L'analisi

Fatturazione elettronica, il nodo della data protection: quale scenario ci aspetta

Attraverso la ricostruzione dell’interlocuzione tra Garante privacy e Agenzia delle entrate, approfondiamo gli aspetti relativi all’uso dei dati personali nell’ambito della fatturazione elettronica, valutando quali sono le possibili soluzioni per soddisfare ogni aspetto

31 Gen 2022
Salvatore De Benedictis

dottore commercialista

Il progetto fattura elettronica verrà ricordato come una rivoluzione le cui caratteristiche, implicazioni e possibilità non sono state tuttavia ad oggi sufficientemente analizzate e sfruttate. Un aspetto molto rilevante, di cui si è compresa la esatta dimensione solo a percorso avviato, è che il possesso da parte dell’Agenzia delle Entrate dei dati contenuti nelle fatture elettroniche permette la profilazione dei contribuenti destinatari delle fatture, soprattutto privati consumatori, considerato che nella fattura ordinaria (art.21, comma 2, lettera g) DPR 633/1972), è previsto l’obbligo di indicare “la natura, qualità e quantità dei beni ceduti e dei servizi prestati”[1], e nella fattura semplificata (art.21-bis, comma 1 lettera f) DPR 633/1972, ) è obbligatorio indicare la “descrizione dei beni ceduti e dei servizi resi”[2].

Questo aspetto è stato immediatamente colto dal Garante per la protezione dei dati personali, che ha avviato con l’Agenzia delle Entrate una interlocuzione che sembrerebbe giunta ad una svolta col “Parere sullo schema di provvedimento del Direttore dell’Agenzia delle entrate relativo alle nuove regole tecniche per la memorizzazione delle fatture elettroniche, da utilizzare per l’analisi del rischio e controllo a fini fiscali e per le funzioni di polizia economica e finanziaria” emanato il 22 dicembre 2021. A ben vedere, tuttavia, il garante Privacy ha espresso un parere favorevole sottoposto a ben 5 condizioni ed una raccomandazione, che è suscettibile di arrecare profondi cambiamenti nelle prassi sino ad ora utilizzate per la emissione delle fatture nei confronti dei privati consumatori; vediamo di cosa si tratta.

Fattura elettronica e data protection, ecco tutti i dubbi del Garante

Privacy e fattura elettronica, l’iter normativo

L’Agenzia delle Entrate non è il semplice “gestore” delle fatture elettroniche, o, per essere più precisi, inizialmente lo era, ma il Decreto Legge 127/2019 ha inserito nell’articolo 1 del decreto Legislativo 127/2015 la previsione secondo cui:

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

“I file delle fatture elettroniche acquisiti ai sensi del comma 3 sono memorizzati fino al 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento ovvero fino alla definizione di eventuali giudizi, al fine di essere utilizzati:

a) dalla Guardia di finanza nell’assolvimento delle funzioni di polizia economica e finanziaria di cui all’articolo 2, comma 2, del decreto legislativo 19 marzo 2001, n. 68;

b) dall’Agenzia delle entrate e dalla Guardia di Finanza per le attività di analisi del rischio e di controllo a fini fiscali”.

Il successivo comma 5-ter prevede che “la Guardia di Finanza e l’Agenzia delle entrate, sentito il Garante per la protezione dei dati personali, adottano idonee misure di garanzia a tutela dei diritti e delle libertà degli interessati, attraverso la previsione di apposite misure di sicurezza, anche di carattere organizzativo, in conformità con le disposizioni del regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 e del decreto legislativo 30 giugno 2003, n. 196”.

Il Garante aveva già evidenziato che le iniziative che l’Agenzia intendeva adottare, modificando i provvedimenti del 30 aprile 2018 e del 5 novembre 2018, non apparivano congrue, affermando, tra l’altro, che “l’integrale memorizzazione delle fatture prevista dall’impianto originario dell’Agenzia potrebbe apparire prima facie la soluzione più efficiente e rapida per dare attuazione al nuovo obbligo previsto dal legislatore, nel corso del tavolo di lavoro, ha trovato conferma quanto già rilevato nel provvedimento del 15 novembre u.s., in ordine alla manifesta sproporzione di un siffatto trattamento, sistematico e generalizzato, relativo a miliardi di fatture emesse e ricevute, e dei relativi allegati, rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito, in relazione alle specifiche finalità sopra individuate; ciò, avuto riguardo anche ai rischi elevati per i diritti e le libertà degli interessati che un simile trattamento inevitabilmente determina.” Aggiungeva il Garante – direi in maniera del tutto condivisibile – che assoggettare a monitoraggio costante le fatture di 4,7 milioni di contribuenti, quando negli anni 2016 e 2017 furono effettuati rispettivamente 121.849 e 163.339 accertamenti appariva una misura sproporzionata rispetto alla effettiva esigenza dell’Erario.

Il parere negativo del Garante privacy

Con successivo provvedimento del 9 luglio 2020 il Garante aveva espresso parere sostanzialmente negativo ad un nuovo schema di provvedimento del Direttore dell’Agenzia delle Entrate che prevedeva:

  • la memorizzazione dei c.d. “dati fattura integrati” che, in aggiunta alle informazioni già memorizzate nell’ambito dei c.d. “dati fattura”, avrebbero incluso anche i dati relativi a natura, qualità e quantità dei beni e dei servizi oggetto dell’operazione (ovvero la descrizione dell’oggetto della fattura) per tutte le tipologie di fatture elettroniche (B2B, B2C e B2G), per lo svolgimento delle attività di analisi del rischio, di promozione dell’adempimento spontaneo di cui all’art. 1, commi 634 e ss., della legge 23 dicembre 2014, n. 190 e di controllo ai fini fiscali;
  • la memorizzazione integrale dei file XML di tutte le fatture elettroniche transitate sullo SDI, comprensive degli allegati, con la consultazione e l’acquisizione da parte della Guardia di Finanza, per le attività di polizia economica e finanziaria, nonché da parte dell’Agenzia delle entrate e dalla Guardia di Finanza per le attività di controllo puntuale a fini fiscali, in attuazione delle disposizioni di cui all’art. 1, comma 5-bis, del decreto legislativo n. 127 del 2015.

Il Garante ha motivato il suo diniego facendo presente che in relazione “ai prospettati trattamenti effettuati a fini di analisi del rischio attraverso interconnessioni con le numerose banche dati a disposizione dell’Agenzia delle entrate, effettuabili anche sulla base dei c.d. dati fattura, senza informazioni sulla descrizione dei beni e servizi oggetto della fattura (cfr. DPIA n. 2, allegata alla nota citata) e che prevedono la profilazione di tutti i contribuenti, anche minori d’età, e il trattamento di dati di cui agli artt. 9 e 10 del Regolamento, si ritiene invece necessario, attesi i rischi elevati per i diritti e le libertà degli interessati, approfondire separatamente l’istruttoria al fine di acquisire ulteriori elementi di valutazione, al fine di individuare idonee garanzie per i contribuenti, nel rispetto dell’art. 22 del Regolamento”.

Il provvedimento di dicembre 2021

La interlocuzione ha prodotto un ulteriore recente provvedimento in cui il Garante ha effettuato una ricognizione delle fattispecie in relazione alle quali il possesso e l’utilizzo da parte dell’Agenzia delle Entrate e della Guardia di Finanza delle fatture elettroniche potrebbe essere suscettibile di violare il Regolamento Privacy, e, dopo averne individuato alcune,

  • ha rinnovato l’invito all’Agenzia delle Entrate di modificare lo schema di provvedimento che dovrebbe sostituire quello del Direttore dell’Agenzia delle Entrate del 30 aprile 2018, n. 89757;
  • ha disposto copia del parere al Consiglio Nazionale dei dottori commercialisti e degli esperti contabili “al fine di favorirne la diffusione dell’osservazione di cui al punto 5.5 del presente provvedimento”.

In relazione al primo punto, il Garante ha rivolto la sua analisi alle fatture emesse nei procedimenti legali ai privati consumatori, ed ha chiesto sia l’estensione delle tutele anche alle attività che potrebbero essere avviate dalla Guardia di Finanza che una adeguata modifica delle convenzioni con gli operatori economici e con i consumatori finali in relazione ai servizi di consultazione e acquisizione delle fatture elettroniche e dei loro duplicati informatici.

In relazione al secondo punto, il Garante ha di fatto chiuso una possibilità che sino ad oggi molti contribuenti avevano adottato, emettendo fattura elettronica in luogo del documento commerciale, anche se non richiesto dal cliente, per soddisfare esigenze amministrative, non ultima delle quali, per esempio, quella di evitare di acquistare un registratore telematico ovvero, in alternativa, utilizzare la web app dell’Agenzia delle Entrate o procedure analoghe per documentare cessioni o prestazioni effettuate. Non sto qui a discutere quanto sia legittimo per un soggetto che rientra nell’articolo 22 emettere una fattura elettronica in luogo (o in aggiunta) ad un documento commerciale anche senza la richiesta del cliente, ma sta di fatto che “scaricare” la difficoltà di concertazione tra Agenzia e Garante sulla testa dei contribuenti mi sembra del tutto fuori luogo.

La soluzione del problema

La storia ci insegna che non è la quantità di dati in possesso della Amministrazione Finanziaria che agevola la lotta all’evasione: è il corretto e sapiente utilizzo dei dati che fa la differenza. Occorre avere il coraggio di porre fine alla bramosia legislativa di conoscere tutto di tutti, di imporre adempimenti su adempimenti senza verificarne l’impatto sulla economia delle imprese, e poi generare controlli che di “mirato”, hanno solo il nome. Oggi assistiamo spesso ad indagini avviate magari per malfunzionamento (anche plausibile) del filtro selettivo, e che spesso si “trascinano” avanti solo perché non si ha l’onestà intellettuale di interrompere e di passare ad altro. L’effetto è che il cittadino/contribuente si sente sempre sotto indagine e, guarda caso, chi incappa nei controlli è magari chi ha rispettato i precetti di legge, e l’unico torto che ha è di essere presente nella anagrafe tributaria e di aver posto in essere gli adempimenti richiesti.

Per l’Amministrazione finanziaria essere in possesso di tutti i dati IVA delle fatture emesse nel paese in tempo reale è già di per sé un enorme passo avanti rispetto al passato. Sapere che al contribuente X – consumatore finale – sono state emesse fatture per importi rilevanti da alberghi, ristoranti o da gioiellerie, anche senza sapere ciò che ha acquistato o dove e con chi ha soggiornato, se opportunamente analizzato e riscontrato con gli altri dati risultati dai conti bancari o da altre informazioni esistenti nelle banche dati consultabili dall’Agenzia, è di per sé un elemento decisivo, che potrebbe benissimo legittimare la richiesta di accesso alle fatture elettroniche[7]. Mi chiedo come potrebbe l’Agenzia delle Entrate utilizzare per controlli automatizzati le descrizioni delle fatture elettroniche, in cui i beni e i servizi potrebbero essere riportati in maniera disomogenea o abbreviata e che mal potrebbe prestarsi ad elaborazioni massive.

Così come appare francamente “sproporzionato” (per usare un termine gradito al Garante) arrivare ad affermare che “il trattamento effettuato attraverso l’emissione di fatture elettroniche nei confronti del consumatore finale, in luogo di altri documenti commerciali, può violare il Regolamento laddove ciò avvenga in assenza di un obbligo di legge (art. 6, par. 1, lett. c)), ovvero di una richiesta di quest’ultimo (art. 6, par. 1, lett. a))[8]”. Ci rendiamo conto della difficoltà del Garante di “incidere” sui regolamenti di competenza dell’Agenzia delle Entrate, ma trasferire il problema ai contribuenti, minacciando sanzioni a carico di coloro che emettono fatture quando potrebbero emettere documenti commerciali, non appare cosa buona e giusta.

I nodi cruciali

Tutto questo è ulteriormente complicato dalla ostinazione di voler trovare una soluzione che mantenga la struttura normativa attuale. Qualunque via d’uscita dovrebbe tener infatti debitamente conto che:

  • le obiezioni poste dal Garante, in gran parte condivisibili, non sono complete. Per esempio, il problema della riservatezza non riguarda solo le prestazioni legali e le cessioni/prestazioni dei commercianti al minuto. Non è infrequente infatti che nei procedimenti penali intervengano varie figure professionali, diverse dagli avvocati. Si pensi ai reati di bancarotta, di usura, o, più in generale, alle fattispecie in cui un Dottore Commercialista è chiamato, come CTP o come CTU, a rendere prestazioni su procedimenti penali; e ciò potrebbe anche riguardare altre figure professionali;
  • In relazione poi alle fatture emesse nei confronti di consumatori finali c’è da notare che vi sono molti soggetti titolari di partita IVA che sono obbligati ad emettere fatture elettroniche (e non documenti commerciali) per le cessioni/prestazioni ai privati perché non rientrano nelle previsioni dell’articolo 22 del DPR 633/1972. Un esempio su tutti: le cessioni di beni effettuate da soggetti non che non sono in possesso della autorizzazione amministrativa o esercitano l’attività in locali non aperti al pubblico. E non solo.

Queste semplici (e non certamente esaustive) considerazioni portano a concludere che una soluzione che tenga nella giusta considerazione tutte le perplessità poste (e quelle che potrebbero esserlo) è un difficilissimo esercizio acrobatico, le cui conseguenze si tradurrebbero in complicazioni e incertezze interpretative, con ricaduta inevitabile sull’economia.

Il possibile scenario

La cosa più semplice ed auspicabile sarebbe che il legislatore facesse una bella retromarcia, e riconducesse la situazione in un contesto in cui:

  • alle fatture elettroniche “integrali” (ossia complete dei dati riservati) fosse consentita la visione da parte della Amministrazione Finanziaria e degli Enti in genere solo previo assenso del contribuente[9];
  • fermo restando il divieto di accesso alle fatture elettroniche da parte della Amministrazione Finanziaria, il contribuente avesse il diritto di decidere se mantenere o meno le fatture presso il Sistema di Interscambio. Per l’Agenzia delle Entrate cambierebbe poco perché in ogni caso sarebbe in possesso di tutti i dati rilevanti ai fini IVA e sarebbe sempre in condizione di verificare la completezza e autenticità di una eventuale esibizione da parte del contribuente essendo in possesso di tutti gli hash delle fatture elettroniche; se il contribuente, dopo aver negato alla Amministrazione Finanziaria la facoltà di custodire le fatture elettroniche, non fosse in grado di esibirle, ne subirebbe le conseguenze;
  • venisse finalmente riconosciuto che la conservazione delle fatture elettroniche è un adempimento inutile, considerato che, come sopra detto, le condizioni di completezza, autenticità e di integrità sono assicurate – come riconosciuto anche dal Garante[10] – dal possesso, da parte dell’Agenzia delle Entrate, degli hash; sarebbe poi molto utile mettere a disposizione degli utenti un servizio gratuito con cui l’Agenzia delle Entrate certificasse, anche massivamente, la autenticità e la integrità delle fatture elettroniche, previa esibizione del duplicato xml della fattura stessa.

La traduzione di quanto sopra esposto è semplice: prima di pensare a “semplificare” il sistema tributario potrebbe essere opportuno fare il possibile per non complicarlo. Ma ogni tanto si ha l’impressione che il Paese vada in direzione opposta, e chi dovrebbe contrastare questo è … a tutt’altre faccende affaccendato[11].

_

Note

  1. Obbligo che nel tempo ha assunto connotati sempre più cogenti e puntuali, confermati dagli orientamenti costanti della Corte di Cassazione, che ha affermato che la genericità della descrizione inibisce la detraibilità dell’IVA e la deduzione del costo. Purtroppo le interpretazioni Nazionali sono andate anche oltre il pensiero dei Giudici Comunitari, che nella causa C-516/14 hanno statuito da un lato che le fatture con descrizioni generiche non sono conformi ai requisiti di cui al punto 6 dell’art. 226, Direttiva n. 2006/112/CE, corrispondente alla lett. g) dell’art. 21 del DPR 633/1972, ma che l’art. 178, lett. a), Direttiva n. 2006/112/CE (non espressamente contenuto nel testo dell’art. 19 DPR n. 633/72) deve essere interpretato nel senso che le Autorità tributarie nazionali non possono negare il diritto alla detrazione dell’IVA per il solo motivo che la fattura non soddisfa i requisiti di cui sopra “laddove tali autorità dispongano di tutte le informazioni necessarie per accertare che i requisiti sostanziali relativi all’esercizio del diritto in parola siano soddisfatti.”
  2. La differenza terminologica tra le due disposizioni potrebbe essere interpretata nel senso che nella fattura semplificata possa essere riportata una descrizione sintetica della operazione, come peraltro confermato dalla circolare dell’Agenzia delle Entrate n. 12 del 3/5/2013, punto 6.7. Si ricorda che la fattura semplificata può essere emessa per cessioni/prestazioni di importo complessivo non superiore a € 400 (limite così elevato dal D.MEF. 10/5/2019).
  3. Merita particolare riflessione quanto ammesso dal garante nell’intervento del 22 dicembre 2021: “… occorre inoltre tenere presente che, non essendovi l’obbligo per il cedente/prestatore di identificare il cessionario/committente, salvo in alcuni casi circoscritti (ad esempio per obblighi antiriciclaggio), la riferibilità a un consumatore dei dati personali presenti nelle fatture, a fini diversi da quelli per i quali sono raccolti (quali, in particolare, l’attuazione delle disciplina dell’IVA), potrebbe portare a trattamenti non corretti, con errata rappresentazione della sua capacità contributiva, e in relazione ai quali potrebbe risultare impossibile (o, quantomeno, difficile) per l’interessato comprovare, a posteriori e a distanza di tempo, l’inesattezza.”. Questa considerazione offre importanti spunti anche in relazione a quanto previsto dall’articolo 2 del decreto legislativo 74/2000 a proposito di fatture per operazioni soggettivamente inesistenti.
  4. Vedi punto 5.5 del parere del garante del 22/12/2021
  5. Resterebbe comunque da considerare e risolvere quanto correttamente esposto dal Garante nell’intervento del 22/12/2021, laddove ha affermato che “… quando la raccolta di una simile mole di informazioni, di cui è stata rappresentata la pervasività rispetto a ogni aspetto della vita quotidiana delle persone fisiche, viene accentrata presso una banca dati pubblica, questa diviene un patrimonio informativo di per sé destinato a essere oggetto di potenziali utilizzi da parte di innumerevoli soggetti e autorità pubbliche, ma anche, come da ultimo ribadito dal Consiglio di Stato, di richieste di accesso da parte da chiunque ne abbia interesse ai sensi della legge n. 241/1990 (Consiglio di Stato, Sez. 2, Sent. n. 13/2020, pubblicata il 25 settembre 2020, con riferimento all’archivio dei rapporti finanziari).”
  6. Vedi punto 3 del parere del 22/12/2021: “Viene calcolato, inoltre, anche il codice hash di ciascun file XML per consentire all’Agenzia di controllare, a posteriori, l’autenticità e l’integrità delle fatture elettroniche prodotte dal contribuente in sede di controllo.”
  7. Il riferimento è alle note vicende che stanno interessando il Consiglio Nazionale dei Dottori Commercialisti ed Esperti Contabili e che stanno ostacolando la instaurazione di una indispensabile governance.

WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Articolo 1 di 3