Fatturazione elettronica e privacy, gli scenari alla luce del DL Fiscale 2020

Il dibattito su fatturazione elettronica e data protection torna alla ribalta con la bozza della Legge di bilancio 2020 e il nuovo DL Fiscale. Il Garante della privacy si è espresso in merito: approfondiamo la situazione

In più di un’occasione il Garante della privacy è intervenuto denunciando i rischi per i contribuenti in relazione ai dati che l’Agenzia delle Entrate raccoglie e tratta nell’ambito della fatturazione elettronica. Ora, in occasione del Decreto fiscale legato alla bozza della Legge di bilancio 2020, l’autorità è tornata a pronunciarsi con la “Memoria del Presidente del Garante per la protezione dei dati personali nell’ambito dell’esame del disegno di legge C. 2220, di conversione in legge del decreto-legge n. 124 del 2019, recante disposizioni urgenti in materia fiscale e per esigenze indifferibili”. Vediamo di che cosa si tratta e quali scenari futuri si configurano sul tema.

Indice degli argomenti

I precedenti

Nel dicembre 2018 – poco prima che la fatturazione elettronica divenisse obbligatoria – con un articolato provvedimento, il Garante per la protezione dei dati personali ha individuato i presupposti e le condizioni indispensabili per i trattamenti di dati connessi alla fatturazione elettronica. Il provvedimento cercava di arginare gli ulteriori trattamenti di dati che l’Agenzia avrebbe eseguito “oltre” al servizio di interscambio le fatture (SDI). In particolare, per come congegnato, il sistema avrebbe archiviato integralmente tutti i file delle fatture elettroniche (n. 2,1 miliardi nel 2017) contenti anche informazioni di dettaglio, non rilevanti a fini fiscali, idonei all’identificazione dei beni e servizi acquistati dai contribuenti, delle abitudini e le tipologie di consumo, legate alla fornitura di servizi energetici, di telecomunicazione o trasporto (es. regolarità nei pagamenti, pedaggi autostradali, biglietti aerei, pernottamenti), o addirittura l’indicazione puntuale delle prestazioni legali (es. numero procedimento penale) o sanitarie (es. percorso diagnostico neuropsichiatrico infantile).

Il sistema di e-fattura secondo le prescrizioni del Garante[1] 2019 invece che l’Agenzia avrebbe dovuto limitarsi a memorizzare solo i dati fiscali necessari all’esecuzione dei controlli automatizzati (es., incongruenze tra dati dichiarati e quelli a disposizione dell’Agenzia), con l’esclusione della descrizione del bene o servizio oggetto di fattura o altre informazioni non pertinenti alla finalità per cui il sistema di interscambio è stato realizzato. All’Agenzia delle entrate è stato inoltre richiesto dal Garante di implementare la cifratura[2] dei dati (utile soprattutto in caso di utilizzo della pec), per minimizzare i dati da memorizzare e per conformarsi agli obblighi di trasparenza e correttezza nei confronti degli interessati riguardo ai controlli fiscali effettuati attraverso trattamenti automatizzati o con l’acquisizione delle fatture per le quali il contribuente usufruisce dei servizi di consultazione e conservazione.

Tutto ciò in vista di una nuova valutazione d’impatto, come richiesto dalla normativa sulla protezione dei dati[3]. Si ricorda fra l’altro la circostanza che il servizio è stato ritenuto vulnerabile: si sono riscontrati casi di autorizzati al trattamento che utilizzavano le proprie credenziali per finalità non di servizio. Emblematico è il caso riguardante la violazione del sistema informatico Serpico da parte di un sottufficiale della Guardia di Finanza al fine di acquisire informazioni sulla situazione reddituale della moglie, con la quale aveva in corso una causa di separazione (Cass. pen., sez. V, sent. 27 febbraio 2019, n. 8541). In aggiunta, nel Piano Triennale di Prevenzione della Corruzione (PTPC) 2018-2020 l’Agenzia delle entrate ha riscontrato un incremento dei reati di accesso abusivo al sistema informatico.

Il contesto attuale

Più di recente – novembre 2019 – l’attenzione si è focalizzata su quello che, ancora una volta, il Garante stesso ritiene un trattamento di dati eccessivi, non pertinenti ai sensi del GDPR rispetto alle finalità perseguite dal Titolare: la messa a disposizione immediata dell’Agenzia delle Entrante e della Guardia di Finanza delle fatture integrali. Con la Memoria del Presidente del Garante del 5 novembre 2019 è stato osservato che il decreto-legge in conversione (n.124/2019 decreto fiscale) contiene alcune disposizioni che sotto il profilo della protezione dei dati personali necessitano di modifiche al fine di renderle pienamente conformi alle norme privacy.

In particolare il Garante si è soffermato:

  • sull’articolo 14 del decreto-legge, che nel novellare l’articolo 1 del decreto legislativo 5 agosto 2015, n. 127, ha disposto la memorizzazione dei file delle fatture elettroniche fino al 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento, ovvero fino alla definizione di eventuali giudizi
  • sull’oggetto della memorizzazione, inclusiva – secondo la Relazione illustrativa – anche dei dati inerenti la natura, qualità e quantità dei beni e servizi oggetto dell’operazione [5], oltre che all’estensione dell’ambito di utilizzazione dei dati di fatturazione a tutte le funzioni di polizia economica finanziaria demandate al Corpo della Guardia di finanza – dal d.lgs. 68 del 2001 – e non soltanto (come a legislazione vigente) limitatamente alle verifiche fiscali[6].

Sul secondo punto, che più interessa ai contribuenti, ci soffermiamo in quanto appare chiaro che la norma vuole estendere tanto l’oggetto della memorizzazione quanto l’ambito di utilizzazione dei dati di fatturazione, senza peraltro escluderne (come conferma la Relazione illustrativa) alcune categorie, quali i dati non fiscalmente rilevanti o quelli inerenti la descrizione delle prestazioni fornite. Sulla proporzionalità non ci siamo e il Garante aveva espresso perplessità nei provvedimenti del 18 novembre e del 20 dicembre 2018, come sopra ricordato.

Il Garante pone dunque di nuovo l’attenzione sulla circostanza che all’interno dei file delle fatture elettroniche (ad esempio, allegati), sono presenti anche informazioni non rilevanti a fini fiscali che possono riguardare anche categorie particolari di dati personali e dati personali relativi alle condanne penali e ai reati di cui agli artt. 9 e 10 del Regolamento (UE) 2016/679, potenzialmente riferibili ad ogni aspetto della vita quotidiana.

I controlli

Inoltre sottolinea che le attività di controllo fiscale possono essere ricondotte a due tipologie:

  • la prima basata su trattamenti automatizzati e di analisi del rischio (ad esempio, quelli volti a rilevare le incongruenze tra i dati dichiarati e quelli a disposizione dell’Agenzia nonché quelli relativi all’analisi del rischio evasione)
  • la seconda, più analitica, fondata sull’esame puntuale della posizione fiscale del contribuente e della documentazione fiscale.

Con riferimento ai controlli automatizzati e l’analisi del rischio l’Autorità osserva che essi richiedono, per loro natura, la memorizzazione e l’elaborazione massiva dei dati estratti dai file XML delle fatture (c.d. dati fattura), tra cui non dovrebbe rientrare il campo del file XML contenente la descrizione dell’operazione oggetto di fattura che, oltre a poter contenere i significativi dati personali di dettaglio, sopra esemplificati, relativi alla natura, qualità e quantità dei beni e dei servizi fatturati, e presentare, quindi, rischi elevati per gli interessati, non si presta ad elaborazioni massive, essendo un campo a testo libero e non strutturato, che richiede, invece, un esame puntuale, caso per caso, del contenuto.

Con riferimento, invece, ai controlli puntuali che possono richiedere l’esame analitico delle fatture, dalla documentazione fornita dall’Agenzia dell’entrate l’Autorità ricorda quanto già specificato nei suoi pareri del 2018 e in particolare, che, negli anni 2016 e 2017, sono stati effettuati, rispettivamente, 121.849 e 163.339 accertamenti nei confronti di contribuenti IVA, a fronte di circa 4,7 milioni soggetti che hanno presentato la dichiarazione IVA.

L’archiviazione delle fatture

Ancora una volta il Garante ritiene sproporzionata:

  • l’archiviazione integrale di tutte le fatture emesse e ricevute, comprensiva dei dati non fiscalmente rilevanti (anche, naturalmente, dei destinatari delle prestazioni fatturate)
  • l’archiviazione dei dati inerenti alla descrizione delle prestazioni fornite, ai fini dell’esecuzione di controlli puntuali nell’ambito di accertamenti fiscali e verifiche, anche da parte della Guardia di finanza.

La previsione di un obbligo di memorizzazione (e potenzialmente anche di utilizzazione) di dati personali sproporzionato rispetto alle reali esigenze perseguite renderebbe, a parere del Garante, la norma illegittima per contrasto con il principio di proporzionalità del trattamento dei dati, come statuito anche nella giurisprudenza della Corte di giustizia a “parametro ermeneutico essenziale” in materia di privacy. “La stessa Corte costituzionale, con la sentenza 20 del 2019, ha attribuito a tali principi una rilevante funzione etero-integrativa del canone di ragionevolezza di cui all’art. 3 Cost., fondandovi la declaratoria di illegittimità parziale, per violazione appunto del parametro interno così integrato, degli obblighi di pubblicità previsti per i dirigenti pubblici dall’art. 14, comma 1-bis, del decreto legislativo in materia di privacy”.

La pronuncia della Corte costituzionale

Ecco il passaggio:

“La Corte di giustizia dell’Unione europea ha ripetutamente affermato che le esigenze di controllo democratico non possono travolgere il diritto fondamentale alla riservatezza delle persone fisiche, dovendo sempre essere rispettato il principio di proporzionalità, definito cardine della tutela dei dati personali: deroghe e limitazioni alla protezione dei dati personali devono perciò operare nei limiti dello stretto necessario, e prima di ricorrervi occorre ipotizzare misure che determinino la minor lesione, per le persone fisiche, del suddetto diritto fondamentale e che, nel contempo, contribuiscano in maniera efficace al raggiungimento dei confliggenti obiettivi di trasparenza, in quanto legittimamente perseguiti (sentenze 20 maggio 2003, nelle cause riunite C-465/00, C-138/01 e C-139/01, Österreichischer Rundfunk e altri, e 9 novembre 2010, nelle cause riunite C-92/09 e 93/09, Volker und Markus Schecke e Eifert).

La giurisprudenza della Corte di giustizia dell’Unione europea ha influenzato lo stesso legislatore europeo, che ha avviato un ampio processo di revisione del quadro di regole in materia di protezione dei dati personali, concluso con l’emanazione di un unico corpus normativo di carattere generale, costituito dal regolamento UE 2016/679 c.d. GDPR, norma attualmente vigente. I principi che devono governare il trattamento sono sanciti nell’art. 5, comma 1, del citato regolamento e, tra di essi, specifica la Corte, assumono particolare rilievo quelli che consistono: “nella limitazione della finalità del trattamento (lettera b) e nella «minimizzazione dei dati», che si traduce nella necessità di acquisizione di dati adeguati, pertinenti e limitati a quanto strettamente necessario alla finalità del trattamento (lettera c)”.

Inoltre la Suprema corte ricorda la necessità dell’indispensabile bilanciamento tra diritti, che si trova nelle premesse al regolamento al considerando n. 4: “il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”. In definitiva, la disciplina europea, pur riconoscendo un ampio margine di regolazione autonoma e di dettaglio agli Stati membri con riguardo a certe tipologie di trattamento impone loro il principio di proporzionalità del trattamento che, come accennato, rappresenta il fulcro della giurisprudenza della Corte di giustizia dell’Unione europea in materia.

La legislazione nazionale deve dunque a parere definitivo della Corte – vale per il caso del diritto di accesso esaminato nella sentenza e in generale – rispettare i criteri di necessità, proporzionalità, finalità, pertinenza e non eccedenza nel trattamento dei dati personali, pur al cospetto dell’esigenza di garantire “fino al punto tollerabile” la necessità di controllo e repressione dell’evasione fiscale. E richiamando tale sentenza il Garante ha ritenuto opportuno che il legislatore in sede di conversione del decreto sottoponga ad un vaglio puntuale (basato sui principi del GDPR) l’effettiva necessità dell’archiviazione integrale dei dati di fatturazione, per la durata prevista, per la realizzazione delle varie attività di indagine, nei settori tributario ed extratributario, al fine di rendere adeguato tale trattamento.

Conclusione

Conclude così l’Autorità: “Sarà, in particolare, auspicabile acquisire dal Governo elementi idonei a superare le criticità già rappresentate nei citati provvedimenti del Garante, valutando se la memorizzazione di un novero così esteso di dati sia realmente funzionale al perseguimento delle finalità considerate e non sostituibile con misure parimenti efficaci ma meno invasive o anche solo con l’oscuramento dei dati irrilevanti eventualmente presenti nelle fatture.” L’iter legislativo di conversione è iniziato con la Fase di procedimento e dibattito il 30 ottobre 2019, il 13 e 14 novembre 2019 sono seguite le presentazioni di alcuni emendamenti e non ci resta che attendere la conclusione delle prossime fasi.

Intanto questa settimana Antonello Soro, ancora Garante della Privacy, rilascerà un’intervista sulla questione “fatturazione elettronica” che siamo curiosi di ascoltare, la domanda che interessa a tutti gli Italiani è: quanto raccolto sinora se utilizzato per le finalità individuate come sproporzionate e in violazione dei principi del GDPR potrebbe rendere nulli eventuali accertamenti fiscali?

Note

  1. Era stato costituito un tavolo di lavoro tecnico, con l’Agenzia delle entrate e il Mef, per esaminare congiuntamente le criticità rilevate dal Garante e che ha visto coinvolti anche l’Agid, il Consiglio nazionale dei dottori commercialisti e degli esperti contabili, il Consiglio nazionale dell’ordine dei consulenti del lavoro e l’associazione dei produttori di software gestionale e fiscale (AssoSoftware). 
  2. Per quanto riguardala tutela del trattamento dei dati personali nella gestione della fatturazione elettronica, l’Agenzia aveva dichiarato, con riferimento alla sicurezza dei canali di trasmissione e di recapito della fattura elettronica, di aver superato il sistema SFP e di aver già predisposto l’attivazione di un canale cifrato su protocollo SFPT per coloro che hanno richiesto l’accreditamento allo SDI.Nonostante tali accorgimenti, il Garante evidenzia la necessità di prevedere misure tecniche ed organizzative idonee, finalizzate a garantire la protezione dei dati anche attraverso delle tecniche crittografiche, nel rispetto dei principi di privacy by design e by default. Il Garante evidenzia che “tecniche di cifratura e scambio di messaggi tra più soggetti sono da tempo disponibili e potrebbero essere implementate, anche gradualmente, tenendo conto dell’impatto della cifratura sulle prestazioni complessive e sull’usabilità dei servizi informatici a supporto del processo di fatturazione elettronica”. Anche su tale punto viene ingiunta all’Agenzia la valutazione circa l’introduzione di tali tecniche di cifratura, rimettendo i possibili accorgimenti ad una successiva analisi. 
  3. Infatti il Garante, con il provvedimento del 16 novembre 2018, rilevava che il sistema di fatturazione elettronica avrebbe comportato un trattamento sistematico di dati relativi ad ogni aspetto della vita quotidiana. Per tali motivi, il Garante richiedeva all’Agenzia delle Entrate una valutazione d’impatto ai sensi dell’art. 35 del GDPR. L’Agenzia, con nota del 17 dicembre, aveva trasmesso all’Autorità la valutazione d’impatto. Dalle considerazioni espresse dal Garante, la valutazione ha tenuto conto soltanto degli aspetti tecnici del trattamento e dei relativi rischi informatici, senza tener conto degli altri aspetti richiesti dalla normativa. Nello specifico, “la valutazione deve essere svolta tenendo in considerazione i rischi incombenti sui diritti e sulle libertà degli interessati ed esaminando, in modo esaustivo, i diversi scenari di rischio”. Per queste ragioni, tale valutazione non è stata ritenuta pienamente soddisfacente, e pertanto sarà opportuno procedere ad una idonea integrazione entro e non oltre il 15 aprile 2019. 
  4. Di cui all’ art. 21, c. 2, lett.g) dPR 633 del 1972. Essi sono resi accessibili- secondo quanto previsto dal comma 1 dell’articolo in analisi – alla Guardia di finanza nell’assolvimento delle funzioni di polizia economica e finanziaria, nonché all’Agenzia delle entrate e alla stessa Guardia di finanza per le attività di verifica e analisi del rischio fiscale. 
  5. Tale modifica è stata inserita si legge al fine di potenziare “l’attività di contrasto di qualunque forma di illegalità, anche in settori diversi da quello strettamente tributario, quali ad esempio la spesa pubblica, il mercato dei capitali e la tutela della proprietà intellettuale” (Relazione illustrativa AC 2220, p.19) . 
  6. vds. sentt.20 maggio 2003, nelle cause riunite C-465/00, C-138/01 e C-139/01, Österreichischer Rundfunk e altri, e 9 novembre 2010, nelle cause riunite C-92/09 e 93/09, Volker und Markus Schecke e Eifert, 8 aprile 2004, C- 203/12 e C594/12, Digital Rights Ireland; 21 dicembre 2016, Tele2 Sverige, C-203/15 e 698/15 nonché, per quanto concerne la Corte europea dei diritti umani, in ordine al canone di proporzionalità in via generale, cfr., in particolare, sez. II, sent. 28 novembre 2017, ric. n. 70838-13; Grande Camera, 5 settembre 2017, Brbulescu c. Romania (n. 61496/08 ).                                                Fonte: www.agendadigitale.eu