In relazione al post precedente, vediamo più in dettaglio i gravi rilievi che il Garante Privacy muove nei confronti dell'Agenzia delle Entrate nel documento web n. 9059949 e che appaiono pienamente condivisibili.
Mancata consultazione del Garante
Il rilievo preliminare riguarda il fatto che l'Agenzia delle Entrate ha definito tutte le regole di funzionamento del sistema di fatturazione elettronica senza consultare il Garante, giungendo alla creazione di "un trattamento sistematico di dati personali su larga scala, anche di categorie particolari di dati, potenzialmente relativi ad ogni aspetto della vita quotidiana", cosa per la quale il Regolamento privacy impone invece la valutazione preliminare di impatto.
Dati personali presenti nelle fatture elettroniche
Il secondo rilievo attiene al fatto che l'Agenzia delle Entrate, oltre a recapitare la fattura tramite SdI, ne conserva copia completa in formato XML. I dato conservati, oltretutto in un formato standard e ben documentato, permettono quindi un trattamento generalizzato ed automatizzato di informazioni relative a:
- abitudini di acquisto (la fattura deve riportare "natura, qualità e quantità" dei beni o servizi)
- tipologie dei consumi ed eventuale morosità (fatture delle utenze con indicazione di profili tariffari, fasce orarie, regolare pagamento delle bollette precedenti)
- appartenenza a determinate categorie di utenze (tariffe agevolate)
- condizioni commerciali (prezzi unitari, sconti, premi per traguardi di acquisto)
- dati sanitari o giudiziari (fatture emesse da medici e avvocati)
Secondo il parere, pienamente condivisibile, del Garante, "un trattamento obbligatorio, generalizzato e di dettaglio di dati personali, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi ad ogni aspetto della vita quotidiana della totalità della popolazione, non appare proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito".
Il Garante rileva altresì che per tale trattamento occorrono sia un'informativa dettagliata alle persone, sia l'adozione di idonee misure di protezione dei dati.
Messa a disposizione delle fatture sul portale dell’Agenzia
L'Agenzia delle Entrate mette a disposizione di default sul proprio sito le fatture emesse ai privati, senza possibilità per questi di opporvisi. I privati infatti possono rinunciare ad avere la copia cartacea della fattura dall'operatore economico ma non possono, al contrario, rinunciare al "servizio" dell'Agenzia delle Entrate. Secondo il Garante, tale scelta introduce un difetto di progettazione del sistema di fatturazione elettronica, rendendo irrinunciabile il trattamento da parte dell'Agenzia delle Entrate di dati non obbligatori ai fini fiscali e relativi alla totalità dei cittadini.
Ruolo degli intermediari
Presso gli intermediari che forniscono servizi di fatturazione elettronica e conservazione dei documenti si concentra una grandissima quantità di dati personali, giungendo ad una situazione diametralmente opposta rispetto alla normale gestione delle attività economiche, ove i dati sulla propria clientela e sui prezzi praticati sono un segreto ben custodito dalle imprese.
Tale massa di dati conservata in chiaro e concentrata presso un numero ridotto e ben noto di intermediari, oltre a rappresentare uno stimolo agli attacchi hacker, si presta a possibili trattamenti illeciti da parte degli intermediari stessi.
Sistema informatico
Le ultime criticità evidenziate dal Garante riguardano il protocollo FTP utilizzato per la trasmissione dei dati (nato nel 1971 e pubblicamente considerato non sicuro), l'app mobile dell'Agenzia delle entrate e la limitazione di responsabilità nella conservazione dei dati, secondo cui “l’Agenzia non potrà essere ritenuta responsabile nei confronti del contribuente né nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione”
Conclusioni
Per la prima volta il Garante ricorre al potere correttivo di avvertimento previsto dal regolamento europeo GDPR, affermando esplicitamente che la fatturazione elettronica va cambiata ed "avverte l’Agenzia delle entrate del fatto che i trattamenti di dati personali effettuati nell’ambito della fatturazione elettronica […] così come attualmente delineati, possono violare le disposizioni del Regolamento", ingiungendo "all’Agenzia delle entrate di far conoscere all’Autorità le iniziative assunte per rendere conformi i predetti trattamenti alle disposizioni sopra citate allorché gli obblighi di fatturazione elettronica divengano pienamente operativi".
Se non vengono risolti tutti i problemi di privacy evidenziati, dal 1° gennaio 2019 l'Agenzia delle Entrate effettuerà un trattamento illecito di dati personali. Sicuramente non un modo per migliorare il rapporto tra fisco e cittadini né per impostare le sempre nuove richiesti di dati che pervengono agli operatori economici nell'ambito della (perfettamente legittima ed opportuna, si badi) lotta all'evasione fiscale.
