Fattura elettronica, Garante privacy: memorizzazione dati sproporzionata

Fattura elettronica, l’archiviazione dei dati dei file xml, prevista dal Decreto Fiscale 2020 per effettuare controlli mirati è stata giudicata sproporzionata dal Garante per la Privacy.

Nella memoria depositata in Commissione Finanze della Camera, il Presidente dell’Autorità Garante Antonello Soro denuncia i rischi derivanti dalla memorizzazione integrale dei file delle fatture elettroniche.

Oltre a definire come sproporzionata rispetto alle esigenze perseguite l’archiviazione integrale di tutte le fatture emesse e ricevute, compresi i dati non fiscalmente rilevanti, il Garante solleva i rischi derivanti da possibili attacchi informatici: serve garantire le opportune misure di sicurezza mediante un atto normativo.

Autorità Garante per la privacy - Memoria sul Decreto Fiscale depositata in commissione finanze il 5 novembre 2019

Memoria del Presidente del Garante per la protezione dei dati personali nell’ambito dell’esame del disegno di legge C. 2220, di conversione in legge del decreto-legge n. 124 del 2019, recante disposizioni urgenti in materia fiscale e per esigenze indifferibili.

Fattura elettronica, Garante Privacy contro le novità del Decreto Fiscale 2020

Le questioni sulla privacy sono i problemi irrisolti della fatturazione elettronica.

Dopo quasi un anno dall’obbligo, numerosi nodi sono ancora da sciogliere.

In tal senso si esprime anche la memoria depositata in Commissione Finanze della Camera dall’Autorità Garante per la privacy, Antonello Soro.

Il documento esamina il Disegno di legge C. 2220, di conversione del Decreto Legge numero 124 del 26 ottobre 2019, comunemente noto come Decreto fiscale 2020.

Tra i punti critici evidenziati dal Garante, molti non sono nuovi ma restano tuttavia insoluti. In particolare quello della memorizzazione integrale dei file delle fatture elettroniche.

Il Decreto fiscale 2020, all’articolo 14 consente la memorizzazione dei file per un periodo di tempo di otto anni dalla dichiarazione di riferimento, ovvero fino alla definizione di eventuali giudizi.

Tale processo scopre il fianco a numerose critiche anche in virtù del fatto che, come sottolineato nella memoria:

“...negli anni 2016 e 2017, sono stati effettuati, rispettivamente, 121.849 e 163.339 accertamenti nei confronti di contribuenti IVA, a fronte di circa 4,7 milioni soggetti che hanno presentato la dichiarazione IVA.”

L’archiviazione preventiva di una così ingente quantità di dati risulta dunque sproporzionata, anche rispetto alla necessità di controlli puntuali da parte della Guardia di finanza e dell’Agenzia delle Entrate.

Inoltre i sistemi automatizzati di controllo prevedono un utilizzo massiccio di dati che, nel caso del file xml contenente la descrizione dell’operazione oggetto di fattura, sarebbe impossibile poiché il campo prevede il libero inserimento di testo.

Di contro, invece, “i significativi dati personali di dettaglio, sopra esemplificati, relativi alla natura, qualità e quantità dei beni e dei servizi fatturati”, se archiviati per la totalità delle dichiarazioni, possono presentare seri rischi per gli interessati, come ha evidenziato il Garante.

L’aggregazione di tali dati potrebbe prestarsi ad usi impropri e al rischio di attacchi informatici.

L’unica possibilità di azzeramento del rischio sarebbe, ovviamente, la non archiviazione.

Dalla memoria emerge, infine, l’auspicio ad una attenta valutazione al momento della conversione del decreto:

“Sarà, in particolare, auspicabile acquisire dal Governo elementi idonei a superare le criticità già rappresentate nei citati provvedimenti del Garante, valutando se la memorizzazione di un novero così esteso di dati sia realmente funzionale al perseguimento delle finalità considerate e non sostituibile con misure parimenti efficaci ma meno invasive o anche solo con l’oscuramento dei dati irrilevanti eventualmente presenti nelle fatture.”

Fattura elettronica, i punti critici irrisolti dal Decreto Fiscale 2020

La memoria depositata in Commissione Finanze della Camera dall’Autorità Garante per la privacy non può essere certo definita un fulmine a ciel sereno.

L’Autorità Garante per la Protezione dei Dati Personali si era già espressa in modo sfavorevole con il provvedimento del 20 dicembre 2018. Anche in quell’occasione erano stati oggetto di critica alcuni punti relativi alla privacy.

Tra questi:

• la sproporzione della memorizzazione di tutti i dati contenuti all’interno del file xml delle fatture elettroniche, ribadita dalla memoria del Garante;
• la necessità di una specificazione del ruolo assunto dall’Agenzia delle Entrate in relazione al trattamento dei dati personali effettuato nell’ambito del servizio di conservazione;
• la mancata cifratura dei file del canale (ftp) per la trasmissione delle fatture e l’uso della PEC nell’ambito dello SDI;
• il trattamento dei dati da parte degli intermediari che anche in precedenza presentava elementi di rischio.

Critiche già allora reiterate dopo i pareri sfavorevoli espressi dal comunicato del 16 novembre che aveva dato voce ai malumori già mostrati da diverse associazioni di categoria.

Anche in quell’occasione il Garante della privacy, in relazione alla memorizzazione integrale dei dati delle fatture elettroniche, aveva posto l’accento sulla “sproporzionata raccolta di informazioni e rischi di usi impropri da parte di terzi”.

Fattura elettronica, l’articolo 15 del Decreto Fiscale 2020 e la proroga del divieto per i dati sanitari

Particolarmente problematico era già stato il nodo della fatturazione in ambito sanitario.

L’esonero dalla fatturazione elettronica era già stato mutato in un divieto per il 2019 per tutti i dati delle prestazioni sanitarie delle persone fisiche.

Con l’articolo 15 del Decreto fiscale 2020 il divieto viene esteso al 2020, probabile segnale di una soluzione definitiva che tarda ad arrivare anche su questo fronte.

Anche in questo caso le ragioni dell’ulteriore proroga sono legate alla gestione dei dati personali e della privacy che, in ambito sanitario, rendono l’utilizzo della fatturazione elettronica un tema ancora più delicato.