatture) il quale non è considerabile un canale sicuro nonché alla App dell’Agenzia che consente il salvataggio dei dati in cloud senza adeguata informativa agli utenti.

Il provvedimento del Garante è stato inviato, anche al Presidente del Consiglio dei ministri e al Ministro dell’economia e delle finanze per le valutazioni di competenza, auspicando in un riscontro di tali Autorità, tra cui in primis l’Agenzia delle Entrate.[1]

[1] GARANTE PRIVACY, registro dei provvedimenti, n. 481 del 15 Novembre 2018