fatturazione elettronica privacyIl 1 gennaio 2019 entrerà in vigore l’obbligatorietà di emissione di fattura elettronica anche tra operatori IVA (operazioni Business to Business, c.d. B2B) e consumatori (operazioni Business to Consumer, c.d. B2C). Tale obbligo comporterà un adeguamento informativo e strutturale dei processi legati al comparto della farmacia, tenendo conto soprattutto del numero esiguo di transazioni giornaliere svolte delle singole farmacie, nei confronti degli stakeholders, tra cui grossisti, fornitori ed utenti finali.

Come riportato da FarmaciaVirtuale.it, un gruppo di deputati, tutti appartenenti al gruppo di Forza Italia, tra cui Andrea Mandelli, presidente Fofi, aveva depositato un’interrogazione a risposta immediata presso la commissione Finanze della Camera, evidenziando particolari criticità soprattutto sotto l’aspetto della tutela della riservatezza dei dati personali.

L’interrogazione aveva tenuto conto di alcune anomalie sollevate dall’Associazione Nazionale Commercialisti, nei confronti di Assosoftware, Autorità Garante per la concorrenza e il mercato e ad Autorità Garante per la protezione dei dati personali, «al fine di segnalare talune criticità in materia di fatturazione elettronica, con riferimento, tra l’altro, al rischio di violazione della privacy». Preoccupazioni peraltro evidenziate in precedenza, alcuni mesi fa, dalla Claai (Confederazione Libere Associazioni Artigiane Italiane), che aveva sottolineato «il rischio di possibili problemi di violazione di segreti industriali e commerciali nonché di violazioni della privacy dei consumatore».

Il Garante della Privacy, nella riunione del 15 novembre 2018, ha emesso un provvedimento nei confronti dell’Agenzia delle entrate sull’obbligo di fatturazione elettronica. In tale provvedimento, il Garante ha osservato che «l’estensione dell’obbligo di fatturazione elettronica, in particolare, anche alle operazioni B2C, così come delineato dalla normativa primaria e secondaria di riferimento, presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali», alla luce del fatto che «nel progettare il nuovo adempimento, non si sia tenuto adeguatamente conto dei rischi, di seguito illustrati, che l’implementazione della fatturazione elettronica determina per i diritti e le libertà degli interessati, e, quindi, non siano state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento le garanzie necessarie a soddisfare i requisiti del regolamento e a tutelare i diritti degli interessati».

Le perplessità sollevate a carico dell’Agenzia delle entrate riguardano «la mancata consultazione del Garante in via preliminare», con l’obiettivo di «contribuire ad avviare il nuovo progetto con modalità e garanzie rispettose della protezione dei dati personali fin dalla progettazione», considerato che «il nuovo obbligo di fatturazione elettronica determina, inoltre, un trattamento sistematico di dati personali su larga scala, anche di categorie particolari di dati, potenzialmente relativi ad ogni aspetto della vita quotidiana, che presenta un rischio elevato per i diritti e le libertà degli interessati».

Con riferimento ai «dati personali presenti nelle fatture elettroniche», il Garante ha evidenziato che «l’Agenzia, dopo aver recapitato le fatture in qualità di “postino”, non archivi solo i dati necessari ad assolvere gli obblighi fiscali, ma la fattura vera e propria in formato XML, che contiene di per sé informazioni non necessarie a fini fiscali (oltre agli eventuali allegati inseriti dall’operatore, certamente ultronei)». Informazioni che riguardano principalmente «la descrizione delle prestazioni, i rapporti fra cedente e cessionario e altri soggetti, riferiti anche a sconti applicati, fidelizzazioni, abitudini di consumo, oltre a dati obbligatori imposti da specifiche normative di settore, con particolare riguardo ai trasporti, alle forniture di servizi energetici o di telecomunicazioni (tipologie dei consumi, fatturazione dettagliata, regolarità dei pagamenti, appartenenza a particolari categorie di utenti)» e che, secondo il Garante, devono essere gestibili «nel più rigoroso rispetto del principio di minimizzazione dei dati personali».

Anche la «messa a disposizione delle fatture sul portale dell’Agenzia», che rende disponibili ai consumatori tutte le fatture elettroniche, «in assenza di una puntuale richiesta degli stessi, nonostante il diritto di ottenerne una copia, digitale o analogica, direttamente dall’operatore», secondo il Garante comporta «un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web». Contesto «in manifesto contrasto con il principio di privacy by defalut, oltreché di minimizzazione e di privacy by design», anche per coloro che, «non rinunciando a ricevere la fattura direttamente dal fornitore, non intenderanno avvalersi del servizio messo a disposizione sul portale dell’Agenzia».

Il Garante pone particolare attenzione anche sul «ruolo assunto dagli intermediari (…) e dagli altri soggetti delegabili dal contribuente», facendo emergere «peculiari profili di rischio per il trattamento dei dati personali», considerato che «non risulta chiaro, nei citati provvedimenti, il ruolo assunto da parte degli intermediari e degli altri soggetti delegati rispetto al trattamento di dati personali, anche di dettaglio, contenuti nelle fatture elettroniche emesse e ricevute», visto che «è facilmente intuibile che la possibilità di accedere a simili banche dati stimoli grandi interessi rispetto ai quali sono, quindi, elevati i rischi di ulteriori utilizzi impropri, non solo con riferimento a trattamenti illeciti, ma anche alla proliferazione di possibili collegamenti e raffronti tra fatture di migliaia di operatori economici, in violazione dei principi applicabili al trattamento dei dati personali».

Ulteriori criticità sono state evidenziate anche nell’analisi dei «canali di trasmissione e recapito delle fatture elettroniche, intermediari e servizio di conservazione delle fatture da parte dell’Agenzia», ovvero nell’uso del protocollo di comunicazione FTP, che secondo il Garante «non è considerabile un canale sicuro», ma anche nella «mancata cifratura del file XML della fattura elettronica», considerato che per veicolare tali documenti viene utilizzato il servizio di PEC, posta elettronica certificata, «con la conseguente possibile memorizzazione dei documenti sui server di gestione della posta elettronica», esponendo i soggetti interessati «a maggiori rischi di accesso non autorizzato i dati personali, tra cui «utilizzo non esclusivo della PEC in ambito aziendale, furto di credenziali e attacchi informatici ai server».

Infine, anche la «correttezza e trasparenza della app Fatturae», predisposta dall’Agenzia, e del «servizio gratuito di conservazione delle fatture», presentano criticità rispettivamente in merito ad eventuali «ulteriori finalità di conservazione e di controllo perseguite dall’Agenzia con i dati raccolti attraverso tale applicazione» e alla possibilità che «l’Agenzia non potrà essere ritenuta responsabile nei confronti del contribuente né nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione».

© Riproduzione riservata