Con il provvedimento n. 481 del 15.11.2018 il Garante per la Protezione dei Dati personali ha espresso i propri dubbi in merito alla compatibilità con il GDPR del nuovo sistema di fatturazione elettronica che entrerà in vigore a gennaio 2019.
I rilievi critici, che a breve approfondiremo, hanno spinto all’apertura di un tavolo tecnico tra Agenzia delle Entrate e Garante, tuttavia il sottosegretario all’Economia, Massimo Bitonci, ha chiarito che la E-fattura non sarà rinviata perchè “ci sono 2 miliardi già utilizzati dalla precedente manovra ed è questa la difficoltà del Governo”.
Non sarà, pertanto, differita l’entrata in vigore del sistema, ma l’Esecutivo sembra propenso ad approvare alcuni emendamenti al Decreto Legge Fisco, che sarà discusso martedì prossimo, che prevedono una modifica dell’art. 10 in modo da prolungare il regime soft delle sanzioni di ulteriori tre mesi, fino al 30 settembre 2019.
Cos’è il sistema di fatturazione Elettronica e come funziona?
Premesse le ultime news che circolano sul tema, e prima di approfondire i rilievi critici operati dall’Autorità Garante, occorre comprendere cos’è e come funziona il sistema di fatturazione elettronica.
Nata per combattere le frodi e le evasioni fiscali, la fatturazione elettronica è un sistema digitale di emissione, trasmissione e conservazione delle fatture.
Con la legge di bilancio 2018 (legge 27 dicembre 2017, n. 205 art 1, spec. comma 909), questo sistema, già obbligatorio dal 2016 nei casi in cui la fattura è destinata ad una Pubblica Amministrazione, sarà ufficialmente esteso, a partire dal 1 gennaio 2019, alle cessioni di beni e prestazioni di servizi effettuate in Italia tra due operatori IVA (cd. Business to Business B2B) ed anche tra un operatore ed un consumatore (cd. Business to Consumer B2C).
Le uniche eccezioni attualmente previste dall’art. 1 comma 916 della citata legge riguardano i “regimi di vantaggio” ex art. 27, comma 3 D.L. 98/11 ed “i regimi forfettari” ex. L. 190/14 per i quali il sistema resta facoltativo ed i piccoli produttori agricoli.
La disciplina tecnica della fattura elettronica è contenuta nell’allegato A del Decreto 3 aprile 2013, n. 55, le cui disposizioni hanno trovato attuazione grazie a due recenti provvedimenti del Direttore dell’Agenzia delle Entrate, il n. 89757 del 30 aprile 2018 ed il n. 291241 del 5 novembre 2018.
La E-fattura, a differenza del suo antenato cartaceo è, dunque, un documento informatico predisposto in un formato XLM (Extensible-Markup-Language) predefinito che viene trasmesso dall’emittente al destinatario attraverso il Sistema di Interscambio (SDI) predisposto dal Ministero dell’Economia e delle Finanze e gestito dall’Agenzia delle Entrate.
Il predetto sistema controlla che la fattura contenga i dati obbligatori ai fini fiscali, che l’indirizzo telematico al quale si desidera inviarla sia valido, che le partite IVA di emittente e destinatario siano esistenti e che ci sia coerenza tra l’imponibile, l’aliquota e l’IVA indicata.
I dati obbligatori da indicare nella fattura sono gli stessi già previsti per la versione cartacea, indicati dall’art. 22 del d.P.R. 26 ottobre 1072, n. 633 (identificativi di fornitore e cliente, numero e data della fattura, quantità e qualità del bene o del servizio, imponibile, aliquota, IVA etc), tuttavia secondo il disposto del già citato provv. n. 89757/ 2018 dell’Agenzia delle Entrate (cfr. punto 1.4 del provvedimento), possono essere richiesti ulteriori dati “utili alla gestione del ciclo attivo e passivo degli operatori”.
Il file XLM può essere materialmente creato utilizzando software privati reperibili sul mercato, oppure uno dei tre strumenti gratuiti forniti dall’Agenzia delle Entrate costituiti da una procedura web denominata “Fatturazione elettronica” disponibile sul portale “Fatture e Corrispettivi” del sito dell’Agenzia; un software scaricabile su PC ed una mobile App, denominata “Fatturae”.
Le fatture devono poi essere trasmesse al sistema SDI, attraverso:
- l’invio di una pec ad un apposito indirizzo indicato dall’Agenzia
- l’up-load del file/fattura già precedente creato (utilizzando un software per PC oppure la App “Fatturae”), utilizzando il portale web “Fatture e Corrispettivi”;
- un sistema di trasmissione FTP, oppure un web service, preventivamente attivati con SDI.
In tutti i casi, l’operatore economico può trasmettere direttamente la E-fattura, oppure può avvalersi di un delegato o di un intermediario ed un duplicato della fattura sarà reso sempre disponibile nell’area riservata dell’interessato.
Quali sono le obiezioni del Garante per la Protezione dei dati personali?
Una volta chiarito cos’è e come funziona il sistema di fatturazione elettronica, possiamo finalmente analizzare e comprendere le preoccupazioni espresse dal Garante per la Protezione dei Dati Personali nel provvedimento 481/18 del 15 novembre scorso, emesso sulla base dell’art. 58 del GDPR che riconosce all’Autorità di controllo, tre l’altro, il potere di rivolgere avvertimenti al titolare o al responsabile sul fatto che i trattamenti possono verosimilmente violare le disposizioni del regolamento (art 58, par. 2 lett. a) e di ingiungere al titolare e al responsabile del trattamento di fornirle informazioni (art. 58, par. 1, lett. a).
- Rilievi Procedurali: Mancata consultazione del Garante
La prima censura mossa dall’Autorità di controllo è stata proprio la sua mancata consultazione in occasione dell’adozione dei due già citati provvedimenti con i quali l’Agenzia delle Entrate ha regolamentato gli aspetti tecnici/tecnologici/procedimentali della fatturazione elettronica, reso ancor più necessario alla luce del rilievo che l’obbligo di fatturazione elettronica determina un “trattamento sistematico di dati personali su larga scala” anche di particolari categorie di dati, che, presentando un rischio elevato per i diritti e le libertà degli interessati avrebbe dovuto essere preceduto da una valutazione di impatto ai sensi dell’art. 35 del Regolamento.
- Violazione del principio di limitazione della finalità, di minimizzazione e di riservatezza
Il secondo rilievo del Garante riguarda, invece, il contenuto della fattura elettronica, la quale, come abbiamo anticipato, oltre a contenere i dati obbligatori ai fini fiscali, potrà contenere, ai sensi del punti 1.4 del povv. n. 89757/18, una serie ulteriore di informazioni molto dettagliate inerenti le abitudini di consumo, fidelizzazioni, sconti o anche dati sanitari e giudiziari.
Tale previsione desta, in generale, preoccupazione in merito al rispetto del principio di proporzionalità dell’interesse pubblico perseguito con la tutela dei diritti degli interessati ed in particolare pone il problema dell’adozione di misure di sicurezza idonee a garantire il rispetto dei principi applicabili al trattamento di dati personali previsti dall’art. 5 del Regolamento nonchè di misure in grado di fornire agli interessati tutte le informazioni previste dagli artt. 13 e 14 del GDPR.
- Violazione dei principi di privacy by design e by default
Altro aspetto della E-fattura che non ha convinto il Garante è l’impostazione predefinita che mette a disposizione del Consumatore, senza una puntuale richiesta, nella propria area riservata del sito dell’Agenzia delle Entrate, tutte le fatture elettroniche, il che, ancor più considerando la precedente riflessione circa il contenuto delle stesse, comporta il trattamento massivo di dati non obbligatori ai fini fiscali da parte dell’Agenzia, ed inoltre l’inutile esposizione a rischio di data breach.
- Il ruolo degli intermediari
Come abbiamo anticipato, la fattura elettronica può essere inoltrata sia direttamente dall’emittente che a mezzo di un intermediario o delegato. Tale previsione, secondo le osservazioni del Garante, comportando l’accesso da parte dei suddetti soggetti alle funzionalità originariamente destinate al singolo contribuente, avrebbe, quantomeno, richiesto l’adozione di misure tecniche tali da garantire la riservatezza, anche operando una distinzione tra fatture relative alla sfera professionale ed alla sfera privata del soggetto.
Altro pericolo è l’utilizzo dei canali di trasmissione web service o FTP che determina la concentrazione di una miriade di informazioni, che come più volte ribadito riguardano anche abitudini di consumo, dettagli di prestazioni etc, in capo ad alcuni soggetti i quali in assenza di misure di tutela idonee, potrebbero farne usi impropri.
In particolare, poi, il protocollo FTP, secondo gli esperti dell’autorità di controllo non sarebbe di per sé un canale sicuro.
- Ulteriori criticità
Perplessità sono state espresse anche in merito alla mancata cifratura dei file XLM che comporterebbe, ad esempio, il rischio di memorizzazione sul server di gestione laddove inviato via pec, esponendolo anche a rischi di data breach; alla trasparenza e sicurezza dell’app Fatturae che prevede il salvataggio di dati in ambiente cloud, senza che siano “correttamente rappresentate agli utenti nell’informativa le ulteriori finalità di conservazione e di controllo perseguite dall’Agenzia con i dati raccolti attraverso tale applicazione”; ed alle garanzie di tutela dei dati personali relative al funzionamento del servizio gratuito di conservazione delle fatture messe a disposizione dall’Agenzia delle Entrate.
Come ha risposto l’Esecutivo?
A fronte delle critiche appena illustrate, il sottosegretario del Ministero dell’Economia e delle Finanze ha fornito alcune rassicurazioni sulla sicurezza e la riservatezza del sistema, affermando che “Tutte le modalità disponibili per la ricezione e per il successivo inoltro delle fatture elettroniche e delle relative ricevute rispettano i più aggiornati protocolli di sicurezza, in termini di autenticazione del trasmittente, riservatezza e disponibilità” e che “I dati sono crittografati e la consultazione sicura degli archivi informatici dell’Agenzia è garantita da misure che prevedono un sistema di profilazione, identificazione, autenticazione dei soggetti abilitati alla consultazione, di tracciatura degli accessi con indicazione dei tempi e della tipologia delle operazioni svolte, nonché di conservazione di copie di sicurezza”.
Ulteriori risposte tecniche sono giunte anche da Assosoftware, l’associazione che raggruppa 180 software house, il cui Presidente ha assicurato che gli intermediari tecnologici sono in grado di gestire i dati in modo sicuro e stanno provvedendo anche alla sostituzione del sistema FTP criticato dal Garante con il più scuro SFTP che garantirebbe un passaggio di dati criptato, a differenza di quanto avviene ad esempio attraverso la posta elettronica certificata (pec).
E adesso cosa succederà?
Come anticipato in apertura, alla luce del provvedimento del Garante, il Governo ha promosso l’adozione di un tavolo tecnico congiunto tra Autorità di controllo e Agenzia delle Entrate volto a risolvere i problemi tecnici che pongono il sistema di fatturazione elettronica in contrasto con la disciplina del GDPR.
Intanto, anche dal punto di vista politico, il dibattito sulla legge di conversione continua in particolare in relazione ad alcuni emendamenti, che saranno esaminati il prossimo martedì, che propongono una proroga dell’intero sistema o dell’impianto sanzionatorio, ovvero di introdurre almeno temporaneamente ulteriori eccezioni in relazione alle categorie professionali, primi tra tutti i medici, che detengono dati particolarmente sensibili.
Restiamo, dunque, in attesa dei prossimi sviluppi che, stante l’entrata in vigore del sistema tra poco più di un mese, saranno senza dubbio imminenti.
Lucrezia D’Avenia