Lo scenario

Fattura elettronica e data protection, ecco tutti i dubbi del Garante

Il braccio di ferro che dura anni tra il Garante della privacy e l’Amministrazione finanziaria permette di riflettere sul rapporto tra fatturazione elettronica e data protection e le relative implicazioni per i contribuenti

22 Lug 2020
Riccardo Berti

avvocato Centro Studi Processo Telematico

Franco Zumerle

Coordinatore Commissione Informatica Ordine Avvocati Verona


Sono una ventina i provvedimenti che il Garante Privacy ha dedicato al complesso tema della fattura elettronica: per il delicato rapporto tra questa tematica e la data protection. Ora è il momento per l’Amministrazione finanziaria di trarre i frutti del proprio duro lavoro, ovvero di regolare limiti e modalità per procedere alla verifica di questo enorme database organizzato di adempimenti fiscali. Vediamo la situazione.

Gli interventi del Garante

Già nel 2017 l’Autorità metteva in guardia dai rischi connessi alla centralizzazione ed alla disponibilità dei dati personali inseriti nelle fatture elettroniche.

Se da un lato l’Amministrazione Finanziaria non fa mistero dell’obiettivo di “collezionare” quanti più dati possibili dei contribuenti, così da poterli esaminare e incrociare in maniera rapida ed automatica in sede di verifica, dall’altro lato il Garante ha sollevato nei propri pareri, sin dal 2018, varie perplessità, che hanno anche portato, il 15 novembre dello stesso anno, ad una ingiunzione rivolta all’Agenzia delle Entrate dove si evidenziavano le carenze nell’approccio dell’Agenzia (dimentica dei principi di privacy by design e by default imposti dal Regolamento GDPR) nonché la potenziale violazione del GDPR da parte del sistema di fatturazione elettronica.

La normativa nel Decreto Fiscale del 2019

Primo passo in questo senso è l’art. 14 del D.L. 124 del 2019, il quale dispone che i file delle fatture elettroniche acquisiti dal Sistema di Interscambio sono memorizzati fino al 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento (ovvero fino alla definizione di eventuali procedimenti giudiziari).

Questo al fine del loro utilizzo:

  • da parte dalla Guardia di finanza nell’assolvimento delle sue funzioni di polizia economica e finanziaria;
  • da parte dall’Agenzia delle entrate e dalla Guardia di Finanza per le attività di analisi del rischio e di controllo a fini fiscali.

Per calare nel concreto questa normativa l’Agenzia aveva però bisogno di un provvedimento direttoriale con cui aggiornare le “Regole tecniche per l’emissione e la ricezione delle fatture elettroniche” alla luce dell’inquadramento delle modalità ispettive e dei termini di conservazione fissati nel 2019.

Le nuove Regole Tecniche

Queste Regole Tecniche aggiornate contengono rilevanti novità ed in particolare prevedono:

  • la memorizzazione dei c.d. “dati fattura integrati” (ovvero i “dati fattura” cui vengono sommati ulteriori dati utili ai fini fiscali, come ad esempio la natura, qualità e quantità dei beni e dei servizi oggetto dell’operazione, ovvero la descrizione dell’oggetto della fattura). Tali dati, secondo le Regole Tecniche, potranno essere trattati unicamente dal personale delle strutture centrali dell’Agenzia delle Entrate per lo svolgimento delle attività di analisi del rischio e di “promozione dell’adempimento spontaneo” (ovvero il procedimento introdotto con la legge di bilancio del 2014, che peraltro prevede la messa a disposizione degli stessi dati utilizzati per la “promozione” alla Guardia di Finanza).
  • l’utilizzo dei file xml delle fatture, da parte del personale centrale e delle strutture territoriali dell’Agenzia delle Entrate specificatamente autorizzato (ovvero dotato di apposito incarico/autorizzazione ai fini privacy), nell’ambito delle attività istruttorie connesse:
  1. all’esecuzione dei rimborsi ai contribuenti;
  2. all’esercizio dei poteri che fanno capo agli uffici impositivi (che includono, fra gli altri, quelli di invito al contribuente a comparire o a esibire o trasmettere comunicazioni, di estrarre copie presso notai, conservatori e altri pubblici ufficiali, di ottenere informazioni da banche, intermediari finanziari e imprese di investimento, etc.)
  3. all’espletamento degli accessi, ispezioni e verifiche presso le sedi dei contribuenti;
  4. al controllo formale delle dichiarazioni;
  5. al controllo preventivo sulle dichiarazioni presentate mediante modello 730 con esito a rimborso.
  • la stipula di una convenzione con la Guardia di Finanza per la messa a disposizione dei file delle fatture elettroniche e dei “dati fattura integrati” per le sue attività di polizia economica e finanziaria.

Il parere del Garante

Il Garante, di fronte a questa recrudescenza dell’Amministrazione finanziaria, che torna alla carica proponendo un trattamento dati di inedita portata (e che include dati che ben poco hanno a che fare con gli accertamenti fiscali veri e propri) preoccupata più di escludere limiti o eccezioni ai propri poteri di indagine piuttosto che di selezionare a monte i dati che potrebbero essere utili in sede di accertamento (semplificando così anche il proprio lavoro), non può che richiamare le perplessità già manifestate nel 2018 e nel 2019, evidenziando che il trattamento proposto è sproporzionato rispetto ai fini perseguiti.

Il Garante ci ricorda infatti che ogni anno vengono emessi circa 2 miliardi di fatture, e questi documenti non possono essere intesi come semplici “giustificativi” indirizzati all’erario in quanto devono in realtà assolvere molteplici funzioni, tra cui ad esempio descrivere al cliente che cosa sta pagando (dettagliando quindi in cosa consiste il bene o servizio e magari i motivi per cui il prezzo richiesto si discosta dal preventivo), quindi non tutti i dati inseriti in fattura sono “trattabili” a fini fiscali senza tenere in considerazione presidi e cautele in tema di protezione dei dati.

WHITEPAPER
IoT Security: i fattori prioritari e i modelli da considerare nelle valutazioni dei rischi
IoT
Legal

Di fronte quindi ad un documento-fattura che contiene già numerosi dati (e spesso più di quelli che servirebbero all’Amministrazione per effettuare la propria attività), preoccupa l’atteggiamento dell’Amministrazione che vuole “estendere” sistematicamente il documento-fattura (che già contiene numerosi dati che invece non hanno rilievo per l’attività ispettiva, come ad esempio i file eventualmente allegati alla fattura) integrandolo con dati ulteriori (“dati fattura integrati”) senza preoccuparsi della loro utilità o rilevanza, né della tipologia di dati contenuti nella fattura.

Che senso ha ad esempio che un consumatore sia individuato (con nome, cognome, codice fiscale) in seno ad un controllo rivolto al professionista che ha svolto in suo favore un servizio relativo ad esempio ad aspetti sanitari o relativo a procedimenti penali?

Se poi consideriamo che i dipendenti dell’Agenzia delle Entrate sono circa 40.000 ed il personale in forza alla Guardia di Finanza arriva invece ad oltre 60.000 unità, ci rendiamo conto che la platea di soggetti “autorizzabili” a conoscere dati personali appartenenti a categorie particolari di tutti i contribuenti è parecchio numerosa.

Gli aspetti critici

Il Garante esprime quindi preoccupazione per l’estensione bidirezionale del trattamento promossa dall’Autorità finanziaria, diretta sia ad ampliare l’oggetto della memorizzazione (“dati fattura integrati”), sia l’ambito di utilizzo di tali dati.

A questo punto il Garante indica chiaramente la strada da percorrere all’Amministrazione, ovvero quella di:

  • escludere dal trattamento i dati non rilevanti ai fini fiscali;
  • escludere dal trattamento i dati inerenti la descrizione delle prestazioni fornite, che potrebbero includere dati appartenenti a categorie particolari (basta pensare ad una prestazione relativa ad aspetti sanitari ma non solo, ad esempio una fattura per un pasto kosher dà informazioni sulla religione del cliente);
  • escludere dal trattamento i codici fiscali dei consumatori per tutte le fatture non portate in detrazione.

Il Garante, nel richiamare i propri provvedimenti del 2018 e del 2019 precisa infine all’Amministrazione che i correttivi adottati dal Ministero per superare le criticità emerse nel sistema di fatturazione elettronica nel 2018 e nel 2019 non possono in ogni caso giustificare un’estensione del trattamento dati al di là di quanto è proporzionato e necessario rispetto allo scopo perseguito.

Il Garante ci dice infatti che: “anche laddove si assicurino elevati livelli di sicurezza e accessi selettivi” ed anche tenendo conto del fatto che, allo stato, le spese sanitarie trasmesse attraverso il sistema Tessera Sanitaria sono escluse dal provvedimento in esame, il trattamento promosso dall’Agenzia risulta comunque “sproporzionato in uno stato democratico, per quantità e qualità delle informazioni oggetto di trattamento, rispetto al perseguimento del legittimo obiettivo di interesse pubblico di contrasto all’evasione fiscale perseguito”.

La conclusione del Garante privacy è chiara e denuncia il trattamento dati portato dallo schema di decreto direttoriale come in violazione del Regolamento GDPR, non proporzionato rispetto all’obiettivo perseguito, non rispettoso dei principi di privacy by design e by default e privo di adeguate garanzie tese alla protezione dei dati (specie di quelli appartenenti a categorie particolari o relativi a procedimenti penali). Un ultimo paragrafo viene dedicato dal Garante a quella attività di “analisi del rischio” descritta nel regolamento e che avrà fatto accapponare la pelle ai lettori più attenti, memori delle derive statunitensi in proposito e di come questi strumenti di analisi, specie se non trasparenti, possano trasformarsi in quelle che Cathy O’Neil nel suo libro (dal titolo omonimo) chiama “armi di distruzione matematica”.

Il Garante chiarisce innanzitutto che una simile attività costituisce profilazione, ovvero un trattamento automatizzato dei dati personali che valuta aspetti personali di un soggetto per analizzare o prevedere altri dati, come ad esempio il rendimento professionale, la situazione economica, salute, preferenze, interessi personali, affidabilità, il comportamento, l’ubicazione o gli spostamenti. Per essere rilevante ai sensi della normativa privacy, questo trattamento automatico deve alternativamente (1) produrre effetti giuridici o (2) incidere significativamente sulla persona profilata, entrambe ipotesi che ben probabilmente si verificheranno nel caso in cui la profilazione venisse portata avanti dall’Amministrazione finanziaria.

Il Garante ritiene necessario, in proposito, approfondire separatamente l’istruttoria al fine di acquisire ulteriori elementi di valutazione e di individuare idonee garanzie per i contribuenti. Anche perché questa profilazione verrebbe verosimilmente attuata dall’Amministrazione attraverso interconnessioni con le numerose banche dati a sua disposizione e finirebbero per coinvolgere (in potenza) tutti i contribuenti, anche minori d’età (e senza che finora vi siano dei correttivi finalizzati ad escluderli).

Le reazioni al parere del Garante

In seguito all’emanazione del parere del Garante si è scatenata una querelle fra sostenitori delle misure proposte dall’Agenzia delle Entrate e sostenitori della posizione del Garante.

Va subito precisato che – sebbene sia stato detto il contrario – il parere del Garante non è una bocciatura della fattura elettronica bensì riguarda, come abbiamo visto, solo alcuni aspetti del trattamento dati relativo alla conservazione delle fatture ed all’attività di indagine che da queste prenderà le mosse.

Con nota del 13 luglio infatti il Garante ha opportunamente precisato che: “Il parere del Garante non riguarda l’istituto della fattura elettronica – su cui l’Autorità si è, a suo tempo, e più di una volta espressa favorevolmente – ma le innovazioni con le quali il legislatore – e, conseguentemente, l’Agenzia delle entrate – ha esteso l’utilizzo, a fini di controllo, di ulteriori dati ricavati dalle fatture elettroniche, non fiscalmente rilevanti.”

Resta il dubbio di fondo (che guida le posizioni che si stanno scontrando in questi giorni) se sia giusto essere trasparenti con l’Erario, consapevoli che più ampio sarà lo scrutinio dell’Amministrazione, più chiara risulterà la posizione del contribuente, consentendo così -ci si augura- di evitare controlli fondati sul “legittimo sospetto” dell’Autorità, ovvero se sia giusto conferire all’Agenzia delle Entrate unicamente quei dati che le sono necessari per svolgere la propria attività.

La scelta, però, è già stata fatta per noi dal legislatore europeo, che non lascia adito a dubbi circa la necessità di bilanciare l’obiettivo di contrasto all’evasione dell’Autorità finanziaria con il diritto alla riservatezza di ciascuno di noi, rispettando una serie di regole e principi, contenuti nel Regolamento GDPR. Semplicemente di questo bilanciamento sinora l’Erario non ha tenuto adeguatamente conto (con riferimento alle finalità di controllo di cui stiamo discutendo).

Conclusioni

Questo “invito a riflettere” da parte del Garante potrebbe rivelarsi un’occasione per l’Agenzia delle Entrate per riuscire finalmente a superare il braccio di ferro che vede coinvolta l’Agenzia e l’Autorità fin dal 2018 sul tema della fattura elettronica e che porta a frizioni ogni volta che l’Autorità deve essere consultata per un nuovo passaggio provvedimentale. Cambiando approccio e valorizzando i principi di privacy by design e by default, l’Amministrazione finanziaria riuscirà, ci si augura, a superare le criticità esposte dal Garante, riuscendo contemporaneamente ad eliminare i dati personali ultronei dalla mole di informazioni a sua disposizione, così da rendere anche più efficiente e meno contestabile il proprio operato.

Capitolo a parte merita invece la questione dell’attività di “analisi del rischio”, una novità che non ha precedenti nel panorama italiano e che porta con sé gravose conseguenze e preoccupazioni, sarà importante seguire l’evoluzione di questa normativa, augurandoci che il legislatore e l’Agenzia scelgano la strada della trasparenza circa criteri e metodi impiegati per determinare la “propensione al rischio” di un soggetto (come del resto prescrive anche il GDPR all’art. 13 co. 2 lett. f), istituendo al contempo una rete di solide garanzie per i contribuenti, come prescrive l’art. 22 GDPR.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4