GDPR. Privacy Fisco: 1-0

In una risposta all’Agenzia delle Entrate l’Autorità Garante fissa dei limiti di garanzia per il contribuente relativamente all’utilizzo di alcuni dati contenuti nelle fatture elettroniche.

Nel parere del 9 luglio scorso, sullo schema di provvedimento del Direttore dell’Agenzia delle Entrate avente a oggetto le regole tecniche per l’emissione e la ricezione delle fatture elettroniche per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti e stabiliti nel territorio dello Stato e per le relative variazioni, il Garante definisce il perimetro della liceità del trattamento relativamente alla conservazione e all’uso di alcuni dei dati contenuti nelle fatture elettroniche.

In particolare, il Garante ritiene non proporzionata rispetto al legittimo interesse pubblico di lotta all’evasione fiscale la “memorizzazione e utilizzazione”, senza alcuna distinzione, dell’insieme di dati personali presenti nei file delle fatture elettroniche.

L’Agenzia delle Entrate ha trasmesso all’Autorità Garante una nota per approfondire le problematiche relative all’attuazione delle norme concernenti l’archiviazione delle fatture elettroniche da parte dell’Amministrazione finanziaria ai sensi di quanto previsto dall’dell’art. 14 del D.L. 26 ottobre 2019, n. 124, convertito dalla Legge 19 dicembre 2019, n. 157. Questa norma ha introdotto nel nostro ordinamento la memorizzazione dei file delle fatture elettroniche stabilendo che questi file sono conservati dall’Amministrazione per gli 8 anni successivi a quello di presentazione della dichiarazione, ovvero fino alla definizione di eventuali giudizi. Ciò al fine di permettere alla Guardia di Finanza di poter svolgere i suoi compiti di polizia economica e finanziaria e all’Agenzia delle Entrate e alla stessa Guardia di Finanza di poter assolvere alle rispettive attività di “analisi del rischio e di controllo ai fini fiscali”. La stessa norma, prevede, di conseguenza, che questi due soggetti, sentita l’Autorità Garante per la Protezione dei Dati Personali, adottino “idonee misure di garanzia a tutela dei diritti e delle libertà degli interessati, attraverso la previsione di apposite misure di sicurezza, anche di carattere organizzativo”, in conformità con quanto previsto dal GDPR. Il Garante, pertanto, dopo aver esaminato la documentazione inviata e aver fornito un quadro della normativa di riferimento e di quanto già espresso, in precedenti occasioni, in materia di tutela dei dati personali in relazione alla fatturazione elettronica ha espresso il proprio parere.

Nel far ciò, l’Autorità nota come l’Agenzia introduca tre elementi di novità rispetto a quanto sino a oggi posto in essere nel rispetto di quanto osservato in precedenza dall’Autorità Garante con il parere del 20 dicembre 2018.

Il primo è relativo alla memorizzazione e all’utilizzo dei c.d. “dati fattura integrati”, oltre a quelli già memorizzati e strettamente legati all’emissione della fattura come richiesti dalla normativa fiscale i c.d. “dati fattura”. Per dati fattura integrati si intendono tutte quelle informazioni relative alla natura, alla qualità e alla quantità di beni e/o dei servizi che sono l’oggetto della prestazione fatturata. Dati questi che potranno essere trattati “unicamente dal personale delle strutture centrali dell’Agenzia per lo svolgimento delle attività di analisi del rischio e di promozione dell’adempimento spontaneo di cui all’art. 1, commi 634 e seguenti, della legge 23 dicembre 2014, n. 190 e di controllo ai fini fiscali (punti 1.2. e 10.2)”.

Il secondo concerne l’uso del tracciato file xml integrale delle fatture per le attività istruttorie connesse a:

Mentre l’ultimo è relativo alla formalizzazione di una convenzione con la Guardia di Finanza per rendere disponibile a quest’ultima tali dati per le attività di polizia economica e finanziaria che le competono.

Alla luce di quanto osservato, il Garante ritiene che l’uso dei dati citati in precedenza, nella modalità in cui è stata presentata senza alcuna distinzione tra tipologie di dati o categorie di interessati, non tenga conto del fatto che tra i dati contenuti in una fattura elettronica ve ne siano alcuni non rilevanti ai fini fiscali, così come altri che potrebbero rientrare nelle categorie particolari di dati personali ovvero di dati personali relativi a condanne penali e reati.

Ciò, anche qualora si pongano in essere elevati livelli di sicurezza e una rigida selezione degli accessi, può rappresentare una fattispecie di trattamento di dati personali sproporzionato “per quantità e qualità delle informazioni oggetto di trattamento, rispetto al perseguimento del legittimo obiettivo di interesse pubblico di contrasto all’evasione fiscale perseguito”.

Per questo il trattamento dati prospettato è stato giudicato non conforme a quanto previsto nel Regolamento Europeo, con particolare riguardo ai criteri di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a e 6), a quanto previsto per il trattamento di categorie particolari di dati personali e di dati relativi a condanne penali o reati (artt. 9 e 10) e a quanto stabilito in tema di privacy by design e privacy by default (art. 25).

La stessa Autorità Garante alcuni giorni dopo la pubblicazione del parere è dovuta intervenire di nuovo sull’argomento con una nota per ribadire che il parere espresso non era riferito all’istituto della fatturazione elettronica, argomento sul quale si era già espressa favorevolmente in precedenza, ma esclusivamente alla tipologia degli ulteriori dati derivanti dalle fatture elettroniche per i quali è previsto il trattamento; dati che appaiono non fiscalmente rilevanti.

In questo modo, si verrebbe a configurare una fattispecie di trattamento che “contrasta con il principio di proporzionalità su cui si basano l’ordinamento interno ed europeo, ingolfa le banche dati dell’Agenzia delle Entrate rendendole più vulnerabili, perché estese e interconnesse in misura tale da divenire assai più difficilmente presidiabili, e configura un sistema di controllo irragionevolmente pervasivo della vita privata di tutti i contribuenti, senza peraltro migliorare il doveroso contrasto dell’evasione fiscale”.

Renato Carafa