Tutto il sistema fatto dall’Agenzia delle Entrate per l’obbligo di fatturazione elettronica che scatta da gennaio non è privacy by design, alla luce del Gdpr. E per questo va corretto in corsa, con forti incognite che ora si aprono su tempi e modi di adeguamento all’obbligo.
E’ il primo commento che si può fare al provvedimento- più che corretto- con cui il Garante della Privacy interviene sull’obbligo della fatturazione elettronica B2b.
Sono evidenti i rischi che vengono dalle lacune di progettazione con cui l’Agenzia delle Entrate ha pensato il Sistema di interscambio. E’ la prima volta che il Garante esercita il nuovo potere correttivo di avvertimento, attribuito dal Regolamento europeo, attraverso un provvedimento adottato anche a seguito di alcuni reclami. Sempre alla luce delle nuove leggi, il Garante nota che sarebbe dovuto essere consultato ma l’Agenzia non l’ha fatto.
Che succede ora?
L’Agenzia dovrà quindi rifare in corsa il sistema. Non si sa se questo comporterà un ritardo: è la questione principale. Alcuni aspetti sono facilmente risolvibili, come l’oscuramento dei campi nell’Xml; la cifratura di tutto ciò che si conserva invece comporterebbe attività ben più gravose e un rallentamento del sistema stesso. E apre dubbi sulla su tenuta complessiva.
Altre osservazioni del Garante sono difficilmente regolabili, per esempio quelle sul ruolo degli intermediari, che andrebbero a raccogliere e mantenere una serie rilevanti di volume di dati. Questo appunto però riguarda la governance complessiva e come ricaduta avrebbe la modifica dei sistemi anche degli intermediari. Il rischio da evitare, ovviamente, è la profilazione delle abitudini di consumo degli utenti.
Non si sa quindi se l’Agenzia chiederà altro tempo al Governo, perché questi faccia una norma d’urgenza per il rinvio. L’occasione viene proprio dagli emendamenti di proroga in DL Legge Fiscale.
Ma anche se formalmente non ci sarà rinvio, comunque la notizia di oggi crea incertezza tra gli operatori e i soggetti che all’obbligo dovrebbero adeguarsi…e che in questo periodo starebbero lavorando (alcuni, si sa, a fatica) per farlo. Se non ritardi (ovvero proroghe) normativi, ci possono essere insomma ritardi applicativi.
Le criticità rilevate
Di seguito il dettaglio, del problemi rilevati dal Garante.
- In primo luogo, l’Agenzia, dopo aver recapitato le fatture in qualità di “postino” attraverso il sistema di interscambio (SDI) tra gli operatori economici e i contribuenti, archivierà e utilizzerà i dati anche a fini di controllo. Tuttavia non saranno archiviati solo i dati obbligatori a fini fiscali, ma la fattura vera e propria, che contiene di per sé informazioni di dettaglio ulteriori sui beni e servizi acquistati, come le abitudini e le tipologie di consumo, legate alla fornitura di servizi energetici e di telecomunicazioni (es. regolarità nei pagamenti, appartenenza a particolari categorie di utenti), o addirittura la descrizione delle prestazioni sanitarie o legali.
- Altre criticità derivano dalla scelta dell’Agenzia delle entrate di mettere a disposizione sul proprio portale, senza una richiesta dei consumatori, tutte le fatture in formato digitale, anche per chi preferirà comunque continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore, come garantito dal legislatore.
- Ulteriori problemi pone il ruolo assunto dagli intermediari delegabili dal contribuente per la trasmissione, la ricezione e la conservazione delle fatture, alcuni dei quali operano anche nei confronti di una moltitudine di imprese, accentrando enormi masse di dati personali con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.
- Anche le modalità di trasmissione attraverso lo SDI e gli ulteriori servizi offerti dall’Agenzia (come la conservazione dei dati) presentano criticità per quanto riguarda i profili di sicurezza, a partire dalla mancata cifratura della fattura elettronica, tanto più considerato l’utilizzo della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di posta elettronica.