Garante Privacy. Fattura elettronica, dati eccessivi

---

Condividi l'articolo:

---

Il Garante della Privacy è categorico sullo schema di provvedimento dell’Agenzia delle entrate che detta le regole tecniche per l’emissione e la ricezione delle fatture elettroniche per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti e stabiliti nel territorio dello Stato e per le relative variazioni.

Si tratta della disciplina ex art. 14 del decreto legge n. 124 del 2019, già oggetto di rilievi critici del Garante, che devono intendersi richiamati, ritenendo sproporzionata la memorizzazione di dati non fiscalmente rilevanti e inerenti la descrizione delle prestazioni fornite.

Si ricorda che l’articolo in commento consente di memorizzare i file delle fatture elettroniche fino al 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento o fino alla definizione di eventuali giudizi, per l’utilizzo da parte della GdF e dell’Agenzia anche per le attività di analisi del rischio e di controllo fiscale.

Dunque ancora una volta, con il parere n. 133 del 9 luglio 2020, l’Authority boccia la protezione dei dati dell’e-fattura:

“… si ritiene pertanto che lo schema di provvedimento in esame disciplini un trattamento di dati in violazione degli artt. 5, par. 1., lett. a), 6, par. 3, 9, 10, 24 e 25 del Regolamento (2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 - n.d.r.), riguardante, peraltro senza distinzione alcuna tra tipologie di informazioni o categorie di interessati e dati personali di dettaglio, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi alla totalità della popolazione, non proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito, non individuando, in ossequio ai principi di privacy by design e by default, misure di garanzia adeguate per assicurare la protezione dei dati, anche in relazione a quelli di cui agli artt. 9 e 10 del Regolamento.”.

Sotto osservazione il Garante mette i dati delle fatture, anche molto di dettaglio, volti ad individuare - spesso a soli fini di garanzia, assicurativi o per prassi commerciali - i beni e i servizi ceduti, con la descrizione delle prestazioni, i rapporti fra cedente e cessionario e altri soggetti, riferiti anche a sconti applicati, fidelizzazioni, abitudini di consumo, oltre a dati obbligatori imposti da specifiche normative di settore, con particolare riguardo ai trasporti, alle forniture di servizi energetici o di telecomunicazioni (tipologie dei consumi, fatturazione dettagliata, regolarità dei pagamenti, appartenenza a particolari categorie di utenti).

Attenzione è posta per la presenza, all’interno dei file delle fatture elettroniche, di ulteriori dati, utili alla gestione del ciclo attivo e passivo degli operatori, ma non rilevanti a fini fiscali.

Ebbene, lo schema in esame prevede, senza effettuare alcuna distinzione tra tipologie di dati o categorie di interessati, la memorizzazione e l’utilizzo dei file delle fatture elettroniche che contengono i dati inerenti la natura, qualità e quantità dei beni e servizi oggetto dell’operazione di cui all’art. 21, comma 2, lett. g), del d.P.R. 26 ottobre 1972, n. 633, estendendo così tanto l’oggetto della memorizzazione, quanto l’ambito di utilizzazione dei dati presenti nella fattura elettronica. Non vengono escluse neppure alcune tipologie di dati (quali quelli non rilevanti a fini fiscali o quelli inerenti la descrizione delle prestazioni fornite, suscettibili di comprendere anche dati appartenenti a categorie particolari o l’eventuale sottoposizione dell’interessato a procedimenti penali, come per le fatture relative a prestazioni in ambito forense (cfr. artt. 9 e 10 del Regolamento), né i codici fiscali dei consumatori (quantomeno per fatture relative a spese non detraibili).

Il Garante per la protezione dei dati personali si riserva di intervenire, con successivo parere, sui prospettati trattamenti effettuati a fini di analisi del rischio attraverso interconnessioni con le numerose banche dati a disposizione dell’Agenzia delle entrate, effettuabili anche sulla base dei c.d. dati fattura, senza informazioni sulla descrizione dei beni e servizi oggetto della fattura, che prevedono la profilazione di tutti i contribuenti, anche minori d’età, e il trattamento di dati di cui agli artt. 9 e 10 del Regolamento. Sulla modalità di trattamento ci potrebbero essere rischi elevati per i diritti e le libertà degli interessati.