Archiviazione fatture elettroniche: per il Garante privacy i dati nelle mani del Fisco sono eccessivi
Nell’audizione pubblicata il 5 novembre scorso, il Garante per la protezione dei dati personali è intervenuto con preoccupazione sul disegno di legge C. 2220 di conversione in legge del decreto-legge n. 124 del 2019, recante disposizioni urgenti in materia fiscale e per esigenze indifferibili.
L’articolo 14 del disegno di legge, novellando l’articolo 1 del decreto legislativo 5 agosto 2015, n. 127, dispone la memorizzazione integrale dei file delle fatture elettroniche fino al 31 dicembre dell'ottavo anno successivo a quello di presentazione della dichiarazione di riferimento, ovvero fino alla definizione di eventuali giudizi.
Nella relazione illustrativa, si legge che i dati da memorizzare includono quelli inerenti la natura, qualità e quantità dei beni e servizi oggetto dell’operazione, di cui all’ art. 21, c. 2, lett.g) dPR 633 del 1972.
Tali informazioni sono rese accessibili, secondo quanto previsto dal comma 1 dello stesso articolo 14, alla Guardia di finanza nell’assolvimento delle funzioni di polizia economica e finanziaria, nonché all’Agenzia delle entrate e alla stessa Guardia di finanza per le attività di verifica e analisi del rischio fiscale.
La suddetta disposizione amplia la platea dei soggetti e le finalità cui tali informazioni sono rese disponibili: non più, come previsto dalla legislazione vigente, limitatamente alle verifiche fiscali, ma a tutte le funzioni di polizia economica-finanziaria demandate al Corpo della Guardia di finanza dal d.lgs. n. 68 del 2001.
Il fine di tale intervento modificativo, continua la relazione illustrativa, sarebbe quello di rafforzare “l’attività di contrasto di qualunque forma di illegalità, anche in settori diversi da quello strettamente tributario, quali ad esempio la spesa pubblica, il mercato dei capitali e la tutela della proprietà intellettuale”.
Come precisato dal Garante, la norma estende, dunque, tanto l’oggetto della memorizzazione, quanto l’ambito di utilizzazione dei dati di fatturazione, senza peraltro escluderne alcune categorie, quali i dati non fiscalmente rilevanti o quelli inerenti la descrizione delle prestazioni fornite, sulla proporzionalità della cui archiviazione il Garante aveva già espresso perplessità nei provvedimenti del 18 novembre e del 20 dicembre 2018, in relazione allo schema di provvedimento del direttore dell’Agenzia delle entrate in materia di fatturazione elettronica.
Il Garante manifesta preoccupazioni in relazione a tale attività di memorizzazione di informazioni non fiscalmente rilevanti e di quelli inerenti la descrizione delle prestazioni fornite, ritenendola sproporzionata, in quanto potrebbe comprendere anche dati idonei a rivelare lo stato di salute o l’eventuale sottoposizione dell’interessato a procedimenti penali, come per le fatture relative a prestazioni in ambito sanitario o forense, ma non solo. Le fatture contengono dati molto dettagliati che possono rivelare anche sconti applicati, fidelizzazioni, abitudini di consumo, oltre a dati obbligatori imposti da specifiche normative di settore, con particolare riguardo ai trasporti, alle forniture di servizi energetici o di telecomunicazioni.
Si comprende bene dunque come una mole così elevata di informazioni nelle mani del Fisco sia veramente sproporzionata, oltre che rischiosa, in quanto espone tali banche dati a rischi di attacchi informatici e data breach.
Secondo il Garante, le finalità di trattamento dei dati presenti nelle fatture per effettuare controlli automatizzati e l’analisi del rischio richiedono, per loro natura, la memorizzazione e l’elaborazione massiva dei dati estratti dai file XML delle fatture (c.d. dati fattura), tra cui tuttavia non rientra il campo del file XML contenente la descrizione dell’operazione oggetto di fattura.
Se andasse in porto la norma così come formulata, violerebbe il principio di proporzionalità del trattamento dei dati, considerato nella giurisprudenza della Corte di giustizia come parametro fondamentale in materia (cfr., ex plurimis, CGUE, C-362/14, Maximillian Schrems c. Data Protection Commissioner [GC], 6 ottobre 2015).
Il Garante dunque raccomanda, in sede di conversione di rivedere la norma, verificando se l’archiviazione integrale dei dati contenuti nel file fattura per la durata prevista sia davvero necessaria alle indagini, funzionale al perseguimento delle finalità considerate e non invece sostituibile con misure meno invasive o anche solo con l’oscuramento dei dati irrilevanti eventualmente presenti nelle fatture; misure, rimarca il Garante, che dovrebbero essere determinate con atto normativo ai sensi dell’art. 6, par. 3, del Regolamento, e non già con provvedimenti della Guardia di Finanza e dell’Agenzia delle entrate (cfr. comma 5-ter).
L'Authority interviene anche sull’art. 21 del disegno di legge citato che inserisce i commi 2-sexies e 2 – septies all’articolo 5 del CAD, in materia di certificazioni fiscali e pagamenti elettronici. Il comma 2 sexies aggiunge la possibilità di gestire i processi di certificazione fiscale tra soggetti privati e, in particolare la fatturazione elettronica e la trasmissione telematica all’Agenzia delle entrate dei dati inerenti i corrispettivi giornalieri delle cessioni di beni e delle prestazioni di servizi, in sostituzione degli obblighi di registrazione. La piattaforma renderebbe disponibili in automatico durante il pagamento, i dati necessari per la generazione della fattura elettronica agli esercenti aderenti e ai loro eventuali fornitori di fatturazione, per le transazioni effettuate dai clienti finali mediante carta di pagamento su POS opportunamente integrati. Si tratta di un processo che renderebbe automatica la produzione della fattura elettronica evitando operazioni manuali ed errori.
Secondo il successivo art. 2-septies, le regole tecniche per l’attuazione della previsione normativa saranno emanate con decreto del Presidente del Consiglio dei Ministri o del Ministro delegato per l’innovazione tecnologica e la digitalizzazione, d’intesa con il Ministero dell’economia e delle finanze e l’Agenzia delle entrate.
Anche a tal proposito, il Garante chiede che la disposizione venga riformulata, in modo da precisare il ruolo del gestore della Piattaforma e le caratteristiche del trattamento riferito ai processi di certificazione fiscale, a fini di fatturazione elettronica e di memorizzazione e trasmissione dei corrispettivi giornalieri.