FATTURAZIONE ELETTRONICA: bloccato dal Garante il servizio dell’Agenzia delle Entrate

Il Garante della Privacy a poco meno di  due mesi dall’entrata in  vigore della fatturazione elettronica, emana un provvedimento nei confronti dell’Agenzia dell’Entrate per la non conformità con l’attuale normativa.

Perchè il servizio dell’Agenzia delle Entrate non rispetta la normativa privacy?

Intanto il Garante dopo aver analizzato punto per punto il servizio offerto dall’AdE, ritiene che per come è stato pensato, progettato e per i dati che attraverso i file XML che l’utente deve trasmettere, “non si sia tenuto adeguatamente conto dei rischi  che l’implementazione della fatturazione elettronica determina per i diritti e le libertà degli interessati, e, quindi, non siano state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento le garanzie necessarie a soddisfare i requisiti del regolamento e a tutelare i diritti degli interessati”.

Ma quali sono i punti contestati dal Garante all’AdE?

In primis c’è la mancata consultazione del Garante, che doveva avvenire preventivamente alla progettazione e messa a disposizione del servizio, per delineare insieme le modalità e le garanzie adeguate alla protezione dei dati fin dalla progettazione del sistema stesso, in quanto ci si trova difronte ad un trattamento dati su larga scala ed in alcuni casi anche di dati particolari,che per loro natura presentano un rischio elevato per i diritti e le libertà degli interessati, richiedendo, per questo, l’effettuazione di una valutazione di impatto.

Altro punto contestato dal Garante è relativo al contenuto del file XML conservato dall’AdE, che non riporta solo dati  necessari ad assolvere gli obblighi fiscali, ma anche altro genere di informazione, come la descrizione dei beni e i servizi ceduti,  la descrizione delle prestazioni, sconti applicati, fidelizzazioni, abitudini di consumo, etc… per i quali l’AdE non ha individuato nessuna specifica misura di garanzia volta ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza ed inoltre non proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito.

Altra criticità evidenziata dal Garante è la messa a disposizione delle fatture sul portale dell’Agenzia delle Entrate, un trattamento che comporta, un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web.

Presi in causa anche i ruoli degli intermediari ed altri soggetti operanti in ambito FE , il sistema delle deleghe e lo SdI .
I primi per il loro ruolo poco chiaro nel trattamento dei dati personali, quando invece il nuovo regolamento privacy richiede l’individuazione delle misure tecniche e organizzative adeguate ad assicurare il rispetto della normativa in materia di protezione dei dati personali in tutta la filiera del trattamento dei dati personali effettuato a fini di fatturazione elettronica;  le deleghe per le complesse rielaborazioni dei dati tramessi e ricevuti al fine dell’utilizzo delle funzionalità del servizio rese disponibili ai contribuenti dall’Agenzia; ed il Sistema di Interscambio per il suo ruolo di canale di trasmissione automatizzato attraverso web service e FTP (canale ritenuto non sicuro) sui quali transitano un quantitativo notevole di dati personali non crittografati ( perchè il file xml inviato con pec al SdI è leggibile), oggetto di grande interesse e soggetti a particolari rischi per un uso improprio .

Perchè non è a norma il servizio di conservazione della fattura elettronica dell’AdE?

Il Garante ritiene che il servizio di conservazione delle fatture elettroniche fornite gratuitamente dall’Agenzia delle Entrate non è chiaro, soprattutto in merito al ruolo assunto dall’Agenzia in relazione al trattamento dei dati personali in tale servizio, della sua responsabilità nei confronti del contribuente e degli altri soggetti direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione.

Alla luce di tutto questo, il Garante ha chiesto con il provvedimento n.481 del 15.11.2018, di adeguare il sistema prima della scadenza di gennaio 2019, ed inviato copia del provvedimento al Presidente del Consiglio dei ministri e al Ministro dell’economia e delle finanze per le valutazioni di competenza, attualmente in discussione al Senato.