I trattamenti di dati previsti dal 1 gennaio 2019 possono violare la normativa sulla protezione dei dati. Sproporzionata la raccolta di informazioni e i rischi di usi impropri da parte di terzi
Il Garante per la protezione dei dati personali ha avvertito l’Agenzia delle entrate che il nuovo obbligo della fatturazione elettronica, così come è stato regolato, “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”.
Le criticità rilevate sono contenute nel documento n. 9059949 (Registro dei provvedimenti
n. 481 del 15 novembre 2018).
E’ la prima volta che il Garante esercita il nuovo potere correttivo di avvertimento, attribuito dal Regolamento europeo, attraverso un provvedimento adottato anche a seguito di alcuni reclami.
La fatturazione elettronica
La nuova fatturazione elettronica, così come progettata, comporta da parte dell’Agenzia delle entrate, il trattamento oltre dei dati fiscali anche di tutti i dati presenti nelle fatture emesse, che potranno (ovviamente) essere utilizzati anche per le attività di controllo, effettuate (anche) dalla Guardia di finanza, come emerge dal punto 10 del provvedimento n. 89757 del Direttore dell’Agenzia.
Vediamo i rischi individuati dal Garante
Nel progettare il nuovo adempimento:
- non sono stati adeguatamente valutati i rischi, che l’implementazione della fatturazione elettronica determina per i diritti e le libertà degli interessati;
- non sono state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati.
Il garante segnala infatti la presenza di:
- Informazioni non necessarie a fini fiscali;
- Accesso ad una mole enorme di informazioni da parte di soggetti che operano nei confronti di una moltitudine di operatori economici;
- Utilizzo di canali non sicuri;
- La mancanza di responsabilità dell’Agenzia delle Entrate per conservazione delle fatture;
Vediamo nello specifico.
Informazioni non necessarie a fini fiscali
L’Agenzia, dopo aver recapitato le fatture in qualità di “postino”, non archivia solo i dati necessari ad assolvere gli obblighi fiscali, ma la fattura vera e propria in formato XML, che contiene di per sé informazioni non necessarie a fini fiscali.
Si pensi ai i beni e i servizi ceduti, agli sconti applicati, alle abitudini di consumo, alla regolarità dei pagamenti, ai dati sanitari e/o giudiziari, ecc…
La fatturazione elettronica così concepita non appare proporzionata all’obiettivo di interesse pubblico, pur legittimo, perseguito.
Fatture dei privati sul portale dell’Agenzia
Ulteriori criticità è stata rilevata nella scelta di rendere disponibili anche ai consumatori finali le fatture elettroniche in formato XML sul portale dell’Agenzia, anche in assenza di una puntuale richiesta. Tale modus operandi comporterà un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, dovuto al trattamento massivo e informatizzato di dati accessibili tramite un applicativo web.
Accesso ad una mole enorme di informazioni da parte di soggetti che operano nei confronti di una moltitudine di operatori economici
I canali di trasmissione dello SDI sono stati progettati dall’Agenzia, al fine di semplificare il processo fatturazione elettronica, offrendo soluzioni gratuite per le piccole imprese, ma anche dando la possibilità di trasmettere grandi volumi di dati, prevedendo modalità di comunicazione dati totalmente automatizzato, attraverso canali web service e FTP.
Il nuovo obbligo determina la concentrazione, presso soggetti che operano nei confronti di una moltitudine di operatori economici, di una mole enorme di informazioni, anche di carattere personale.
È intuibile che la possibilità di accedere a simili banche dati possa stimolare grandi interessi, esponendo sia le imprese che i privati, oltre ad un utilizzo improprio dei propri dati, anche alla possibilità di collegamento e raffronto dei dati contenuti nelle fatture di migliaia di operatori economici, in violazione dei principi applicabili al trattamento dei dati personali (art. 5 del Regolamento).
Utilizzo di canali non sicuri
Con riferimento alla sicurezza dei canali di trasmissione delle fatture elettroniche, il garante ha evidenziato che il protocollo FTP è un canale non sicuro. Occorrerà, pertanto, prevedere, anche nell’ambito dello SDI, l’utilizzo di canali di connessione sicuri idonei a garantire un livello di sicurezza adeguato al rischio, in linea con quanto previsto dell’art. 32 del Regolamento.
Cifratura dei dati
Un’ulteriore criticità evidenziata deriva dalla mancata cifratura del file XML della fattura elettronica. Ciò, soprattutto in considerando del previsto utilizzo della PEC per lo scambio delle fatture. Con il sistema attuale i server potranno memorizzare una moltitudine di dati, esponendo gli interessati a rischi di accesso non autorizzato (quali ad esempio furto delle credenziali e attacchi informatici ai server).
App Fatturae
Anche nell’app fornita dall’Agenzia delle Entrate, che consente il salvataggio dei dati in cloud, il garante ha evidenziato delle anomalie, dal momento che nell’informativa non sono state correttamente fornite agli utenti le ulteriori finalità di conservazione e di controllo perseguite dall’Agenzia con tale raccolta di dati.
Mancanza di responsabilità dell’Agenzia delle Entrate per conservazione delle fatture
L’Agenzia offre un servizio gratuito di conservazione delle fatture basato su un accordo di servizio, il quale prevede che “l’Agenzia non potrà essere ritenuta responsabile nei confronti del contribuente né nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione”, in violazione dell’art. 5, par. 1, lett. f) e l’art. 32 del Regolamento.
Consultazione del Garante
Infine il garante auspicava una preventiva consultazione dell’Autorità, peraltro stabilita dal Regolamento Ue, che avrebbe potuto assicurare fin dalla progettazione del nuovo sistema il rispetto della protezione dei dati personali.
Il provvedimento del Garante è stato inviato anche al Presidente del Consiglio dei ministri e al Ministro dell’economia e delle finanze per le valutazioni di competenza.
Fonte: Garante per la Privacy