Con un comunicato stampa del 27 dicembre 2021, il Garante della Privacy ha storto il naso e volutamente messo dei paletti in merito alle nuove regole introdotte dall'Agenzia delle Entrate in materia di fatturazione elettronica.

Nello specifico, ecco l'oggetto del comunicato pubblicato sul sito Garanteprivacy.it:

"Fatturazione elettronica: Garante privacy, necessarie maggiori garanzie per la memorizzazione dei dati. Sì condizionato alle nuove regole tecniche dell’Agenzia delle entrate."

La disquisizione verte sulla memorizzazione dei dati contenuti nelle fatture elettroniche.

Come esplicita il sito cybersecurity360.it:

"Il Garante privacy ha espresso il proprio parere favorevole riguardo allo schema di provvedimento del Direttore dell’Agenzia delle entrate sul tema, ma poiché ci sono gravi rischi legati al trattamento dei dati l’Autorità ha chiesto maggiori tutele per rendere del tutto il processo adeguato al GDPR".

Giova ricordare che con il termine GDPR (General Data Protection Regulation), si intende la normativa di riferimento europeo in ambito di protezione dei dati personali. 

Agenzia entrate: che cosa prevede il provvedimento

Volendo entrare nel dettaglio, che cosa prevede, in buona sostanza il provvedimento dell'Agenzia delle Entrate cui il Garante ha dato esito positivo ma con riserva?

Traiamo la risposta direttamente dal sito Ipsoa.it, ovvero:

"Lo schema di provvedimento predisposto dall’Agenzia delle Entrate disciplina le modalità con cui l’Agenzia stessa intende memorizzare e rendere disponibili, al proprio personale e alla Guardia di finanza, i file in formato xml delle fatture elettroniche e i dati in essi contenuti, inclusi, salvo alcune eccezioni, quelli relativi alla natura, qualità e quantità dei beni e dei servizi acquistati."

A tal proposito, dunque, il Garante della Privacy ha dato parere favorevole, esortando però l'Agenzia delle Entrate stessa ad adeguare la normativa in modo da garantire una maggior tutela dei dati personali.

In poche parole: ammesso e concesso che i dati presenti sul circuito di interscambio devono essere a disposizione dell'amministrazione finanziaria per i controlli ai fini del contenimento dell'evasione fiscale e del corretto pagamento delle tasse, il tutto non deve tramutarsi in un processo troppo invasivo avverso la quotidianità del cittadino.

Di fatto quindi, si assiste ad un ping pong tra l'Agenzia delle Entrate e il Garante della Privacy. In attesa di trovare una quadra e finalmente un punto d'incontro. Anche perchè, guardando ai dati numerici, sono tantissime le fatture che transitano nel sistema di interscambio. Vediamo di entrare nel dettaglio.

Agenzia entrate e trattamento dati personali

Il sito Informazionefiscale.it ci fornisce preziose indicazioni in merito ai numeri che transitano dal sistema di interscambio relativo alla fatturazione elettronica, ovvero:

"Dal Sistema di interscambio transitano circa 2 miliardi di documenti all’anno: circa la metà riguarda i consumatori finali, i singoli cittadini."

Ora, si tratta di un numero davvero impressionante: 2 miliardi di documenti in un anno. Immaginate la quantità di dati personali che sono collegate a quei documenti. Forse è difficile persino riuscire ad ipotizzare.

Tutti questi dati sono a disposizione dell'Amministrazione finanziaria e della Guardia di Finanza che quindi, grazie ad incroci e sviluppi tramite software, può venire a conoscenza delle abitudini di qualsiasi cittadino. Quindi, cosa compriamo, quando, dove e perchè, sono tutte informazioni che diventano di dominio dell'apparato burocratico finanziario.

Ci deve essere un limite a tutto ciò?

Certamente. Il limite sta nell'effettiva necessità di avere a disposizione tutta questa marea di dati personali senza andare a violare la vita privata delle persone.

In poche parole, nemmeno la Pubblica Amministrazione può fare un uso indiscriminato dei cosiddetti dati del singolo individuo, i cosiddetti dati personali. 

Ci sono in particolare alcuni dati, più sensibili di altri, e sono quelli che si riferiscono alla fatture che hanno per oggetto servizi legali, ad esempio.

Agenzia entrate e fatturazione per servizi legali

Uno degli aspetti più controversi relativi alla fatturazione elettronica e ai dati ai quali può accedere la Pubblica Amministrazione e la Guardia di Finanza, è quello relativo ai servizi legali.

Le fatture ad uopo emesse, infatti, contengono tutta una serie di informazioni, nel campo descrizione, che sono strettamente riservate e personali.

Ad esempio, si può trovare l'indicazione in merito al tipo di procedimento oggetto della prestazione che ha dato origine alla fattura (civile, penale, familiare, etc.). Possono essere coinvolti dei minori, dei quali vengono riportate le generalità, in parte o in tutto. 

Nel campo descrittivo possono esseree indicati i riferimenti del procedimento civile o penale per il quale è stata svolta la consulenza, l'udienza, la memoria. Non ultimo, si trovano indicazioni in merito al Tribunale presso il quale è in essere o ha avuto vita il procedimento giudiziario. 

Possono esserci anche riferimenti ad altri soggetti che casualmente sono entrate in contatto con la persona oggetto del servizio legale che quindi, possono trovarsi inseriti, a loro insaputa, in un circolo di informazioni potenzialmente dannoso anche per la loro reputazione.

Agenzia entrate: l'analisi del Garante

Come ha fatto il Garante della Privacy ad entrare nel merito dell'argomento fatturazione elettronica?

Molto semplicemente ha preso in considerazione un certo numero di fatture elettroniche in grado di fornire un campione rappresentativo della realtà. A tal fine, la selezione ha riguardato quei settori di attività che possono comportare maggiori criticità in materia di lesione dei diritti e delle libertà personali in relazione ai servizi fruiti o ai beni acquistati.

L'analisi, ha messo in luce alcune criticità, legate in modo particolare a taluni settori ed ambiti di attività come già indicato precedentemente. Non ci sono solo i servizi in ambito legale, però, ma anche, ad esempio, quelli relativi alle richieste di risarcimento danni, fino a quelli anche e decisamente più banali.

La fatturazione relativa a servizi alberghieri, ad esempio, riporta le date del soggiorno, il luogo, i dati personali dei partecipanti. All'interno di questo calderone possono inoltre trovarsi dati relativi a minori, con tutto ciò che ne concerne in materia di tutela e protezione degli stessi. 

A cosa servono tutti questi elementi? Sostanzialmente ad eeguire una profilatura del consumatore in base ai propri gusti, orientmenti, abitudini, necessità.

Agenzia entrate: cosa ha chiesto il Garante

Stante quanto precedentemente evidenziato, il Garante della Privacy ha rilevato potenziali rischi (anche gravi) nell'ambito del trattamento dei dati personali. Che cosa ha chiesto quindi?

Una maggior e più accurata tutela della privacy in ottemperenza a quanto previsto dal GDPR di cui abbiamo parlato in precedenza. 

I dati presenti nelle fatture elettroniche non potranno quindi vedere un utilizzo indiscriminato da parte dell'amministrazione finanziaria. L'insieme della informazioni presenti nei documenti commerciali quindi, fatte salve quelle relative a controlli in merito a deduzioni o detrazioni richieste, non potrà essere utilizzato se non in seguito ad accertamenti fiscali già in corso per i quali ci sia il pericolo di evasione fiscale del consumatore oggetto del procedimento amministrativo.

Tutto il complesso dei dati relativi ai servizi legali di cui abbiamo parlato in precedenza, non dovrà essere leggibile e quindi, in qualche modo, essere schermato.

Ad uopo, sempre secondo quanto richiesto dal Garante della Privacy nella sua risposta dall'Agenzia delle Entrate, dovranno essere predisposti adeguati sistemi di controllo e monitoraggio.

Fornendo poi, l'Agenzia delle Entrate, un servizio di acquisizione e consultazione delle fatture elettroniche e dei relativi allegati sia agli operatori che ai consumatori finali, nel provvedimento non sono specificate le modalità di trattamento di tali attività e quindi, il Garante della Privacy, ha richiesto una integrazione in tal senso.

Agenzia entrate: il Garante chiede intervento legislativo

Onde evitare il proseguimento di un fastidioso ping pong tra Agenzia delle Entrate e Garante della Privacy, quest'ultimo ha, più o meno velatamente richiesto un intervento legislativo al fine di normare la materia.

Il Garante della Privacy quindi, ha invitato gli organi competenti (Parlamento e Governo) a prendere in seria considerazione la possibilità di introdurre una legge o un provvedimento equipollente atto a limitare l'utilizzo delle informazioni contenute nei documenti commerciali elettronici limitatamente al caso di evasione fiscale.

Sarebbe inoltre fondamentale limitare l'accessibilità a questi dati comunque "sensibili" a quei soggetti che non hanno alcun collegamento con le fatture elettroniche al fine di ridurre al minimo la possibilità di un utilizzo improprio delle informazioni in esse contenute.

Particolare attenzione, oltre all'utilizzo dei dati, è posta anche sulle modalità di conservazione e protezione degli stessi. L'Agenzia delle Entrate, quindi, deve dotarsi di sistemi efficaci a rendere questi dati inviolabili e inutilizzabili se non per le finalità già precedentemente evidenziate. 

Lo stesso fatto che tutti i dati raccolti dal Sistema di interscambio restino all'interno dello stesso, insieme a tutti gli allegati, sino all'ultimo giorno dell'ottavo anno successivo, genera una infinità di documenti disponibili e una mole di dati cosiddetti personali davvero inimmaginabile. Se tutti questi dati vengono raccolti in un database di pubblica utilità, significa che possono essere utilizzati da più autorità e quindi essere a disposizione di una pluralità di utenti finali. 

La materia, quindi, è piuttosto complessa e lungi dall'essere normata in modo sufficientemente ampio. Dal semplice monitoraggio all'invadenza, il passo può essere davvero breve. E, questo, non deve sicuramente accadere: ne va della credibilità dell'intero impianto amministrativo e di controllo fiscale.