Decreto fiscale 2020, i problemi privacy della lotta all'evasione | Agenda Digitale

efatture e protezione dati

Decreto fiscale 2020, i problemi privacy della lotta all’evasione

Tutte le criticità sul fronte della protezione dei dati sollevate dalle normative contenute nel Decreto Fiscale 2020 collegato alla legge di bilancio 2020 nell’ambito dei controlli della Guardia di Finanza e dell’Agenzia delle Entrate sulle fatture elettroniche

21 Nov 2019
Anna Cataleta

Avvocato, Senior Partner P4I

Gabriele Faggioli

CEO Gruppo Digital360


Le previsioni normative contenute nel Decreto Fiscale 2020 (D.L. 26 ottobre 2019 n. 124) collegato alla legge di bilancio 2020, presentano alcune criticità dal punto di vista della protezione dei dati, in particolare individuabili all’interno dell’art. 14, che ha introdotto due nuovi commi, il 5-bis e il 5- ter, all’articolo 1 del d.lgs. 5 agosto 2015 n. 127 in materia di trasmissione telematica delle operazioni IVA. [1]

In particolare, il nuovo comma 5-bis consente l’utilizzo dei dati contenuti nei file XML (eXtensible Markup Language) delle fatture elettroniche (i) alla (sola) Guardia di finanza nell’assolvimento delle funzioni di polizia economica e finanziaria[2] e, congiuntamente, alla Guardia di Finanza e all’Agenzia delle entrate, per le attività di analisi del rischio e controllo ai fini fiscali, ivi inclusi i controlli incrociati con i dati contenuti in altre banche dati conservate dalla stessa Agenzia o da altre amministrazioni pubbliche, al fine di favorire l’emersione spontanea delle basi imponibili.

Contrasto all’illegalità e dati sensibili

Nelle intenzioni dichiarate dal legislatore c’è il potenziamento dell’attività di contrasto di molteplici forme di illegalità, anche in settori diversi da quello strettamente tributario, come il mercato dei capitali e la tutela della proprietà intellettuale[3].

La norma sopra citata, nello specifico, prevede che sia possibile, per Guardia di Finanza e Agenzia delle Entrate, accedere ai file relativi alle fatture elettroniche, alternativamente, fino al 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento, oppure fino alla definizione di eventuali contenziosi insorti, dunque per un periodo di tempo molto esteso, che supera gli ordinari termini di accertamento pari a 5 o 7 anni[4]. Tra i dati contenuti all’interno dei documenti di cui sopra sono compresi quelli concernenti lo stato di salute e la eventuale sottoposizione a procedimenti penali del soggetto interessato (essendo coinvolte le relative fatture dei professionisti che lo hanno assistito), configurandosi una memorizzazione analitica dei dati, e, in particolare, un ampliamento della disponibilità degli stessi nei confronti della Guardia di Finanza, che avrà margine di intervento maggiore, con lo scopo di reprimere qualsiasi forma di illegalità contro la spesa pubblica, il mercato dei capitali e la proprietà intellettuale[5].

Decreto fiscale e privacy: i paletti del Gdpr

Le disposizioni contenute all’interno del Decreto Fiscale, tuttavia, rischiano di porsi in contrapposizione, oltre che con la recente memoria del 5 novembre 2019 del Garante, con i provvedimenti della medesima Autorità del 15 novembre e del 20 dicembre 2018, con la giurisprudenza della Corte di giustizia europea e con le previsioni di cui all’art. 23 del GDPR (Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE “Regolamento generale sulla protezione dei dati”).

In particolare, i due citati provvedimenti del Garante evidenziano come l’obbligo di fatturazione elettronica coinvolga dati che eccedono il fine, seppur legittimo, di interesse pubblico collegato all’accertamento fiscale e la cui memorizzazione, evidenzia Antonello Soro tramite le considerazioni contenute all’interno della citata memoria del 5 novembre 2019, risulta sproporzionata, per quantità e qualità di informazioni, rispetto alle reali esigenze perseguite. A tal proposito il Presidente dell’Autorità Garante per la Privacy italiana, ricorda che, oltre ai dati relativi alla salute e all’eventuale coinvolgimento degli interessati in procedimenti di natura penale, il flusso di informazioni derivante dal trattamento in oggetto coinvolge anche notizie sul rapporto tra cedente e cessionario, come, per esempio, sconti applicati, fidelizzazioni e abitudini di consumo[6], non pertinenti rispetto alle esigenze di accertamento a livello fiscale. Non solo, è stato rilevato che il trattamento avviene anche senza rispettare i principi di privacy by design e by default, i quali imporrebbero di adottare tutte le misure tecniche di sicurezza ed organizzative per proteggere i dati. Ancora, l’Autorità ha fatto presente come questa pratica, comportando il trattamento di dati personali classificabili come relativi alla salute o a condanne penali e reati, avrebbe dovuto implicare la previa consultazione alla stessa ai sensi dell’art. 36 del GDPR.

L’art. 23 del GDPR prevede, al paragrafo 1, che i diritti degli interessati e gli obblighi del Titolare del trattamento possano essere limitati, nel rispetto dei diritti e delle libertà fondamentali, in maniera proporzionata e solo qualora ciò si renda necessario: per salvaguardare la sicurezza pubblica o nazionale; la difesa; la prevenzione, l’accertamento, l’indagine e il perseguimento di reati o l’esecuzione di una sanzione penale; per perseguire obiettivi di interesse pubblico rilevante; per la salvaguardia della magistratura; per prevenire, accertare, indagare o perseguire violazioni della deontologia delle professioni regolamentate; per tutelare l’interessato o i diritti o la libertà altrui; per il perseguimento di azioni civili.

WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?

Questo, con la precisazione, al paragrafo 2, che ogni disposizione di questo genere specifichi almeno: finalità o categorie del trattamento; categorie di dati trattati; la portata delle limitazioni introdotte; le garanzie per prevenire abusi, accesso o trasferimento illeciti; indicazione del titolare del trattamento; periodi di conservazione e garanzie applicabili; rischi per diritti e libertà degli interessati e, infine, diritto degli interessati ad essere informati della limitazione, a meno che questo non comprometta la finalità della stessa.

Le misure di garanzia previste dal legislatore

Il Legislatore del Decreto Fiscale 2020 è indubbiamente consapevole dei rischi per i diritti e le libertà degli interessati derivanti dalle nuove disposizioni normative, e, infatti, ha anzitutto ritenuto opportuno assoggettare ad un regime diverso il settore delle prestazioni sanitarie, escludendo dall’obbligo di fatturazione elettronica -quantomeno fino al 2020- i soggetti che inviano i dati al Sistema TS (ai fini dell’elaborazione della dichiarazione precompilata), nonché i soggetti che, pur non tenuti all’invio dei dati al Sistema TS, emettono fatture comunque relative a prestazioni sanitarie effettuate nei confronti delle persone fisiche[7].

Più in generale, inoltre, il Legislatore del Decreto Fiscale 2020 ha disposto che nell’utilizzazione dei file acquisiti delle fatture elettroniche la Guardia di finanza e l’Agenzia delle entrate, sentito il Garante per la protezione dei dati personali, dovranno adottare idonee misure di garanzia, anche di carattere organizzativo, a tutela dei diritti e delle libertà degli interessati, in conformità con le disposizioni del GDPR e del novellato Codice in materia di protezione dei dati personali.[8]

In merito, il Garante ha già osservato che le “necessarie misure volte a evitare che un patrimonio informativo così sensibile sia esposto a rischi di esfiltrazione o attacchi informatici dovrebbero, peraltro, essere individuate con atto normativo ai sensi dell’art. 6, par. 3, del Regolamento, e non già con i previsti provvedimenti della Guardia di Finanza e dell’Agenzia delle entrate”[9].

È questo, indubbiamente, il punto nodale ai fini della valutazione di legittimità del trattamento in discorso e, in una logica di bilanciamento tra lo scopo di contrasto efficace dell’evasione fiscale che si desidera perseguire e la tutela dei diritti e delle libertà degli interessati, si tratta ora di vedere quali saranno le modalità, i contenuti e l’attuazione concreta delle misure di garanzia che verranno poste in essere.

L’Italia sul podio Ue per evasione IVA

Il bilanciamento, cui si fa riferimento al fine di decretare la legittimità del trattamento effettuato, tiene dunque conto, da un lato, dell’enorme mole di dati implicati da quest’ultimo e, dall’altro, del legittimo interesse a contrastare l’evasione fiscale. Con riferimento al primo aspetto, è stata pubblicato dalla Agenzia delle Entrate una raccolta di dati riguardanti i primi sei mesi dall’avvio dell’e-fattura. A fronte di 3,3 milioni di operatori, sono state trasmesse oltre un miliardo di fatture elettroniche del valore complessivo, tra imponibile ed imposta, di 1.689 miliardi di euro. La città maggiormente produttiva si è rivelata essere Milano, con quasi 215 mila operatori, i quali hanno provveduto a trasmettere oltre 257 milioni di e-fatture, seguita da Roma, avente il numero più alto mai registrato di soggetti coinvolti (quasi 221 mila), i quali hanno inviato quasi 196 milioni di file[10].

Con riferimento, invece, al secondo aspetto, va tenuto in considerazione che, da uno studio pubblicato il 21 settembre 2018 dalla Commissione europea, è emerso che, nel 2016, l’Unione Europea abbia perso un valore pari a quasi 150 miliardi di euro derivante dalle imposte sul valore aggiunto (IVA). L’Italia, oltre ad essere il terzo Paese con la maggiore discrepanza tra gettito previsto e gettito effettivamente riscosso (pari al 25,9%), preceduta solo da Romania (35,88%) e Grecia (29,2%), si è aggiudicata il primato per l’evasione dell’IVA in valore nominale, che ha raggiunto il tetto di 35,9 miliardi di euro. Nonostante questi preoccupanti riscontri, emerge che vi sia stato, rispetto all’anno precedente, un leggero miglioramento in termini percentuali, pari allo 0,23%, corrispondente all’ammontare, in valore assoluto, di circa 200 milioni di euro. Inoltre, lo studio rivela una diminuzione dell’evasione fiscale, negli anni compresi tra il 2012 e il 2016, del 3%[11].

Un’ultima considerazione di carattere tecnico: la direttiva europea 2014/55/UE ha stabilito l’obbligo di ricevere ed elaborare fatture elettroniche conformi allo standard EN 16931 rispetto alla fatturazione B2G (Business-to-Government). Tale obbligo è stato recepito all’interno dell’ordinamento italiano tramite il Decreto legislativo 27 dicembre 2018, n. 148, il quale appone il termine di adeguamento allo standard europeo al Il 18 aprile 2019 per i soggetti di cui all’art. 1 del medesimo decreto (ossia “amministrazioni aggiudicatrici e agli enti aggiudicatori di cui all’articolo 1, comma 1, del decreto legislativo 18 aprile 2016, n. 50, nonché alle amministrazioni di cui all’articolo 1, comma 2, della legge 31 dicembre 2009, n. 196”), mentre l’art. 4 comma 1 della disposizione concedono possibilità di deroga al 18 Aprile 2020 per le Pubbliche Amministrazioni sub-centrali e locali[12]. In Italia, inoltre, con il provvedimento 30 aprile 2018 del direttore dell’Agenzia delle entrate, sono state stabilite le regole (tecniche) per l’emissione e la ricezione delle fatture elettroniche per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti, stabiliti o identificati nel territorio dello Stato e per le relative variazioni, utilizzando il Sistema di Interscambio. In base a tali regole la fattura elettronica consiste in un file in formato XML, non contenente macroistruzioni o codici eseguibili tali da attivare funzionalità che possano modificare gli atti, i fatti o i dati nello stesso rappresentati.

A livello europeo, mancano invece indicazioni circa la fatturazione elettronica B2B (Business To Business) e B2C (Business To Consumer).

Se, infatti, rispetto alla fatturazione B2G -che, peraltro, non pone particolari problematiche sotto il profilo del trattamento di dati personali- il quadro normativo di riferimento è ormai delineato, la fatturazione elettronica B2B e B2C non è obbligatoria in tutti i Paesi Europei e si declina con tempistiche e modelli assai variegati.

In particolare, nessun altro Stato membro ha adottato la fatturazione elettronica tra privati, a parte (l’Italia e) il Portogallo, dove, peraltro, la Comissão Nacional de Protecção de Dados (CNDP) è intervenuta più volte, evidenziando i rischi per la protezione dei diritti fondamentali alla protezione dei dati personali e al rispetto della vita privata dei cittadini[13] . Lo stesso direttore dei servizi IRS (Imposta sul reddito delle persone fisiche) dal 1989 a 1994, Manuel Faustino, ha affermato che considera il sistema di fatturazione elettronica adottato in Portogallo, “molto poco trasparente e non molto completo in termini di diritti e garanzie” per i contribuenti.

È quindi questa un’occasione per l’Italia di porsi come modello di riferimento…

________________________________________________________________________

  1. Per un approfondimento di carattere generale su IVA e fatturazioni elettronica si rinvia al portale della documentazione della Camera dei deputati paragrafo “Fatturazione elettronica e trasmissione telematica delle operazioni IVA” https://temi.camera.it/leg18/temi/tl18_iva_imposte_indirette.html.
  2. e quindi (v. articolo 2, comma 2, d.lgs. 19 marzo 2001, n. 68) per compiti di prevenzione, ricerca e repressione delle violazioni in materia di:a) imposte dirette e indirette, tasse, contributi, monopoli fiscali e ogni altro tributo, di tipo erariale o locale;b) diritti doganali, di confine e altre risorse proprie nonché uscite del bilancio dell’Unione europea;c) ogni altra entrata tributaria, anche a carattere sanzionatorio o di diversa natura, di spettanza erariale o locale;

    d) attività di gestione svolte da soggetti privati in regime concessorio, ad espletamento di funzioni pubbliche inerenti la potestà amministrativa d’imposizione;

    e) risorse e mezzi finanziari pubblici impiegati a fronte di uscite del bilancio pubblico nonché di programmi pubblici di spesa;

    f) entrate ed uscite relative alle gestioni separate nel comparto della previdenza, assistenza e altre forme obbligatorie di sicurezza sociale pubblica;

    g) demanio e patrimonio dello Stato, ivi compreso il valore aziendale netto di unità produttive in via di privatizzazione o di dismissione;

    h) valute, titoli, valori e mezzi di pagamento nazionali, europei ed esteri, nonché movimentazioni finanziarie e di capitali;

    i) mercati finanziari e mobiliari, ivi compreso l’esercizio del credito e la sollecitazione del pubblico risparmio;

    l) diritti d’autore, know-how, brevetti, marchi ed altri diritti di privativa industriale, relativamente al loro esercizio e sfruttamento economico;

    m) ogni altro interesse economico-finanziario nazionale o dell’Unione europea.

  3. http://www.senato.it/service/PDF/PDFServer/BGT/01125053.pdf
  4. I commi 130 e 131 dell’articolo 1, della legge n. 208 del 2015 (Legge di stabilità 2016), infatti, fissano i termini per gli accertamenti al 31 dicembre del quinto ovvero del settimo anno successivi, rispettivamente, all’anno di presentazione ovvero di omessa presentazione della dichiarazione.
  5. Cfr Memoria del Presidente del Garante per la protezione dei dati personali nell’ambito dell’esame del disegno di legge C. 2220, di conversione in legge del decreto-legge n. 124 del 2019, recante disposizioni urgenti in materia fiscale e per esigenze indifferibili del 5 novembre 2019, ripresa e commentata anche dall’articolo pubblicato al presente link: https://www.repubblica.it/economia/2019/11/05/news/il_garante_informazioni_sulla_salute_degli_italiani_al_fisco_con_il_pretesto_della_lotta_agli_evasori_-240306242/?refresh_ce
  6. Memoria del Presidente del Garante per la protezione dei dati personali nell’ambito dell’esame del disegno di legge C. 2220, di conversione in legge del decreto-legge n. 124 del 2019, recante disposizioni urgenti in materia fiscale e per esigenze indifferibili del 5 novembre 2019, ripresa e commentata anche dall’articolo pubblicato al presente link: https://www.edotto.com/articolo/garante-privacy-e-decreto-fiscale-dati-sproporzionati-per-le-fattura#
  7. http://www.senato.it/service/PDF/PDFServer/BGT/01125053.pdf
  8. V. nuovo comma 5-ter all’articolo 1 del d.lgs. 5 agosto 2015 n. 127 del D.L. 26 ottobre 2019 n. 124
  9. Cit. Memoria del 5 novembre 2019
  10. https://temi.camera.it/leg18/post/OCD15-13729/dati-fattura-elettronica-primo-semestre-2019.html
  11. https://temi.camera.it/leg18/post/OCD15-13402/studio-sul-divario-iva-negli-stati-membri-ue-28-relazione-finale-2018.html
  12. Su tale aspetto v. https://www.agenziaentrate.gov.it/portale/normativa-e-prassi/provvedimenti/2019/aprile-2019-provvedimenti/provvedimento-18042019—fatturazione-elettronica-europea (provvedimento.pdf) e, per un commento, https://www.fiscooggi.it/rubrica/normativa-e-prassi/articolo/e-fatture-negli-appalti-pubblici-regole-tecniche-e-applicative
  13. V. CNPD Parecer 45/2018 e Deliberaçao n. 485/2013
WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

@RIPRODUZIONE RISERVATA

Articolo 1 di 3