Novità del GDPR e criticità rilevate dal Garante Privacy in tema di fattura elettronica

Dal 1° gennaio 2019 l’obbligo di fatturazione elettronica è stato esteso. Ma l’attuazione dovrà tener conto dei rilievi del Garante alla luce delle novità introdotte per adeguare la normativa nazionale al Regolamento europeo sulla protezione dei dati personali.

 

Sono ormai ben noti i benefici sia economici che procedurali ottenibili in termini di efficienza complessiva attraverso la “dematerializzazione documentale”.

Anche per questo, con la legge di bilancio 2018 l’obbligo di fatturazione elettronica, già applicato nei confronti della pubblica amministrazione, è stato esteso alle cessioni di beni e prestazioni di servizi effettuate tra soggetti residenti o stabiliti in Italia.

Dal 1° gennaio 2019 la fattura elettronica è diventata obbligatoria per tutte le cessioni di beni e prestazioni di servizi comunque effettuate sia tra fornitori (operazioni Business to Business, c.d. B2B) che verso un consumatore finale (operazioni Business to Consumer, c.d. B2C), con l’eccezione dei regimi di vantaggio e regimi forfettari, per i quali è facoltativa, nonché dei piccoli produttori agricoli.

Intanto, il 4 settembre è stato pubblicato nella Gazzetta Ufficiale n. 205 il decreto legislativo 101 del 10 agosto 2018 contenente le disposizioni per l’adeguamento della normativa nazionale ai principi del Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. La funzione del decreto legislativo n. 101/2018 è quindi quella di armonizzare le norme già previste nel nostro Codice in materia di protezione dei dati personali (D.Lgs. 196/2003) con quelle introdotte dal Regolamento Europeo 2016/679 entrato in vigore il 25 maggio scorso e che abroga la direttiva 95/46/CE (Regolamento Generale Protezione dei Dati).

Ed è proprio alla luce della piena applicazione delle nuove norme che il Garante Privacy ha esercitato per la prima volta il nuovo potere correttivo di avvertimento, attribuito dal Regolamento europeo, attraverso un provvedimento adottato anche a seguito di alcuni reclami. Con il “Provvedimento nei confronti dell’Agenzia delle entrate sull’obbligo di fatturazione elettronica – 15 novembre 2018”  il Garante per la protezione dei dati personali ha avvertito che il nuovo obbligo della fatturazione elettronica, così come finora  regolato, “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”, chiedendo pertanto all’Agenzia delle entrate di “far conoscere all’Autorità le iniziative assunte per rendere conformi i predetti trattamenti alle disposizioni sopra citate allorché gli obblighi di fatturazione elettronica divengano pienamente operativi”.

Innanzitutto, va ricordato che le regole per predisporre, trasmettere, ricevere e conservare le fatture elettroniche sono definite nel provvedimento n. 89757 del 30 aprile 2018 dell’Agenzia delle Entrate. Per fattura elettronica si intende una fattura predisposta in un formato XML predefinito, trasmesso dall’emittente al ricevente attraverso il Sistema d’interscambio (SDI), messo a disposizione dei soggetti passivi dal Ministero dell’economia e delle finanze e gestito dall’Agenzia delle Entrate “anche per l’acquisizione dei dati fiscalmente rilevanti”.

I dati obbligatori da riportare, a norma di legge, nella fattura elettronica sono i medesimi di quelli stessi già riportati nelle fatture cartacee, ma possano essere integrati “con ulteriori dati utili alla gestione del ciclo attivo e passivo degli operatori”. Ciò comporta quindi il trattamento, da parte dell’Agenzia delle entrate, di tutti i dati presenti nelle fatture emesse che, oltre ad essere trasmesse e rese disponibili ai destinatari attraverso lo SDI, saranno archiviate e utilizzate anche per le attività di controllo, effettuate anche dalla Guardia di finanza.

I canali di colloquio con lo SDI per trasmettere le fatture sono:

  1. posta elettronica certificata (PEC);
  2. servizi informatici messi a disposizione dall’Agenzia delle entrate (procedura web e mobile app);
  3. sistema di cooperazione applicativa, su rete Internet, tramite web service;
  4. sistema di trasmissione dati tra terminali remoti, basato su protocollo FTP.

Le fatture sono rese disponibili ai destinatari con le stesse modalità in caso di operazioni B2B, mentre per operazioni B2C le fatture saranno rese disponibili al consumatore finale, nel formato XML, nella sezione riservata del sito web dell’Agenzia delle entrate. Resta fermo che una copia della fattura, in formato elettronico o analogico, sarà messa a disposizione del consumatore e un duplicato sarà reso sempre disponibile anche nell’area riservata dell’operatore economico che ha emesso la fattura.

Viene, inoltre, previsto che l’Agenzia delle entrate metta a disposizione del contribuente, mediante l’utilizzo di reti telematiche e anche in formato strutturato, le informazioni acquisite, affinando anche i meccanismi di ausilio all’adempimento spontaneo da parte degli operatori economici che consentono di rilevare le incongruenze tra dati presenti nelle fatture e i versamenti IVA.

Il Garante osserva che tutto il sistema previsto non rispetta i principi di “privacy by design” e “privacy by default”, cioè come, nel progettare il nuovo adempimento, non si sia tenuto adeguatamente conto dei rischi che l’implementazione della fatturazione elettronica determina per i diritti e le libertà degli interessati, e, quindi, non siano state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento le garanzie necessarie a soddisfare i requisiti del regolamento e a tutelare i diritti degli interessati.

Il nuovo obbligo di fatturazione elettronica determina invero un trattamento sistematico di dati personali su larga scala, anche di categorie particolari di dati, potenzialmente relativi ad ogni aspetto della vita quotidiana, che presenta un rischio elevato per i diritti e le libertà degli interessati, richiedendo, per questo, l’effettuazione di una valutazione di impatto.

Anche il ruolo assunto dagli intermediari e dagli altri soggetti delegabili dal contribuente fa emergere peculiari profili di rischio per il trattamento dei dati personali, rilevando che dovrebbero essere individuate misure tecniche e organizzative adeguate ad assicurare il rispetto della normativa in materia di protezione dei dati personali in tutta la filiera del trattamento dei dati personali effettuato a fini di fatturazione elettronica, con specifica attenzione all’articolato sistema di deleghe.

Sotto altro aspetto, si rileva che i canali di trasmissione dello SDI sono stati progettati al fine di semplificare l’intero processo di fatturazione elettronica, offrendo soluzioni gratuite per le piccole imprese, ma anche dando la possibilità di trasmettere grandi volumi di dati, con la previsione di modalità di colloquio totalmente automatizzato, attraverso canali web service e FTP.

In definitiva il nuovo obbligo determina la concentrazione, presso soggetti che operano nei confronti di una grande moltitudine di operatori economici, di una mole enorme di informazioni, anche appartenenti a categorie particolari di dati personali, che non si riscontra nella normale gestione delle attività economiche in cui, di regola, non vengono messe a disposizione di terzi informazioni sui beni e servizi ceduti, sulla clientela e sulle relative abitudini di consumo.

Occorre, pertanto, prevedere, anche nell’ambito dello SDI, l’utilizzo di canali di connessione sicuri e idonei a garantire un livello di sicurezza adeguato al rischio, in linea con quanto previsto dal Regolamento e in relazione, ad es., anche alla mancata cifratura del file XML della fattura elettronica, considerando il previsto utilizzo della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di gestione della posta elettronica, che potrebbe esporre gli interessati a maggiori rischi di accesso non autorizzato.

Viene quindi richiamata l’esigenza di rendere noti gli interventi adottati al fine di assicurare la dovuta compliance.

Lo sforzo richiesto all’Agenzia sarà però ben ripagato, anche perché non bisogna dimenticare che l’applicazione in azienda della fattura elettronica non è soltanto un costo, ma presenta tutta una serie di vantaggi, riducendo sia i costi di gestione di tale processo che gli errori che si possono generare dall’acquisizione manuale dei dati ed incrementando l’efficienza nei rapporti commerciali tra clienti e fornitori. Esistono poi vantaggi dal punto di vista strettamente fiscale.

Ma soprattutto la normativa non promuove soltanto il circolo virtuoso della dematerializzazione, va considerato l’obiettivo ben più ampio di porre le basi per una collaborazione e uno scambio più efficienti e veloci. In ottica di sviluppo, infatti, è vitale capire che “il ciclo dell’ordine digitale non è solo un modo diverso di scambiare documenti, quanto piuttosto un nuovo ambiente in cui ricostruire prassi e procedure”.

D’altronde, l’Europa sta lavorando da anni sul Digital Single Market, o Mercato unico digitale, una strategia che ha lo scopo di portarci nell’economia del futuro, facendo leva sulla libera circolazione delle persone, dei capitali e dei servizi, verso la promozione di una società digitale in cui i cittadini possano usufruire appieno dei vantaggi dell’eGovernment.

Articolo a cura di Sergio Guida

Profilo Autore

Da economista aziendale, ha maturato esperienze direzionali in gruppi industriali diversi per settori, dimensioni e caratteristiche. Specializzato in pianificazione strategica e controllo di gestione, finanza, risk e project management, sistemi di gestione e rendicontazione integrativi (sociale, ambientale e intangible assets), è stato relatore in convegni e seminari e pubblica articoli di economia, finanza, digital transformation, data governance, public health, compliance & regulatory affairs.
Ha seguito percorsi multidisciplinari su Design Thinking, Human-Computer Interaction, Data protection & Privacy, Digital Health & Therapeutics. Business angel, segue con attenzione il mondo delle Startup.

Condividi sui Social Network:

Articoli simili