La nuova Legge di bilancio 2020 va a modificare alcuni aspetti relativi alla fatturazione elettronica disponendo che i file xml delle fatture elettroniche (comprensivi dei dati non fiscalmente rilevanti) una volta acquisiti verranno memorizzati sino al 31 dicembre dell’ottavo anno successivo a quello della presentazione della dichiarazione di riferimento. Tali file potranno essere utilizzati dalla Guardia di Finanza nell’assolvimento delle funzioni di polizia economica e finanziaria e dall’Agenzia delle Entrate nonché dalla Guardia di Finanza per le attività di analisi del rischio e di controllo a fini fiscali (lotta all’evasione).

Il Garante Privacy, attraverso provvedimenti e memorie, è intervenuto molteplici volte sul tema, analizzando dal punto di vista della protezione dei dati personali le modalità di applicazione della fatturazione elettronica e l’utilizzo dei dati in essa presenti.

A fine 2018 e prima dell’entrata in vigore dell’obbligo di fatturazione elettronica, l’Autorità Garante aveva lamentato, oltre al fatto di non essere stata coinvolta in una consultazione preventiva, le seguenti problematiche aventi impatto sulla privacy dei contribuenti:

• l’archiviazione della fattura vera e propria in formato xml, con l’inclusione di informazioni dettagliate su beni e servizi acquistati e di per sè irrilevanti ai fini fiscali, quali ad esempio: abitudini e tipologie di consumo legate alla fornitura di servizi di pubblica utilità, telecomunicazioni, trasporti (es. regolarità pagamenti, pedaggi autostradali, biglietti aerei, prenotazioni di hotel, … ), prestazioni legali (es. riferimenti a procedimenti penali) o sanitarie (es. diagnosi mediche su di un determinato soggetto).
• la messa a disposizione delle fatture sul portale dell’Agenzia anche in assenza di espressa richiesta di esibizione da parte del contribuente/titolare;
• il ruolo assunto dagli intermediari e dagli altri soggetti operanti nell’ambito della fatturazione elettronica non sufficientemente dettagliato e specificato nei meccanismi di delega previsti;
• l’assenza di meccanismi di crittografia nella trasmissione delle fatture (sia mediante SDI che PEC), il servizio gratuito di conservazione delle fatture messo a disposizione dall’Agenzia senza che venissero fornite nel contratto informazioni sulle finalità e modalità di trattamento dei dati personali in esse presenti.

A seguito di ciò, l’Agenzia delle Entrate istituiva un gruppo di lavoro ad-hoc per gestire le diverse criticità evidenziate dal Garante.

Tuttavia, successivamente, nuove indicazioni circa la lotta all’evasione hanno riacceso il dibattitto della tutela della privacy dei dati dei contribuenti trattati nell’ambito dei processi di fatturazione elettronica.

A fine 2019, l’Autorità Garante, si è infatti pronunciata sul disegno di Legge di bilancio 2020 rilevando, in una serie di memorie, problematiche inerenti alla privacy degli interessati con particolare riferimento al mancato rispetto dei principi di proporzionalità e necessità e minimizzazione dei dati (ex art. 5 GDPR).

La Legge è stata approvata nonostante le già menzionate memorie e il dibattito scaturito da esse.

Le norme sulle modalità di utilizzo e memorizzazione dei dati delle fatture elettroniche, introdotte dalla Legge di bilancio 2020, prevedono che i file xml delle fatture elettroniche e di tutti i dati in essi contenuti, compresi quelli di cui all’articolo 21, comma 2, lettera g), del decreto del Presidente della Repubblica n. 633 del 1972 (cioè natura, qualità e quantità dei beni e dei servizi oggetto dell’operazione) possano essere memorizzati fino al 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento ovvero fino alla definizione di eventuali giudizi, per essere utilizzati dalla Guardia di Finanza, nell’assolvimento delle funzioni di polizia economica e finanziaria, e dall’Agenzia delle Entrate e dalla Guardia di Finanza per le attività di analisi del rischio e di controllo a fini fiscali.

L’estensione dell’ambito di utilizzazione dei dati è stata disposta mediante l’articolo 1 comma 681 che ha modificato l’art.2 sexies, comma 2, lettera i) “attività dei soggetti pubblici dirette all’applicazione, anche tramite i loro concessionari, delle disposizioni in materia tributaria e doganale, comprese quelle di prevenzione e contrasto all’evasione fiscale” del D. lgs 196/2003.

Il Garante ha rilevato come tale estensione tocchi indiscriminatamente la totalità dei dati contenuti nelle fatture elettroniche dato che non verranno escluse tutte quelle informazioni non fiscalmente rilevanti, quali, ad esempio: l’indicazione delle prestazioni fornite, la natura, qualità e quantità dei beni e servizi oggetto del documento, come il rapporto di fidelizzazione fra cliente e fornitore, le condizioni contrattuali, gli sconti applicati, le abitudini di consumo, la regolarità nei pagamenti, l’appartenenza a particolari categorie clienti…

A fronte di ciò, l’Autorità per la protezione dei dati personali ha sottolineato la necessità di rivalutare in che misura sia funzionale alle finalità di lotta all’evasione la memorizzazione di tutti i dati completi contenuti nel file xml della fattura elettronica auspicando l’assunzione di misure meno invasive rispetto la privacy dei singoli individui e l’adozione di accorgimenti per rendere il sistema nel suo complesso conforme al Regolamento UE n. 679/2016 (GDPR).

Hai dubbi o domande riguardo alla privacy nella tua azienda? 

Contatta i nostri consulenti privacy al più presto! Oppure partecipa ai corsi di formazione privacy e GDPR, disponibili anche online!

Da vent’anni il nostro impegno ed esperienza porta vantaggi a numerose aziende in tutta Italia!