L’Autorità, presieduta da Antonello Soro, ha inviato un Provvedimento all’Agenzia formulando una serie di rilievi su diverse criticità in ambito di fatturazione elettronica, obbligatoria dal 2019 tra privati.

Il Fisco fa sapere che risponderà nel più breve tempo possibile.

Non da ultime, le preoccupazioni circa <<la trasmissione e memorizzazione di una ingente mole di dati non direttamente rilevanti ai fini fiscali, con conseguenze per la tutela della riservatezza, in particolare in merito alle strategie aziendali.>>: l’Agenzia archivia la fattura vera e propria in formato xml, che contiene informazioni non necessarie a fini fiscali come beni e servizi ceduti, descrizione delle prestazioni, rapporti fra cedente e cessionario e altri soggetti, sconti applicati, fidelizzazioni, abitudini di consumo, dati obbligatori imposti da specifiche normative di settore, ad esempio su trasporti e forniture di servizi energetici o di telecomunicazioni.

<<Ciò, vale a maggior ragione anche per categorie di dati particolari e giudiziari, rilevabili da fatture elettroniche emesse, ad esempio, da operatori attivi nel settore sanitario o giudiziario>>, e sulle quali il Fisco non ha <<individuato (…) nessuna specifica misura di garanzia volta ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza.>>

In secondo luogo, la fattura elettronica verrà messa a disposizione a tutti i consumatori che non hanno partita IVA sul portale dell’Agenzia senza chiedere il consenso, il che comporta <<un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web.>>

Sarebbe poi necessario prevedere specifiche misure <<tecniche e organizzative adeguate ad assicurare il rispetto della normativa in materia di protezione dei dati personali in tutta la filiera del trattamento dei dati personali effettuato a fini di fatturazione elettronica>>, con particolare riferimento a tutti gli intermediari, talvolta operatori economici che potrebbero fare un uso improprio di tale mole di informazioni.

Non da ultimo, andrebbe fatta una considerazione sulle tecnologie da utilizzare: il protocollo FTP (trasmissione dati fatture) non è considerabile un canale sicuro, il file xml non è cifrato, la app dell’Agenzia consente il salvataggio dei dati in cloud senza adeguata informativa agli utenti, e non sono nemmeno chiarite adeguatamente le responsabilità dell’Agenzia in merito al servizio di conservazione gratuito delle fatture.

L’Agenzia delle Entrate non avrebbe quindi consultato il Garante Privacy, prima di pubblicare i provvedimenti di prassi del 30 aprile e del 5 novembre 2018, in violazione del Codice in materia di protezione dei dati personali, dlgs 196/2003, modificato dal predetto dlgs 101/2018 (che lo armonizza al Gdpr europeo). E proprio esercitando un potere riconosciutogli dal GPR, il Garante ha inviato all’Agenzia il Provvedimento: si tratta ora di capire quali effetti avrà questa iniziativa.

Da parte di diverse categorie (commercialisti in primis) arrivano da tempo richieste per una maggior gradualità nell’introduzione dell’obbligo, ma il Governo ha sempre escluso fino a questo momento ipotesi di proroghe: l’unico elemento di flessibilità ha riguardato lo stop alle sanzioni per i primi sei mesi del 2019 nel caso di ritardi nella trasmissione delle fatture. Ora, tuttavia, l’iniziativa del Garante potrebbe rimettere in discussione l’entrata in vigore dal prossimo primo gennaio.