Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

fisco e privacy

La memoria fiscale diventa digitale: ecco i nodi aperti

Dubbi sull’affidabilità del servizio di conservazione dell’Agenzia delle Entrate, nuovi rischi per la privacy del contribuente, il nodo della responsabilità: nuove sfide privacy per SdI e fatturazione elettronica

15 Nov 2018

Francesca Cafiero

archivista, Ufficio di Presidenza di ANORC Professioni

Carola Caputo

avvocato, Ufficio di Presidenza di ANORC Professioni

Andrea Lisi

Coordinatore Studio Legale Lisi e Presidente ANORC Professioni

fattura elettronica

Sembrerebbe esserci in atto una precisa manovra politica di centralizzazione obbligatoria dei processi, non solo di invio, ma anche di conservazione dei documenti fiscali inoltrati attraverso il Sistema di Interscambio. Noi nutriamo seri dubbi sul fatto che questo processo sia utile, anzi lo riteniamo molto pericoloso per i cittadini italiani, i professionisti e le imprese. Ecco perché.

Premessa

Il fatto è noto: l’Associazione Nazionale Commercialisti (ANC) ha, recentemente, inoltrato una segnalazione all’Autorità Garante della Concorrenza e del Mercato, richiamando l’attenzione sulle condotte commerciali improprie tenute da alcuni soggetti fornitori di sistemi contabili e gestionali, relativamente alle procedure di fatturazione elettronica,e  in particolare sollevando forti dubbi sul servizio offerto centralmente dall’Agenzia delle Entrate (per il tramite di Sogei) e sui profili di responsabilità a suo carico. Come si apprende da un successivo comunicato stampa della stessa Associazione, la segnalazione è stata assegnata alla competente Direzione Comunicazioni della Direzione Generale per la concorrenza dell’AGCM, per accertare l’illiceità dell’infrazione segnalata ai fini della normativa in materia di tutela della concorrenza e del mercato.

L’ANC aveva, inoltre, sollevato la questione dei rischi connessi alle procedure di fatturazione elettronica anche con riferimento agli aspetti legati alla protezione dei dati personali, ravvisando l’opportunità di informare il Parlamento e il Governo, per garantire un’azione di vigilanza volta a contrastare ogni forma di abuso.

Alla luce delle criticità segnalate dall’Associazione, il 7 novembre è stata presentata un’interrogazione a risposta immediata in Commissione Finanze della Camera dei Deputati, per conoscere le iniziative tecnico-normative che il Governo intende assumere al fine garantire l’effettiva riservatezza dei dati personali contenuti nelle fatture elettroniche trasmesse all’Agenzia delle entrate tramite il SDI, rilevando che “le informazioni di carattere personale o relative a transazioni commerciali” immesse nel sistema di fatturazione gestito da Sogei per conto dell’Agenzia delle entrate “potrebbero essere oggetto di interesse da parte di terzi, volti a conoscere le scelte degli operatori economici e a profilarne le caratteristiche”. Quesito, questo, tanto più urgente, se si rivolge l’attenzione ai lavori di conversione del cosiddetto “Decreto fiscale”, attualmente in corso in parlamento.

Conservazione presso Sogei obbligatoria per tutti?

Mentre alla Camera ci si interroga sulle criticità del servizio di conservazione delle fatture elettroniche fornito dall’Agenzia delle Entrate, al Senato, nella omologa Commissione Finanze e Tesoro, si propongono emendamenti all’articolo 10 del Decreto-legge, recante “Disposizioni di semplificazione per l’avvio della fatturazione elettronica”. Tra gli ultimi emendamenti presentati, uno, in particolare, incide sul D.Lgs. 5 agosto 2015, n. 127[2], che sembrerebbe connotare il servizio gratuito di conservazione messo a disposizione dall’Agenzia delle Entrate come “mezzo esclusivoper ritenere assolti gli obblighi di conservazione a norma delle fatture elettroniche e dei documenti informatici trasmessi attraverso il Sistema di Interscambio.[3]

I temi sono molti e assai delicati. È giusto, in questo momento, attendere gli esiti degli accertamenti in corso presso le Istituzioni competenti, per evitare formulare giudizi su dati non verificati. Ciò non toglie che un eventuale obbligo generalizzato di conservazione dei documenti fiscali inoltrati tramite SDI da parte di Sogei, per conto dell’Agenzia delle Entrate, solleverebbe molti dubbi di compatibilità con il principio europeo di sussidiarietà, il quale potrebbe oggi giustificare la facoltatività di questo servizio gratuito, offerto da una società per azioni, solo se pensato in favore di alcune categorie svantaggiate di contribuenti (come del resto immaginato e regolamentato inizialmente dal legislatore), ma di certo un’impostazione diversa porterebbe a distorcere le normali regole del libero mercato ed essere quindi valutata molto negativamente a Bruxelles.

Procedendo con ordine, cerchiamo di fare il punto sulle varie questioni legate a questi servizi offerti dall’AE.

Il servizio di conservazione offerto dall’Agenzia delle Entrate

C’è un dato critico prima di tutto – più d’uno, in verità – che vorremmo richiamare. Ed è una clausola della Convenzione di servizio per la conservazione delle fatture elettroniche offerto dall’Agenzia delle Entrate, contenuta nell’attuale articolo 2:

«L’Agenzia non potrà essere ritenuta responsabile nei confronti del Contribuente né nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del Servizio di conservazione ove connessi o derivanti da:

a) fatture elettroniche inviate volontariamente dal Contribuente per la conservazione, o trasmesse e ricevute dallo stesso tramite il Sistema di Interscambio, contenenti dati non accurati, o non corretti, o in un formato diverso da quello previsto, o non completi o di scarsa qualità;

b) forza maggiore, caso fortuito o fatto di terzo;

c) situazioni oggettivamente al di fuori del controllo e delle possibilità di intervento dell’Agenzia»

Così fan tutti (?)

È molto facile, leggendo la clausola appena riportata, (s)cadere nel j’accuse contro i “Poteri Forti” che tramano ai danni degli sprovveduti contribuenti, condannando senza appello – in processi celebrati, spesso, sui social network – chi pensava di profittare dell’altrui ingenuità.

È più facile ancora (per alcuni, forse, anche più galvanizzante) guardare dall’alto in basso gli infervorati inquisitori, che non si sono mai dati pena di leggere un contratto di fornitura di servizi di conservazione digitale. Alla luce di queste premesse, intendiamo riservare volentieri la polemica ad altra agorà, continuando a concentrarci sui dati.

Trova le differenze

Consultando l’elenco dei Conservatori accreditati dal sito di AgID, ne abbiamo trovato uno che fa al caso nostro: Insiel s.p.a., la società in house della Regione Friuli-Venezia Giulia, per servizi di conservazione in favore di Enti locali, Enti regionali ed Enti pubblici economici.

Come l’Agenzia delle Entrate, anche la Regione Friuli-Venezia Giulia disciplina le condizioni di erogazione del servizio di conservazione in una convenzione stipulata con l’Ente produttore, che prevede, all’articolo 7:

La REGIONE non potrà essere ritenuta responsabile per ritardi e/o interruzioni nell’erogazione del servizio causati da:

    1. manomissioni o interventi che compromettano il corretto funzionamento del servizio o delle apparecchiature effettuati da personale dell’ENTE o da terzi non autorizzati dalla REGIONE;
    2. errata utilizzazione del servizio da parte del personale dell’ENTE e/o mancato rispetto dei termini (di consegna, controllo, verifica dei documenti), stabiliti nel presente atto, nei DOCUMENTI o nel MANUALE e, comunque, la REGIONE non può essere ritenuta responsabile per lo svolgimento delle attività di pertinenza dell’ENTE;
    3. interruzione totale o parziale del servizio di accesso alla rete internet da parte dell’operatore di telecomunicazione;
    4. malfunzionamento dei dispositivi di protezione elettrica dell’ENTE;
    5. inadempimenti e violazioni di legge perpetrati dall’ENTE;
    6. forza maggiore o caso fortuito.

Nulla di diverso? Non proprio. </h2g

Per cominciare, l’oggetto dell’esenzione di responsabilità: ritardi e/o interruzioni nell’erogazione del servizio (punto). In secondo luogo, la precisa indicazione dei casi in cui la Regione è esente da responsabilità.

Ancora, il criterio di imputazione della responsabilità: è impossibile, per qualunque fornitore di servizi di conservazione, eliminare completamente il rischio di danno. Anche adottando tutte le misure idonee ad evitarlo, un margine di rischio, inevitabilmente, resta se si verifica un evento esterno indipendente dalla sua condotta. È uno dei principi più saldi della responsabilità civile: il danneggiante non può esser ritenuto responsabile ove risulti interrotto il nesso di causalità tra l’esercizio della sua attività e il fatto dannoso.

Ma questo è vero, appunto, se il danno è causato da un fatto impossibile da controllare, pure usando la massima diligenza possibile.

Questa regola, però, non vale per l’Agenzia delle Entrate, che preferisce spostare il rischio di danno (variamente declinato) sul contribuente: questo rischio non solo è connesso a negligenza nell’invio volontario, ma anche nella trasmissione e ricezione (passiva) di fatture elettroniche tramite il Sistema di Interscambio, oppure a forza maggiore, caso fortuito o fatto (qualsiasi) di terzo o, per non negarsi nulla, a (tutte) le situazioni oggettivamente al di fuori del controllo e delle possibilità di intervento dell’Agenzia.

Come dire, se un dipendente di Sogei si allontana dalla scrivania senza preoccuparsi di bloccare l’accesso al computer, e un altro, per dispetto, elimina tutti i pacchetti di versamento appena presi in carico, vi sembra una situazione che l’Agenzia possa, oggettivamente, controllare?

Qualche dubbio sull’affidabilità del servizio di conservazione offerto dall’Agenzia delle Entrate è quindi oggi legittimo.

Chiediamocelo

Ebbene, è proprio come sembra. Senza dubbio bisogna riconoscere un merito agli artefici di questa progressiva tendenza alla centralizzazione dei sistemi e dei processi di conservazione delle fatture elettroniche: nessuno cerca di indorare la pillola, in alcun modo!

Chiediamoci allora se tutti questi documenti, conservati per nostro conto da organismi dello Stato, sono affidati a strutture (o, meglio, a società informatiche a partecipazione pubblica) che siano considerabili “parte terza affidabile” secondo quanto previsto dal CAD? E – soprattutto – se l’utente finale è realmente garantito!

La vera beffa che si cela dietro questo scenario, risiede, da un punto di vista squisitamente archivistico, proprio nell’abuso di termini quali “gestione”, “conservazione” e “servizio”. Prima ancora che della centralizzazione, bisognerebbe infatti discutere delle modalità di sedimentazione della nostra memoria. La progettazione di architetture valide per la conservazione dei documenti, specialmente se destinati al lungo periodo, non può infatti prescindere da un elemento fondamentale: l’accettazione delle responsabilità. È da questa consapevolezza che derivano tutte le garanzie di cui il cittadino necessità e solo partendo da questa base è possibile impostare un –corretto- programma di centralizzazione, come previsto dal Piano triennale per l’informatica nelle Pubblica Amministrazione

Il nodo della responsabilità

Non tutti sono a conoscenza che le attuali regole tecniche (DPCM 3 dicembre 2013), testo di riferimento nazionale in materia di conservazione, sono state disegnate su un modello architetturale in origine brevettato dalla NASA per la preservazione dei dati delle missioni spaziali. Si tratta di un modello idoneo a preservare nel lungo periodo documenti e informazioni, tradotto nel contesto nazionale in regole spesso troppo onerose per i soggetti privati i cui obblighi di conservazione non vanno oltre i 10 anni.

Ebbene, potrà suonare singolare, ma l’intera architettura made in USA si basa su una sola, semplice premessa: l’accettazione delle responsabilità.

Il Consultative Committe for Space Data System, ha infatti collocato nell’introduzione delle sue Best Practices (poi divenute standard ISO) una sorta di autodefinizione, estendibile a tutti i soggetti che svolgono attività di conservazione basata sul modello, cosiddetto “OAIS”, ossia “An OAIS is an Archive, consisting of an organization, which may be part of a larger organization, of people and systems that has accepted the responsibility to preserve information and make it available for a Designated Community”. Tradotto: un’organizzazione di persone e sistemi che ha accettato la responsabilità di conservare le informazioni e renderle disponibili per una comunità designata.

Alla luce dei fatti, si potrebbe pacificamente accostare questa stessa auto-definizione ai soggetti protagonisti dell’attuale scacchiere della centralizzazione dei servizi documentali della PA?

Evidentemente no.

Persone (e) sistemi

Elemento degno di nota: lo standard reca un riferimento esplicito ad organizzazioni composte da persone e sistemi, che costituiscono una sorta di Yin e Yang inscindibile dell’intero modello architetturale di riferimento, sia a livello funzionale, che strutturale, per il buon esito del processo di conservazione.

Ora, è legittimo chiedersi sia stato possibile travisare delle premesse apparentemente così elementari, come nel caso dell’Accordo precedentemente indicato. Eppure, il servizio offerto dovrebbe basarsi esattamente su questi principi, a ben vedere tutt’altro che teorici,

L’Agenzia, per tramite di Sogei, ha infatti inaugurato un servizio di conservazione delle fatture elettroniche, non solo in palese antitesi con le regole elementari del mercato – quasi al limite della dittatura informatica, ma soprattutto di reale pericolosità per il contribuente, specie in caso di contenzioso tributario.

Dati fiscali e non solo

Non meno gravi risultano le problematiche di (in)comprensibilità giuridica in punto di protezione dei dati personali.

L’Allegato 1 alla Convenzione di servizio per la conservazione delle fatture elettroniche contiene le Istruzioni generali al Responsabile del trattamento dei dati personali. Così si qualifica l’Agenzia delle Entrate, almeno su questo nessun dubbio. Al Contribuente che aderisce alla Convezione spetta, invece, la qualità “titolare delle fatture elettroniche, che riveste i ruoli di Produttore delle fatture, di Responsabile della relativa conservazione, e di Utente”. Peccato che, tra tutti i titoli riconosciuti al fruitore dei servizi di conservazione, non ve n’è uno relativo al trattamento dei dati personali.

Allora, proviamo a ragionarci su. Sia che emetta le fatture da inviare in conservazione, sia che le riceva, indubbiamente il contribuente conferisce all’Agenzia delle Entrate dati personali a sé riferiti: in suo capo, quindi, dovrà configurarsi la qualità di Interessato al trattamento.

E tuttavia, con l’adesione alla Convenzione, “l’Agenzia viene nominata responsabile del trattamento dei dati personali”. Da chi riceva questa nomina (e le relative istruzioni) non è chiaro. Dallo stesso Contribuente (che, a questo punto, comincia ad avere serie crisi di identità)? O, forse, dal Ministero dell’Economia e delle Finanze, deus ex machina invisibile all’umana percezione?

Non è il caso, qui, di dilungarsi nella disamina della questione, che, in verità, non siamo in grado di risolvere. E men che meno sapremmo dare risposta agli interrogativi che, inevitabilmente, ne conseguono: chi, oltre all’Agenzia delle Entrate e a Sogei, ha accesso ai dati personali del contribuente? Quando i tempi di conservazione sono terminati, chi si occupa della loro eliminazione? E a chi dovrebbe rivolgersi il contribuente, se mai volesse esercitare i diritti riconosciuti all’Interessato dal Regolamento 679/2016?

…Il mal di testa è imperante

A ciò potremmo aggiungere il fatto che attualmente sul portale dell’Agenzia Entrate sono reperibili ben due versioni del documento di accordo (ca va sans dire trattasi di documenti informatici non sottoscritti e privi di data certa!)[5]. Tralasciando le serie problematiche archivistiche che affliggono l’AE (pubblicazione on line di documenti non firmati, non protocollati e/o correttamente repertoriati e non datati), soffermiamoci sui contenuti di entrambi. Da un rapido screening, entrambe le “versioni” non aiutano a gettar luce su ruoli e responsabilità inerenti al trattamento dei dati personali nei rapporti tra Agenzia e Sogei. Nello specifico, entrambi sembrerebbero comparire come “Responsabili esterni”, mentre di fatto, nella Convenzione è l’AE Responsabile, che si serve di un fornitore esterno.

Insomma, nello stato in cui ci troviamo, siamo davvero certi di voler consegnare oggi a Sogei la memoria digitale fiscale di tutti i contribuenti italiani?

Noi ci rifletteremmo ancora un po’ su…

@RIPRODUZIONE RISERVATA

Articolo 1 di 3