Il TAR detta regole restrittive per i DPO persone giuridiche

Fatturazione elettronica: il parere del Garante privacy

Nel Comunicato stampa del 27 dicembre 2021, il Garante per la protezione dei dati personali ha rilasciato un parere favorevole (qui) in merito allo schema di provvedimento del Direttore dell’Agenzia delle Entrate relativo alle nuove regole tecniche per la memorizzazione delle fatture elettroniche[1].

Vediamo la questione più nel dettaglio.

Dati personali oggetto delle fatture elettroniche

La bozza di provvedimento dell’Agenzia delle Entrate concerne nuove regole che saranno utilizzate dall’Agenzia stessa e dalla Guardia di finanza per l’analisi del rischio e controllo ai fini fiscali e per le funzioni di polizia economica e finanziaria. Nello specifico, vengono precisate le modalità con le quali l’Agenzia memorizza i file in formato XML delle fatture elettroniche e i relativi dati, tra i quali quelli inerenti alla quantità e alla tipologia di beni o servizi acquistati, alle abitudini di consumo, alle fidelizzazioni e ad altri dati obbligatori imposti da specifiche normative di settore quali i trasporti, le forniture di servizi energetici, telecomunicazioni etcetera.

È evidente che per poter trattare i seguenti dati in modo lecito, è necessario che vengano osservate tutte le normative di settore e che venga conferita adeguata tutela ai dati personali raccolti. Il Garante, in ordine alla valutazione della proporzionalità del trattamento, ha spiegato come è stato acquisito un campione rappresentativo delle fatture emesse nei confronti dei consumatori (B2C), pari quasi ad un miliardo, e relative a settori che rappresentano maggiori rischi per i diritti degli interessati in ragione della tipologia dei beni e dei servizi fatturati. Dall’analisi effettuata è emerso che la maggiore criticità è rappresentata dalle fatture emesse in ambito legale, nelle quali nell’oggetto di fatturazione sono riportati: il nominativo della persona che ha richiesto il servizio legale (che può essere anche un minore essendo la fattura emessa nei confronti del genitore), la tipologia di procedimento, l’autorità procedente e la tipologia di servizio prestato. Altri ambiti critici sono stati individuati in quello dei servizi di investigazione, di commercio al dettaglio per qualsiasi tipologia di prodotto, alberghiero e dei trasporti.

Misure di tutela

Il fatto che la memorizzazione integrale dei file XML sia tenuta fino al 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento ovvero fino alla definizione di eventuali giudizi, comporta che l’Agenzia delle Entrate abbia un numero elevatissimo di fatture contenenti dati personali relativi ad ogni aspetto della vita quotidiana, abitudini e scelte di consumo di persone fisiche. Da un lato, il legislatore, nel menzionato decreto sulla fatturazione elettronica, ha imposto all’Agenzia delle Entrate e alla Guardia di finanza di adottare misure adeguate ad assicurare che il trattamento del massiccio numero di dati personali avvenga in conformità dei principi di protezione dei dati quali la minimizzazione[2] e la limitazione della conservazione[3], trattando solo i dati necessari.

Dall’altro lato, alla luce dei gravi rischi a cui sono esposti i dati personali raccolti, il Garante ha chiesto all’Agenzia delle Entrate di adottare una serie di misure per tutelare i menzionati dati personali nel rispetto della normativa privacy. Ad esempio:

  • in riferimento al settore legale, tutte le informazioni relative al campo della descrizione dovranno essere rese inintellegibili;
  • i dati contenuti nel file XML non devono essere utilizzati nei confronti del consumatore finale se non esclusivamente in caso di un controllo avviato in conseguenza di puntuali verifiche fiscali, le quali lascino presupporre un rischio di evasione fiscale;
  • devono essere adottati sistemi di controllo e di monitoraggio per verificare la conformità delle attività ai sopramenzionati criteri.

Il Garante, infine, nel parere positivo che ha esposto all’Agenzia delle Entrate, sottolinea che gli operatori economici non devono emettere fatture elettroniche al posto di altri documenti commerciali, quali lo scontrino fiscale, se non nei casi espressamente previsti dalla legge o su richiesta esplicita del consumatore.

Consulta l’infografica

Sara Donati – s.donati@lascalaw.com

© RIPRODUZIONE RISERVATA


[1] La fatturazione elettronica è stata introdotta dall’art. 14 del Decreto-legge n. 124/2019.

[2] Art 5, 1, c) del Regolamento (UE) 2016/679 (il c.d. GDPR): “i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

[3] Art. 5, 1, e) del GDPR: “I dati personali sono conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato”.

Print Friendly, PDF & Email

Condividi su

Potrebbe interessarti anche
Il fornitore non è sempre responsabile del trattamento

I fatti Alla luce di recenti furti e atti di vandalismo realizzati recentemente in aziende di tu...

Privacy

Il fornitore non è sempre responsabile del trattamento

La C.S. Group S.p.a., società di noleggio veicoli ecologici, esponeva sul proprio sito web (sul si...

Privacy

Il TAR detta regole restrittive per i DPO persone giuridiche

Avete mai parcheggiato sulle “strisce blu”? Una volta era semplice e bastava far stampare dal p...

Privacy

X