La fatturazione elettronica ed il GDPR
Dal 1° gennaio 2019 vi è l’obbligo della fatturazione elettronica tra privati titolari di partita IVA residenti in Italia. La fatturazione elettronica è un sistema digitale di emissione, trasmissione e conservazione delle fatture che permette di abbandonare il supporto cartaceo e tutti i relativi costi di stampa, spedizione e conservazione.
In base alla normativa, la fattura può essere emessa e ricevuta solo utilizzando il Sistema di Interscambio (SdI) gestito dall’Agenzia delle Entrate.
La e-fattura comporta un trattamento sistematico e generalizzato di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione. Questo è quanto sostenuto dall’Autorità Garante per la protezione dei dati personali che invita l’Agenzia a memorizzare solo i dati fiscali necessari per i controlli automatizzati come ad esempio le incongruenze tra dati dichiarati e quelli a disposizione dell’Agenzia con esclusione della descrizione del bene o servizio oggetto di fattura.
Per la fatturazione elettronica ci può essere profilazione, perché tra le informazioni contenute nelle fatture non ci sono solo dati fiscali ma è possibile reperire abitudini e tipologie di consumo ad esempio legate alla fornitura di servizi energetici e di telecomunicazioni o ancora dati relativi a prestazioni sanitarie e legali. Sicuramente gli attori della e-fattura sono molteplici ma anche la modalità cartacea non escludeva la visualizzazione di dati personali da parte di commercialisti e consulenti in genere. Ovviamente tutti gli attori della filiera devono gestire il trattamento dei dati personali rispettando i requisiti e gli obblighi previsti dal Regolamento 2016/679.
In base ai possibili trattamenti ogni interlocutore deve analizzare le proprie attività prendendo in considerazione le architetture dei sistemi software utilizzati, i possibili rischi e gestire al meglio quello residuo applicando opportune misure di sicurezza. È d’obbligo predisporre un registro di trattamento dati.
Il Garante, nell’esprimere il proprio parere circa la nuova modalità di generazione e trasmissione delle fatture, ha rilevato una serie di criticità tra cui il ruolo assunto dagli intermediari delegabili dal contribuente per la trasmissione, la ricezione e la conservazione delle fatture, accentrando enormi masse di dati personali con un aumento dei rischi non solo per la sicurezza delle informazioni ma anche relativi ad ulteriori usi impropri grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.
Sia il sistema messo a punto dall’Agenzia delle Entrate sia i sistemi informatici di software house devono:
- Applicare misure tecnico-organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica
- Possedere Data Center certificati con possesso di tutti i requisiti previsti dalle normative
- Utilizzare Procedure di Back up e Disaster Recovery
L’utente finale deve essere a conoscenza di tutte queste informazioni; occorre quindi porre la dovuta attenzione nella scelta di un servizio per la fatturazione elettronica.
Articolo redatto dal Dott. Mario Esposito