La fattura elettronica, obbligatoria dal 1 gennaio anche nei rapporti tra fornitori e in quelli tra fornitori e consumatori, mette a forte rischio i diritti e le libertà degli individui, perché comporta «un trattamento di dati personali sistematico, generalizzato e di dettaglio sproporzionato rispetto all’interesse pubblico perseguito, pur legittimo». E’ quanto scrive il Garante per la privacy nella nota inviata all’Agenzia delle entrate, alla presidenza del Consiglio dei ministri e al Mef per segnalare «rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali».
Nella sua comunicazione l’Autorità garante passa in rassegna i punti deboli della normativa. Per cominciare, all’Agenzia è concessa la facoltà di archiviare e utilizzare i dati delle fatture (recapitate attraverso il sistema di interscambio, Sdi) anche per controlli su operatori economici e contribuenti. Il sistema, osserva tuttavia il Garante, non conserverà soltanto «i dati obbligatori a fini fiscali, ma l’intera fattura, che contiene ulteriori informazioni di dettaglio sui beni e servizi acquistati». Diventa così possibile dedurre abitudini e tipologie di consumo, così come le prestazioni sanitarie o legali di cui ha usufruito il contribuente.
E’ fonte di problemi, continua la nota, anche il ruolo assunto dagli intermediari ai quali il contribuente può delegare trasmissione, ricezione e conservazione delle fatture: alcuni operano per conto di «una moltitudine di imprese» e quindi accentrano enormi masse di dati personali, con «un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche per eventuali usi impropri derivanti da possibili collegamenti e raffronti tra fatture di migliaia di operatori economici».
Anche le modalità di trasmissione tramite Sdi e gli ulteriori servizi offerti dall’Agenzia, come la conservazione dei dati, presentano criticità sotto il profilo della sicurezza. «A partire» scrive il Garante «dalla mancata cifratura della fattura elettronica, tanto più se si considera che per lo scambio delle fatture viene utilizzata la Pec, con la conseguente possibilità di memorizzare i documenti sui server di posta elettronica».
Una preventiva consultazione con l’Autorità, è l’ammonimento con cui si conclude la nota, «avrebbe potuto assicurare fin dalla progettazione modalità e garanzie rispettose della protezione dei dati personali, introducendo misure tecnico-organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica». Questa fase è mancata del tutto e ora la richiesta che l’Autorità garante rivolge all’Agenzia è quella di «far sapere con urgenza come intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica».