Fattura elettronica: la privacy resta il tallone d’Achille

Fattura elettronica: la privacy resta il vero tallone d’Achille del sistema. L’Agenzia delle Entrate deve inviare all’Autorità Garante per la protezione dei dati personali una valutazione di impatto sui primi mesi di operatività entro il 15 aprile 2019. Siamo a metà percorso tra il debutto e la scadenza fissata per tirare le somme, ma le questioni relative ai dati personali restano ancora aperte.

A due mesi dall’introduzione dell’obbligo di fatturazione elettronica il sistema nel suo complesso, non solo quello informatico, fa ancora fatica a ingranare.

Dai software che consegnano in ritardo i documenti fiscali allo SdI fino alla necessità di prorogare le scadenze, vecchie e nuove, che derivano da questa innovazione fiscale: la macchina è partita e c’è ancora qualche rallentamento. Ma è una questione di tempo: la pratica permetterà a tutti gli attori in gioco di ingranare la marcia.

Fattura elettronica: la privacy resta il tallone d’Achille

Non basta il tempo, invece, a risolvere la questione della privacy, il vero tallone d’Achille della fattura elettronica. Come quello dell’eroe greco, il tema della protezione dei dati personali resta il punto debole, attaccabile e forse più nascosto del sistema.

Da un lato l’Agenzia delle Entrate, dall’altro l’Autorità Garante per la protezione dei dati personali, in mezzo le associazioni di categoria: da novembre si discute di pericoli, dubbi e problemi che il flusso di documenti fiscali in formato elettronico può comportare.

Servono interventi concreti: da mesi è questa la segnalazione del Garante all’Agenzia delle Entrate, a cui ha dato tempo fino al 15 aprile 2019 per un primo confronto sull’operatività.

Con il comunicato del 16 novembre 2018 si è rivolto senza mezzi termini all’Agenzia delle Entrate dando seguito anche alle segnalazione delle associazioni di categoria, prima fra tutte, l’Associazione Nazionale Commercialisti. La fattura elettronica va cambiata: è questo l’allarme che ha lanciato esercitando per la prima volta il potere correttivo dell’avvertimento. E nella nota di novembre si legge:

“Il Garante per la protezione dei dati personali ha avvertito l’Agenzia delle entrate che il nuovo obbligo della fatturazione elettronica, così come è stato regolato dall’Agenzia delle entrate, presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”.

Dopo un mese dall’avvertimento, il 17 dicembre 2018 l’Agenzia delle Entrate ha proposto una soluzione di interventi sul sistema all’Autorità Garante per la protezione dei dati personali, che a sua volta ha risposto con il provvedimento del 20 dicembre 2018, continuando a sottolineare l’inadeguatezza di alcuni aspetti e la necessità di una soluzione.

Fattura elettronica: i punti sensibili della privacy

In primis il Garante ha bocciato la banca dati proposta dall’Agenzia delle Entrate e ha posto il veto assoluto sulla fatturazione elettronica in ambito sanitario. In particolare, poi, come si legge nel documento ha segnalato:

• sproporzione della memorizzazione di tutti i dati contenuti all’interno del file XML delle fatture elettroniche, emesse e ricevute nell’ambito dello Sistema di Interscambio (SDI), e del conseguente utilizzo di tali dati anche per finalità di controllo da parte dell’Agenzia;
• necessità di una specificazione del ruolo assunto dall’Agenzia in relazione al trattamento dei dati personali effettuato nell’ambito del servizio di conservazione, e chiarimenti in ordine all’esonero di responsabilità per l’Agenzia;
• utilizzo del canale non sicuro (FTP) per la trasmissione delle fatture, mancata cifratura dei file e uso della PEC nell’ambito dello SDI;
• necessità di una informativa sul trattamento dei dati personali resa in relazione all’App FatturAE;
• rischi connessi al trattamento dei dati da parte degli intermediari, con particolare riguardo alla gestione dei dati delle fatture a cura dei fornitori di servizi tecnologici che possono intervenire nel processo.

Fattura elettronica: sulla privacy la valutazione di impatto entro il 15 aprile

Per ognuno di questi punti, l’Autorità ha proposto la sua soluzione, ha invitato l’Agenzia ad intervenire e gli ha dato appuntamento per una valutazione d’impatto al 15 aprile 2019.

Dieci giorni dopo il provvedimento, e un attimo prima del debutto, la Legge di Bilancio ha messo una toppa sulla questione della fatturazione elettronica in ambito sanitario trasformando l’esonero, previsto in prima battuta, in un vero e proprio divieto per gli operatori sanitari. Ma solo per il 2019. E dal 2020? Resta l’incertezza anche su questo punto.

Tra il 20 dicembre al 15 aprile siamo a metà del percorso e su tutti i punti evidenziati dal Garante resta ancora una nuvola di fumo.

Non da ultimo nell’analisi del trattamento dei dati personali nell’ambito della fattura elettronica bisogna considerare il problema sollevato dall’Associazione Nazionale Commercialisti già ad ottobre: con i dati contenuti nelle fatture elettroniche e con il rischio che vi si possa accedere non è in ballo soltanto la privacy dei contribuenti, ma l’economia stessa.

L’allarme riguarda il pericolo che qualcuno possa essere interessato a entrare in possesso dei economici delle imprese per finalità totalmente estranee alla fattura elettronica. Un esempio significativo riguarda i dati relativi ai brevetti, e la possibilità che risultino particolarmente appetibili.

E infatti esiste un rischio più grande dei singoli pericoli: senza interventi strutturati la vulnerabilità della privacy e l’incapacità di proteggere il flusso dei dati contenuti nei documenti fiscali può diventare il tallone d’Achille di un intero sistema, e non solo della fattura elettronica.