Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La guida

Lotteria degli scontrini 2020, come funzionerà e i rischi privacy

L’avvio della lotteria degli scontrini 2020 è previsto per il primo luglio, potranno partecipare i contribuenti che fanno acquisti e dovranno fornire il codice fiscale: l’iniziativa coinvolge dunque anche il trattamento dei dati, sulla questione il Garante della privacy è intervenuto due volte

28 Gen 2020
Luca Giacobbe

Avvocato


Partirà il primo luglio 2020 la cosiddetta lotteria degli scontrini, più precisamente lotteria dei corrispettivi di cui all’art. 1 comma 540 L. 11.12.2016 n. 232. Vediamo come funzionerà nel concreto questa iniziativa e quali sono gli aspetti rilevanti sotto il profilo della protezione dei dati, sui quali si è già espresso il Garante della Privacy con due pareri rilasciati all’Agenzia delle Entrate.

Lotteria degli scontrini 2020, come funzionerà

La norma di riferimento prevede che “i contribuenti, persone fisiche maggiorenni residenti nel territorio dello Stato, che effettuano acquisti di beni o servizi, fuori dall’esercizio di attività di impresa, arte o professione, presso esercenti che trasmettono telematicamente i corrispettivi, ai sensi dell’articolo 2, comma 1, del decreto legislativo 5 agosto 2015, n. 127, possono partecipare all’estrazione a sorte di premi attribuiti nel quadro di una lotteria nazionale. Per partecipare all’estrazione è necessario che i contribuenti, al momento dell’acquisto, comunichino il proprio codice lotteria, individuato dal provvedimento del direttore dell’Agenzia delle dogane e dei monopoli, d’intesa con l’Agenzia delle entrate, adottato ai sensi del comma 544, all’esercente e che quest’ultimo trasmetta all’Agenzia delle entrate i dati della singola cessione o prestazione, secondo le modalità di cui ai commi 3 e 4 dell’articolo 2 del decreto legislativo 5 agosto 2015, n. 127”. Allo stato sappiamo quindi che tutti coloro i quali effettueranno acquisiti di beni e servizi al di fuori dall’attività imprenditoriale potranno facoltativamente scegliere di partecipare alla lotteria degli scontrini all’atto dell’emissione dello scontrino fiscale o della fattura. Sarà sufficiente comunicare all’esercente il proprio codice fiscale (denominato codice lotteria).

Il sistema inoltre incentiverà l’utilizzo di strumenti di pagamento elettronici da parte dei consumatori in quanto saranno istituiti premi speciali aggiudicati con estrazioni speciali rispetto a quelle ordinarie. Maggiori dettagli sull’entità dei premi, sulle modalità con cui saranno realizzate le estrazioni saranno rese note solo con la pubblicazione di un provvedimento dell’Agenzia delle Dogane e Monopoli emesso d’intesa con l’Agenzia delle Entrate.

Lotteria degli scontrini e trasmissione dei corrispettivi

La lotteria degli scontrini nell’idea del legislatore si lega strettamente all’obbligo in capo a tutti gli esercenti di dotarsi entro il 31 dicembre 2019 dei nuovi modelli di registratori telematici. L’obbligo ricorreva in precedenza solo per gli operatori IVA con volume d’affari nell’anno precedente al 2019 superiori a 400.000 euro. L’art. 17 del DL 119/2018 ha modificato l’art. 2 del Dlgs. 127/2015 estendendo a tutti i soggetti passivi IVA che effettuano operazioni ex art. 22 DPR 633/72 l’obbligo di adozione dei registratori telematici regolamentati da un provvedimento dell’Agenzia delle entrate del 28.10.2016 più volte modificato.

In sintesi, i registratori telematici che consentono l’elaborazione del c.d. “scontrino elettronico” devono essere configurati per consentire anche tramite lettura ottica l’acquisizione del codice lotteria rilasciato dal cliente ai fini della partecipazione alla lotteria. Con riferimento ai registratori telematici, l’art. 2 commi 3 e 4 del Dlgs. 127/15 ha previsto che la memorizzazione elettronica e la trasmissione telematica dei corrispettivi devono essere effettuati mediante strumenti tecnologici che garantiscano l’inalterabilità e la sicurezza dei dati dei corrispettivi e che le informazioni da trasmettere, le regole tecniche e le caratteristiche degli strumenti siano definiti con provvedimento del Direttore dell’Agenzia delle Entrate. Sulla scorta della norma primaria, l’Agenzia delle Entrate ha chiesto parere al Garante Privacy relativamente alla bozza di provvedimento recante “Memorizzazione elettronica e trasmissione telematica dei dati dei corrispettivi validi ai fini della lotteria di cui all’art. 1 commi da 540 a 544 della L. 11.12.2016 n. 232” che individua gli strumenti e le modalità mediante cui gli esercenti devono effettuare la memorizzazione elettronica e la trasmissione dei dati dei corrispettivi.

Secondo la menzionata bozza di provvedimento la trasmissione all’Agenzia delle Entrate avverrà tramite un apposito servizio definito “lotteria corrispettivi” attraverso un canale cifrato esclusivamente tramite un protocollo di comunicazione c.d. TLS 1,2 utilizzato anche per l’invio dei corrispettivi giornalieri. L’Agenzia ha quindi individuato i dati che nell’ambito della partecipazione alla lotteria dei corrispettivi dovranno essere oggetto di trasmissione quali:

  • la denominazione dell’esercente;
  • l’identificativo / progressivo dello scontrino;
  • l’identificativo del punto cassa (in caso di pluralità di casse nell’esercizio commerciale);
  • la data e ora dello scontrino;
  • l’importo del corrispettivo ed in particolare l’importo pagato in contanti, quello pagato con strumenti elettronici e quello non pagato;
  • il codice fiscale del cliente.

La bozza di provvedimento ha previsto inoltre che sarà cura dell’Agenzia delle Entrate acquisire i dati relativi ai documenti commerciali utili alla partecipazione alla lotteria (telematici) e trasmetterli all’Agenzia delle Dogane e Monopoli ai fini dell’alimentazione della banca dati Sistema Lotteria. È interessante notare come l’Agenzia nell’ambito del trattamento dei dati effettuato in occasione delle operazioni di acquisizione e trasmissione dei dati abbia preso una posizione precisa circa la qualificazione di sé come un titolare del trattamento (art. 24 del Regolamento UE 2016/679) mentre con riferimento ai corrispettivi acquisiti attraverso la procedura web dai registratori telematici agisca in qualità di responsabile del trattamento (art. 28 del Regolamento UE 2016/679). Per entrambe le tipologie di trattamento l’Agenzia si avvarrà di Sogei come responsabile di cui all’art. 28 del GDPR.

Tipologia dei dati da trasmettere: il primo intervento del Garante

Con parere n. 197 del 31.10.2019 ha valutato positivamente la bozza di provvedimento (pubblicato poi in pari data con n. 739122/2019 del 31.10.2019) segnalando come l’utilizzo del codice lotteria (i.e. codice fiscale) costituisce un’efficace misura di garanzia, fermo restando che i dati oggetto di memorizzazione e trasmissione telematica all’Agenzia delle Entrate, seppur sottoposti a pseudonimizzazione, debbono essere considerati come dati personali in quanto rappresentano informazioni su persone fisiche identificabili (cfr. Cons. 26 e art. 4 punti 1 e 5 del GDPR). A ben vedere, con il citato parere, l’Autorità ha inteso delimitare il proprio via libera unicamente all’individuazione dei dati da trasmettere all’Agenzia da parte degli esercenti ai fini della partecipazione alla lotteria e delle relative modalità di comunicazione facendo espresso rinvio di effettuare i necessari approfondimenti sulla disciplina dei registratori telematici di cui al provvedimento adottato dall’Agenzia delle Entrate il 26.10.2016 (adottato a suo tempo senza la consultazione preventiva del Garante) con particolari riferimento al trattamento dei dati conservati nella c.d. memoria permanente dei registratori telematici presso gli esercenti.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

In data 10.12.2019, l’Agenzia delle Entrate ha quindi sottoposto al parere del Garante Privacy uno schema di provvedimento recante “Modifiche al Provvedimento del Direttore dell’Agenzia delle Entrate n. 182017 del 28.10.2016 e successive modificazioni, in tema di memorizzazione elettronica e trasmissione dei dati dei corrispettivi giornalieri” unitamente al documento di “Specifiche tecniche per la memorizzazione elettronica e trasmissione dei dati dei corrispettivi giornalieri di cui all’art. 2 coma 1 del D.lgs. 5.08.2015 n. 127”.

Le misure tecniche e il secondo intervento del Garante

L’Autorità Garante ha quindi formulato il proprio parere positivo sullo schema di provvedimento dell’Agenzia delle Entrate ma lasciando ancora una volta la propria riserva di ulteriore valutazione rispetto al provvedimento dell’Agenzia delle Dogane e Monopoli atteso per il debutto della lotteria il primo luglio 2020. Esaminiamo però nel dettaglio quali sono le misure tecniche individuate dall’Agenzia delle Entrate per rendere conformi i registratori telematici e le modalità di memorizzazione e trasmissione dei dati al Regolamento. L’Autorità prende atto che secondo l’Agenzia delle Entrate ogni singolo esercente è individuato come un titolare del trattamento relativamente ai dati presenti nelle memorie dei registratori telematici (cfr. pag. 13 delle specifiche tecniche) e che sarà suo preciso compito mettere in atto misure di sicurezza tecniche organizzative al fine di garantire la conformità del trattamento ai sensi dell’art. 24 del Regolamento. Rilevato che ogni esercente è obbligato a conservare le c.d. memorie permanenti di riepilogo e di dettaglio generate dai registratori telematici per dieci anni ai sensi dell’art. 2220 c.c. lo schema di provvedimento dirette ai produttori ed agli esercenti prevedono che:

  • Il registratore telematico potrà permettere all’esercente di disciplinare l’accesso da remoto ai dati contenuti nelle memorie permanenti di dialogo e dettaglio nonché inibire o abilitare l’accesso ai contenuti delle memorie;
  • Relativamente al server del registratore la presenza presso ogni punto vendita di una postazione di lavoro collegata al server e munita di stampante dalla quale gli addetti al controllo attraverso le credenziali di accesso potranno accedere alle funzioni tecniche specifiche ed alla stampa;
  • Il registratore telematico o il server predispongano i contenuti delle memorie secondo i tracciati definiti (formato XML) e firmino digitalmente gli stessi con certificato rilasciato dall’Agenzia delle Entrate al momento dell’attivazione del registratore telematico o del server;
  • La successiva trasmissione dei dati in formato XML all’Agenzia delle entrate avvenga mediante un protocollo APU REST e su canale cifrato con protocollo TLS 1.2.
  • Gli aggiornamenti del firmware fiscale del registratore telematico o del server per essere validi siano firmati elettronicamente dal produttore e approvati dall’Agenzia;
  • Le operazioni di lettura delle memorie e chiusura giornaliera, di definizione dei punti cassa connessi al server e modifiche del firmware del registratore telematici siano sempre registrate nel registratore telematico stesso o nel server.

Il Garante non poteva che concentrare le proprie preoccupazioni con specifico riferimento ai registratori telematici accessibili o gestibili da remoto in quanto i maggiori rischi derivanti da questo trattamento impongono agli esercenti ed ai produttori in conformità ai principi di privacy by design e privacy by default di valutare adeguatamente la capacità di prodotti e servizi di soddisfare i requisiti del Regolamento. Prendiamo ora come esempio un registratore telematico che consenta all’esercente la gestione da remote per esempio tramite una app scaricata su uno smartphone e che lo smartphone venga smarrito o che terzi se ne approprino.

Si pensi ora a un esercente titolare di un avviato esercizio commerciale con centinaia di transazioni giornaliere e quindi potenzialmente con centinaia di clienti interessati a partecipare alla lotteria degli scontrini e che quindi in occasione dell’acquisto dei beni abbiano comunicato il proprio codice fiscale. Nell’ipotesi in cui la gestione da remoto non sia presidiata da modalità di accesso del titolare particolarmente stringenti ci troveremmo in presenza potenzialmente di data breach dei quali l’esercente avrà oltre un dovere di informare l’Autorità Garante (e anche gli interessati a seconda dei casi) e su cui incomberanno le severe sanzioni previste dal Regolamento.

I possibili rischi

Il caso appena prospettato non appare affatto trascurato dal Garante nel cui parere ritiene necessario valutare il trattamento effettuato dagli esercenti nell’ambito dell’esame del provvedimento che dovrà essere emanato dall’Agenzia delle Dogane e Monopoli già all’attenzione dei propri uffici e ciò “alla luce dei rischi che l’introduzione della lotteria dei corrispettivi complessivamente comporta per i diritti e le libertà degli interessati, relativi anche a possibili utilizzi impropri di tali dati, individuando, in ogni fase del trattamento, le misure appropriate per assicurarne la conformità al Regolamento”. Ne deriva che per l’Autorità il rischio per i diritti e le libertà degli interessati potrebbe essere determinato da utilizzi definiti come impropri e ciò giustificherebbe l’individuazione per ogni singola fase del trattamento e quindi dalla raccolta all’estrazione del codice vincente di misure appropriate per assicurare la conformità alla normativa sulla protezione dei dati personali.

Non sarà un compito semplice per le due Agenzie (Entrate e Dogane – Monopoli) individuare le misure tecniche ed organizzative idonee anche per la platea degli esercenti che gestiranno la mole di dati necessari ai fini della partecipazione alla lotteria degli scontrini. Solo con il provvedimento dell’Agenzia delle Dogane e dei monopoli conosceremo la reale entità dei premi posti in palio per i consumatori. Sappiamo però sin da ora che i trattamenti dei dati personali conferiti per partecipare alla lotteria costituiscono una posta in gioco molto alta per le due Agenzie.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2