Fattura elettronica, controlli e memorizzazione dati eccessivi: stop del Garante Privacy

Fattura elettronica, controlli e memorizzazione dei dati eccessivi in uno “stato democratico”: il Garante per la Privacy boccia l’Agenzia delle Entrate, senza giri di parole.

Nel provvedimento del 9 luglio 2020 emerge nuovamente il dissenso del Garante per la Privacy sulla memorizzazione dei dati delle fatture elettroniche, per un periodo pari ad 8 anni, ai fini di controllo da parte dell’Agenzia delle Entrate e della Guardia di Finanza.

Una novità introdotta dal decreto Fiscale n. 124/2019, per rinforzare le misure di contrasto all’evasione fiscale in ambito IVA. L’Agenzia delle Entrate ha predisposto un provvedimento attuativo, sottoposto - come previsto per legge - al vaglio dell’Autorità garante per la protezione dei dati personali.

La bocciatura è totale: c’è il rischio concreto di ledere diritti e libertà dei contribuenti.

Fattura elettronica, controlli e memorizzazione dati eccessivi: stop del Garante Privacy

È tutt’altro che positiva la valutazione del Garante per la Privacy sui nuovi controlli sui dati delle fatture elettroniche. Così come già evidenziato in precedenti occasioni, viene definita come sproporzionata la memorizzazione dei dati relativi ai documenti trasmessi al SdI.

In merito allo schema del nuovo provvedimento trasmesso dall’Agenzia delle Entrate, non risulta conforme alla normativa sulla privacy la previsione di memorizzazione, a fini di controllo, dei dati non fiscalmente rilevanti e relativi alla descrizione delle prestazioni fornite.

Sono circa 2 miliardi le fatture emesse ogni anno, contenenti anche dati di dettaglio - come rapporti tra cedente e cessionari, descrizione delle prestazioni, abitudini di consumo. Si tratta di informazioni sensibili e tutt’altro che rilevanti ai fini fiscali.

Nonostante si tratti di informazioni marginali nell’ambito dei controlli fiscali, le nuove regole previste dal provvedimento dell’Agenzia delle Entrate prevedono la memorizzazione totale (e l’utilizzo) dei dati delle fatture elettroniche.

Non è prevista nessuna esclusione: negli archivi del Fisco finirebbero, per un totale di 8 anni, tutti i dati contenuti nelle fatture elettroniche, come quelli relativi alla descrizione delle prestazioni fornite.

Una scelta di memorizzazione ed utilizzazione sproporzionata di dati in uno stato democratico, sia per quantità che per qualità di informazioni oggetto di trattamento, rispetto all’obiettivo perseguito di contrasto all’evasione fiscale.

Garante Privacy - Provvedimento 9 luglio 2020

Parere sullo schema di provvedimento del Direttore dell’Agenzia delle entrate concernente Regole tecniche per l’emissione e la ricezione delle fatture elettroniche per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti e stabiliti nel territorio dello Stato e per le relative variazioni - 9 luglio 2020 [9434785]

Controlli sulle fatture elettroniche, il Garante Privacy boccia l’Agenzia delle Entrate sulla memorizzazione dei dati

Quello tra Agenzia delle Entrate e Garante per la Privacy è un braccio di ferro che dura da tempo. L’Autorità, infatti, aveva già invitato il legislatore a selezionare in maniera opportuna i dati oggetto di memorizzazione e controllo, al fine di non violare il principio di proporzionalità del trattamento previsto dal GDPR.

Indicazioni che, considerando i contenuti dello schema di provvedimento trasmesso dall’Agenzia delle Entrate, risultano tutt’altro che rispettate. Ma quali sono le novità in fase di predisposizione da parte dell’Amministrazione Finanziaria?

Si legge nel parere del 9 luglio 2020 pubblicato dall’Autorità Garante che il provvedimento prevede l’introduzione dei seguenti elementi di novità:

• la memorizzazione dei c.d. “dati fattura integrati”, ovvero informazioni ulteriori rispetto a quelle prettamente fiscali, che potranno essere utilizzate per l’analisi del rischio evasione, al fine di promuovere l’adempimento spontaneo e per i controlli fiscali;
• l’uso dei file xml delle fatture elettroniche per l’esecuzione dei rimborsi, per le verifiche fiscali, per attività di ispezioni o verifica, così come per i controlli formali sulle dichiarazioni e sui controlli preventivi all’erogazione dei rimborsi da modello 730;
• la stipula di una convenzione con la Guardia di Finanza per la messa a disposizione di tutti i dati delle fatture elettroniche memorizzati (dati fiscali e non).

Insomma, un insieme di attività che creano un controllo totale delle spese e dell’attività del contribuente. Una criticità evidente agli occhi del singolo cittadino, ma anche del Garante per la Privacy.

Le novità proposte dall’Agenzia delle Entrate non passano lo scoglio della proporzionalità del trattamento dei dati, in quanto appaiono in netta violazione degli:

“articoli 5, par. 1., lett. a), 6, par. 3, 9, 10, 24 e 25 del GDPR riguardante, peraltro senza distinzione alcuna tra tipologie di informazioni o categorie di interessati e dati personali di dettaglio, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi alla totalità della popolazione, non proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito, non individuando, in ossequio ai principi di privacy by design e by default, misure di garanzia adeguate per assicurare la protezione dei dati, anche in relazione a quelli di cui agli artt. 9 e 10 del Regolamento.”

Criticità anche per le attività di analisi del rischio evasione, effettuate tramite l’interconnessione delle numerose banche dati dell’Agenzia delle Entrate e che prevedono la profilazione di tutti i contribuenti, anche minori. In tal caso il Garante, considerando i rischi elevati per diritti e libertà degli interessati, intende effettuare ulteriori e specifici approfondimenti.

La partita non è chiusa, ma intanto per l’Agenzia delle Entrate è tempo di ridimensionare la propria volontà di controllo. Lotta all’evasione sì, ma senza ledere i diritti propri di uno stato democratico quale è l’Italia, fino a prova contraria.