Provvedimento Garante n.481
Provvedimento nei confronti dell’Agenzia delle entrate sull’obbligo di fatturazione elettronica – 15 novembre 2018
Registro dei provvedimenti
n. 481 del 15 novembre 2018
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannoni, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito Regolamento;
Visto il d. lgs. 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;
Visti il Codice in materia di protezione dei dati personali, d.lgs. 30 giugno 2003, n. 196, (di seguito Codice), così come modificato dal predetto d.lgs. n. 101 del 2018;
Vista la documentazione in atti;
Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Antonello Soro;
PREMESSO
Con la legge di bilancio 2018 (legge 27 dicembre 2017, n. 205, art. 1, spec. comma 909, recante “Bilancio di previsione dello Stato per l’anno finanziario 2018 e bilancio pluriennale per il triennio 2018-2020”), l’obbligo di fatturazione elettronica, già applicato nei confronti della pubblica amministrazione, è stato esteso alle cessioni di beni e prestazioni di servizi effettuate tra due operatori Iva (operazioni Business to Business, c.d. B2B), ma anche a quelle effettuate verso un consumatore finale (operazioni Business to Consumer, c.d. B2C), modificando l’art. 1 del d.lgs. 5 agosto 2015, n. 127, in materia di trasmissione telematica delle operazioni IVA e di controllo delle cessioni di beni effettuate attraverso distributori automatici.
Dall’anno di imposta 2017, la fattura elettronica è stata introdotta, in via facoltativa, per le operazioni B2B, mentre dal 1° gennaio 2019, sarà obbligatoria per tutte le cessioni di beni e prestazioni di servizi comunque effettuate tra soggetti residenti o stabiliti in Italia (art. 1, comma 916, della legge di bilancio 2018), con l’eccezione degli operatori che rientrano nei c.d. regimi di vantaggio e regimi forfettari, per i quali è facoltativo, nonché dei piccoli produttori agricoli già esonerati dall’emissione di fattura.
La citata legge ha previsto poi che il formato della fattura sia quello stabilito con l’allegato A al decreto del Ministro dell’economia e delle finanze, di concerto con il Ministro per la pubblica amministrazione e la semplificazione del 3 aprile 2013, n 55, recante il “Regolamento in materia di emissione, trasmissione e ricevimento della fattura elettronica da applicarsi alle amministrazioni pubbliche ai sensi dell’articolo 1, commi da 209 a 213, della legge 24 dicembre 2007, n. 244”.
L’attuazione di tale disciplina è avvenuta, in particolare, attraverso alcuni provvedimenti del Direttore dell’Agenzia delle entrate, adottati senza consultare il Garante. Le regole per predisporre, trasmettere, ricevere e conservare le fatture elettroniche sono state, infatti, definite nel provvedimento del Direttore dell’Agenzia delle entrate n. 89757 del 30 aprile 2018. Da ultimo, con il provvedimento del Direttore dell’Agenzia delle entrate n. 291241 del 5 novembre 2018, sono state, invece, disciplinate le modalità di conferimento e revoca delle deleghe per l’utilizzo dei servizi di fatturazione elettronica.
1. La fatturazione elettronica
In breve, per fattura elettronica si intende una fattura predisposta in un formato XML predefinito, trasmesso dall’emittente al ricevente attraverso il Sistema d’interscambio (SDI), messo a disposizione dei soggetti passivi dell’imposta sul valore aggiunto dal Ministero dell’economia e delle finanze e gestito dall’Agenzia delle Entrate “anche per l’acquisizione dei dati fiscalmente rilevanti” (art. 1 del d.lgs. 127 del 2015). In caso di utilizzo di formati e modalità di trasmissione diverse, la fattura si considera non emessa, con le relative conseguenze sanzionatorie.
I dati obbligatori da riportare, a norma di legge, nella fattura elettronica sono i medesimi di quelli stessi già riportati nelle fatture cartacee (artt. 21, ovvero 21-bis del d.P.R. 26 ottobre 1972, n. 633). È previsto, tuttavia, che le informazioni obbligatorie a fini fiscali, indicate nelle fatture elettroniche, possano essere integrate “con ulteriori dati utili alla gestione del ciclo attivo e passivo degli operatori” (punto 1.4. del provvedimento n. 89757).
L’Agenzia descrive lo SDI come una sorta di postino, che verifica la presenza in fattura dei predetti dati obbligatori ai fini fiscali, nonché dell’indirizzo telematico (c.d. “codice destinatario” ovvero indirizzo PEC) al quale il cliente (operatore Iva o consumatore finale) desidera che venga recapitata la fattura.
La nuova fatturazione elettronica, così come progettata, comporta anche il trattamento, da parte dell’Agenzia delle entrate, di tutti i dati presenti nelle fatture emesse (compresi quelli ulteriori rispetto a quelli obbligatori a fini fiscali) che, oltre ad essere trasmesse e rese disponibili ai destinatari attraverso lo SDI, saranno archiviate e utilizzate anche per le attività di controllo, effettuate anche dalla Guardia di finanza, come emerge chiaramente dal punto 10 del citato provvedimento n. 89757 del Direttore dell’Agenzia.
Per agevolare l’assolvimento dell’obbligo di fatturazione elettronica, l’Agenzia delle Entrate mette a disposizione degli operatori economici tre strumenti gratuiti (in alternativa a quelli già presenti sul mercato) per predisporre il file XML: una procedura web “Fatturazione elettronica”, utilizzabile accedendo al portale “Fatture e Corrispettivi” dell’Agenzia; un software scaricabile su PC e una mobile app, denominata “Fatturae”, con opzione di salvataggio dati sul dispositivo o cloud.
I canali di colloquio con lo SDI per trasmettere le fatture sono:
a) posta elettronica certificata (PEC);
b) servizi informatici, messi a disposizione dall’Agenzia delle entrate (procedura web e mobile app);
c) sistema di cooperazione applicativa, su rete Internet, tramite web service;
d) sistema di trasmissione dati tra terminali remoti, basato su protocollo FTP.
Le fatture sono invece rese disponibili ai destinatari con le seguenti modalità:
– in caso di operazioni B2B, i canali di cui alle predette lettere a), b), c) e d);
– in caso di operazioni B2C, dal 1° gennaio 2019, le fatture saranno rese disponibili al consumatore finale, nel formato XML, nella sezione riservata del sito web dell’Agenzia delle entrate. Resta fermo che una copia della fattura, in formato elettronico o analogico, sarà messa a disposizione del consumatore, anche direttamente da chi la emette, salvo che lo stesso decida di rinunciarvi.
Indipendentemente dalle modalità di consegna, un duplicato sarà reso sempre disponibile anche nell’area riservata dell’operatore economico che ha emesso la fattura.
Viene, inoltre, previsto che l’Agenzia delle entrate metta a disposizione del contribuente, mediante l’utilizzo di reti telematiche e anche in formato strutturato, le informazioni acquisite, affinando anche i meccanismi di ausilio all’adempimento spontaneo da parte degli operatori economici, consentendo di rilevare le incongruenze tra dati presenti nelle fatture e i versamenti IVA.
Nei citati provvedimenti dell’Agenzia è previsto che i soggetti tenuti all’obbligo di fatturazione elettronica si possano avvalere, per la trasmissione, la consultazione e la ricezione delle fatture, anche di diverse categorie di intermediari appositamente delegati.
OSSERVA
Per i profili di competenza si osserva che l’estensione dell’obbligo di fatturazione elettronica, in particolare, anche alle operazioni B2C, così come delineato dalla normativa primaria e secondaria di riferimento, presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali.
Dalla documentazione, allo stato, disponibile sembrerebbe, infatti, che, nel progettare il nuovo adempimento, non si sia tenuto adeguatamente conto dei rischi, di seguito illustrati, che l’implementazione della fatturazione elettronica determina per i diritti e le libertà degli interessati, e, quindi, non siano state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento le garanzie necessarie a soddisfare i requisiti del regolamento e a tutelare i diritti degli interessati (art. 25, § 1, del Regolamento).
2. La mancata consultazione del Garante
In via preliminare, si rileva che, in violazione del previgente art. 154, comma 4, del Codice, il provvedimento del Direttore dell’Agenzia delle entrate n. 89757 del 30 aprile 2018, e dell’art. 36, § 4, del Regolamento, il provvedimento n. 291241 del 5 novembre 2018, sono stati adottati senza che il Garante sia stato consultato.
Il tempestivo, e necessario, coinvolgimento dell’Autorità, ora previsto anche in fase legislativa, avrebbe certamente potuto contribuire ad avviare il nuovo progetto con modalità e garanzie rispettose della protezione dei dati personali fin dalla progettazione.
Il nuovo obbligo di fatturazione elettronica determina, inoltre, un trattamento sistematico di dati personali su larga scala, anche di categorie particolari di dati, potenzialmente relativi ad ogni aspetto della vita quotidiana, che presenta un rischio elevato per i diritti e le libertà degli interessati, richiedendo, per questo, l’effettuazione di una valutazione di impatto ai sensi dell’art. 35 del Regolamento.
3. Dati personali presenti nelle fatture elettroniche
Come sopra accennato, viene previsto che l’Agenzia, dopo aver recapitato le fatture in qualità di “postino”, non archivi solo i dati necessari ad assolvere gli obblighi fiscali, ma la fattura vera e propria in formato XML, che contiene di per sé informazioni non necessarie a fini fiscali (oltre agli eventuali allegati inseriti dall’operatore, certamente ultronei).
Le fatture, di regola, contengono, infatti, dati, anche molto di dettaglio, volti ad individuare – spesso a fini di garanzia, assicurativi o per prassi commerciali – i beni e i servizi ceduti, con la descrizione delle prestazioni, i rapporti fra cedente e cessionario e altri soggetti, riferiti anche a sconti applicati, fidelizzazioni, abitudini di consumo, oltre a dati obbligatori imposti da specifiche normative di settore, con particolare riguardo ai trasporti, alle forniture di servizi energetici o di telecomunicazioni (tipologie dei consumi, fatturazione dettagliata, regolarità dei pagamenti, appartenenza a particolari categorie di utenti). Ciò, vale a maggior ragione anche per categorie di dati particolari e giudiziari, rilevabili da fatture elettroniche emesse, ad esempio, da operatori attivi nel settore sanitario o giudiziario.
La presenza di informazioni non rilevanti a fini fiscali, è, peraltro, espressamente contemplata nel provvedimento dell’Agenzia (cfr. punto 1.4. del Provvedimento n. 89757), che tuttavia non ha individuato al riguardo nessuna specifica misura di garanzia volta ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza (art. 5, par. 1, lett. b), c) e f) del RGPD).
Aver progettato e definito la fatturazione elettronica nel quadro normativo primario e secondario, prevedendo in tale ambito un trattamento obbligatorio, generalizzato e di dettaglio di dati personali, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi ad ogni aspetto della vita quotidiana della totalità della popolazione, non appare proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito (artt. 6, § 3, lett. b), e, con riferimento alle particolari categorie di dati, 9, § 2, lett. g), del Regolamento).
Il trattamento generalizzato di dati personali effettuato nell’ambito della fatturazione elettronica richiede, inoltre, l’adozione -da parte dell’Agenzia delle entrate, ma anche degli operatori economici- di misure appropriate al fine di fornire agli interessati tutte le informazioni di cui agli artt. 13 e 14 del Regolamento. Ciò, soprattutto per quanto riguarda l’eventuale inserimento nelle fatture, e nei relativi allegati, di informazioni di dettaglio non rilevanti a fini fiscali, che dovrà comunque avvenire nel più rigoroso rispetto del principio di minimizzazione dei dati personali.
4. Messa a disposizione delle fatture sul portale dell’Agenzia
Ulteriori criticità derivano dalla scelta di rendere disponibili ai consumatori tutte le fatture elettroniche in formato XML sul portale dell’Agenzia, anche in assenza di una puntuale richiesta degli stessi, nonostante il diritto di ottenerne una copia, digitale o analogica, direttamente dall’operatore. Un siffatto trattamento comporta, infatti, un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web.
Tale scelta determina, inoltre, per impostazione predefinita, in manifesto contrasto con il principio di privacy by default, oltreché di minimizzazione e di privacy by design (artt. 5, comma 1, lett. c) e 25 del Regolamento), l’imprescindibile trattamento, da parte dell’Agenzia delle entrate, di dati non obbligatori a fini fiscali, rappresentati nel paragrafo precedente, relativi alla totalità dei cittadini, compresi coloro che, non rinunciando a ricevere la fattura direttamente dal fornitore, non intenderanno avvalersi del servizio messo a disposizione sul portale dell’Agenzia.
5. Ruolo assunto dagli intermediari e dagli altri soggetti operanti nell’ambito della fatturazione elettronica
Il ruolo assunto dagli intermediari (termine che viene usato con accezioni diverse nei due citati provvedimenti dell’Agenzia) e dagli altri soggetti delegabili dal contribuente fa emergere peculiari profili di rischio per il trattamento dei dati personali.
Al riguardo, si rileva, in primo luogo, che dovrebbero essere individuate misure tecniche e organizzative adeguate ad assicurare il rispetto della normativa in materia di protezione dei dati personali in tutta la filiera del trattamento dei dati personali effettuato a fini di fatturazione elettronica.
Specifica attenzione va prestata all’articolato sistema di deleghe, da ultimo delineato nel provvedimento del 5 novembre 2018, per consentire agli intermediari di utilizzare le varie funzionalità rese disponibili ai contribuenti dall’Agenzia, basate anche su complesse rielaborazioni dei dati tramessi e ricevuti, riferiti anche a terzi, assicurandone, in concreto, la riservatezza.
Non risulta chiaro, nei citati provvedimenti, il ruolo assunto da parte degli intermediari e degli altri soggetti delegati rispetto al trattamento di dati personali, anche di dettaglio, contenuti nelle fatture elettroniche emesse e ricevute.
In caso di operatore economico persona fisica (professionista o ditta individuale), vanno, comunque, assicurate garanzie per distinguere, nell’ambito della consultazione da parte del soggetto delegato, le fatture relative alla sfera professionale/imprenditoriale da quelle relative alla sfera privata.
Sotto altro aspetto, si rileva che i canali di trasmissione dello SDI sono stati progettati dall’Agenzia, al fine di semplificare il processo fatturazione elettronica, offrendo soluzioni gratuite per le piccole imprese, ma anche dando la possibilità di trasmettere grandi volumi di dati, prevedendo quindi modalità di colloquio totalmente automatizzato, attraverso canali web service e FTP.
Il nuovo obbligo determina la concentrazione, presso soggetti che operano nei confronti di una grande moltitudine di operatori economici, di una mole enorme di informazioni, anche appartenenti a categorie particolari di dati personali, che non si riscontra nella normale gestione delle attività economiche in cui, di regola, non vengono messe a disposizione di terzi informazioni sui beni e servizi ceduti, sulla clientela e sulle relative abitudini di consumo.
È facilmente intuibile che la possibilità di accedere a simili banche dati stimoli grandi interessi rispetto ai quali sono, quindi, elevati i rischi di ulteriori utilizzi impropri, non solo con riferimento a trattamenti illeciti, ma anche alla proliferazione di possibili collegamenti e raffronti tra fatture di migliaia di operatori economici, in violazione dei principi applicabili al trattamento dei dati personali (art. 5 del Regolamento).
6. Criticità ulteriori: canali di trasmissione e recapito delle fatture elettroniche, intermediari e servizio di conservazione delle fatture da parte dell’Agenzia.
Si rilevano, inoltre, ulteriori criticità, che possono verosimilmente violare il Regolamento, in relazione ai profili di sicurezza e di correttezza e trasparenza del trattamento.
6.1. Canali di trasmissione e recapito delle fatture elettroniche
Con riferimento alla sicurezza dei canali di trasmissione delle fatture elettroniche, si evidenzia che nel provvedimento n. 89757, sembrerebbe attualmente previsto l’utilizzo del protocollo FTP, che non è considerabile un canale sicuro.
In proposito, il Garante ha, infatti, più volte evidenziato le criticità connesse all’utilizzo di tale protocollo in altri ambiti di trattamento, e anche prescritto all’Agenzia, già dal 2008 e, da ultimo nel 2017, l’utilizzo di canali sicuri di trasmissione.
Occorre, pertanto, prevedere, anche nell’ambito dello SDI, l’utilizzo di canali di connessione sicuri idonei a garantire un livello di sicurezza adeguato al rischio, in linea con quanto previsto dell’art. 32 del Regolamento.
Un’ulteriore criticità deriva dalla mancata cifratura del file XML della fattura elettronica. Ciò, considerando, in particolare, il previsto utilizzo della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di gestione della posta elettronica, che espone gli interessati a maggiori rischi di accesso non autorizzato i dati personali (utilizzo non esclusivo della PEC in ambito aziendale, furto di credenziali e attacchi informatici ai server).
6.2. Correttezza e trasparenza della app Fatturae
La mobile app, messa a disposizione dall’Agenzia, consente agli operatori economici di attivare il salvataggio di alcuni dati, non meglio specificati, in ambiente cloud. Da una prima analisi, non sarebbero correttamente rappresentate agli utenti nell’informativa le ulteriori finalità di conservazione e di controllo perseguite dall’Agenzia con i dati raccolti attraverso tale applicazione, in violazione dell’art. 13 del Regolamento.
6.3. Servizio gratuito di conservazione delle fatture da parte dell’Agenzia
L’Agenzia offre un servizio gratuito di conservazione delle fatture basato su un accordo di servizio. Al riguardo, non è chiaro il ruolo assunto dall’Agenzia in relazione al trattamento dei dati personali in tale servizio gratuito. In ogni caso, da quanto emerso in alcune notizie stampa, sembrerebbe che il testo di tale accordo di servizio per la conservazione delle fatture elettroniche preveda che “l’Agenzia non potrà essere ritenuta responsabile nei confronti del contribuente né nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione”. Ciò, verosimilmente violando l’art. 5, par. 1, lett. f) e l’art. 32 del Regolamento.
RITENUTO
Alla luce delle rilevanti criticità sopra illustrate, occorre, in primo luogo, rilevare che, la disciplina della fatturazione elettronica, così come delineata nel quadro normativo primario e secondario, a cura dell’Agenzia delle entrate, sia prevalentemente concentrata sugli aspetti legati alla trasmissione dei dati attraverso lo SDI, prevedendo in tale ambito un trattamento obbligatorio, generalizzato e di dettaglio di dati personali, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi alla totalità della popolazione, non proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito.
L’attuazione del nuovo obbligo di fatturazione elettronica è avvenuta senza individuare, in ossequio ai principi di privacy by design e by default, misure adeguate, anche di carattere organizzativo, per garantire la protezione dei dati, anche appartenenti a categorie particolari, in ogni fase del trattamento, ivi comprese quelle appropriate per assicurare un trattamento corretto e trasparente nei confronti degli interessati, coinvolti anche in qualità di operatori economici (artt. 5, 6, § 3, lett. b), 9, § 2, lett. g), 13, 14 e 25 del Regolamento).
Considerato che l’obbligo di fatturazione elettronica, già applicato alle fatture emesse nei confronti della pubblica amministrazione e ora facoltativo per il B2B, sarà operativo per tutti a partire dal 1° gennaio 2019, è, quindi, urgente l’esigenza di intervenire al fine di tutelare i diritti e le libertà degli interessati.
Il Regolamento attribuisce al Garante, tra gli altri, il potere di rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del Regolamento e di ingiungere al titolare di fornire all’Autorità ogni informazione necessaria all’esecuzione dei suoi compiti (art. 58, § 1 lett. a) e § 2, lett. a)).
Attesi i rischi elevati per le libertà e i diritti degli interessati, risulta, pertanto, necessario avvertire l’Agenzia delle entrate, titolare del trattamento, del fatto che i trattamenti di dati personali effettuati nell’ambito della fatturazione elettronica, così come attualmente delineati, possono violare le disposizioni del Regolamento di cui agli artt. 5, 6, § 3, lett. b), 9, § 2, lett. g), 13, 14, 25 e 32, ingiungendole di far conoscere all’Autorità le iniziative assunte affinché i predetti trattamenti siano resi conformi alle richiamate disposizioni allorché gli obblighi di fatturazione elettronica divengano pienamente operativi.
Il Garante ritiene altresì di comunicare il presente provvedimento alla Presidente del Consiglio dei ministri e al Ministro dell’economia e delle finanze, per le valutazioni di competenza.
TUTTO CIO’ PREMESSO IL GARANTE
a) ai sensi dell’art. 58, § 2, lett. a), Regolamento avverte l’Agenzia delle entrate del fatto che i trattamenti di dati personali effettuati nell’ambito della fatturazione elettronica, ai sensi dell’art. 1 del decreto legislativo 5 agosto 2015, n. 127 e dei provvedimenti n. 89757 del 30 aprile 2018 e n. 291241 del 5 novembre 2018 del Direttore, così come attualmente delineati, possono violare le disposizioni del Regolamento di cui agli artt. 5, 6, § 3, lett. b), 9, § 2, lett. g), 13, 14, 25 e 32;
b) ai sensi dell’art. 58, § 1, lett. a), del Regolamento ingiunge all’Agenzia delle entrate di far conoscere all’Autorità le iniziative assunte per rendere conformi i predetti trattamenti alle disposizioni sopra citate allorché gli obblighi di fatturazione elettronica divengano pienamente operativi;
c) trasmette copia del presente provvedimento al Presidente del Consiglio dei ministri e al Ministro dell’economia e delle finanze per le valutazioni di competenza.
Roma, 15 novembre 2018
IL PRESIDENTE
Soro
IL RELATORE
Soro
IL SEGRETARIO GENERALE
Busia