Il Garante Privacy avverte: “trattamenti a rischio con il nuovo sistema di e-fatturazione”

26 Nov Il Garante Privacy avverte: “trattamenti a rischio con il nuovo sistema di e-fatturazione”

Venerdì scorso il Garante Privacy ha avvertito l’Agenzia delle Entrate che i trattamenti di dati personali effettuati nell’ambito della fatturazione elettronica, così come attualmente delineati, presentano rilevanti criticità per i diritti e le libertà degli interessati.

Ma vediamo cosa ha spinto il Garante ad esercitare questo nuovo potere correttivo dell’avvertimento e dell’ingiunzione previsto dall’art. 58 del GDPR.

IL RISCHIO PRIVACY NELLA FATTURA ELETTRONICA

In breve, possiamo dire che, per fattura elettronica si intende una fattura predisposta in formato XML predefinito trasmessa attraverso il sistema di interscambio (SDI).

Le regole per predisporre, trasmettere, ricevere e conservare le fatture elettroniche sono state definite con provvedimento del Direttore dell’Agenzia delle Entrate del 30 Aprile scorso.

I dati obbligatori sono sempre gli stessi, tuttavia, come sappiamo, le fatture contengono dati di dettaglio volti ad individuare i beni e i servizi acquistati, nonché la descrizione delle prestazioni da cui si possono ricavare informazioni sulle abitudini e tipologie di consumo, sulle regolarità dei pagamenti, l’appartenenza a particolari categorie di utenti e addirittura dati particolari ai sensi dell’art. 9 del GDPR (ex dati sensibili) o giudiziari se si pensa alle fatture elettroniche emesse da operatori economici attivi nel settore sanitario o giudiziario.

Questo scenario è reso ancor più pericoloso dalla messa a disposizione delle fatture sul portale dell’Agenzia con incremento di rischi insiti in un trattamento massivo e informatizzato di dati accessibile da applicativo web.

Rischioso, anche il ruolo degli intermediari operanti nell’ambito della fatturazione elettronica, alcuni dei quali operano anche nei confronti di una moltitudine di imprese accentrando enormi masse di dati personali con un aumento dei rischi, non solo per la sicurezza, ma anche per usi impropri grazie ai possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.

Lascia davvero perplessi il fatto che, nel progettare il nuovo adempimento:

1. non si sia tenuto conto che l’utilizzo del protocollo FTP non è considerato sicuro;
2. non sia stata prevista la cifratura dei file XML;
3. non si sia tenuto conto del rischio di furto di credenziali e attacchi informatici ai server di gestione della posta pec.

Sorprende constatare che, non sia venuto in mente a nessuno – ma proprio a nessuno – sia a livello ministeriale o governativo, sia da parte dell’Amministrazione finanziaria, di coinvolgere l’Autorità Garante prima di avviare il nuovo progetto mediante una consultazione preventiva (tra l’altro obbligatoria ai sensi dell’art. 36 del GDPR), al fine di impostare modalità e garanzie rispettose della protezione dei dati.

In buona sostanza, se non fosse intervenuta l’Autorità Garante, avremmo corso il rischio che la fatturazione elettronica si trasformasse in un “Grande Fratello” di stato!

A mio parere, questo episodio ci fa capire che c’è da fare ancora tanto lavoro per cambiare una mentalità che considera gli adempimenti sulla tutela dei dati personali stand alone, che non integra ancora tutti i processi con questa importante normativa, laddove, sin dalla progettazione è indispensabile pensare quali siano le modalità operative che consentono di tutelare i diritti e le libertà degli interessati.

E’ urgente uno swich culturale, in una epoca come la nostra in cui il progresso tecnologico pone nuove sfide per la tutela dell’uomo, della sua libertà, della sua dignità, del suo valore afferente anche le informazioni che lo riguardano e strettamente connesse alla sua personalità.

Non possiamo perdere di vista questo aspetto pur di fronte al legittimo interesse statale di controllare che tutti, imprese e cittadini, paghino le tasse.

A questo punto, nell’imminenza della scadenza del nuovo obbligo, ci si auspica che vengano fatte le dovute modifiche prima dell’entrata in vigore, anche perché il Garante ha formulato una precisa ingiunzione all’Amministrazione finanziaria: far conoscere all’Autorità le iniziative assunte per rendere conformi i trattamenti.

Avv. Emanuela Del Vecchio