Fattura elettronica, privacy: la ricetta del Garante per la sicurezza dei dati

Fattura elettronica, privacy: il Garante boccia la banca dati dell’Agenzia delle Entrate e propone la sua ricetta per la sicurezza. Vengono memorizzati solo i dati fiscali necessari per i controlli automatizzati e l’archiviazione può avvenire esclusivamente su richiesta del contribuente. C’è il veto, invece, sulla fatturazione elettronica per le prestazioni sanitarie.

La questione della sicurezza dei dati è uno dei tanti nodi che si intrecciano sulle e-fatture, obbligatorie dal 1°gennaio 2019 secondo quanto stabilito dalla Legge di Bilancio del 2018. A pochissimi giorni dal debutto, l’Autorità Garante per la Protezione dei Dati Personali si è espressa sul alcuni punti chiave legati alla privacy con il provvedimento del 20 dicembre 2018.

Come si legge nel comunicato che accompagna il documento, nel sistema di e-fattura delineato l’Agenzia deve limitarsi a memorizzare solo i dati fiscali necessari per i controlli automatizzati (es., incongruenze tra dati dichiarati e quelli a disposizione dell’Agenzia), e non può conservare la descrizione del bene o del servizio oggetto di fattura.

Dopo il periodo transitorio indispensabile a modificare il sistema e che finirà a luglio 2019, nuovi servizi di consultazione delle fatture saranno resi disponibili solo su specifica richiesta del contribuente e sulla base di accordi che saranno esaminati dall’Autorità.

Ultima raccomandazione: tutti i soggetti che erogano prestazioni sanitarie non dovranno emettere il documento fiscale in versione elettronica.

Provvedimento del 20 dicembre 2018 - Autorità Garante per la protezione dei dati personali

Scarica il Provvedimento in tema di fatturazione elettronica del 20 dicembre 2018 dell’Autorità Garante per la protezione dei dati personali.

Fattura elettronica, privacy: la ricetta del Garante per la sicurezza dei dati

Sul tavolo della e-fattura la questione della privacy negli ultimi mesi è balzata dall’Agenzia delle Entrate al Garante per la protezione dei dati come una pallina da ping pong. In questa partita si sono inserite più volte anche le associazioni di categoria, prima fra tutti l’Associazione Nazionale Commercialisti che, già a metà ottobre, ha scritto una lettera all’Autorità per esprimere preoccupazione sulla salvaguardia dei dati, in primis quelli commerciali.

Il 16 novembre il Garante della Privacy ha avvertito l’Agenzia dell’Entrate: il nuovo sistema di fatturazione elettronica presentava rilevanti criticità sulla compatibilità con la normativa in materia di protezione dei dati personali. Una raccomandazione, che ad alcune associazioni di categoria era sembrata poco efficace, ma che ha dato vita a un tavolo tecnico sul tema.

Il provvedimento del 20 dicembre cerca di arginare la preoccupazione in merito ad alcuni punti sensibili legati al documento fiscale elettronico e che la stessa Autorità Garante evidenzia:

• sproporzione della memorizzazione di tutti i dati contenuti all’interno del file XML delle fatture elettroniche, emesse e ricevute nell’ambito dello Sistema di Interscambio (SDI), e del conseguente utilizzo di tali dati anche per finalità di controllo da parte dell’Agenzia;
• specificazione del ruolo assunto dall’Agenzia in relazione al trattamento dei dati personali effettuato nell’ambito del servizio di conservazione, e chiarimenti in ordine all’esonero di responsabilità per l’Agenzia;
• utilizzo del canale non sicuro (FTP) per la trasmissione delle fatture, mancata cifratura dei file e uso della PEC nell’ambito dello SDI;
• informativa sul trattamento dei dati personali resa in relazione all’App FatturAE;
• rischi connessi al trattamento dei dati da parte degli intermediari, con particolare riguardo alla gestione dei dati delle fatture a cura dei fornitori di servizi tecnologici che possono intervenire nel processo.

Il Garante per la protezione dei dati personali nel documento analizza la proposta di soluzione alle criticità, presentata dall’Agenzia delle Entrate il 17 dicembre, e formula la sua ricetta per conciliare la fatturazione elettronica con la sicurezza dei dati.

L’Agenzia può memorizzare solo i dati fiscali necessari per i controlli automatizzati escludendo le informazioni di dettaglio sui beni e servizi acquistati, che possono fornire informazioni su abitudini e tipologie di consumo. Nuovi servizi di consultazione delle fatture saranno resi disponibili solo su specifica richiesta del contribuente, e sulla base di accordi che saranno esaminati dall’Autorità, che esprime ancora qualche perplessità.

In particolare sulla memorizzazione dei dati si legge:

In relazione a tale servizio, nella nota dell’Agenzia del 17 dicembre u.s. e nella valutazione di impatto, con una formulazione poco chiara, è riportato che “per i contribuenti che non abbiano aderito al servizio di conservazione delle fatture, servizio che prevede propri termini di memorizzazione, i dati fiscali e non fiscali, memorizzati in base alle adesioni ricevute per il servizio di consultazione, saranno comunque cancellati entro il termine sopra richiamato del 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento, ovvero fino alla definizione di eventuali giudizi”.
[...]
Non risulta possibile, pertanto, esaminare compiutamente tale specifica ipotesi di memorizzazione nell’ambito del presente provvedimento, essendo necessari specifici approfondimenti al riguardo, da effettuarsi anche a seguito dell’esame dell’accordo di adesione al servizio di consultazione predisposto dall’Agenzia, che dovrà, a tal fine, essere trasmesso a questa Autorità.

Fattura elettronica, privacy: nessuna fattura elettronica per le prestazioni sanitarie

L’attenzione è massima da parte del Garante per la privacy sulla fatturazione elettronica di prestazioni sanitarie e legali poiché comportano il trattamento di dati sulla salute e relativi a condanne penali e reati, non direttamente rilevante a fini fiscali.

Nel caso delle prestazioni sanitarie, infatti non basta l’esonero previsto nel 2019 per i soggetti tenuti all’invio dei dati al Sistema tessera sanitaria.

In primo luogo, tale esonero ex lege non opera nei confronti delle fatture emesse dai soggetti che erogano prestazioni sanitarie non trasmesse attraverso il sistema TS in seguito all’opposizione legittimamente manifestata dagli interessati, come previsto dall’art. 3 del decreto del Ministero dell’economia e delle finanze del 31 luglio 2015, attuativo del d.lgs. 21 novembre 2014, n. 175, e, quindi, paradossalmente, proprio per le situazioni ragionevolmente più delicate.
[...]
Si ritiene pertanto necessario ingiungere all’Agenzia delle entrate di dare idonee istruzioni a tali soggetti affinché in nessun caso sia emessa una fattura elettronica attraverso lo SDI concernente l’erogazione di una prestazione sanitaria, a prescindere dall’invio dei dati attraverso il sistema TS, in modo da evitare trattamenti di dati in violazione del Regolamento e del Codice da parte dell’Agenzia stessa e di tutti i soggetti a vario titolo coinvolti nel processo di fatturazione elettronica.

Un passaggio del provvedimento, inoltre, è dedicato alle deleghe, al ruolo di responsabili o sub-responsabili del trattamento dei dati che gli intermediari, e i delegati in generale, assumono e al sistema di comunicazioni sulla tutela dei dati che la delega innesca.

Un ultimo richiamo di attenzione riguarda le clausole contrattuali, predisposte dalle società di software, il rischio di usi impropri dei dati: il Garante ha messo in guardia tutti gli operatori.

I punti caldi della privacy nel sistema di fatturazione elettronica sono tanti. Manca davvero poco al debutto, e se è vero che la ricetta per la salvaguardia dei dati sta prendendo forma, è vero anche che non è ancora definitiva e richiederà ulteriori aggiustamenti.