Il Garante per la protezione dei dati personali si è espresso in merito alla fatturazione elettronica…e di sicuro non in modo positivo.Iniziamo infatti l’anno leggendo 15 pagine di provvedimento con il quale il Garante si esprime sul sistema messo a punto dall’Agenzia delle Entrate e ne evidenzia rischi e lacune, che per tutti gli addetti ai lavori risultano particolarmente rilevanti. Son stati evidenziati in particolare 4 punti critici che hanno portato l’Agenzia delle Entrate ad impegnarsi nell’implementazione di nuove soluzioni tecniche ed organizzative ed a inaugurare un periodo transitorio che terminerà il 2 luglio 2019. Vediamo quali:
- Sproporzionalità della memorizzazione di tutte le informazioni contenute nel file XML delle fatture elettroniche, rispetto alle finalità che devono essere perseguite dall’Agenzia delle entrate
- Poca chiarezza del ruolo dell’Agenzia delle entrate e delle modalità di erogazione del servizio di conservazione delle fatture per conto degli utenti
- Utilizzo di un canale non sicuro per la trasmissione delle fatture (FTP), mancata cifratura dei file, utilizzo della PEC come recapito privilegiato
- Rischi derivanti dal coinvolgimento di un significativo numero di intermediari per la gestione del processo
Sproporzionalità dei dati raccolti e memorizzazione dei medesimi
Allo stato attuale, il sistema prevede un trattamento obbligatorio, generalizzato e di dettaglio dei dati personali relativi alla totalità della popolazione che va oltre all’obiettivo di tutela dell’interesse pubblico. A questo si affianca il mancato rispetto dei principi di privacy by design e default che prevedono l’adozione di misure tecniche ed organizzative rigorose al fine di assicurare un trattamento corretto e trasparente. Inoltre il sistema prevede la conservazione integrale di tutte le fatture emesse e ricevute.
L’Agenzia a fronte di queste due osservazioni si è impegnata innanzitutto ad erogare il servizio di conservazione integrale delle fatture solo a coloro che ne faranno esplicita richiesta aderendo ad apposito accordo, previa informativa completa e trasparente, assumendo a tutti gli effetti il ruolo di Responsabile esterno del trattamento, debitamente incaricato.
In secondo luogo si è attivata per garantire a tutti coloro che non richiedessero la conservazione delle proprie fatture l’immediata cancellazione di tutti i dati “non fiscali” dal file XML (in particolare la descrizione del prodotto o servizio acquistati). Il file, così depurato, verrà poi cancellato il 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione.
Per apportare tali modifiche l’Agenzia delle entrate ha chiesto tempo fino al 3 maggio 2019 e successivamente fino al 2 luglio per permettere a tutti gli intermediari di adeguarsi. Nell’arco di questo periodo transitorio verranno archiviati tutti i file XML in versione integrale, che verranno poi “depurati” dei dati non fiscali.
E’ stato inoltre introdotto un regime di deroga per tutte le strutture sanitarie che, visto le lacune del sistema, NON devono emettere fatture elettroniche nel corso del 2019. Il Garante si è raccomandato con l’Agenzia di dare istruzioni a tali soggetti affinchè non siano emesse in nessun caso fatture che passino attraverso lo SDI.
Conservazione dei dati
Come specificato sopra, il servizio di conservazione delle fatture dovrà essere erogato esclusivamente ai soggetti che ne faranno esplicita richiesta. A tal proposito è stato presentato al Garante un nuovo accordo di servizio che l’Agenzia proporrà ai facenti richiesta nel quale si specificano criteri e modalità del servizio , l’esistenza del sub-responsabile del trattamento Sogei in veste di conservatore di documenti digitali, nonchè le finalità del trattamento , che prevedono esclusivamente la conservazione delle fatture e l’esibizione delle stesse esclusivamente a soggetti formalmente incaricati dall’utente, senza alcun ulteriore trattamento che preveda analisi, condivisione o diffusione delle informazioni contenute nelle fatture elettroniche. In tal caso per questo specifico servizio è prevista la conservazione dei documenti per 15 anni.
Sicurezza del trattamento
Il Garante ha evidenziato che il ricorso dl protocollo FTP come canale per la trasmissione ed il recapito delle fatture elettroniche, la mancanza di criteri di cifrature dei file XML e l ‘utilizzo della PEC quale canale di recapito delle fatture costituiscono tutti elementi critici del sistema.
L’agenzia a tal proposito ha previsto l’attivazione di un canale cifrato basato sul protocollo SFTP per tutti i soggetti che hanno presentato richiesta di accreditamento allo SDI; mentre per quanto riguarda la cifratura dei file XML archiviati e trasmessi a quanto sembra la risposta dell’Agenzia richiede ancora ulteriori analisi e approfondimenti.
Ruolo degli intermediari
Ovviamente, per gestire e far girare correttamente questo complesso sistema, sono stati identificati e accreditati diversi soggetti intermediari in ambito informatico , che costituiscono una ulteriore significativa criticità del sistema. Tutti costoro sono chiamati quanto prima a redigere clausole contrattuali conformi al Regolamento, con particolare riguardo alla durata, natura , finalità del trattamento, nonchè al ricorso ad eventuali sub-responsabili. E’ inoltre fondamentale che il trattamento si limiti esclusivamente alla esecuzione della prestazione contrattualmente richiesta, evitando trattamenti ulteriori quali analisi statistiche, anonimizzazione dei dati, ecc. Questo è in particolare l’aspetto che riguarda più direttamente tutti i titolari, che come per i servizi Cloud, dovendo comunicare i dati degli interessati a soggetti terzi, sono tenuti ad assicurarsi che questi (gli itnermediari dei servizi di fatturazione elettronica) forniscano determinate garanzie di protezione dei dati e attuino procedure organizzative e tecniche conformi a quanto previsto dal GDPR.
L’agenzia delle entrate dovrà inoltre presentare entro il 15 aprile 2019 una nuova Valutazione di Impatto che risponda maggiormente a quanto previsto dal GDPR e consideri ,oltre alle misure tecniche e organizzative già analizzate, anche i potenziali rischi per i diritti e le libertà dell’interessato. Aspettiamo quindi questa nuova puntata per vedere che evoluzione avrà la vicenda e se ci saranno ricadute significative sugli utenti “obbligati ” del sistema di fatturazione elettronica.
Potete consultare l’intero provvedimento a questo link
Lascia un commento