Provvedimento in tema di fatturazione elettronica del Garante per la protezione dei dati personali

254

Provvedimento in tema di fatturazione elettronica – 20 dicembre 2018

Registro dei provvedimenti

n. 511 del 20 dicembre 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito Regolamento;

Visto il d.lgs. 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

Visti il Codice in materia di protezione dei dati personali, d.lgs. 30 giugno 2003, n. 196 (di seguito Codice), così come modificato dal predetto d.lgs. n. 101 del 2018;

Vista la documentazione in atti;

Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Con il provvedimento del 15 novembre u.s., doc. web n. 9059949 (in www.gpdp.it), il Garante ha avvertito l’Agenzia delle entrate del fatto che i trattamenti di dati personali effettuati nell’ambito della fatturazione elettronica ai sensi dell’art. 1 del decreto legislativo 5 agosto 2015, n. 127 e dei provvedimenti n. 89757 del 30 aprile 2018 e n. 291241 del 5 novembre 2018 del Direttore dell’Agenzia, possono violare gli artt. 5, 6, § 3, lett. b), 9, § 2, lett. g), 13, 14, 25 e 32 del Regolamento, applicabile dal 25 maggio 2018.

Contestualmente, l’Autorità ha ingiunto all’Agenzia di far conoscere  le iniziative assunte per rendere conformi al Regolamento i predetti trattamenti al momento dell’entrata in vigore, a partire dal 1° gennaio 2019, dell’obbligo di fatturazione elettronica per tutte le cessioni di beni e prestazioni di servizi comunque effettuate tra soggetti residenti o stabiliti in Italia (art. 1, comma 916, della legge 27 dicembre 2017, n. 205, legge di bilancio 2018), con l’eccezione degli operatori che rientrano nei c.d. regimi di vantaggio e forfettario, per i quali è, comunque, facoltativa, nonché dei piccoli produttori agricoli, già esonerati dall’emissione di fattura.

Su richiesta dell’Agenzia delle entrate, è stato costituito un tavolo di lavoro tecnico per esaminare congiuntamente le criticità rilevate con il predetto provvedimento, nell’ambito del quale sono stati altresì coinvolti, per gli aspetti di competenza, il Ministero dell’economia e delle finanze e l’Agenzia per l’Italia digitale, nonché il Consiglio nazionale dei dottori commercialisti e degli esperti contabili (CNDCEC), il Consiglio nazionale dell’ordine dei consulenti del lavoro (CNOCL) e, in rappresentanza dei produttori di software gestionale e fiscale,  l’associazione di categoria AssoSoftware.

Il tavolo di lavoro ha proceduto all’esame delle criticità e all’individuazione delle possibili misure nei tempi assai ristretti necessari a consentire all’Autorità di esprimersi prima dell’entrata in vigore dell’obbligo di fatturazione elettronica.

Con la nota del 17 dicembre u.s., e l’ulteriore documentazione pervenuta il 17 e il 18 dicembre u.s., nel sottolineare l’importanza strategica della fatturazione elettronica per la riduzione del tax gap IVA in Italia, l’Agenzia, ha illustrato le iniziative che, sulla base degli approfondimenti effettuati nell’ambito del tavolo tecnico, intende adottare in relazione alle criticità evidenziate dal Garante, relative, in particolare, alla:

– sproporzione della memorizzazione di tutti i dati contenuti all’interno del file XML delle fatture elettroniche, emesse e ricevute nell’ambito dello Sistema di Interscambio (SDI), e del conseguente utilizzo di tali dati anche per finalità di controllo da parte dell’Agenzia;

– specificazione del ruolo assunto dall’Agenzia in relazione al trattamento dei dati personali effettuato nell’ambito del servizio di conservazione, e chiarimenti in ordine all’esonero di responsabilità per l’Agenzia;

– utilizzo del canale non sicuro (FTP) per la trasmissione delle fatture, mancata cifratura dei file e uso della PEC nell’ambito dello SDI;

– informativa sul trattamento dei dati personali resa in relazione all’App FatturAE;

– rischi connessi al trattamento dei dati da parte degli intermediari, con particolare riguardo alla gestione dei dati delle fatture a cura dei fornitori di servizi tecnologici che possono intervenire nel processo.

Con la medesima nota, oltre a inviare la valutazione di impatto sulla protezione dei dati effettuata, l’Agenzia ha, altresì, trasmesso, lo schema di provvedimento del Direttore che recepisce le iniziative prospettate, modificando i provvedimenti del 30 aprile 2018 e del 5 novembre 2018. Ciò, anche ai fini di quanto previsto dall’art. 2-quinquiesdecies del Codice che, in attuazione dell’art. 36, § 5, del Regolamento, prevede che, con riguardo ai trattamenti, effettuati per l’esecuzione di un compito di interesse pubblico che possono presentare un rischio elevato, il titolare deve ottenere l’autorizzazione preliminare del Garante il quale, anche con provvedimenti generali adottati d’ufficio, può prescrivere misure e accorgimenti a garanzia dell’interessato che il titolare è tenuto ad adottare.

OSSERVA

Come evidenziato nel provvedimento del 15 novembre u.s., la disciplina attuativa dell’obbligo di fatturazione elettronica, così come delineata, in particolare, nei provvedimenti del Direttore dell’Agenzia delle entrate prevede, allo stato, un trattamento obbligatorio, generalizzato e di dettaglio di dati personali, relativi alla totalità della popolazione, anche ulteriori rispetto a quelli necessari a fini fiscali, non proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito.

L’attuazione di tale obbligo è avvenuta, inoltre, senza individuare, in ossequio ai nuovi principi di privacy by design e by default ora imposti dal Regolamento, misure adeguate, anche di carattere organizzativo, per garantire la protezione dei dati in ogni fase del trattamento, ivi comprese quelle appropriate per assicurare un trattamento corretto e trasparente nei confronti degli interessati, coinvolti anche in qualità di operatori economici (artt. 5, 6, § 3, lett. b), 9, § 2, lett. g), 13, 14 e 25 del Regolamento).

Il nuovo obbligo di fatturazione elettronica comporta, infatti, un trattamento sistematico di dati personali su larga scala, relativo anche a dati che rientrano nelle categorie particolari e a dati relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento, potenzialmente riferibili ad ogni aspetto della vita quotidiana, che, presentando un rischio elevato per i diritti e le libertà degli interessati, richiede un’adeguata valutazione di impatto, ai sensi dell’art. 35 del Regolamento, da ultimo trasmessa dall’Agenzia.

Tale trattamento a rischio elevato, essendo effettuato per l’esecuzione di un compito di interesse pubblico, è esaminato, quindi, anche ai sensi dell’art. 36, § 5, del Regolamento e dell’art. 2-quinquesdecies del Codice.

Nell’ambito del tavolo di lavoro, sono state approfondite le principali caratteristiche dell’impianto originario del trattamento prefigurato dall’Agenzia e dei trattamenti effettuati in concreto da parte dei soggetti coinvolti, e i relativi profili critici; in esito a tale attività l’Agenzia, con la predetta nota del 17 dicembre u.s. e le successive integrazioni, ha prospettato l’adozione di misure utili a conformare al Regolamento i trattamenti prima dell’entrata in vigore dell’obbligo di fatturazione elettronica, di seguito specificate.

1. Proporzionalità della memorizzazione dei dati personali presenti nelle fatture elettroniche

1.1. Criticità della memorizzazione integrale delle fatture in formato XML

Al fine di valutare l’impatto del nuovo trattamento di dati derivante dall’obbligo di fatturazione elettronica, dalla documentazione acquisita agli atti nel corso del tavolo di lavoro, si è potuto rilevare che, nel solo anno 2017, risultano essere state emesse complessivamente circa 2,1 miliardi di fatture.

Secondo quanto previsto nell’impianto originario, l’Agenzia aveva ritenuto di procedere alla memorizzazione integrale – in formato XML – di tutte le fatture elettroniche, emesse e ricevute, a seguito di cessioni di beni e prestazioni di servizi, comprensive dei relativi allegati, contenenti anche dati personali ulteriori rispetto a quelli obbligatori a fini fiscali.

Tale memorizzazione era stata ritenuta funzionale a perseguire, in particolare, le seguenti finalità:

a) recapito delle fatture attraverso lo SDI a operatori economici e consumatori;

b) messa a disposizione dei file XML delle fatture emesse e ricevute, sul portale dell’Agenzia, in consultazione e download per gli operatori economici , e, per i consumatori, di quelle ricevute;

c) estrazione, dalle fatture elettroniche, dei “dati fiscalmente rilevanti” ai sensi dell’art. 1, comma 2, del d.lgs. 127 del 2015 (i c.d. dati fattura), necessari per l’esecuzione di controlli automatizzati nei confronti dei contribuenti, nonché per finalità di assistenza, controllo finalizzato all’erogazione dei rimborsi IVA e predisposizione della dichiarazione dei redditi e dell’IVA. I predetti dati fattura così estratti verrebbero anche messi a disposizione del contribuente, mediante l’utilizzo di reti telematiche e anche in formato strutturato, consentendo di rilevare le incongruenze tra dati presenti nelle fatture e i versamenti IVA;

d) archiviazione delle fatture per controlli puntuali nell’ambito di accertamenti fiscali e verifiche, anche da parte della Guardia di finanza.

Accanto a tali finalità proprie, l’Agenzia, come previsto dalla legge, mette già a disposizione, inoltre, a richiesta dei contribuenti, in qualità di responsabile del trattamento dei dati, un servizio di conservazione delle fatture, ai sensi, in particolare, del Codice dell’amministrazione digitale (d.lgs. 7 marzo 2005, n. 82), del d.P.C.M. 3 dicembre 2013 e del d.m. 17 giugno 2014.

Come già evidenziato nel provvedimento del 15 novembre u.s., le fatture, di regola, contengono dati assai dettagliati, volti ad individuare – spesso a fini di garanzia, assicurativi o per prassi commerciali – i beni e i servizi ceduti, con la descrizione delle prestazioni, i rapporti fra cedente e cessionario e altri soggetti, riferiti anche a sconti applicati, fidelizzazioni, abitudini di consumo, oltre a dati obbligatori imposti da specifiche normative di settore, con particolare riguardo ai trasporti, alle forniture di servizi energetici o di telecomunicazioni.

A volte, le fatture, anche se emesse nei confronti di una persona giuridica (B2B), contengono dati riferiti a persone fisiche, come, ad esempio, in caso di utenze telefoniche, biglietti ferroviari o aerei, pedaggi autostradali, pernottamenti.

Tali considerazioni non valgono solo per i dati non rilevanti a fini fiscali, riportati dagli operatori economici nelle fatture e negli allegati (regolarità dei pagamenti, fatturazione dettagliata dei servizi e dei consumi, appartenenza a particolari categorie di utenti), ma anche per le informazioni obbligatorie ai sensi dell’art. 21 del d.P.R. 29 settembre 1973, n. 600, quali quelle relative alla descrizione del bene o del servizio oggetto di fatturazione (natura, qualità e quantità del bene ceduto o del servizio reso).

In particolare, le fatture emesse da operatori attivi in ambito sanitario e dagli avvocati riportano, nella descrizione, informazioni specifiche sulle prestazioni eseguite riferibili anche a patologie o a puntuali vicende giudiziarie, comportando quindi anche il trattamento di particolari categorie di dati e di dati relativi a condanne penali e reati (artt. 9 e 10 del Regolamento). Ad esempio, in alcuni dei casi, portati all’attenzione dell’Autorità dal CNDCEC, si rinvengono le seguenti descrizioni delle prestazioni oggetto della fattura: “percorso diagnostico neuropsichiatrico infantile per disturbo specifico dell’apprendimento”, puntuale indicazione dei servizi prestati nell’ambito di un intervento chirurgico di asportazione di un organo, con l’indicazione della durata del ricovero, dell’organo asportato e degli esami istologici effettuati, oppure compensi ed esposti fatturati ad una società per un “procedimento penale R.G.N.R. n. XXX, Procura della Repubblica, Ufficio Gip, presso Tribunale XXX, a carico di XXX, rappresentante legale”.

Sulla base di tali considerazioni, pur rilevando che l’integrale memorizzazione delle fatture prevista dall’impianto originario dell’Agenzia potrebbe apparire prima facie la soluzione più efficiente e rapida per dare attuazione al nuovo obbligo previsto dal legislatore, nel corso del tavolo di lavoro, ha trovato conferma quanto già rilevato nel provvedimento del 15 novembre u.s., in ordine alla manifesta sproporzione di un siffatto trattamento, sistematico e generalizzato, relativo a miliardi di fatture emesse e ricevute, e dei relativi allegati, rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito, in relazione alle specifiche finalità sopra individuate; ciò, avuto riguardo anche ai rischi elevati per i diritti e le libertà degli interessati che un simile trattamento inevitabilmente determina.

1.2. Le singole finalità perseguite

1.2.1. Recapito delle fatture attraverso lo SDI (par. 1.1, lett. a))

L’integrale memorizzazione del file XML, e dei relativi allegati, risulta necessaria al fine di recapitare la fattura elettronica attraverso lo SDI, mediante il canale (c.d. indirizzo telematico) prescelto dai contribuenti.

Tale trattamento deve avvenire nel più rigoroso rispetto dei principi di minimizzazione, integrità e riservatezza, con l’adozione di adeguate misure tecniche e organizzative a cura di tutti i soggetti coinvolti nella filiera della fatturazione elettronica (operatori economici, intermediari, altri soggetti delegati e Agenzia delle entrate).

Una puntuale disamina delle criticità relative a tali aspetti è di seguito illustrata al punto 3, relativo alla sicurezza del trattamento.

1.2.2. Messa a disposizione delle fatture elettroniche sul portale dell’Agenzia (par. 1.1, lett. b))

La memorizzazione integrale dei file XML delle fatture elettroniche, eseguita dall’Agenzia per offrire al contribuente un servizio di consultazione e download delle fatture emesse e ricevute, risulta, invece, proporzionata e necessaria solo se tale servizio viene espressamente richiesto ed effettuato in nome e per conto dello stesso.

La finalità perseguita attraverso una generalizzata messa a disposizione di tutti i contribuenti di tale servizio, anche in assenza di una loro specifica richiesta, non può giustificare, per impostazione predefinita, una complessiva e integrale archiviazione da parte dell’Agenzia delle entrate di miliardi di fatture che comporta il trattamento sistematico, e su larga scala, dei dati personali sopra descritti relativi alla totalità della popolazione, concernenti anche lo stato di salute, le condanne penali e i reati, con elevato e ingiustificato rischio per i diritti e le libertà degli interessati.

Come già evidenziato nel provvedimento del 15 novembre u.s., tale impostazione risulterebbe, oltre che sproporzionata, anche in manifesto contrasto con il principio di privacy by default, oltreché di minimizzazione e di privacy by design (artt. 5, comma 1, lett. c) e 25 del Regolamento).

Con specifico riferimento alle fatture emesse nei confronti dei consumatori, occorre, inoltre, considerare il diritto, ad essi garantito dal legislatore, di ottenere sempre una copia della fattura, digitale o analogica, direttamente dall’operatore (1).

Il servizio di consultazione dovrebbe, pertanto, essere messo a disposizione degli operatori economici sulla base di uno specifico accordo, offerto a coloro che, nell’ambito delle proprie scelte organizzative, volessero avvalersi a tal fine dell’Agenzia delle entrate, ai sensi dell’art. 28 del Regolamento, in qualità di responsabile del trattamento dei dati personali relativi ai soggetti terzi contenuti nelle fatture.

Analogamente, anche i consumatori che volessero utilizzare tale servizio dovrebbero stipulare un apposito accordo, che costituirebbe la base giuridica per il trattamento da parte dell’Agenzia ai sensi dell’art. 6, § 1, lett. b), del Regolamento.

1.2.3. Utilizzo delle fatture elettroniche a fini di controllo da parte dell’Agenzia delle entrate e della Guardia di finanza (par.1.1, lett. c) e d))

Nel corso del tavolo di lavoro sono stati affrontati, pur nel ristretto tempo a disposizione, alcuni aspetti relativi alle diverse tipologie di trattamento che l’Agenzia delle entrate intenderebbe effettuare attraverso l’acquisizione delle fatture elettroniche, già oggetto del provvedimento del Direttore del 30 aprile 2017.

Nell’ottica della protezione dei dati personali, in sintesi, le attività di controllo fiscale effettuate dall’Agenzia possono essere ricondotte a due tipologie: la prima basata su trattamenti automatizzati (ad esempio, quelli volti a rilevare le incongruenze tra i dati dichiarati e quelli a disposizione dell’Agenzia nonché quelli relativi all’analisi del rischio evasione) e l’altra, più analitica, fondata sull’esame puntuale della posizione fiscale del contribuente e della documentazione fiscale.

I controlli automatizzati richiedono, per loro natura, la memorizzazione e l’elaborazione massiva dei dati estratti dai file XML delle fatture (c.d. dati fattura), i quali, fino all’entrata in vigore dell’obbligo di fatturazione elettronica, sono già comunicati periodicamente dai contribuenti all’Agenzia.

Nel rispetto del principio di minimizzazione, tra i dati utilizzabili per i controlli automatizzati non può rientrare, il campo del file XML contenente la descrizione dell’operazione oggetto di fattura che, oltre a poter contenere i dati personali di dettaglio, sopra esemplificati, relativi alla natura, qualità e quantità dei beni e dei servizi fatturati, e presentare, quindi, rischi elevati per gli interessati, non si presta ad elaborazioni massive, richiedendo, invece, un esame puntuale, caso per caso, del contenuto.

I dati fattura potranno essere in seguito utilizzati dall’Agenzia anche per le altre finalità di assistenza, controllo finalizzato all’erogazione dei rimborsi IVA e predisposizione della dichiarazione dei redditi e dell’IVA, oltre ad essere messi a disposizione del contribuente, mediante l’utilizzo di reti telematiche e anche in formato strutturato, con meccanismi di ausilio all’adempimento spontaneo da parte degli operatori economici, consentendo di rilevare le incongruenze tra i dati presenti nelle fatture e i versamenti IVA.

Con riferimento, invece, ai controlli puntuali che possono richiedere l’esame analitico delle fatture, dalla documentazione fornita dall’Agenzia, risulta, in particolare, che, negli anni 2016 e 2017, sono stati effettuati, rispettivamente, 121.849 e 163.339 accertamenti nei confronti di contribuenti IVA, a fronte di circa 4,7 milioni soggetti che hanno presentato la dichiarazione IVA. Le specifiche caratteristiche di tali attività richiedono, infatti, un analitico esame documentale e possono, quindi, avvenire esclusivamente nei confronti di un numero di contribuenti limitato, rispetto alla platea generale di contribuenti coinvolti nella fatturazione elettronica.

Anche alla luce di tali dati, un’archiviazione integrale di tutte le fatture emesse e ricevute per l’esecuzione di controlli puntuali nell’ambito di accertamenti fiscali e verifiche, anche da parte della Guardia di finanza, nel rispetto dei poteri di cui agli artt. 51 del d.P.R. 26 ottobre 1972, n. 633 e 32 del d.P.R. n. 600 del 1973, risulta, quindi, sproporzionata.

Potranno invece essere agevolati i controlli a distanza da parte dell’Agenzia e della Guardia di finanza, con nuove modalità di acquisizione delle fatture che dovranno essere individuate con il decreto ministeriale da emanarsi ai sensi dell’art. 1, comma 5, del d.lgs. 127 del 2015, anche in relazione alle fatture per le quali il contribuente ha aderito al servizio di consultazione e download delle fatture.

1.3. La soluzione proposta dall’Agenzia

1.3.1. Servizio di consultazione e download delle fatture elettroniche

A seguito degli approfondimenti effettuati nell’ambito del tavolo di lavoro, con la nota del 17 dicembre u.s., l’Agenzia ha prospettato al Garante una soluzione volta a superare le criticità rilevate, proponendo di memorizzare l’intero file XML e di renderlo disponibile ai fini della consultazione e download solo nel caso in cui l’operatore economico – o un suo delegato – ovvero il consumatore finale aderisca espressamente al servizio di consultazione.

In assenza dell’adesione al servizio, l’Agenzia memorizzerà il file XML della fattura nei soli casi residuali in cui la messa a disposizione della fattura nell’area riservata del portale dell’Agenzia sia una delle modalità previste per la consegna della stessa al destinatario, ovvero quando, per cause tecniche, non imputabili allo SDI, il recapito non fosse possibile (ad esempio, casella PEC piena o non attiva ovvero canale telematico non attivo).

Una volta consegnata la fattura, resteranno memorizzati unicamente i dati fattura, mentre i dati “non fiscali”, contenuti nel file XML, unitamente al dato fiscale relativo alla descrizione dell’operazione, saranno cancellati.

Nell’ambito del predetto servizio di consultazione e download delle fatture, l’Agenzia opererebbe in qualità di responsabile del trattamento dei dati personali.

Nella nota l’Agenzia ha precisato che, poiché il processo di fatturazione è simmetrico, ai fini della memorizzazione sarà sufficiente che l’adesione provenga da una delle due parti del rapporto economico (fornitore o cliente), fermo restando che le fatture saranno rese disponibili in consultazione esclusivamente a chi abbia manifestato la propria volontà in tal senso.

La consultazione dei file XML delle fatture elettroniche, nell’ambito del predetto servizio, sarà resa disponibile fino al 31 dicembre del secondo anno successivo a quello di ricezione della fattura da parte dello SDI.

Più nel dettaglio, si prevede che, a regime, si procederà alla cancellazione dei file XML delle fatture che risultino correttamente consegnate all’indirizzo telematico del cessionario (codice SDI o PEC)  – o per le quali risulti effettuata la presa visione dal portale Fatture e Corrispettivi – e per le quali non vi siano adesioni al servizio di consultazione da parte del cedente o del cessionario.

Con riguardo alle fatture emesse nei confronti dei consumatori, l’Agenzia ha rappresentato che, in mancanza di adesione al servizio di consultazione, le fatture e i dati fattura non saranno resi disponibili nell’area riservata del contribuente.

1.3.2. Memorizzazione dei dati fattura

Come concordato nel tavolo di lavoro, l’elenco dei dati fattura, oggetto di memorizzazione da parte dell’Agenzia, viene allegato al provvedimento del Direttore del 30 aprile 2018. Ai sensi del punto 1.2. di tale provvedimento – così come modificato dallo schema di provvedimento ora sottoposto all’esame del Garante – i dati fattura sono “i dati fiscalmente rilevanti di cui all’articolo 21 del d.P.R. 633 del 1972, ad esclusione dei dati di cui al comma 2, lettera g), e alle altre disposizioni tributarie, nonché i dati necessari a garantire il processo di fatturazione elettronica attraverso il SdI, riportati in allegato, compreso il codice hash del file XML”.

Tale codice, descritto nel punto 4.8. del predetto schema, è un codice alfanumerico, riportato all’interno delle ricevute, che caratterizza univocamente il file XML trasmesso, calcolato dallo SDI per ogni file elaborato, e inserito tra i dati fattura al fine di consentire all’Agenzia di verificare l’autenticità e l’integrità del documento esibito in sede di controllo.

In relazione all’individuazione dei dati fattura, nella nota del 17 dicembre u.s., l’Agenzia ha precisato che non saranno memorizzati i dati contenuti nei campi relativi alle “descrizioni” (compresi quelli contenenti codici “parlanti”) e saranno memorizzati – solo se valorizzati – i dati riferiti ad appalti pubblici ovvero a codifiche stabilite esclusivamente per rispettare norme tributarie (ad esempio, codici che identificano le tipologie di carburante nel caso di cessioni di tale prodotto, come previsto dalla legge n. 205/2017, codici che identificano lo scontrino/ricevuta fiscale emesso prima della fattura e collegato a quest’ultima, la targa dell’autoveicolo prevista per consentire – solo al cliente IVA – di usufruire del credito d’imposta sulle accise ecc.).

I dati fattura individuati nell’allegato saranno mantenuti dall’Agenzia fino al 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento, ovvero fino alla definizione di eventuali giudizi sulla base di quanto disposto dagli artt. 57 del d.P.R. n. 633 del 1972 e 43 del d.P.R. n. 600 del 1973 nonché dall’articolo 27, comma 16, del d.l. n. 185 del 2008.

1.3.3. Periodo transitorio

Già nell’ambito del tavolo di lavoro, l’Agenzia ha rappresentato che la soluzione sopra illustrata necessita, tuttavia, di un periodo transitorio, che decorre dal 1° gennaio 2019 fino al 2 luglio 2019, per realizzare l’acquisizione dei dati fattura e il servizio di consultazione, che sarà reso disponibile dal 3 maggio 2019, consentendo agli operatori di aderire entro 60 giorni (secondo quanto previsto dall’articolo 3, comma 2, della legge 27 luglio 2000, n. 212 – Statuto del contribuente).

In tale periodo transitorio, l’Agenzia delle Entrate ha dichiarato che, per evitare disservizi, deve procedere alla temporanea memorizzazione di tutti dati contenuti nel file XML delle fatture elettroniche.

In caso di mancata adesione al servizio di consultazione e download di cui sopra, nei tempi previsti, l’Agenzia procederà alla cancellazione delle fatture elettroniche memorizzate durante il periodo transitorio entro il 2 luglio 2019 e i soli dati fattura verranno mantenuti per le previste attività istituzionali di assistenza e di controllo automatizzato, fino a che non saranno decorsi i termini per gli eventuali accertamenti – vale a dire entro il 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento – ovvero definiti gli eventuali giudizi.

Nelle more del completamento del processo di adesione, e quindi fino al 2 luglio 2019, l’Agenzia ha rappresentato di voler inserire, in fase di accesso al portale Fatture e Corrispettivi (per gli operatori IVA) o alla propria area riservata del sito web dell’Agenzia (per i consumatori finali), uno specifico avviso che informi l’utente sulla necessaria memorizzazione dei file XML delle fatture che lo interessano in qualità di cedente/prestatore o cessionario/committente per le finalità sopra descritte. L’avviso, con finalità esplicative e informative, farà anche riferimento al processo di adesione a regime, illustrandone le modalità e le conseguenze dell’eventuale mancata adesione.

Per quanto riguarda gli operatori economici che utilizzano i canali SDISFTP, SDICOOP e PEC, che possono interagire con il sistema di fatturazione elettronica senza necessariamente accedere al portale Fatture e Corrispettivi, e, più in generale, soggetti non titolari di partita IVA (tra cui i consumatori finali), l’Agenzia ha assicurato che provvederà a dare massima diffusione a tale informazione.

Sempre nella fase transitoria, il contribuente potrà, a richiesta, avvalersi di un “Servizio temporaneo di consultazione ed acquisizione delle fatture elettroniche”. Vista la temporanea memorizzazione delle fatture nel periodo transitorio, risulta infatti opportuno prevedere tale servizio, in considerazione del fatto che, come rappresentato dall’Agenzia nel tavolo di lavoro, alcuni operatori economici potrebbero aver fatto affidamento su tale modalità di consultazione delle fatture, prevista dall’originario impianto della fatturazione elettronica.

Per quanto riguarda, invece, i consumatori finali, che hanno in ogni caso diritto a ricevere la copia analogica delle fatture direttamente dall’operatore economico, le fatture saranno rese disponili, nell’area riservata del sito web dell’Agenzia delle entrate, una volta aderito al nuovo servizio di consultazione, con riferimento a tutte le fatture emesse nei loro confronti, a partire dal 1 gennaio 2019.

L’Agenzia si è impegnata, nel periodo transitorio, a limitare il trattamento alla sola memorizzazione dei dati fattura per la consultazione e download dei file XML nell’ambito del predetto servizio temporaneo, evitando qualunque altro utilizzo.

1.4. Osservazioni in merito alla soluzione proposta dall’Agenzia

1.4.1. Servizio di consultazione e download delle fatture elettroniche

In relazione a tale servizio, nella nota dell’Agenzia del 17 dicembre u.s. e nella valutazione di impatto, con una formulazione poco chiara, è riportato che “per i contribuenti che non abbiano aderito al servizio di conservazione delle fatture, servizio che prevede propri termini di memorizzazione, i dati fiscali e non fiscali, memorizzati in base alle adesioni ricevute per il servizio di consultazione, saranno comunque cancellati entro il termine sopra richiamato del 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento, ovvero fino alla definizione di eventuali giudizi”.

Al riguardo, si osserva che tale previsione non consente di comprendere le caratteristiche del trattamento dei “dati fiscali e non fiscali” cui l’Agenzia fa riferimento (in particolare, base giuridica, finalità del trattamento, tipologie di dati), ipotizzando un’ulteriore ipotesi di memorizzazione dei file XML(che peraltro non sarebbero più consultabili dal contribuente dopo il 31 dicembre del secondo anno successivo a quello di ricezione della fattura da parte dello SDI) diversa da quella offerta al contribuente con il servizio di consultazione e download e per un periodo di tempo analogo a quello previsto per i controlli fiscali.

Non risulta possibile, pertanto, esaminare compiutamente tale specifica ipotesi di memorizzazione nell’ambito del presente provvedimento, essendo necessari specifici approfondimenti al riguardo, da effettuarsi anche a seguito dell’esame dell’accordo di adesione al servizio di consultazione predisposto dall’Agenzia, che dovrà, a tal fine, essere trasmesso a questa Autorità.

1.4.2. L’individuazione dei dati fattura

Si valuta molto positivamente il fatto che, come auspicato dall’Autorità nel tavolo di lavoro, nell’individuare dei dati fattura l’Agenzia delle entrate abbia deciso di escludere i campi del file XML relativi alle descrizioni dei beni o dei servizi fatturati, evitando così di trattare sistematicamente dati di dettaglio contenuti nelle fatture, non utili all’esecuzione di controlli automatizzati.

Tuttavia, dall’esame dell’allegato allo schema di provvedimento trasmesso con la nota del 17 dicembre u.s., che individua i dati fattura, permangono alcuni dubbi in relazione ad alcune tipologie di dati che l’Agenzia intenderebbe memorizzare in maniera sistematica.

Si evidenzia, infatti, come sopra illustrato, che la memorizzazione sistematica dei dati presenti nelle fatture elettroniche, ancorché rilevanti a fini fiscali, per risultare proporzionata e conforme al principio di minimizzazione imposto dal Regolamento, deve risultare adeguata, pertinente e limitata rispetto alla finalità per le quali tali dati devono essere trattati.

È, pertanto, necessario che l’Agenzia rivaluti, alla luce di tali considerazioni, la memorizzazione sistematica dei campi relativi ai “dati trasporto” (da inserire nei casi di fattura “accompagnatoria”), con particolare riguardo al blocco contenente i dati anagrafici del vettore, che comprende, oltre al nome e il cognome, anche il numero identificativo della “licenza di guida”. Con riferimento, invece, al blocco relativo al codice articolo, talvolta identificativo del bene o del servizio fatturato, occorre precisare i casi in cui le informazioni in esso contenute debbano essere memorizzate tra i dati fattura.

Si invita, pertanto, l’Agenzia a trasmettere le valutazioni effettuate al riguardo e l’eventuale nuova versione dell’allegato B al provvedimento del Direttore del 30 aprile 2018.

1.4.3. Trattamenti a fini di controllo effettuati da parte dell’Agenzia delle entrate

Si prende atto positivamente del fatto che, nella nota del 17 dicembre u.s., l’Agenzia ha dichiarato di voler sottoporre all’attenzione dell’Autorità le modalità con cui saranno utilizzati, anche da parte della Guardia di finanza, i dati presenti nei file XML, trattati dall’Agenzia in nome e per conto del contribuente, per le attività di controllo, di cui agli articoli 51 del decreto del Presidente della Repubblica 26 ottobre 1972, n. 633 e 32 del decreto del Presidente della Repubblica 29 settembre 1973, n. 600, ai sensi del decreto ministeriale previsto dall’articolo 1, comma 5, del decreto legislativo n. 127 del 2015. Ciò, attesi i rischi elevati che tali trattamenti, effettuati per compiti di interesse pubblico, presentano per i diritti e le libertà degli interessati (artt. 36, § 4, del Regolamento e 2-quinquiesdecies del Codice).

Con riferimento ai trattamenti automatizzati a fini di controllo, nello schema di provvedimento del Direttore in esame, viene previsto che i dati fattura sono raccolti e archiviati in una banca dati dedicata e trattati dall’Agenzia delle entrate “in applicazione delle disposizioni normative vigenti in materia tributaria, per lo svolgimento, in particolare, […] di elaborazione dei dati per attività di analisi del rischio, di controllo automatizzato e puntuale che possono essere effettuati anche attraverso l’attività di analisi dei dati di natura fiscale presenti nelle fatture congiuntamente ai dati presenti nelle banche dati dell’Agenzia delle entrate ed in conformità ai relativi provvedimenti del Direttore dell’Agenzia, nel rispetto delle garanzie previste dal Regolamento 2016/679 del Parlamento Europeo e del Consiglio” (nuovo punto 10.4 del provvedimento del 30 aprile 2018).

Al riguardo, si rappresenta che il nuovo quadro giuridico prevede precise garanzie e adempimenti in relazione ai trattamenti automatizzati di dati personali che, nel caso in esame, presentano rischi elevati per i diritti e le libertà degli interessati e di cui l’Agenzia deve tenere conto, oltre agli specifici obblighi di trasparenza del trattamento nei confronti degli interessati (artt. 5, 6, § 3, lett. b), 13, 14, 22, § 2, lett. b), 35 e 36 del Regolamento e 2-quinquesdecies del Codice).

2. Le fatture elettroniche emesse dai soggetti che erogano prestazioni sanitarie

Come sopra evidenziato, le maggiori criticità rilevate in ordine all’obbligo di fatturazione elettronica, si riscontrano in relazione alle fatture relative a prestazioni sanitarie o emesse da esercenti la professione forense, poiché comportano il trattamento di dati sulla salute e relativi a condanne penali e reati, di regola non direttamente rilevante a fini fiscali, ma connesso alle descrizioni delle cessioni di beni e prestazioni di servizi oggetto di fatturazione.

Nella recente legge 17 dicembre 2018, n. 136, nel convertire in legge il decreto legge 23 ottobre 2018, n. 119, recante disposizioni urgenti in materia fiscale e finanziaria, è stato introdotto l’art.10-bis (Disposizioni  di  semplificazione in tema di fatturazione elettronica per gli operatori sanitari), il quale prevede che “per il periodo d’imposta 2019, i soggetti  tenuti  all’invio  dei  dati  al Sistema  tessera sanitaria, ai fini dell’elaborazione della dichiarazione dei redditi precompilata, ai sensi dell’articolo 3, commi 3 e 4, del decreto legislativo 21 novembre 2014, n. 175, e dei relativi decreti del Ministro dell’economia e delle finanze, sono esonerati  dall’obbligo di fatturazione elettronica di cui all’articolo 1, comma 3, del decreto legislativo 5  agosto 2015, n. 127, con riferimento alle fatture i cui dati sono inviati al Sistema tessera sanitaria”.

Nel valutare con favore il temporaneo regime derogatorio introdotto, per il periodo di imposta 2019, in relazione alle fatture emesse dai soggetti che erogano prestazioni sanitarie, si rileva, tuttavia, che permangono rilevanti criticità, già oggetto di alcune segnalazioni pervenute a questa Autorità.

In primo luogo, tale esonero ex lege non opera nei confronti delle fatture emesse dai soggetti che erogano prestazioni sanitarie non trasmesse attraverso il sistema TS in seguito all’opposizione legittimamente manifestata dagli interessati, come previsto dall’art. 3 del decreto del Ministero dell’economia e delle finanze del 31 luglio 2015, attuativo del d.lgs. 21 novembre 2014, n. 175, e, quindi, paradossalmente, proprio per le situazioni ragionevolmente più delicate.

Inoltre, alcuni operatori sanitari hanno chiesto al Garante di chiarire se, alla luce della formulazione dell’art. 10-bis, l’eventuale emissione di una fattura elettronica attraverso lo SDI, nonostante il predetto esonero, possa essere ritenuta conforme al Regolamento.

Al riguardo, si rappresenta, in generale, che, alla luce di tale quadro normativo, l’utilizzo del sistema di fatturazione elettronica da parte del professionista non potrebbe essere ritenuto lecito, ai sensi dell’art. 6, § 1, lett. c) del Regolamento, essendo stato espressamente esonerato dall’obbligo di emissione della fattura elettronica in caso di trasmissione dei relativi dati attraverso il sistema TS.

In ogni caso, considerato che le criticità e i rischi elevati connessi al processo di fatturazione elettronica risultano amplificati, in caso di fatture emesse da soggetti che erogano prestazioni sanitarie, trovando applicazione anche le garanzie di cui all’art. 9 del Regolamento e artt. 2-sexies e 2-septies del Codice, occorre che l’Agenzia delle entrate individui, quanto prima, idonee misure appropriate e specifiche a tutela dei diritti fondamentali degli interessati nei casi in esame.

Si ritiene pertanto necessario ingiungere all’Agenzia delle entrate di dare idonee istruzioni a tali soggetti affinché in nessun caso sia emessa una fattura elettronica attraverso lo SDI concernente l’erogazione di una prestazione sanitaria, a prescindere dall’invio dei dati attraverso il sistema TS, in modo da evitare trattamenti di dati in violazione del Regolamento e del Codice da parte dell’Agenzia stessa e di tutti i soggetti a vario titolo coinvolti nel processo di fatturazione elettronica.

3. Sicurezza del trattamento

Con il provvedimento del 15 novembre u.s., il Garante ha rilevato talune criticità in relazione alle misure di sicurezza previste a tutela del trattamento dei dati personali nell’ambito della fatturazione elettronica, con particolare riferimento all’utilizzo del protocollo FTP come canale per la trasmissione e il recapito delle fatture elettroniche,  alla mancata adozione di meccanismi di cifratura (in toto o anche solo in parte) dei file XML delle fatture elettroniche, nonché all’utilizzo della PEC quale canale di trasmissione e recapito delle fatture elettroniche.

3.1. La sicurezza dei canali di trasmissione

Con riferimento alla sicurezza del canale di trasmissione e di recapito delle fatture elettroniche, l’Agenzia ha precisato che, allo scopo di incrementare i livelli di sicurezza del canale di comunicazione con lo SDI, nonché di allinearsi con le precedenti raccomandazioni del Garante, già dal 5 giugno 2018, ha previsto l’attivazione di un canale cifrato basato su protocollo SFTP per tutti i soggetti che, a partire da quella data, hanno presentato una richiesta di accreditamento allo SDI, aggiornando contestualmente le specifiche tecniche dell’allegato A al citato provvedimento del Direttore dell’Agenzia delle entrate del 30 aprile 2018.

L’Agenzia ha, inoltre, rappresentato di aver avviato un piano di migrazione al protocollo SFTP, comunicando a tutti gli enti che ancora utilizzano il protocollo FTP, da ultimo con la nota del 4 dicembre u.s., che “dal 1° gennaio 2019 il canale FTP non cifrato non potrà essere garantito”.

Al riguardo, anche il Garante, con nota del 14 dicembre u.s., ha ricordato ai predetti enti le criticità connesse all’utilizzo del protocollo FTP, invitando gli stessi a verificare che il trasferimento dei dati avvenga esclusivamente tramite canali sicuri, quali, in particolare, il protocollo SFTP.

3.2. La cifratura

Con riferimento alla mancata adozione di misure di protezione crittografica dei file XML delle fatture elettroniche, l’Agenzia, nella predetta nota, ha rappresentato che l’applicazione al file XML della fattura di algoritmi di cifratura (anche parziali), sia simmetrici che asimmetrici, non risulterebbe compatibile con un modello in cui la fattura deve essere leggibile dal cedente/prestatore, dal cessionario/committente, dagli eventuali soggetti delegati alla gestione delle fatture nonché, ai fini dell’estrazione dei dati fattura, dall’Agenzia delle entrate.

Al riguardo, si osserva che spetta al titolare del trattamento individuare le misure tecniche e organizzative adeguate per garantire la protezione dei dati anche con tecniche crittografiche, nel rispetto dei principi di privacy by design e by default, attraverso un’attenta analisi dei processi e un adeguato impegno progettuale.

Si osserva, inoltre, che l’obiettivo di rendere non intelligibili i dati relativi alla descrizione del bene ceduto o del servizio reso, nonché gli altri dati personali presenti nelle fatture elettroniche, talvolta non strettamente necessari ai fini fiscali debba essere perseguito adeguatamente dall’Agenzia, con il ricorso alle tecniche disponibili allo stato dell’arte, anche oggetto di riesame nel corso del tempo.

In questo ambito, tecniche di cifratura e scambio di messaggi tra più soggetti sono da tempo disponibili e potrebbero essere implementate, anche gradualmente, tenendo conto dell’impatto della cifratura sulle prestazioni complessive e sull’usabilità dei servizi informatici a supporto del processo di fatturazione elettronica.

Pertanto, alla luce di tali considerazioni, si invita l’Agenzia delle entrate a fornire una nuova analisi di tali aspetti, entro il 15 aprile 2018, anche nell’ambito della valutazione di impatto.

Con riferimento ai rilievi contenuti nel provvedimento del 15 novembre u.s., riferiti all’utilizzo della PEC nell’ambito dello SDI, si rappresenta che le sopra menzionate tecniche di cifratura consentirebbero di eliminare i rischi ivi prospettati.

Al riguardo, si invita, infine, l’Agenzia a illustrare, nelle istruzioni fornite ai contribuenti, i rischi insiti in tale canale di trasmissione e recapito delle fatture, soprattutto laddove i file XML non vengano cancellati dai server di posta, ovvero vengano utilizzate caselle PEC a uso non esclusivo dell’interessato.

3.3. Ulteriori aspetti relativi ai servizi offerti dall’Agenzia

Si prende atto dell’informativa relativa all’App FatturAE, trasmessa dall’Agenzia delle entrate con la predetta nota, in relazione alla quale si rinvia alle osservazioni formulate nel paragrafo 1.4.3. circa gli obblighi di trasparenza nei confronti degli interessati in ordine ai trattamenti effettuati dall’Agenzia a fini di controllo fiscale.

Con la medesima nota, sono stati sottoposti all’Autorità alcuni miglioramenti delle applicazioni rese disponibili ai contribuenti dall’Agenzia, nell’ambito dei servizi online della fatturazione elettronica, per semplificare il processo di generazione delle fatture elettroniche, di cui non sono state fornite le specifiche tecniche.

Al riguardo, si osserva, in ogni caso, che spetta all’Agenzia garantire, ed essere in grado di dimostrare, il rispetto del Regolamento e ponderare, anche nell’ambito della valutazione di impatto, i rischi che si annidano in ogni singola fase del trattamento. Ciò, in ossequio al principio di accountability, con particolare riguardo agli obblighi di sicurezza e alle eventuali operazioni di comunicazione di dati a terzi effettuate nell’ambito di c.d. funzionalità di ausilio ai contribuenti (ad esempio, rubrica e precompilazione di campi, a cui si è solo accennato nel tavolo di lavoro e che non sono stati oggetto di esame del Garante).

4. Servizio di conservazione delle fatture elettroniche

Con il provvedimento del 15 novembre u.s., il Garante ha evidenziato alcune criticità in relazione al servizio gratuito di conservazione fornito dall’Agenzia delle entrate, ritenendo che non fosse chiaro il ruolo assunto dalla stessa Agenzia in relazione al trattamento dei dati personali e che talune disposizioni contrattuali potessero violare gli artt. 5, par. 1, lett. f) e 32 del Regolamento.

Nell’ambito del tavolo di lavoro, al quale ha preso parte, per quanto di competenza, anche l’Agenzia per l’Italia digitale, in qualità di organismo che cura l’accreditamento e la vigilanza dei soggetti che svolgono attività di conservazione dei documenti informatici, sono stati affrontati, in particolare, gli aspetti relativi al ruolo assunto dall’Agenzia delle entrate e da Sogei rispetto al trattamento dei dati effettuato ai fini della conservazione nonché quelli concernenti le limitazioni di responsabilità e i termini di conservazione dei dati.

L’Agenzia delle entrate ha preliminarmente rappresentato che il predetto servizio di conservazione viene messo a disposizione degli operatori economici, gratuitamente, come stabilito dall’art. 1, comma 1, del d.lgs. 5 agosto 2015, n. 127.

L’attivazione del predetto servizio avviene a seguito dell’adesione, da parte dell’operatore economico, a un apposito accordo, nell’ambito del quale lo stesso operatore economico affida all’Agenzia parte del processo di conservazione delle fatture elettroniche. L’accordo del servizio di conservazione disciplina il ruolo e le responsabilità dell’Agenzia, prevedendo che la stessa assuma il ruolo di responsabile del trattamento.

Con la nota del 17 dicembre u.s., l’Agenzia ha trasmesso al Garante lo schema del nuovo accordo di servizio, ai sensi del quale l’operatore economico autorizza l’Agenzia ad avvalersi del sistema di conservazione realizzato e gestito dalla società Sogei S.p.a. – conservatore accreditato presso l’Agenzia per l’Italia digitale – che assume il ruolo di sub-responsabile del trattamento.

In tale accordo, viene precisato che l’Agenzia tratta i dati esclusivamente per finalità di conservazione, ivi inclusa l’esibizione, su richiesta dell’operatore economico o dei suoi incaricati, delle fatture elettroniche conservate, e non esegue nessun tipo di trattamento che non sia individuato nell’accordo, né diffonde o comunica i dati trattati, salvo che ai soggetti eventualmente incaricati dal contribuente.

Le fatture vengono conservate per un periodo di 15 anni, fatti salvi i casi in cui sia lo stesso operatore economico a chiedere di prorogare la conservazione delle fatture elettroniche di proprio interesse. L’Agenzia ha, inoltre, evidenziato di aver tenuto conto, nella definizione di tale termine di conservazione, della complessiva disciplina di riferimento, contenuta nelle norme civilistiche e tributarie nonché nelle regole tecniche in materia di conservazione.

Ad ogni modo, viene previsto che, in caso di recesso, il contribuente possa richiedere la restituzione completa (export) delle fatture elettroniche conservate e che le fatture elettroniche restituite sono contestualmente cancellate dal sistema di conservazione.

Con riferimento alle limitazioni di responsabilità, l’Agenzia ha rappresentato che, nello svolgimento dei propri compiti individuati nell’accordo del servizio di conservazione, assicura un’idonea e integrale tutela dei dati personali, adottando tutte le misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. Ha quindi precisato che le limitazioni di responsabilità, oggetto di rilievo nel provvedimento del Garante, sono riferibili esclusivamente a eventi dannosi non imputabili all’Agenzia ai sensi dell’art. 82, § 3, del Regolamento. Nell’art. 2 dell’accordo, viene, infatti, previsto che “l’Agenzia, ai sensi dell’articolo 82, paragrafo 2, del Regolamento (Ue) 679/2016 risponde per il danno causato dal trattamento in caso di inadempimento degli obblighi di cui al medesimo Regolamento o qualora agisca in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. Conseguentemente, l’Agenzia, ai sensi dell’articolo 82, paragrafo 3, del Regolamento, è esonerata da responsabilità nei confronti del Contribuente e nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del Servizio se dimostra che l’evento dannoso non gli è in alcun modo imputabile. L’Agenzia, pertanto non è responsabile ove gli eventi dannosi siano connessi o derivanti da: a) fatture elettroniche inviate volontariamente dal Contribuente per la conservazione o trasmesse e ricevute dallo stesso tramite il Sistema di Interscambio, contenenti dati non accurati, o non corretti, o in un formato diverso da quello previsto, o non completi o di scarsa qualità; b) forza maggiore o caso fortuito (anche nella fattispecie di fatto di terzo); c) situazioni oggettivamente al di fuori della sfera di controllo e delle possibilità di intervento dell’Agenzia”.

Su indicazione del Garante, l’Agenzia ha, inoltre, introdotto, nello schema dell’accordo del servizio di conservazione, specifiche previsioni contrattuali in materia di notifica delle violazioni dei dati personali, stabilendo che l’Agenzia, dopo essere venuta a conoscenza di una violazione dei dati personali, informi senza ingiustificato ritardo l’operatore economico e, su autorizzazione di quest’ultimo, notifichi la violazione al Garante.

5. La valutazione di impatto sulla protezione dei dati

L’Agenzia delle entrate, con la nota del 17 dicembre u.s., ha trasmesso all’Autorità la valutazione d’impatto relativa al trattamento dei dati relativi al processo di fatturazione elettronica tra privati (B2B e B2C).

Al riguardo, si rappresenta che la valutazione d’impatto sulla protezione dei dati deve in primo luogo tenere conto dei rischi incombenti sui diritti e sulle libertà degli interessati, esaminando, in modo esaustivo, i diversi scenari di rischio e i possibili impatti al fine di individuare misure adeguate ad affrontarli, annullandoli o, quantomeno, riducendoli a un livello accettabile.

La valutazione di impatto effettuata dall’Agenzia risulta, invece, focalizzata su aspetti meramente tecnici del trattamento, risultando prevalentemente, se non esclusivamente, un documento di valutazione del rischio informatico incombente sui dati. Pertanto, tale valutazione appare carente nella parte analitica riferita agli impatti sui diritti e sulle libertà degli interessati derivanti dai diversi scenari di rischio considerati, anche laddove non siano riferibili alla fattispecie degli incidenti informatici.

Pur considerando la recente introduzione di tale adempimento nel nostro ordinamento, la complessità e la portata della fatturazione elettronica, che coinvolge l’intera popolazione, richiedono che la valutazione di impatto sia realizzata evitando di sfruttare schemi standard e semplificazioni che rischiano di comprometterne l’efficacia, fornendo alla stessa un connotato di eccessiva genericità e, quindi, di inadeguatezza, soprattutto in relazione all’analisi dei rischi che ne costituisce il presupposto essenziale.

Inoltre, non risulta che, come previsto dall’art. 35, § 9, del Regolamento, l’Agenzia abbia raccolto, attraverso le modalità ritenute più opportune, e tenuto in considerazione nell’ambito della valutazione di impatto, le opinioni dei soggetti interessati o dei loro rappresentanti, quali le associazioni di categoria o di consumatori. Anche quando avesse ritenuto non appropriato procedere in tal senso, avrebbe dovuto quantomeno documentare, all’interno del documento, i motivi della mancata raccolta delle opinioni degli interessati.

Ciò posto, si ritiene, quindi, necessario ingiungere all’Agenzia delle entrate di comunicare al Garante, entro il 15 aprile 2019, una nuova versione della valutazione di impatto, riesaminando gli elevati rischi connessi al processo di fatturazione elettronica, anche alla luce di quanto emergerà nei primi mesi di operatività del nuovo obbligo.

6. Ruolo assunto dagli intermediari e dagli altri soggetti operanti nell’ambito della fatturazione elettronica

Come rilevato nel provvedimento del 15 novembre u.s., il ruolo assunto dagli intermediari e dagli altri soggetti delegati dal contribuente nell’ambito del processo di fatturazione elettronica presenta specifiche criticità per il trattamento dei dati personali.

Gli operatori economici devono prestare particolari cautele in ordine all’articolato sistema di deleghe, delineato dall’Agenzia nel provvedimento del 5 novembre 2018, per consentire agli intermediari e ad altri soggetti di utilizzare le varie funzionalità rese disponibili, soprattutto in considerazione dei rischi connessi al trattamento dei personali di soggetti terzi coinvolti nel processo di fatturazione.

L’Agenzia, nella predetta nota, ha chiarito che, nel processo di fatturazione elettronica è possibile individuare due categorie di intermediari, quelli previsti dall’articolo 3, comma 3, del d.P.R. n. 322 del 1998 e quelli c.d. tecnici che possono essere delegati a svolgere solo servizi quali la generazione e invio/ricezione delle fatture elettroniche e l’adesione alla conservazione.

Considerata la vasta platea dei soggetti coinvolti e il prevedibile ampio ricorso al supporto degli intermediari, soprattutto nella fase di avvio del processo, l’Agenzia delle entrate, anche accogliendo le numerose richieste formulate dagli operatori, ha previsto soluzioni volte ad agevolare l’attivazione delle deleghe per l’utilizzo dei servizi di fatturazione elettronica resi disponibili dall’Agenzia stessa e conferite agli intermediari di cui al citato d.P.R n. 322 del 1998.

Con il provvedimento del Direttore dell’Agenzia delle entrate del 5 novembre u.s. sono state individuate, in aggiunta alle modalità già esistenti e analoghe a quelle previste per la presentazione all’ufficio della delega al cassetto fiscale dei propri clienti, nuove modalità di comunicazione che consentono agli intermediari di cui al d.P.R. n. 322 del 1998, delegati dai propri clienti, di comunicare all’Agenzia i dati essenziali per l’attivazione automatica delle deleghe. Al fine di tutelare il delegante e di assicurare che le deleghe siano attivate solo a seguito dell’effettivo conferimento all’intermediario, sono state adottate diverse misure di sicurezza.

In particolare, le deleghe sono attivate solo a seguito della verifica di alcuni elementi di riscontro desumibili dalla dichiarazione IVA presentata dal delegante nell’anno precedente, che l’intermediario deve indicare nella richiesta, a garanzia dell’effettivo conferimento della delega da parte del contribuente. È, poi, previsto l’obbligo di istituire un registro cronologico delle deleghe per garantire che il conferimento sia avvenuto prima della richiesta di attivazione e agevolare le successive fasi di controllo sulle deleghe. Tali misure ricalcano, sostanzialmente, quelle già in uso per autorizzare i CAF e i professionisti a consultare ed acquisire le dichiarazioni precompilate dei redditi delle persone fisiche.

Ad ulteriore tutela del delegante, al momento dell’attivazione della delega viene inviata, in automatico, una comunicazione all’indirizzo di posta elettronica certificata dei deleganti titolari di partita IVA – per i quali vige l’obbligo di registrarne uno presso il Registro delle Imprese – con cui vengono informati dell’avvenuta attivazione della delega ai servizi di fatturazione elettronica da parte di un intermediario.

Nell’ambito del tavolo di lavoro, a cui hanno partecipato, oltre all’Agenzia, anche il CDDCEC, il CNOCL e AssoSoftware, è emerso che gli intermediari e gli altri soggetti delegati assumono il ruolo di responsabile o sub-responsabili del trattamento, ai sensi dell’art. 28 del Regolamento, a seconda delle scelte organizzative degli operatori economici e dei relativi modelli contrattuali utilizzati.

In tal senso appare evidente che, fermi restando gli obblighi di sicurezza che ricadono in capo al titolare e al responsabile (art. 32 del Regolamento), le clausole contrattuali devono essere redatte in conformità ai requisiti del Regolamento, con particolare riguardo, nel caso in esame, alla durata, alla natura e alle finalità del trattamento, nonché alle condizioni in base alle quali è consentito ricorrere ad un altro responsabile del trattamento.

In proposito, sono, infatti, stati esaminati alcuni modelli contrattuali utilizzati dalle maggiori società produttrici di software gestionale e fiscale, in cui sono presenti alcune clausole suscettibili di violare, in particolare, gli artt. 5, 6 e 28 del Regolamento, che evidenziano elevati rischi di utilizzi impropri dei dati personali nell’ambito dei trattamenti effettuati dagli intermediari e dagli altri soggetti delegati dagli operatori economici nel processo di fatturazione, non solo con riferimento a trattamenti illeciti, ma anche alla proliferazione di possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.

Non risulta, infatti, conforme al Regolamento, la clausola in cui è previsto che una società produttrice di software gestionale e fiscale possa procedere “all’elaborazione e utilizzo di informazioni puramente statistiche, su base aggregata e previa anonimizzazione, raccolte in relazione all’utilizzo dei Servizi da parte del Cliente e del Terzo Beneficiario, ivi incluse informazioni relative ai meta-dati associati ai Documenti, a fini di studio e statistici, concedendo a tal fine [alla predetta società] una licenza non esclusiva, perpetua, irrevocabile, valida in tutto il mondo e a titolo gratuito, ad utilizzare tali informazioni per dette finalità”.

Al riguardo, occorre ribadire che i dati personali contenuti nelle fatture non sono riferiti esclusivamente all’operatore economico che le ha emesse e ricevute, ma pure ai terzi- anche persone fisiche – con cui intrattiene rapporti economici. I trattamenti svolti in qualità di  responsabile e di sub-responsabile devono, infatti, essere limitati solo ed esclusivamente a quanto necessario per la fornitura dei servizi forniti al titolari e, dunque, per l’esecuzione del contratto stesso, senza introdurre operazioni di trattamento ulteriori (ivi compresa l’anonimizzazione dei dati) preordinate al perseguimento di finalità proprie del responsabile, rispetto alle quali deve essere, di volta in volta, valutata la rispondenza ai requisiti del Regolamento, quali, in particolare, i presupposti di liceità del trattamento e il rispetto dei principi applicabili al trattamento dei dati personali.

Come emerge dalla predetta clausola, è stata rilevata altresì una peculiare modalità di articolazione dei ruoli assunti nel trattamento dei dati personali oggetto della fatturazione elettronica, che introduce, nello schema contrattuale esistente tra l’intermediario, titolare del trattamento, e la società produttrice di software, responsabile del trattamento, l’ulteriore figura del “terzo beneficiario”, operatore economico, cliente dell’intermediario. Ciò, con rilevanti conseguenze in termini di ripartizione delle responsabilità sulla conformità dei trattamenti al Regolamento di cui l’operatore economico, ma anche l’intermediario, potrebbero non essere pienamente consapevoli.

Ulteriori criticità sono state rilevate in alcune clausole contrattuali da cui emerge una non corretta ripartizione delle responsabilità circa i rischi derivanti dal trattamento, rispetto a quanto previsto dall’art. 28 del Regolamento, in particolare, vengono introdotti sproporzionati esoneri di responsabilità, soprattutto in caso di contratti standard, con margini di negoziazione pressoché nulli in capo al titolare del trattamento.

Più in generale, occorre prestare particolare attenzione alle modalità con cui viene attuato l’obbligo di autorizzazione scritta all’utilizzo di altri responsabili da parte dell’iniziale responsabile del trattamento, in conformità all’art. 28, § 2, del Regolamento, evitando situazioni che, in concreto, in violazione del principio di accountability, potrebbero privare il titolare di strumenti di controllo delle attività di trattamento effettuate sotto la propria responsabilità.

Alla luce di quanto sopra rappresentato, si ritiene, quindi, necessario avvertire gli operatori economici, gli intermediari e gli altri soggetti delegati che trattamenti effettuati in base alle clausole contrattuali analoghe a quelle sopra illustrate possono violare gli artt. 5, 6 e 28 del Regolamento, comportando gravi rischi per i diritti e le libertà degli interessati.

Al fine di favorire la conoscenza di tale avvertimento da parte dei predetti soggetti, si coglie la disponibilità manifestata dall’Agenzia, nell’ambito del tavolo di lavoro, a contribuire, attraverso i propri canali informativi istituzionali, a darne la massima diffusione. A tale fine, l’avvertimento sarà comunicato anche al CNDCEC e al CNOCL e ad AssoSoftware, per garantirne la piena conoscenza.

RITENUTO

Con il presente provvedimento, ai sensi dell’art. 36, §4, del Regolamento, si esprime contestualmente il parere, con le osservazioni di cui precedenti paragrafi, sullo schema di provvedimento del Direttore che recepisce le iniziative prospettate dall’Agenzia, modificando i provvedimenti del 30 aprile 2018 e del 5 novembre 2018.

Il presente provvedimento è adottato anche ai sensi dell’art. 2-quinquiesdecies del Codice, al fine di autorizzare l’Agenzia delle entrate ad avviare, a partire dal 1° gennaio 2019, i trattamenti di dati personali a rischio elevato connessi all’obbligo di fatturazione elettronica, nel rispetto dei presupposti e delle condizioni indicate nei punti da 1 a 6 del presente Provvedimento.

Il Garante ritiene altresì di comunicare il presente provvedimento al Ministro dell’economia e delle finanze per le valutazioni di competenza.

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell’art. 36, § 4, del Regolamento, fornisce parere sullo schema di provvedimento del Direttore dell’Agenzia delle entrate recante “Modifiche ai provvedimenti del Direttore dell’Agenzia delle entrate del 30 aprile 2018 e del 5 novembre 2018”, con le osservazioni riportate in premessa;

b) ai sensi dell’art. 58, § 3, lett. c), del Regolamento e dell’art. 2-quinquiesdecies del Codice, autorizza l’Agenzia delle entrate ad avviare, a partire dal 1° gennaio 2019, i trattamenti di dati personali a rischio elevato connessi all’obbligo di fatturazione elettronica, nel rispetto dei presupposti e delle condizioni indicate in premessa;

c) ai sensi dell’art. 58, § 1, lett. a), del Regolamento e dell’art. 157 del Codice, ingiunge all’Agenzia delle entrate di far conoscere all’Autorità:

– un’analisi relativa alla possibilità di introdurre tecniche di cifratura, anche parziale, del file XML trasmessi tramite SDI, entro il 15 aprile 2019;

– i modelli di accordi di adesione al servizio di consultazione e download delle fatture, appena predisposti;

– una rivalutazione dei dati fattura inseriti nell’allegato B al provvedimento del Direttore dell’Agenzia delle entrate del 30 aprile 2018, entro il 15 aprile 2019;

– una nuova versione della valutazione di impatto, entro il 15 aprile 2019;

d) ai sensi dell’art. 58, § 2, lett. a), del Regolamento, avverte gli operatori economici, gli intermediari e gli altri soggetti delegati nell’ambito della fatturazione elettronica che eventuali trattamenti, effettuati in base a clausole contrattuali analoghe a quelle illustrate al punto 6. della premessa, possono violare gli artt. 5, 6 e 28 del Regolamento;

e) ai sensi dell’art. 58, § 2, lett. d), del Regolamento, ingiunge all’Agenzia delle entrate di dare idonee istruzioni ai soggetti che erogano prestazioni sanitarie, affinché in nessun caso sia emessa una fattura elettronica attraverso lo SDI concernente l’erogazione di una prestazione sanitaria, a prescindere dall’invio dei dati attraverso il sistema TS;

f) trasmette copia del presente provvedimento al Ministro dell’economia e delle finanze per le valutazioni di competenza;

g) trasmette copia del presente provvedimento al CNDCEC e al CNOCL e ad AssoSoftware, al fine di favorirne la massima diffusione.

Roma, 20 dicembre 2018

IL PRESIDENTE

Soro

IL RELATORE

Soro

IL SEGRETARIO GENERALE

Busia