Data: 13/07/2020 15:30:00 - Autore: Gabriella Lax

Fatturazione elettronica e privacy

[Torna su]

Con la fattura elettronica viene violata la privacy. Così il parere del Garante alla privacy, rilasciato lo scorso 9 luglio. Il parere dell'autorità verteva sullo schema di provvedimento del Direttore dell'Agenzia delle entrate riguardo le "Regole tecniche per l'emissione e la ricezione delle fatture elettroniche per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti e stabiliti nel territorio dello Stato e per le relative variazioni, utilizzando il Sistema di Interscambio, nonché per la trasmissione telematica dei dati delle operazioni di cessione di beni e prestazioni di servizi transfrontaliere". Secondo il Garante sono proprio i previsti controlli incrociati dei dati a violare la privacy.

Garante Privacy, schema non proporzionato all'obiettivo di interesse pubblico

[Torna su]

Lo schema illustrato riguarda le modifiche al provvedimento vigente del Direttore dell'Agenzia del 30 aprile 2018 per definire le nuove modalità con cui l'Agenzia memorizzerà e renderà disponibili, al proprio personale e alla Guardia di finanza, i file xml delle fatture elettroniche.

Nello specifico, il Garante a proposito dello schema di provvedimento in esame chiarisce che esso disciplina un trattamento di dati in violazione degli artt. 5, par. 1., lett. a), 6, par. 3, 9, 10, 24 e 25 del regolamento:

- senza distinzione alcuna tra tipologie di informazioni o categorie di interessati e dati personali di dettaglio, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi alla totalità della popolazione;

- non proporzionato all'obiettivo di interesse pubblico, pur legittimo, perseguito, non individuando, in ossequio ai principi di privacy by design e by default, misure di garanzia adeguate per assicurare la protezione dei dati, anche in relazione a quelli di cui agli artt. 9 e 10 del Regolamento.

Garante Privacy, salvaguardia del principio di proporzionalità

[Torna su]

Il Garante aveva già dato indicazioni in proposito invitando a selezionare "le tipologie di informazioni trattate, che dovevano essere oggetto di specifica valutazione rispetto alle esigenze perseguite in concreto, al fine di non violare il principio di proporzionalità del trattamento dei dati" sancito dal Regolamento (art. 6, par. 3, con garanzie rafforzate per i dati di cui agli artt. 9 e 10), già parametro di legittimità in materia, nella giurisprudenza della Corte di giustizia (ex multis sentenza dell' 8 aprile 2004, C- 203/12 e C-594/12, Digital Rights Ireland Ldt), della Corte europea dei diritti dell'uomo (in particolare sez. II, sent. 28 novembre 2017, Antović and Mirković c. Montenegro) e della Corte costituzionale (sentenza n. 20 del 2019).

Nello specifico «in relazione ai trattamenti effettuati a fini di analisi del rischio attraverso interconnessioni con le numerose banche dati a disposizione dell'Agenzia delle entrate, effettuabili anche sulla base dei c.d. dati fattura, senza informazioni sulla descrizione dei beni e servizi oggetto della fattura (cfr. DPIA n. 2, allegata alla nota citata) e che prevedono la profilazione di tutti i contribuenti, anche minori d'età, e il trattamento di dati di cui agli artt. 9 e 10 del Regolamento, il Garante ritiene necessario - attesi i rischi elevati per i diritti e le libertà degli interessati, approfondire separatamente l'istruttoria» per acquisire ulteriori elementi di valutazione, al fine di individuare idonee garanzie per i contribuenti, nel rispetto dell'art. 22 del Regolamento.


Tutte le notizie