Provvedimento garante privacy n.481 del 15 novembre 2018
Il Garante per la protezione dei dati personali ha esercitato nei confronti dell’Agenzia dell’Entrate il potere correttivo di avvertimento attribuito dal Regolamento europeo 679/2016, segnalando alla stessa che il trattamento dei dati personali effettuato nell’ambito della fatturazione elettronica, come delineato dalla normativa, è potenzialmente contrario alle disposizioni in materia di privacy.
La fatturazione elettronica
Il Garante ha, infatti, rilevato che la disciplina della fatturazione elettronica come delineata dal quadro normativo a cura dell’Agenzia dell’entrate è prevalentemente concentrata sugli aspetti legati alla trasmissione dei dati attraverso un sistema di intercambio (SDI), prevedendo in tale ambito un trattamento obbligatorio generalizzato e di dettaglio di dati personali, anche ulteriori rispetto al quelli necessari ai fini fiscali, relativi alla totalità della popolazione non proporzionato all’obiettivo di interesse pubblico perseguito.
Il Garante nell’esame della normativa in materia di fatturazione elettronica – che prevede la predisposizione della fattura in un formato XML predefinito, trasmesso dall’emittente al ricevente attraverso il Sistema di interscambio – ha avuto modo di osservare che i dati immessi nella fattura, e trattati dall’Agenzia dell’Entrate, si riferiscono non solo a quelli obbligatori ai fini fiscali ma anche a tutti quelli utili alla gestione del ciclo attivo e passivo degli operatori. Tali dati, ad esempio, sono idonei ad individuare i beni e i servizi ceduti, attraverso la descrizione delle prestazioni contenute nella fattura, degli sconti applicati, della fidelizzazione, o delle abitudini di consumo. Possono addirittura riferirsi a dati sensibili di carattere sanitario o giudiziario.
In riferimento al trattamento di questi ultimi dati il Garante si è espresso nel senso di ritenere sproporzionato il trattamento anche rispetto all’obiettivo di interesse pubblico seppur legittimo, ritenendo che il trattamento generalizzato di dati personali richiede l’adozione da parte dell’Agenzia delle entrate e degli operatori economici, di misure appropriate al fine di fornire agli interessati un’adeguata informativa, con particolare attenzione all’eventuale inserimento nelle fatture e nei relativi allegati di informazioni di dettaglio non rilevanti ai fini fiscali, che dovrà avvenire nel rispetto del principio di minimizzazione dei dati personali.
Inoltre, il Garante ha osservato che tutti i dati trasmessi all’Agenzia dell’entrate, sia quelli obbligatori ai fini fiscali che quelli eccedenti tale finalità, saranno archiviati ed utilizzati anche per le attività di controllo effettuate dalla Guardia di Finanza.
Il Garante ha, poi, individuato un altro punto critico nella regolamentazione della fatturazione elettronica, ovverosia la scelta di rendere disponibili ai consumatori tutte le fatture elettroniche in formato XML sul portare dell’Agenzia dell’entrate, anche per coloro che non intendono avvalersi del servizio messo a disposizione sul portale dell’Agenzia, richiedendo la fattura direttamente al fornitore. Un tale trattamento, secondo il Garante, comporta un ingiustificato incremento dei rischi per i diritti e libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web.
Il protocollo FTP
Il Garante non ha risparmiato critiche anche nei confronti dei canali di trasmissioni previste per le fatture elettroniche, considerate poco sicure. Il canale pensato dall’Agenzia dell’entrate, vale a dire il protocollo FTP, è stato considerato dal Garante, già in una precedente pronuncia, poco sicuro, ed ha dunque suggerito l’utilizzo di canali di connessione sicuri ed idonei a garantire un livello di sicurezza adeguato al rischio. Ha, poi, riscontrato un possibile pericolo alla tutela dei dati nella mancata cifratura dei file XML delle fatture elettroniche. Tali fatture, infatti, possono essere inviate tramite PEC, con il conseguente pericolo di una possibile memorizzazione dei documenti sui server di gestione della posta elettronica, che espone gli interessati a maggiori rischi di accesso non autorizzato ai dati personali. In ambito aziendale, ad esempio, l’utilizzo della posta elettronica certificata non è esclusivo, con evidente rischio del furto di credenziali e attacchi informatici ai server.
Osservato tutto quanto sopra, il Garante ha conseguentemente chiesto all’Agenzia delle Entrate in qualità di titolare del trattamento dei dati personali di assumere – e rendere note – tutte le iniziative ritenute dalla stessa idonee a rendere la regolamentazione sulla fatturazione elettronica conforme alle disposizioni in materia di privacy.
Volume consigliato
La moneta elettronica
Con un taglio pratico, il testo esamina il complesso panorama normativo della moneta elettronica e dei pagamenti digitali, alla luce delle novità introdotte dalla Direttiva UE 2015/2366, recepita nell’ordinamento italiano con il D. Lgs. n. 218/2017.Il volume affronta il problema delle frodi nelle operazioni di pagamento elettronico (phishing, clonazione di carte di credito, ecc.) e della tutela prevista per gli utenti, con ampio spazio alla giurisprudenza in materia. Completa la trattazione un’analisi tecnica-giuridica dell’emergente fenomeno delle valute virtuali (criptovalute), con chiarimenti sulla normativa applicabile, anche sotto il profilo fiscale e dell’antiriciclaggio.Stefano Comellini Avvocato in Bologna, patrocinante in Cassazione, si occupa prevalentemente di Diritto Industriale, Diritto Informatica e delle Telecomunicazioni nonché della disciplina della Privacy. È iscritto nell’elenco dei rappresentanti presso la EUIPO (Ufficio dell’Unione Europea per la proprietà intellettuale). Relatore in convegni, è particolarmente attivo sui social network, dove svolge attività di divulgazione giuridica. Nel 2002 il sito www.comellini.it, da lui curato, ha ottenuto, dalla giuria di “Italex Award 2002 – il premio per i migliori siti giuridici italiani”, il riconoscimento di migliore studio legale online.Marco Vasapollo Ingegnere Informatico, ha conseguito la laurea magistrale presso l’Alma Mater Studiorum – Università di Bologna. Ha svolto l’attività di docente in corsi di programmazione e di consulente di aziende nazionali ed internazionali su progetti in ambito assicurativo, bancario, amministrativo e della logistica su larga scala. Nel 2017 ha fondato MetaRing, una Startup di Software. Attualmente si occupa di consulenza ed evangelizzazione del paradigma blockchain ed è procinto di lanciare Aequalitam, lo spin-off di MetaRing interamente dedicato al mondo blockchain e SmartContract.Soluzioni di Diritto è una collana che offre soluzioni operative per la pratica professionale o letture chiare di problematiche di attualità. Uno strumento di lavoro e di approfondimento spendibile quotidianamente. L’esposizione è lontana dalla banale ricostruzione manualistica degli istituti ovvero dalla sterile enunciazione di massime giurisprudenziali. Si giunge a dare esaustive soluzioni ai quesiti che gli operatori del diritto incontrano nella pratica attraverso l’analisi delle norme, itinerari dottrinali e giuri- sprudenziali e consigli operativi sul piano processuale.
Stefano Comellini | 2018 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento