FATTURAZIONE ELETTRONICA & PRIVACY: BOCCIATI I CONTROLLI INCROCIATI
Nel mirino dell’autorità ci sono le troppe informazioni coinvolte nelle procedure di memorizzazione e archiviazione delle fatture elettroniche, che metterebbero a rischio la privacy dei contribuenti. Il parere dell’Autorità garante, annotato al n. 133 del registro dei provvedimenti, riguarda la valutazione di impatto sullo schema di provvedimento attuativo della nuova procedura di utilizzo, per otto anni, dei dati delle fatture elettroniche, ai fini delle analisi del rischio di evasione.
In questo modo, a quei dati possono accedere Guardia di Finanza e Agenzia delle Entrate per i loro controlli incrociati. Ma le informazioni conservate riguardano non soltanto gli importi, ma anche tutti i dettagli sulla natura dei beni e dei servizi al centro dell’operazione.
“La previsione della memorizzazione e dell’utilizzazione, senza distinzione alcuna, dell’insieme dei dati personali contenuti nei file delle fatture elettroniche, anche laddove si assicurino elevati livelli di sicurezza e accessi selettivi”, rileva l’Autorità in una nota, “risulta sproporzionata in uno stato democratico, per quantità e qualità delle informazioni oggetto di trattamento, rispetto al perseguimento del legittimo obiettivo di interesse pubblico di contrasto all’evasione fiscale perseguito”. Questo, prosegue il Garante, “pur tenendo conto che, allo stato, le spese sanitarie trasmesse attraverso il sistema TS sono escluse da tale previsione”.
Ogni anno, si legge nel parere dell’Autorità, vengono emesse complessivamente circa 2 miliardi di fatture, che normalmente contengono dati, anche molto dettagliati, sui beni e i servizi ceduti, con la descrizione delle prestazioni, i rapporti fra cedente e cessionario e altri soggetti, riferiti anche a sconti applicati, fidelizzazioni, abitudini di consumo.
Ci sono poi dati obbligatori imposti da specifiche normative di settore, con particolare riguardo ai trasporti e alle forniture di servizi energetici o di telecomunicazioni (tipologie dei consumi, fatturazione dettagliata, regolarità dei pagamenti, appartenenza a particolari categorie di utenti). “La presenza, all’interno dei file delle fatture elettroniche, di ulteriori dati, utili alla gestione del ciclo attivo e passivo degli operatori, ma non rilevanti a fini fiscali”, sottolinea il Garante, “è peraltro espressamente contemplata nello schema di provvedimento in esame e nella valutazione di impatto”.
L’insieme di dati raccolti e memorizzati comprende persino informazioni del tutto irrilevanti ai fini fiscali, tra cui alcune che riguardano categorie particolari, come quelle relative a eventuali procedimenti penali a danno dei soggetti interessati.
Già in passato l’Autorità aveva sottoposto all’attenzione del legislatore il rischio di violare il principio di proporzionalità del trattamento dei dati sancito dal Regolamento (Ue) 2016/679, e gli aveva dunque richiesto di individuare e selezionare “le tipologie di informazioni trattate, che dovevano essere oggetto di specifica valutazione rispetto alle esigenze perseguite in concreto, al fine di non violare il principio di proporzionalità del trattamento dei dati” sancito dal Regolamento (art. 6, par. 3, con garanzie rafforzate per i dati di cui agli artt. 9 e 10), già parametro di legittimità in materia, nella giurisprudenza della Corte di giustizia (ex multis sentenza dell’ 8 aprile 2004, C- 203/12 e C-594/12, Digital Rights Ireland Ldt), della Corte europea dei diritti dell’uomo (in particolare sez. II, sent. 28 novembre 2017, Antović and Mirković c. Montenegro) e della Corte costituzionale (sentenza n. 20 del 2019).
Su queste basi, il parere del Garante è negativo sia per quanto riguarda lo schema di provvedimento attuativo, sia per quel che concerne i prospettati trattamenti da effettuare ai fini delle analisi del rischio di evasione.
In merito al primo, l’Autorità lo ritiene “non proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito”; quanto invece ai trattamenti ai fini delle analisi del rischio, lo scenario è quello di una vera e propria “profilazione di tutti i contribuenti, anche minori d’età”, a cui sono connessi “rischi elevati per i diritti e le libertà degli interessati”.