E-fattura, quali rischi alla luce del Gdpr?
aumenta testo riduci testo stampa sep genera pdf sep segnala sep
22 feb 2019
Fatturazione e privacy

E-fattura, quali rischi alla luce del Gdpr?

TopLegal con Andersen, Kpmg e Pwc accende un faro sulle criticità della fatturazione elettronica in relazione alla normativa in materia di protezione dei dati personali



A distanza di quasi due mesi dall’introduzione obbligatoria della fatturazione elettronica, TopLegal ha deciso di fare il punto su uno dei nervi scoperti del nuovo sistema: la tutela dei dati sensibili. Un problema non da poco, soprattutto se si tiene conto che proprio la tutela dei dati è stato uno degli argomenti più caldi degli ultimi mesi: lo scorso maggio, infatti, è stato applicato il nuovo regolamento europeo sulla protezione dei dati personali (Gdpr). 

Ebbene, il garante della privacy, dopo aver segnalato in diverse occasioni le criticità dell’e-fattura in relazione alla tutela dei dati sensibili, ha dato all’agenzia delle entrate un termine di quattro mesi (entro il 15 aprile 2019) per effettuare la valutazione di impatto, vale a dire un’autovalutazione che l’agenzia dovrà compiere sulle misure attuate e quelle da attuarsi al fine di proteggere la privacy.

Secondo quanto raccolto da TopLegal, le criticità sono sorte poiché, nella formulazione dei provvedimenti attuativi, non è stato coinvolto il garante della privacy, come invece sarebbe opportuno fare tutte le volte che si legifera su aspetti che coinvolgono la privacy. Tanto che, sul punto, Alessandro Colella, associate partner dello Studio associato – Consulenza legale e tributaria di Kpmg e Dpo delle entità Kpmg in Italia, segnala che «la mancata consultazione del garante nella definizione delle misure applicative della nuova disciplina non ha consentito al nuovo progetto di essere avviato con modalità che tenessero conto delle esigenze di protezione dei dati personali. Tale significativo gap iniziale potrebbe non essere colmato e permanere anche oltre aprile 2019.»

Ma quali sono queste criticità? Secondo il garante, l’agenzia avrebbe ignorato diversi principi che regolano la materia della protezione dei dati personali: i principi “privacy by design” e “privacy by default”, in base ai quali l’esigenza della privacy deve essere il caposaldo imprescindibile nella formulazione delle norme; i principi di minimizzazione del dato e di proporzionalità, per cui non si dovrebbero raccogliere dati ulteriori rispetto a quelli strettamente necessari e la raccolta delle informazioni dovrebbe essere proporzionata all’interesse pubblico che la sorregge; e la tutela della privacy attraverso sistemi di sicurezza rafforzati. 

In aggiunta a ciò vi sono diversi aspetti che allarmano. Infatti, le fatture – che sono in formato xml non cifrato – contengono informazioni sensibili non necessarie a fini fiscali. Questi dati, come le utenze gas e luce, la regolarità nei pagamenti delle bollette, gli acquisti online e le prestazioni effettuate, permettono di ricostruire un profilo completo di un soggetto, dando importanti informazioni anche sulle sue tendenze e preferenze in termini di consumi. Poiché – una volta caricate le fatture sulla piattaforma di interscambio dell’agenzia delle entrate – non sembrano esserci garanzie su ciò che viene memorizzato e come viene protetto a livello informatico, il rischio fondamentale è che i dati sensibili possano essere facilmente reperiti e utilizzati in modo non conforme alla legge.

Francesca Capoferri, socia di Andersen Tax & Legal, sottolinea «il formato xml è un formato completamente opensource, non soggetto a licenza. E quindi tale formato è gestibile, scambiabile e intellegibile da e tra soggetti indipendentemente dal software che l’ha generato e da eventuali licenze in possesso dall’altra parte».

Certo, c’è da dire che l’agenzia delle entrate ha già fornito alcune rassicurazioni. Per cominciare, verranno memorizzati e conservati per 15 anni i soli dati strettamente necessari. Inoltre, saranno escluse dalla fatturazione elettronica le prestazioni sanitarie. Tuttavia, la risoluzione di tutte le criticità in tema di privacy appare ancora lontana e si guarda con grande interesse alle misure che verranno adottate per il 15 aprile prossimo. 

Peraltro, come sottolineato a TopLegal, si tratta della prima volta in assoluto che un soggetto pubblico, quale è l’agenzia, deve delineare una valutazione d’impatto. Ma i risvolti potrebbero essere tutt’altro che negativi. Come specifica Andrea Lensi Orlandi, legal partner di Pwc Tls, «si tratta di una occasione decisamente importante per mostrare concretamente come si possa raggiungere un equilibrio tra le esigenze della pubblica amministrazione - nell’ambito dello svolgimento della funzione che le è affidata dal legislatore - e la tutela dei diritti dei contribuenti, in quanto interessati al trattamento. Il numero rilevante di dati trattati dall'agenzia delle entrate renderà la soluzione che sarà infine adottata e i criteri sottostanti alla valutazione di impatto, oggetto di analisi attenta da parte della autorità, costituendo un precedente di rilievo per tutto il mondo pubblico».

C’è grande curiosità, quindi, sul documento di valutazione d’impatto del prossimo aprile e, in particolare, sugli aspetti proattivi che saprà proporre. L’agenzia, da una parte, dovrà dimostrare di avere ascoltato le indicazioni dell’autorità garante e, dall’altra, dovrà assicurare livelli consoni di praticità. Andrea Lensi Orlandi, avverte: «occorre che l’agenzia trovi un equilibrio tra la tutela della privacy dei soggetti coinvolti e la necessaria fruibilità del servizio. Infatti, un'eccessiva misura di sicurezza sulle fatture potrebbe andare a discapito del privato cittadino che non può permettersi l’acquisto di tecnologie onerose al fine di poter leggere le sue fatture».

Non resta che attendere aprile per scoprire come l’agenzia delle entrate vorrà risolvere i problemi sollevati dal garante. Anche se - è bene ricordarlo - la prassi potrebbe sempre far emergere nuove criticità al momento non prevedibili.

 
tags: KpmgPwC TlsAndrea Lensi OrlandiFrancesca CapoferriAndersen Tax & LegaAlessandro Colella
CLICCA PER CONDIVIDERE


eventi

Milano

giovedì 28 novembre
"Let’s my People Go surfing”: perché gli obiettivi liberano i dipendenti
Master in operazioni di M&A e joint-venture societarie

Milano

venerdì 21 febbraio
Master in operazioni di M&A e joint-venture societarie
Master in Data Protection Officer e Privacy Matter Expert - IV edizione

Milano

venerdì 28 febbraio
Master in Data Protection Officer e Privacy Matter Expert - IV edizione


https://www.toplegal.it/upload/allegati/toplegal_online_advert_sept19.pdf

http://www.economiaefinanza.org/evento/meetingacef2019/
https://www.amazon.it/dp/8894429709

Credits Landlogic IT

RSS

RSS