Tutti coloro che erogano prestazioni sanitarie, non più soltanto gli operatori tenuti all’invio dei dati al Sistema tessera sanitaria, saranno esonerati dall’obbligo di fatturazione elettronica. E’ questa la novità più rilevante del provvedimento n. 511 del 20 dicembre, con il quale il Garante per la protezione dei dati personali, ha l’avvio dal primo gennaio 2019 dei trattamenti di dati personali – considerati a rischio elevato – connessi all’entrata a regime della fattura elettronica tra privati, ingiungendo però all’Agenzia delle Entrate – e agli intermediari – l’adozione di alcuni accorgimenti per rendere il sistema pienamente conforme alle previsioni del Regolamento (UE) n. 679/2016 (GDPR).
Tra l’altro, si legge che non ci può essere una banca dati delle fatture dell’Agenzia delle entrate e che saranno memorizzati solo i dati fiscali necessari per i controlli automatizzati. L’Agenzia potrà archiviare le fatture solo su richiesta dei contribuenti che avranno necessità di consultarle.
Il semaforo giallo è arrivato a conclusione del tavolo di lavoro che era stato aperto in seguito al provvedimento del 15 novembre 2018 con cui l’Autorità Garante per la protezione dei dati personali aveva mosso numerosi rilievi al sistema predisposto dall’Agenzia per le Entrate per la fatturazione elettronica.
Trasmissione, memorizzazione, consultazione e download delle fatture
Nel tavolo di lavoro l’Agenzia ha presentato alcune soluzioni per superare le obiezioni mosse dal Garante sulla precedente strutturazione del sistema.
Tra queste, ricordiamo, uno dei punti più rilevanti era quello relativo alla memorizzazione da parte dell’Agenzia delle Entrate di tutti i dati completi contenuti nel file XML della fattura elettronica, compresi i campi contenenti la descrizione delle operazioni di cessioni di beni e servizi (che possono contenere dati riferiti anche a sconti applicati, fidelizzazioni, abitudini di consumo, nonché dati riferiti a persone fisiche, come, ad esempio, in caso di utenze telefoniche, biglietti ferroviari o aerei, pedaggi autostradali, pernottamenti).
Tale circostanza era stata ritenuta contraria ai principi di minimizzazione e privacy by design introdotti dal GDPR, nonché fonte di possibili attività di profilazione su larga scala.
Su tale punto l’Agenzia delle Entrate ha chiarito che escluderà tali campi dai file XML che andrà a memorizzare, fermi rimanendo:
- gli altri dati obbligatori di cui all’art. 21 e 21-bis del DPR n. 633/1972 e fiscalmente rilevanti,
- le informazioni obbligatorie indicate nelle specifiche tecniche allegate al Provvedimento n. 89757 dell’Agenzia delle entrate del 30 aprile 2018 (es. tipo di documento emesso, “codice destinatario”), indispensabili ai fini di una corretta trasmissione della fattura al soggetto destinatario, mediante utilizzo Sistema d’ Interscambio,
- altre informazioni facoltative utili ad agevolare la gestione digitale dei flussi di fatturazione che, anche se non obbligatorie, sono state comunque previste nel predetto Provvedimento (riferimenti dell’ordine, del trasporto dei beni o del pagamento).
Il Garante, pur apprezzando lo sforzo di adeguamento dell’Agenzia, sottolinea che vi potrebbero essere altre tipologie di dati la cui memorizzazione potrebbe non risultare proporzionata e conforme al principio di minimizzazione imposto dal GDPR, ed ingiunge all’Agenzia di dare ulteriori informazioni circa la rivalutazione di detti dati (ad esempio i “dati trasporto” che possono contenere il numero di licenza di guida o l’identificativo del bene o servizio fatturato).
E’ bene comunque chiarire che l’Agenzia ha evidenziato la necessità di un periodo transitorio per adeguare i propri sistemi, che durerà fino al 2 luglio 2019, in cui non saranno eliminati i campi relativi ai dati “non fiscali” delle fatture elettroniche.
Relativamente alla consultazione e download delle fatture elettroniche, precedentemente estesa a tutti contribuenti, l’Agenzia ne propone la limitazione ai soli casi in cui il consumatore finale aderisca espressamente a tale servizio (adeguandosi così ai precedenti rilievi). Qualora non vi sia tale adesione l’intero file XML verrà memorizzato solo al fine di metterlo a disposizione nell’area riservata del contribuente o nei casi in cui il recapito non sia possibile. Una volta consegnata la fattura elettronica si provvederà alla cancellazione dei dati “non fiscali” e verranno mantenuti presso l’Agenzia i soli dati fiscali rilevanti ai fini degli accertamenti.
Con il provvedimento in esame il Garante esprime alcune perplessità su tale soluzione e rinvia l’analisi dettagliata a quando l’Agenzia fornirà i modelli di accordi di adesione al servizio, anche al fine di poter meglio valutare la portata di tale memorizzazione.
Ad ogni modo, è bene chiarire che l’Agenzia ha evidenziato la necessità di un periodo transitorio per adeguare i propri sistemi, che durerà fino al 2 luglio 2019, in cui non saranno eliminati i campi relativi ai dati “non fiscali” delle fatture elettroniche.
Relativamente ai canali di trasmissione (sui quali il Garante si era espresso in maniera negativa non essendo previste tecniche di cifrature dei dati) l’Agenzia ha evidenziato di aver già previsto l’attivazione di un canale cifrato su protocollo SFTP per coloro che hanno richiesto l’accreditamento allo SDI.
Il Garante, però, con il recente provvedimento insiste sulla necessità di prevedere comunque misure tecniche ed organizzative adeguate a garantire la protezione dei dati anche con tecniche crittografiche,con particolare riguardo alle tecniche di cifratura e scambio di messaggi tra più soggetti, le quali andrebbero applicate anche qualora si utilizzino, per la trasmissione dei messaggi, sistemi di posta elettronica certificata.
Anche su tale punto viene ingiunto all’Agenzia di effettuare una valutazione sull’introduzione di dette tecniche di cifratura, fornendo successive informazioni al riguardo.
Fatture dei soggetti che erogano prestazioni sanitarie
E’ stato già anticipato che con il provvedimento in esame il Garante, sostanzialmente, estende a tutti gli operatori sanitari la deroga alla fatturazione elettronica legislativamente prevista per coloro che inviano i dati al Sistema Tessera Sanitaria.
Ad oggi i contribuenti esonerati sono medici e farmacie (che già inviano i dati tramite il sistema TS e limitatamente solo a questi dati).
Per la precisione:
- aziende sanitarie locali, aziende ospedaliere, istituti di ricovero e cura a carattere scientifico, Policlinici universitari,
- farmacie pubbliche e private,
- presidi di specialistica ambulatoriale, strutture per l’erogazione delle prestazioni di assistenza protesica e di assistenza integrativa, altri presidi e strutture accreditati per l’erogazione dei servizi sanitari, strutture autorizzate per l’erogazione dei servizi sanitari e non accreditate al SSN,
- iscritti all’Albo dei medici chirurghi e degli odontoiatri, iscritti agli Albi professionali degli psicologi, iscritti agli Albi professionali degli infermieri, iscritti agli Albi professionali delle ostetriche/i, iscritti negli Albi professionali dei tecnici sanitari di radiologia medica, esercenti l’arte sanitaria ausiliaria di ottico, iscritti agli Albi professionali dei veterinari,
- strutture autorizzate alla vendita al dettaglio di medicinali veterinari, esercizi commerciali che svolgono l’attività di distribuzione al pubblico di farmaci ai quali è stato assegnato dal Ministero della Salute il codice identificativo univoco (parafarmacie).
Ciò in quanto – secondo l’Autorità – vi potrebbero essere casi in cui gli interessati manifestino la propria opposizione all’invio di tali dati al sistema TS e che, stante l’assenza di tale invio, l’operatore sanitario si trovi invece obbligato ad emettere fattura elettronica comunicando quindi gli stessi dati che l’interessato voleva tenere riservati con la sua opposizione.
Inoltre, il Garante ha chiarito che si ricadrebbe in un’ipotesi di trattamento illecito dei dati anche qualora, nonostante la deroga, un operatore a cui la stessa si applichi emetta comunque una fattura elettronica, mancando in tal caso la base giuridica del trattamento.
Sulla base di tali considerazioni ha ingiunto all’Agenzia delle Entrate a dare istruzioni affinché in nessun caso sia emessa una fattura elettronica tramite SDI relativamente all’erogazione di una prestazione sanitaria, evitando così il rischio di effettuare trattamenti in violazione del GDPR e degli artt. 2-sexies e 2-septies del Codice Privacy.
Apprezzando su tale punto il provvedimento del Garante non possiamo però non rilevare che egli omette di prendere posizione su un’altra tipologia di trattamento che pur viene esaminata nel testo del documento. Nei paragrafi 1.1. e 2 vengono prese in considerazione le fatture emesse dagli avvocati, le quali, spesso, contengono nella descrizione l’indicazione dei procedimenti giudiziari, il capo di imputazione ed il cliente per cui state svolte le attività di difesa.
Il Garante riconosce espressamente che trattasi di particolari categorie di dati, richiamando l’art. 10 del GDPR, trattandosi di dati “relativi a condanne penali e reati” e che essi non sono direttamente rilevanti ai fini fiscali, ma solamente connessi alle descrizioni delle prestazioni dei servizi oggetto di fatturazione.
Pur prendendoli in considerazione, però, nel provvedimento non viene data alcuna indicazione agli esercenti la professione forense rimanendo pertanto il dubbio per tali soggetti su come debbano comportarsi.
Non bisogna dimenticare, infatti, che il regime previsto per i dati di cui all’art. 10 del GDPR è anche più restrittivo rispetto a quello relativo alle particolari categorie di dati di cui all’art. 9, dato che il trattamento “deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati”. A sua volta l’art. 2-octies del Codice Privacy prevede un’articolata disciplina, la quale, qualora il trattamento non avvenga sotto il controllo dell’autorità pubblica, richiede l’autorizzazione di una norma di legge o di regolamento, che devono stabilire garanzie appropriate per i diritti e le libertà degli interessati, o, in mancanza di tali norme, tale individuazione deve essere effettuata con decreto del Ministro della giustizia.
Orbene, le norme, di legge e regolamentari, che disciplinano la fatturazione elettronica nulla dicono in merito a tali garanzie appropriate relativamente ai dati giudiziari e la circostanza che il Garante abbia citato detti trattamenti nell’ambito del provvedimento in esame, equiparandoli a quelli effettuati dagli operatori sanitari (per i quali ha sancito un ampliamento all’esonero della fatturazione elettronica), deve imporre una riflessione sulla liceità della trasmissione di tali dati nell’ambito dello SDI.
Sarebbe auspicabile un intervento chiarificatore da parte dell’Autorità Garante per la protezione dei dati personali, anche eventualmente su sollecitazione degli Ordini forensi in modo da evitare che si possano configurare trattamenti illeciti di dati da parte degli operatori.
Il servizio di conservazione
Dal provvedimento in esame emerge che l’Agenzia delle Entrate sembra essersi conformata alle indicazioni del precedente atto, avendo definito meglio gli ambiti di responsabilità del servizio di conservazione elettronica delle fatture che viene messo a disposizione dei contribuenti che vogliano aderirvi.
In particolare, sono stati individuati in maniera analitica i rapporti tra il contribuente (titolare del trattamento), l’Agenzia delle Entrate (responsabile) e Sogei (sub- responsabile), che ricopre il ruolo di conservatore accreditato presso l’AGID.
Sono anche state delimitate le finalità del trattamento, che attengono unicamente alla conservazione ed all’eventuale esibizione dei documenti con esclusione di qualsiasi ulteriore finalità.
Nello schema di accordo sono inoltre state inserite le regole e procedure per la notificazione dei data breach (ex art. 33 del GDPR) e le esclusioni di responsabilità dell’Agenzia delle Entrate sono state limitate ad ipotesi ben specifiche.
La valutazione di impatto
Interessati considerazioni sono svolte in merito alla valutazione di impatto (ex art. 35 del GDPR), oltretutto essendo la prima volta che il Garante, dopo l’entrata in vigore del GDPR, si esprime su tale tematica.
Nel provvedimento del 15 novembre rilevando che il sistema di fatturazione elettronica avrebbe comportato un trattamento sistematico di dati personali su larga scala, anche di categorie particolari di dati, potenzialmente relativi ad ogni aspetto della vita quotidiana, il Garante aveva ritenuto necessaria l’effettuazione di una valutazione di impatto essendo presenti dei rischi elevati per i diritti e le libertà degli interessati.
L’Agenzia delle Entrate, pertanto ha presentato in data 17 dicembre il documento di valutazione ex art. 35 GDPR, ma, secondo le considerazioni del Garante, esso non può essere ritenuto sufficiente e dovrà essere integrato.
La motivazione di tale decisione, secondo quando si legge nel provvedimento in esame, è che l’Agenzia nello svolgimento della valutazione si è concentrata unicamente su aspetti tecnici del trattamento e sui relativi rischi informatici senza tener conto degli altri aspetti previsti dalla normativa.
In particolare, il Garante sottolinea che la valutazione deve essere svolta tenendo in considerazione i rischi incombenti sui diritti e le libertà degli interessati ed esaminando, in modo esaustivo, i diversi scenari di rischio.
Tra tali scenari, chiarisce il provvedimento, vi sono anche quelli in cui i rischi derivino da fattispecie diverse dai rischi informatici. Tale impostazione è coerente sia con l’art. 35 del GDPR sia con le Linee Guida emanate dal WP29 il 4 aprile 2017 (ed emendate il 4 ottobre 2017), senza dimenticare che uno dei primi requisiti della valutazione di impatto è proprio quello di verificare la necessità e proporzionalità del trattamento rispetto alle finalità perseguite.
L’Autorità, inoltre, ha chiarito che qualora non si ritenga di procedere a raccogliere le opinioni degli interessati, secondo quanto previsto dall’art. 35, 9° comma, GDPR, è comunque necessario dar conto, all’interno della valutazione di impatto, dei motivi per cui si è agito in tal modo.
L’attività degli intermediari
Particolare attenzione viene posta dal Garante all’attività degli intermediari, avvertendo i medesimi che alcune clausole contrattuali attualmente previste nei contratti di erogazione dei servizi inerenti alla fatturazione elettronica potrebbero violare gli art. 5, 6 e 28 del GDPR.
Il complesso sistema di deleghe che è stato adottato con il provvedimento dell’Agenzia delle Entrate del 5 novembre 2018 potrebbe, secondo l’Autorità, comportare dei rischi specialmente in merito al trattamento di dati di soggetti terzi.
Oltre a ciò il Garante si sofferma in particolar modo su quelle clausole, oggi previste in alcuni contratti, in base alle quali gli intermediari si riservano la possibilità di svolgere trattamenti aggiuntivi e diversi rispetto a quelli strettamente necessari a consentire ai loro clienti di procedere alla fatturazione elettronica.
Si tratta di quelle clausole che consentono a detti operatori di procedere all’elaborazione ed utilizzo di informazioni statistiche raccolte in relazione all’utilizzo dei servizi da parte del cliente medesimo e del beneficiario.
In pratica, alcuni operatori si stanno riservando la possibilità di trattare i dati inviati a mezzo dei loro software di fatturazione elettronica per finalità ulteriori e diverse rispetto alla mera esecuzione dell’attività di intermediario.
Tali previsioni, evidentemente, collidono con la configurazione del ruolo di Responsabile del trattamento, in quanto si tratta di finalità che esulano dal rapporto con il cliente e configurano un’autonoma titolarità dei dati da parte degli intermediari, con conseguente necessità di rinvenire una base giuridica sia verso il cliente direttamente sia verso gli altri interessati a cui i dati sono riferiti.
Ulteriori indicazioni sono svolte poi sulle clausole di esonero di responsabilità, considerate eccessivamente estese.
Considerazioni conclusive
I due provvedimenti del Garante sul sistema di fatturazione elettronica predisposto dall’Agenzia delle Entrate oltre ad assumere una particolare importanza per il fatto di prendere in esame un tema di rilevante attualità, che riguarda tutti gli operatori economici del nostro Paese, sono anche di particolare rilievo dal punto di vista dell’applicazione del GDPR.
Per la prima volta, infatti, l’Autorità per la protezione dei dati personali ha applicato in maniera estesa ed approfondita i principi e le previsioni del Regolamento (UE) n. 679/2016, prendendo posizione su temi quali la privacy by design, la minimizzazione dei dati, il principio di accountability, il contenuto della valutazione di impatto sui rischi e le libertà degli interessati.
Non sarà sfuggito poi, che sempre sulla base del Regolamento europeo si è arrivati, con l’ultimo provvedimento, a disapplicare delle previsioni normative interne, estendendo l’esonero dall’obbligo di fatturazione elettronica anche a soggetti che, per legge, vi sono in realtà obbligati.
Tali provvedimenti, seppur per alcuni aspetti ancora interlocutori rispetto la vicenda specifica, mostrano quanta importanza e rilevanza abbia oramai la disciplina della protezione dei dati personali nell’ambito del nostro Paese, ed in tutta l’Unione europea, e come essa debba costituire un vincolo ed un requisito imprescindibile per la corretta implementazione dei processi di digitalizzazione anche da parte della pubblica amministrazione.
Dato che l’Agenzia delle entrate ha già dichiarato che sarà necessario avere più tempo per recepire quanto indicato dal Garante, e tenuto conto dei temi imposti dallo Statuto del Contribuente, si dovrebbe arrivare ad avere funzionante il nuovo sistema solo dal 2 luglio 2019, data da cui il contribuente, se aderisce al servizio di conservazione gratuito dell’Agenzia delle entrate, continuerà ad avere la memorizzazione dell’intero contenuto del file trasmesso.
Dal punto di vista pratico ora i consulenti dovranno ricontattare tutti i contribuenti per illustrare le novità imposte dal Garante e dare a loro la possibilità di scegliere con quale modalità di conservazione vogliono gestire le loro fatture.
Quanto fatto fino ad oggi, come prevalente modello organizzativo del rapporto tra contribuente e consulente, basato sull’utilizzo della PEC nel dialogo tra cliente e consulente non potrà più essere utilizzato perché il prelievo massivo di tutti i file XML delle fatture non sarà più automatico. Esso infatti dovrà basarsi su un’autorizzazione nuova ed esplicita del contribuente per la memorizzazione sul portale dell’Agenzai delle entrate.
Infine va osservato che i servizi associati alla fatturazione elettronica, come il Sistema d’Interscambio, l’utilizzo della PEC ed il ruolo degli intermediari, sono da considerare a tutti gli effetti dei servizi fiduciari digitali che rientrano nella normazione introdotta dal Regolamento (UE) n. 910/2014.
Questo determina un adeguamento immediato alle norme GDPR e NIS per quanto riguarda le misure di sicurezza, ed in futuro anche un’evoluzione di tali strumenti e servizi che debba necessariamente passare attraverso l’utilizzo di standard internazionali che permettano anche l’interoperabilità dei dati e dei servizi a soggetti economici stranieri.
