Utilizzando per la prima volta il potere correttivo di avvertimento introdotto dal Regolamento 2016/679 (UE), il Garante per la privacy boccia il sistema di fatturazione elettronica messo a punto dall’Agenzia delle Entrate che entrerà in vigore a partire dal 1° gennaio 2019 anche ai rapporti tra fornitori e tra fornitori e consumatori. In una nota pubblicata sul sito istituzionale, l’Autorità invita dunque l’Amministrazione finanziaria a comunicare “con urgenza” in che modo “intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica”.
Entrando nel merito del nuovo sistema di e-fatturazione il Garante ha rilevato una serie di criticità. In primo luogo, l’Agenzia, dopo aver recapitato le fatture in qualità di “postino” attraverso il sistema di interscambio (SDI) tra gli operatori economici e i contribuenti, archivierà e utilizzerà i dati anche a fini di controllo. Tuttavia non saranno archiviati solo i dati obbligatori a fini fiscali, ma la fattura vera e propria, che contiene di per sé informazioni di dettaglio ulteriori sui beni e servizi acquistati, come le abitudini e le tipologie di consumo, legate alla fornitura di servizi energetici e di telecomunicazioni (es. regolarità nei pagamenti, appartenenza a particolari categorie di utenti), o addirittura la descrizione delle prestazioni sanitarie o legali. Altre criticità derivano dalla scelta dell’Agenzia delle Entrate di mettere a disposizione sul proprio portale, senza una richiesta dei consumatori, tutte le fatture in formato digitale, anche per chi preferirà comunque continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore, come garantito dal legislatore.
Ulteriori problemi potrebbero nascere dall’accentramento dei dati personali presso gli intermediari delegabili dal contribuente alla gestione delle fatture e, sotto il profilo della sicurezza, nella trasmissione dei dati attraverso lo SDI e gli ulteriori servizi offerti dall’Agenzia (come la conservazione dei dati). “Una preventiva consultazione dell’Autorità – sottolinea il Garante -, peraltro stabilita dal previgente Codice privacy e dal nuovo Regolamento Ue, avrebbe potuto assicurare fin dalla progettazione l’avvio del nuovo sistema con modalità e garanzie rispettose della protezione dei dati personali”.
Il provvedimento del Garante - si legge - è stato inviato anche al Presidente del Consiglio dei Ministri e al Ministro dell’Economia e delle Finanze per le valutazioni di competenza.
Notizie correlate: 2° edizione master “Il Responsabile della Protezione Dati” - Privacy, un primo bilancio sul nuovo Regolamento - Privacy: FAQ del Garante sul Registro dei trattamenti - Definizione agevolata, le FAQ del Garante privacy