Fatturazione elettronica e privacy, l’esperta: “Ridurre i dati inseriti in fattura al minimo”
L'"Avvocato del web" Piera Di Stefano spiega le nuove norme e suggerisce: "In fattura solo i dati minimi necessari per il rispetto dell'inerenza fiscale"
Meno di un mese fa il Garante della Privacy lanciò l’allarme: dalle fatture elettroniche è possibile evincere dati sensibili che vanno dalla sessualità ai procedimenti legali con minori a carico. L’attenzione al tema della privacy nel mondo interconnesso è sentita e sempre più impellente, e le istituzioni non ne fanno eccezione. Sul tema dei rischi legati alla privacy col nuovo schema di memorizzazione delle fatture elettroniche, che ha visto contrapposti Garante della Privacy e Agenzia delle Entrate sulla possibilità di consultare tali dati, da chi e con quali rischi ne abbiamo parlato con l’Avvocato del Web Piera Di Stefano.
Cosa prevede il nuovo schema di memorizzazione delle fatture elettroniche a cui a breve dovranno adeguarsi anche i liberi professionisti in regime forfettario?
“L’attuale schema di memorizzazione delle fatture elettroniche sostituisce il provvedimento del Direttore delle Agenzie delle Entrate del 30 novembre 2018 e disciplina le modalità di memorizzazione e consultazione da parte del personale dell’Agenzia e della Guardia di Finanza dei file XML delle fatture elettroniche e delle informazioni in esse contenute per l’analisi ed il controllo del rischio fiscale.
In particolare: 1. introduce la memorizzazione nella banca dati dei cc.dd. “dati fattura integrati”, che includono, oltre ai cd. dati fattura, cioè quelli strettamente inerenti l’ambito fiscale, anche le informazioni relative a natura, qualità e quantità dei beni e servizi documentati e le modalità di pagamento, ad esclusione delle fatture emesse in favore di consumatori finali privati; 2. disciplina la consultazione e l’acquisizione dei file XML delle fatture elettroniche e delle note di variazione, da parte del personale autorizzato dell’Agenzia delle entrate, per effettuare rimborsi o controlli formali delle dichiarazioni, inclusi i modelli 730; 3. prevede l’accesso degli operatori economici ad un servizio di consultazione e acquisizione delle fatture elettroniche emesse e ricevute attraverso il SDI (Sistema di interscambio) all’interno di un’area riservata del sito web dell’Agenzia delle entrate, nella quali tali fatture restano disponibili sino al 31 dicembre del secondo anno successivo a quello di ricezione da parte del SDI e l’accesso dei consumatori finali ad un servizio di consultazione delle fatture elettroniche ricevute previa adesione da effettuarsi nell’area riservata del sito web dell’Agenzia delle entrate, area nella quale le fatture restano disponibili sino al 31 dicembre del secondo anno successivo a quello di ricezione da parte del citato SDI; 4. estende fino al 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento ovvero fino alla definizione di eventuali giudizi la memorizzazione integrale dei file XML di tutte le fatture elettroniche; 5. prevede la stipula di una convenzione con la Guardia di finanza per la messa a disposizione dei file XML delle fatture elettroniche e dei “dati fattura integrati” per le attività di polizia economica e finanziaria“.
Il Garante della Privacy, nel parere n. 454 del 22 dicembre 2021, solleva una serie di dubbi e perplessità sui dati che si possono evincere dalla consultazione delle fatture elettroniche, giacché sarebbe possibile risalire ad informazioni estremamente “intime”, ad es. con chi abbiamo trascorso la notte e dove oppure come viviamo la nostra sessualità. Quali sono le indicazioni del Garante per evitare una simile compressione della privacy dei cittadini?
“L’ Autorità ha ritenuto che la memorizzazione integrale delle fatture elettroniche, comportando, di fatto, la possibilità di tracciare un profilo dettagliato dei cittadini, determina un’ingerenza, sistematica e preventiva, nella sfera privata più intima delle persone fisiche, non proporzionata all’obiettivo di interesse pubblico, pur legittimo, perseguito dall’Agenzia e dalla Guardia di finanza, che è il contrasto all’evasione fiscale. Le fatture elettroniche contengono, invero, dati anche appartenenti a categorie particolari (salute, orientamento sessuale, opinioni politiche, religiose, appartenenza a sindacati) o relativi a condanne penali e reati (si pensi alle fatture emesse nel settore legale, da cui si evincono anche i nominativi dei minori laddove interessati alla prestazione), riferiti ad ogni aspetto della vita quotidiana, abitudini e scelte di consumo delle persone fisiche.
Il trattamento di tali dati presenta un rischio elevato per i diritti e la libertà dei cittadini, che non deriva soltanto dall’assenza di misure di sicurezza adeguate. Il Garante ha, pertanto, prescritto che l’Agenzia delle Entrate individui misure di garanzie che attuino efficacemente i principi di minimizzazione, limitazione della conservazione, proporzionalità del trattamento dei dati personali fissati dal Regolamento europeo n. 679/16 (cd. GDPR), limitando il trattamento alle sole informazioni necessarie ai fini della lotta all’evasione dell’IVA, cui l’istituto della fatturazione elettronica è preordinato”.
Chi può accedere a questi dati e perché?
“Ai file XML delle fatture elettroniche e ai “dati fattura integrati” possono accedere sia il personale autorizzato dell’Agenzia delle Entrate che la Guardia di Finanza, per le attività di analisi del rischio e di controllo a fini fiscali, oltre per le attività di polizia economica e finanziaria, come specificato dall’art. 14 del Decreto Fiscale (D.L. n. 124/2019).
Allo stato, però, in virtù del diritto di accesso previsto dalla legge 241 del 1990, (“Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi“), possono accedere alle informazioni contenute nei citati file XML anche soggetti diversi dal cedente/prestatore o dal cessionario/committente, più precisamente chiunque ne abbia interesse, e ciò, rileva il Garante, violerebbe i principi di proporzionalità, liceità, correttezza, di limitazione della finalità e di minimizzazione del GDPR (art. 5, par. 1, lett. a), b), c)). L’ Autorità propone, allora, di introdurre una disposizione legislativa volta a limitare l’utilizzo di tali informazioni alle sole finalità specifiche individuate dal citato art. 14, tenuto conto anche della recente modifica al nostro Codice Privacy introdotta dal cd. Decreto Capienze (D.L. n. 139 del 2021), in base alla quale il trattamento dei dati personali (ivi compresa la comunicazione e la diffusione) effettuato per compiti di interesse pubblico, anche in ambito di polizia, non è più vincolato all’esistenza di una specifica base giuridica in fonti di rango legislativo o, nei casi ivi previsti, regolamentare.
Alle fatture elettroniche e ai loro duplicati possono, infine, accedere gli operatori economici e gli stessi consumatori finali tramite il servizio di consultazione e acquisizione. Non è ancora chiaro, tuttavia, quale sia il ruolo assunto dall’Agenzia in merito a tali a tali attività di trattamento, benché il Garante abbia dato indicazioni sul punto già in sede di parere sul provvedimento del 30 aprile 2018. L’ Autorità ha quindi chiesto un’integrazione sul punto da parte dell’A.d.e.”
Quali sono le ulteriori misure che l’Agenzia delle Entrate, in base al parere del Garante, deve adottare per rendere conformi alla normativa vigente in materia di protezione dei dati personali i trattamenti previsti dallo schema di provvedimento in questione?
“Partendo dal settore legale, l’Autorità ha stabilito che la descrizione dei beni ceduti e dei servizi prestati, e gli eventuali allegati, dei file XML delle fatture elettroniche deve essere resa inintellegibile ed esclusa dalla memorizzazione del database dei “dati fattura integrati”. In linea generale, ha ribadito in più passaggi del parere, che l’uso delle informazioni presenti nei file XML delle fatture elettroniche nei confronti dei consumatori finali deve essere limitato a controlli fiscali avviati all’esito di puntuali verifiche, sempre che tali informazioni abbiano fatto emergere un rischio di evasione e fatte salve, in ogni caso, le attività di controllo svolte a valle di richieste di detrazione/deduzione delle spese sostenute. L’Autorità, infine, è in contatto con le associazioni di categoria degli operatori economici per rendere effettivo il divieto di emettere fatture elettroniche al posto di altri documenti, quali lo scontrino fiscale, al di fuori dei casi previsti o se non richiesto espressamente dal consumatore”.
Quali sono le accortezze che invece chi emette fattura deve avere?
“In linea generale, nel rispetto dei principi di d’integrità, minimizzazione e riservatezza fissati dal GDPR, occorre evitare di inserire nella fattura dati ulteriori, rispetto a quelli minimi necessari e sufficienti per il rispetto della cd. inerenza fiscale. Ciò riguarda soprattutto i dati cd. “particolari” o quelli relativi a condanne o reati. In proposito, si ricordi il provvedimento del 20 dicembre 2018 con il quale il Garante della Privacy ha suggerito agli avvocati penalisti di adottare misure per anonimizzare o crittografare i dati dei clienti inseriti nella descrizione della prestazione. La soluzione offerta dal Consiglio Nazionale Forense è quella di “dettagliare” la prestazione effettuata nella nota – pro forma e successivamente richiamare nella fattura elettronica soltanto la nota inviata in data “x”. Per le medesime ragioni, è stato introdotto, per gli operatori sanitari, il divieto di emissione di fatture elettroniche per il periodo di imposta 2019, 2020, prorogato, per l’anno 2021, dalla legge di Bilancio del 2020 e per il 2022 dal Decreto Fisco – Lavoro (D.L. n. 146 del 2021)”.