Con proprio provvedimento n. 511 del 20 dicembre 2018, il Garante per la protezione dei dati personali ha evidenziato come il sistema di fatturazione elettronica, così come attualmente predisposto da parte della Agenzia delle Entrate, presenti evidenti punti di attrito con il Regolamento (UE) 2016/679 GDPR, con riferimento ai principi di privacy by design e privacy by default, trattandosi di profilazione di dati su larga scala.
In particolare, l’Agenzia delle Entrate, oltre a recapitare le fatture ai contribuenti attraverso il sistema di interscambio (SDI), per il momento procede anche alla memorizzazione integrale (in formato XML) di tutte le fatture elettroniche, emesse e ricevute, (inclusi i relativi allegati) contenenti anche dati personali ulteriori rispetto a quelli obbligatori a fini fiscali. Vi sarebbe pertanto una “sproporzionata raccolta di informazioni” sui beni e servizi, incluse quelle attinenti a prestazioni sanitarie e legali dei contribuenti, stante la “mancata cifratura” della fattura stessa.
A parere del Garante per la protezione dei dati personali, tale trattamento deve invece avvenire nel rigoroso rispetto dei principi di minimizzazione, integrità e riservatezza, con l’adozione di adeguate misure tecniche e organizzative a cura di tutti i soggetti coinvolti (operatori economici, intermediari, altri soggetti delegati e Agenzia delle Entrate).
Alla luce di tali censure, l’Agenzia delle Entrate ha chiarito che, fermo restando la necessità di un periodo transitorio necessario per l’adeguamento dei sistemi operativi, a partire dal 2 luglio 2019 saranno eliminati i campi relativi ai dati “non fiscali” delle fatture elettroniche, posto che saranno memorizzati esclusivamente:
– i dati obbligatori di cui all’art. 21 e 21 bis del D.P.R. n. 633/1972 e fiscalmente rilevanti;
– informazioni obbligatorie, indicate nelle specifiche tecniche allegate al Provvedimento n. 89757 dell’Agenzia delle Entrate del 30 aprile 2018, indispensabili ai fini di una corretta trasmissione della fattura al destinatario;
– ulteriori informazioni facoltative utili ad agevolare la gestione dei flussi di fatturazione.
Inoltre, sempre con decorrenza da luglio 2019, l’Agenzia delle Entrate propone la memorizzazione dell’intero file XML ai fini della consultazione e del download solo nelle ipotesi in cui l’operatore economico o il consumatore finale aderiscano espressamente al servizio di consultazione, al contrario di quanto avviene adesso ove tale servizio è riconosciuto in maniera indifferenziata a tutti i contribuenti.
In difetto di siffatta espressa adesione, una volta consegnata la fattura elettronica l’Agenzia delle Entrate provvederà alla cancellazione dei dati “non fiscali” e registrerà esclusivamente i soli dati rilevanti ai fini degli accertamenti fiscali.
Per completezza, occorre sottolineare che, nella menzionata decisione, il Garante per la protezione dei dati personali ha sollevato le proprie perplessità in merito alla soluzione sopra proposta, rinviando l’analisi dettagliata a quando l’Agenzia delle Entrate fornirà i modelli di accordi di adesione al servizio di memorizzazione, anche al fine di valutare la concreta portata applicativa.