Fatturazione elettronica: parere negativo del Garante Privacy

I controlli incrociati sui dati delle fatture elettroniche violano la privacy.

Il Garante della Privacy, nel suo parere del 9 luglio 2020, ha valutato negativamente lo schema di provvedimento attuativo della nuova procedura di utilizzo dei dati delle fatture elettroniche ai fini delle analisi del rischio di evasione.

Invero questa procedura evidenzia un elevato rischio di profilazione generalizzata di tutti i contribuenti, compresi i minori d’età, non proporzionata rispetto all’obiettivo di interesse pubblico perseguito (c.d. finalità del trattamento).

Risultano troppo numerose le informazioni e i dati che l’amministrazione finanziaria pretende di utilizzare, per un periodo di otto anni, nelle nuove analisi del rischio di evasione basate sulle procedure di memorizzazione ed archiviazione delle fatture elettroniche.

La memorizzazione e l’utilizzazione, senza distinzione alcuna, dell’insieme dei dati personali contenuti nei file delle fatture elettroniche, si legge nel suddetto parere, anche laddove si assicurino elevati livelli di sicurezza e accessi selettivi, risulta sproporzionata in uno stato democratico, per quantità e qualità delle informazioni oggetto di trattamento, rispetto al perseguimento del legittimo obiettivo di interesse pubblico di contrasto all’evasione fiscale perseguito.

Ogni anno sono circa 2 miliardi le fatture elettroniche che transitano nel sistema di interscambio dell’Agenzia delle Entrate. In esse sono contenuti moltissimi dati, spesso anche molto dettagliati, che nulla hanno a che vedere con le esigenze del fisco ma rispondono a logiche commerciali e assicurative. Da tali descrizioni si possono evincere, fra gli altri, il tipo di rapporto fra cedente ed utilizzatore, gli sconti applicati, la fidelizzazione verso alcuni fornitori, le abitudini di consumo.

Tutti questi elementi, sulla base dello schema di provvedimento dell’Agenzia delle Entrate, verrebbero memorizzati ed archiviati per essere trattati, senza distinzione alcuna tra tipologie di dati e categorie di interessati, per un lungo periodo di tempo (otto anni) da parte sia della stessa Agenzia che della Guardia di finanza.

L’insieme di tutti questi dati così memorizzati e trattati finirebbe per ricomprendere anche informazioni appartenenti a categorie particolari, come per esempio, quelle relative a eventuali procedimenti penali, a danno dei relativi interessati.

Il Garante ritiene dunque lo schema di provvedimento attuativo “non proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito, non individuando, in ossequio ai principi di privacy by design e by default, misure di garanzia adeguate per assicurare la protezione dei dati, anche in relazione a quelli di cui agli artt. 9 e 10 del Regolamento”.

Dunque il rischio maggiore è rappresentato da una vera e propria “profilazione di tutti i contribuenti, anche minori d’età […] con rischi elevati per i diritti e le libertà degli interessati”.

Conclude il Garante affermando che, tutto ciò che è superfluo e non necessario per il contrasto all’evasione fiscale, non può essere acquisito, memorizzato e trattato.