A RISCHIO LA PARTENZA DELLA FATTURA ELETTRONICA


Tutto il sistema di interscambio (SDI) non è in linea con le norme sulla privacy alla luce del GDPR. Così ha sentenziato il Garante della Privacy con il Provvedimento n. 481 del 15 novembre 2018 nei confronti dell'Agenzia delle entrate sull'obbligo di fatturazione elettronica.

Antefatto

Come è noto ormai a tutti, dal 01/01/2019 l’obbligo di fattura elettronica viene esteso alla generalità dei soggetti obbligati alla emissione di fatture, con le eccezioni per alcune categorie di cui parleremo prossimamente.


Tutti i provvedimenti attuativi sono stati emessi dal Direttore dell’Agenzia delle Entrate senza mai consultare il Garante per la Privacy, in palese violazione delle norme del GDPR.


Già nello scorso 19 ottobre, l’Associazione Nazionale Commercialisti, aveva inviato una lettera al Garante in merito alla fatturazione elettronica, denunciando fra l’altro ““….. il concreto rischio – scrive l’ANC – che i dati contenuti nelle fatture, che riportano informazioni personali e sulle transazioni commerciali, possano essere oggetto di interesse da parte di terzi, motivati a conoscere le scelte degli operatori commerciali e profilarne le caratteristiche”.


Nulla però, aveva eccepito nei confronti dell’Agenzia delle Entrate ed in particolare verso lo SDI. Ma tanto è valso perché il Garante avviasse una istruttoria in materia che lo ha portato ad esercitare per la prima volta l nuovo potere correttivo di avvertimento, attribuitogli dal Regolamento europeo, attraverso un provvedimento adottato a seguito reclamo dell’ANC.



Criticità contestate

Il focus del problema è incentrato sul Sistema di Interscambio (SDI) dell’Agenzia delle Entrate.

Rispetto alla situazione attuale in cui c’è uno scambio one to one tra emittente e destinatario della fattura, con la fattura elettronica nel processo di invio della fattura intervengono uno o più soggetti terzi:

  • Agenzia delle Entrate titolare del sistema

  • Gli intermediari abilitati all’invio e ricezione delle fatture elettroniche e relativi messaggi

In questo modo si crea una filiera che parte dalla emissione della fattura, passaggio all'intermediario per l’invio delle fatture, SDI, Intermediario delegato dal destinatario alla ricezione delle fatture, e infine destinatario effettivo, oltre ai commercialisti abilitati alla consultazione delle fatture messe a disposizione da parte dello SDI.

Nelle fatture non sono contenuti solo i dati obbligatori a fini fiscali, ma anche

  • beni e servizi acquistati

  • abitudini e le tipologie di consumo

  • politica della scontistica aziendale

  • nel settore delle forniture energetiche in particolare, regolarità nei pagamenti, appartenenza a particolari categorie di utenti

  • nel settore sanitario, la descrizione delle prestazioni sanitarie o acquisto protesi e simili per i quali la Pubblica Amministrazione richiede in allegato tutta la documentazione sanitaria, pena il rifiuto delle fatture.

  • Ecc...

Il sistema di interscambio SDI, non si limita a fare da postino per il recapito delle fatture, ma archivia tutti i dati (il vero scopo dello SDI e della fattura elettronica) senza alcuna previsione di misure atte a garantire quanto disposto dal GDPR in tema di tutela della privacy.


Motivo per cui, insieme a problematica di natura tecnica, ho sempre consigliato i miei clienti di inserire in fattura esclusivamente i dati fiscali obbligatori e di inviare, quando richiesto, attraverso i tradizionali canali privati tutto il corredo informativo di dettaglio es eventuali allegati.


Come giustamente rilevato dall'esposto dell’ANC, il rischio nasce dal fatto che le piattaforme per la gestione della fatturazione elettronica sono fornite da soggetti commerciali come società di software, di consulenza direzionale e revisione, istituti di credito e grandi gestori di archivi telematici, che, oltre a fare concorrenza sleale, potrebbero fare un “uso improprio” dei dati a disposizione.


In particolare, trovo francamente “curioso” l’interesse di grandi gruppi bancari e società di Revisione o Consulenza Direzionale verso una attività che non fa proprio parte del loro core business.

Le altre criticità rilevate dal garante, riguardano:

  • Messa a disposizione delle fatture sul portale dell’Agenzia.

Altre criticità derivano dalla scelta dell’Agenzia delle Entrate di mettere a disposizione sul proprio portale, senza una richiesta da parte dei consumatori finali, tutte le fatture in formato digitale, anche per chi preferirà comunque continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore, come garantito dal legislatore.


  • Ruolo assunto dagli intermediari e dagli altri soggetti operanti nell’ambito della fatturazione elettronica.

Per come è delineato, nel provvedimento n. 291241/2018, “l’articolato sistema di deleghe”, non risulta chiaro il ruolo assunto dai delegati rispetto ai dati personali. Inoltre, laddove l’intermediario sia una persona fisica, devono essere assicurate garanzie affinché questi possa distinguere le fatture relative alla sfera professionale o imprenditoriale da quelle attinenti la sfera privata del delegante.


  • Modalità di trasmissione attraverso lo SDI e gli ulteriori servizi offerti dall’Agenzia.

Trattasi di:

  • utilizzo del canale FTP già considerato non sicuro

  • mancata cifratura del file XML quando l’invio avviene tramite PEC che consente la memorizzazione dei dati sui server di posta

  • la mobile app, messa a disposizione dall’Agenzia, consente agli operatori economici di attivare il salvataggio di alcuni dati, non meglio specificati, in ambiente cloud. Gli utenti sembra non sarebbero correttamente informati in merito alle finalità di conservazione e di controllo perseguite dall’Agenzia con i dati raccolti attraverso tale applicazione, in violazione dell’art. 13 del Regolamento


  • Servizio gratuito di conservazione delle fatture da parte dell’Agenzia

“Al riguardo – dice il garante - non è chiaro il ruolo assunto dall’Agenzia in relazione al trattamento dei dati personali in tale servizio gratuito. In ogni caso, da quanto emerso in alcune notizie stampa, sembrerebbe che il testo di tale accordo di servizio per la conservazione delle fatture elettroniche preveda che “l’Agenzia non potrà essere ritenuta responsabile nei confronti del contribuente né nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione”. Ciò, verosimilmente violando l’art. 5, par. 1, lett. f) e l’art. 32 del Regolamento



Cosa succede ora?

La gran parte dei rilievi contestati non sono di semplice ed immediata soluzione. Si pensi:

  • alla cifratura e protezione della grande mole di dati che SDI deve gestire con evidenti ricadute anche sulla sostenibilità del sistema. Parliamo di svariati miliardi di dati. Già nel recente passato per molto meno (lista fatture, meglio noto come spesometro) vi sono stati gravi problemi di rallentamento del sistema ed una gran nume di scarti errati.

  • Poi c’è il ruolo degli intermediari che andrebbero a raccogliere e mantenere una serie rilevante di volume di dati. Il rischio da evitare, ovviamente, è la profilazione delle abitudini di consumo degli utenti.

In merito a questo aspetto, la denuncia dell’Associazione Nazionale Commercialisti chiedeva una norma che proibisse del tutto la cessione e qualsiasi uso di detti dati, che non fosse connesso allo specifico servizio.


A mio parere richiesta giusta ma insufficiente quando la mole di dati è gestita da grandi gruppi bancari e grandi società di consulenza in grado di condizionare le scelte degli operatori economici utilizzando per se stessi i dati gestiti ,senza l’esigenza di farne commercio.


A tali soggetti dovrebbe essere assolutamente inibito lo svolgimento del ruolo di intermediari in questo ambito che fra l’altro non è assolutamente in linea con il loro core business.

Si pensi al ruolo, fortemente condizionante, che già hanno avuto e continuano ad avere alcuni di questi nell’orientare le aziende clienti verso determinate società di software con le quali hanno stipulato accordi di partnersheep.

Alla profilazione che possono farne dei destinatari delle fatture per proporre propri servizi finanziari, ecc…


In conclusione, se ne può dedurre che la partenza prevista del 1 gennaio p.v. è fortemente a rischio.

Post in evidenza
Post recenti
Archivio
Cerca per tag
Seguici
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square