Con il d. lgs 101/2018 si è dato avvio all'adeguamento del Codice in Materia di Protezione dei Dati Personali rispetto al nuovo regolamento predisposto dall'Unione Europea, il n. 2016/679. Le novità sono molte e riguardano principalmente la tutela dei dati personali, a maggior ragione quando essi vengono raccolti, gestiti ed archiviati da aziende telematiche.
Il traffico dati su internet è infinito e la vulnerabilità dei sistemi di sicurezza è oramai nota: basta un nulla per inficiare un intero sistema e acquisire illegalmente informazioni di utenti e consumatori.
Il regolamento GDPR (General Data Protection Regulation) si rivolge principalmente ai soggetti forti del mercato, ovverosia a coloro che hanno la possibilità di acquisire e di trattare qualsiasi informazione che abbia a che fare con i dati di una persona.
Gli enti pubblici non sono esonerati, ma come la mettiamo con la fatturazione elettronica? La fattura elettronica potrebbe essere bloccata dal Garante della Privacy?
Fattura elettronica: cosa chiede il Garante della Privacy?
Sul sito del Garante della Privacy è disponibile il documento in cui l'Autorità chiede all'Agenzia delle Entrate chiarimenti in merito alla raccolta ed alla gestione dei dati rilevabili dalla fatturazione elettronica.
In linea di massima le criticità sollevate riguardano la raccolta dati sproporzionata rispetto all'effettivo uso degli stessi ed il rischio di un utilizzo improprio da parte di terzi soggetti.
Nello specifico l'Autorità Garante non si sofferma sull'obbligatorietà della fatturazione elettronica (per altro prevista da una legge, non da un regolamento emanato da un ente pubblico) ma pone dei dubbi in riferimento a ciò che l'Agenzia delle Entrate dispone per la fatturazione elettronica.
Con la richiesta del Garante della Privacy ci troviamo dinnanzi ad uno dei casi eccezionali in cui tale Autorità esercita un potere correttivo di avvertimento, in questo caso necessario affinché il regolamento di un ente pubblico si conformi al GDPR. Dalla disposizione del Garante si evince che:
1. la raccolta dati, a seguito della fatturazione elettronica, risulta sproporzionata ed ingiustificata rispetto agli obiettivi fiscali dell'Agenzia delle Entrate tanto che molte informazioni si riferiscono a diversi aspetti della vita quotidiana di un'intera popolazione. L'Agenzia raccoglie i dati non solo per perseguire finalità di fisco, ma annette attività di controllo che, nel caso dei dati rinvenuti sulla e-fattura, risulterebbero infondati (l'esempio della prestazione sanitaria, ma anche della bolletta pagata con una settimana di ritardo);
2. molte aziende si servono di soggetti intermediari per la gestione e l'invio delle fatture all'Agenzia delle Entrate. Anche in questo caso la mole di dati presenti sulle e-fatture sono a rischio, proprio in virtù del tipo di lavoro svolto dai professionisti abilitati;
3. i sistemi di sicurezza per l'inoltro della fattura (tramite PEC) potrebbero presentare non pochi problemi in merito all'archiviazione della posta elettronica. I server su cui poggiano i gestori PEC potrebbero essere vulnerabili. Stesso discorso vale per le modalità di inoltro e di conservazione dei dati predisposti dall'Agenzia delle Entrate;
4. è mancato, fin dal principio, un effettivo coinvolgimento del Garante nella definizione del regolamento predisposto dall'Agenzia delle Entrate in riferimento all'e-fattura. L'Agenzia aveva il dovere di consultare l'Autorità, così come è previsto dall'intera normativa GDPR.
Un preventivo coinvolgimento avrebbe fatto sì che ogni aspetto riguardante la trasmissione e la conservazione della e-fattura da parte dell'Agenzia sarebbe stato regolamentato secondo i nuovi principi.
L'atteggiamento assunto dal Garante è giustificato. La sola possibilità di esercitare attività di controllo non solo sui dati fiscali, quanto sui dati sensibili viola quello che è l'elemento tutt'ora più importante di una persona: la privacy.
Sapere che Tizio ha pagato una bolletta con la mora, o che Caio è imputato in un giudizio e ha pagato un avvocato per la difesa è una questione non da poco per chi intende preservare la propria sfera privata.
Pur astenendosi da controlli diversi rispetto a quelli fiscali, le criticità permangono, con la possibile conseguenza di bloccare l'entrata in vigore della fattura elettronica.
LEGGI ANCHE: Assistenza legale online, possibile servizio on demand?
Fattura elettronica bloccata dal Garante Privacy?
L'ipotesi di un blocco temporaneo all'obbligo della e-fattura è uno scenario immaginato dagli esperti del settore che, dinnanzi ad una probabile violazione della privacy di un'intera popolazione, sollevano pronostici non proprio positivi.
Molte testate giornalistiche hanno parlato di una proroga di sei mesi (o addirittura di un anno), ma il Governo ha confermato l'entrata in vigore della disposizione: dal primo gennaio 2019 permangono le sanzioni previste per legge nei confronti di chi non emette fattura elettronica.
Le motivazioni di tale scelta sono tante, ma una fra tutte sembra emergere. Con l'e-fattura si stima un gettito dal contrasto all'evasione pari a 2 miliardi di euro, non poco in un periodo di forte crisi economica. Prorogare l'obbligo al 2020 costerebbe agli italiani la medesima cifra, oltre a rendere pan per focaccia agli evasori fiscali.
Se la risposta dell'Agenzia delle Entrate si fa ancora attendere, c'è chi ha già risposto ad alcuni dei numerosi dubbi sollevati dal Garante della Privacy. Il MEF (in rappresentanza del suo sottosegretario) ha precisato che le modalità di trasmissione e di ricezione delle e-fatture rispecchiano tutti i protocolli di sicurezza.
Nessun problema si porrebbe per quanto riguarda la riservatezza e la disponibilità con l'utilizzo del sistema SDI: i dati inviati dagli utenti (fornitori) sono salvaguardati in tutto e per tutto, così come lo è la consultazione degli stessi. L'identificazione dei soggetti abilitati alla consultazione si basa su un sistema di profilazione, identificazione e autenticazione che non dovrebbe creare problemi.
Da un lato la questione privacy è parzialmente risolta. Dall'altro manca una giustificazione da parte dell'Agenzia delle Entrate in riferimento a quella che forse è la questione più importante sollevata dall'Autorità: la raccolta di dati non necessari ai fini fiscali. Perché va bene sapere quanto costa un certo tipo di servizio, una specifica consulenza o un prodotto acquistato.
Un conto è sapere che Tizio, affetto da una malattia, si rivolge al dott. Caio per una prestazione sanitaria specifica, pagata tot euro. Un conto è sapere che una persona si rivolge ad un avvocato perché si trova in una situazione particolare, diverso discorso è sapere che per una consulenza giuridica si spende una certa cifra.
In attesa di una risposta esaustiva quello che si auspica è l'effettiva tutela della nostra privacy, l'unico baluardo che ancora ci rimane in un mondo basato solo su tecnologia e informatica. E se perdessimo la privacy, verrebbe meno l'unica difesa su cui possiamo far fede.
Fattura elettronica: l'obbligo della e-fattura per le partite IVA
Fin dal 2008 la fattura elettronica è entrata a far parte della quotidianità di molte imprese che hanno avuto (ed hanno tutt'ora) a che fare con la Pubblica Amministrazione. Diventata obbligatoria nel 2014, la fattura elettronica non è altro che un sistema telematico di produzione e trasmissione di quella che è la tradizionale fattura in formato cartaceo.
La creazione di una ricevuta in formato XML garantirebbe non solo la conservazione prolungata dei dati, ma assicurerebbe con un elevato grado di efficienza l'autenticità dei dati ivi riportati. Ad avallare l'autenticità è il sistema di trasmissione, chiamato Sistema Di Interscambio (SDI) all'interno del quale convogliano tutte le fatture elettroniche inviate alle Pubbliche Amministrazioni. Ad esso si aggiunge l'obbligo di vidimare la fattura con la propria firma digitale.
A partire da gennaio 2019 la fatturazione elettronica diventa obbligatoria per tutti coloro che sonotitolari di una partita IVA ed esercitano in maniera abituale e continuativa una qualsiasi attività economica. Ad essere coinvolti sono i soggetti privati che, nello svolgimento di un'attività (professionale, commerciale, imprenditoriale) si ritrovano ad emettere fattura.
Questa viene emessa in formato elettronico ogni qualvolta avviene uno scambio commerciale fra imprenditori e professionisti: se un'impresa vende dei semilavorati ad un'industria di produzione, la prima è costretta ad emettere una fattura elettronica.
Esclusi dall'obbligo di fatturazione elettronica sono i contribuenti che optano per il regime contabile forfetario, con un fatturato annuo non superiore ad una certa soglia. L'esonero è riferito all'emissione della fattura, non alla ricezione di documenti provenienti, ad esempio, dai fornitori.
In tal caso le imprese in questione, pur non emettendo e-fatture dovranno adoperare software specifici per la ricezione delle stesse ogni qualvolta avverrà uno scambio commerciale con altri professionisti.
La fatturazione elettronica è un obbligo di legge, oltre ad essere una modalità semplice con cui inviare i dati della propria attività all'Agenzia delle Entrate. Se da un lato la procedura riduce l'evasione fiscale, garantisce l'autenticità dei documenti e permette una conservazione decennale senza alcun problema, dall'altro sorgono dubbi in merito al trattamento dei dati personali. In particolare dei dati che non riguardano in alcun modo il Fisco.
Perché l'emissione di fattura elettronica non riguarda solo gli scambi che avvengono fra imprenditori e professionisti, ma si estende alle fatture emesse nei confronti dei consumatori finali. Nel momento in cui un'impresa redige una fattura per un cliente, ne realizza una copia in formato telematico che invia automaticamente all'Agenzia delle Entrate.
Questa fattura sarà archiviata dal sistema SDI, in un'area riservata del sito, e sarà disponibile al cliente accedendo alla propria area personale. La fattura elettronica non è un'alternativa alla fattura cartacea, nel senso che il cliente o l'impresa non possono optare per l'una o per l'altra. Qualora il consumatore fosse sprovvisto di PEC, potrà avere copia cartacea della documentazione oltre ad avere negli archivi dell'Agenzia delle Entrate la relativa e-fattura.
LEGGI ANCHE: Calcolo interessi legali
Fatturazione elettronica: quali sono i dati a rischio?
Fatte le dovute premesse, la fatturazione elettronica coinvolge quello che è il mondo telematico, con tutti i vantaggi e gli svantaggi ad esso connessi. La possibilità di archiviare e gestire numerosi dati, riservata all'Agenzia delle Entrate, cozza non poco con quelle che sono le regole in tema di privacy.
A maggior ragione all'indomani del regolamento europeo che prevede norme stringenti a tutela dei soggetti interessati. Ci si chiede allora: la fattura elettronica è conforme alla normativa GDPR? Cosa succede se non si rispettano i principi dettati dal regolamento UE?
Innanzitutto partiamo dalla fattura emessa nei confronti del consumatore finale, quindi le ricevute che riguardano il commercio B2C (Business to Consumer). I dati, sensibili e non, che emergono da una qualsiasi fattura sono:
- il nome ed il cognome del cliente.
- il tipo di bene acquistato o di servizio prestato.
- il costo sostenuto.
- i singoli costi previsti per diverse tipologie di bene (pensiamo alla ricevuta di un ristorante, all'interno del quale è indicato il prezzo dell'antipasto, del primo, del dolce e del vino).
- i dati relativi all'azienda o al professionista che emette la fattura (nome, cognome, ragione sociale, partita IVA, sede legale, ecc...).
- la data di emissione.
Se inseriti in una fattura cartacea, la tutela di questi dati è irrisoria: ricevo la fattura di un ristorante per la cena consumata, una volta tornato a casa sono libero di stracciarla. Se inseriti in una fattura elettronica gli stessi dati sono oggetto di tutela GDPR. Il fatto stesso che io, consumatore, so che esiste una fattura conservata in un archivio telematico, da cui si evince cosa ho mangiato e dove ho mangiato, diventa un problema serio per la mia privacy.
Perché non si tratta solo di ristorante: si pensi ad una consulenza giuridica (contatto un avvocato penalista per una questione di lavoro), ad una visita medica (mi reco da un dottore per vedere se ho un problema di salute), alle proprie abitudini (settimanalmente frequento un locale riservato ad una specifica categoria di persone), alle scelte quotidiane (ristrutturo casa affidandomi all'azienda Alfa anziché a Beta).
Ai fini fiscali dati come l'oggetto della consulenza richiesta o il tipo di visita medica a cui mi sono sottoposto sono irrilevanti: a rilevare sono i dati economici, ovverosia quanto è costato il servizio e quando è stato prestato. E un'impresa soggetta agli obblighi fiscali non comunica nello specifico l'oggetto del servizio prestato (un avvocato non dice all'Agenzia delle Entrate che Tizio ha richiesto una consulenza di mobbing nei confronti del proprio datore).
L'impresa in questione comunica i guadagni, gli incassi, l'IVA versata, le imposte pagate, i costi da compensare, gli elementi da dedurre e detrarre dalla dichiarazione, le informazioni in riferimento al regime contabile scelto (ordinario, semplificato, forfetario).
Per tale ragione il Garante della Privacy ha chiesto con urgenza un intervento dell'Agenzia delle Entrate in merito alla questione della fatturazione elettronica. Il problema che si pone è l'incompatibilità del sistema rispetto alla normativa GDPR, con particolare attenzione alla gestione dei dati personali ed all'archiviazione delle fatture telematiche.
Ulteriore questione si pone in riferimento all'accesso del consumatore nella propria area personale, ed alla possibile fallibilità dei sistemi di sicurezza adoperati.
