Secondo il Garante Privacy la fatturazione elettronica va cambiata, perché com'è ora c'è una " sproporzionata raccolta di informazioni e rischi di usi impropri da parte di terzi". La comunicazione ufficiale è stata inoltrata oggi all'Agenzia delle Entrate (AdE) e pubblicata online.
La normativa, che entrerà in vigore il prossimo 1 gennaio, secondo il Garante “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”. Il Garante chiede quindi all'AdE come intende procedere per modificare la fatturazione elettronica e renderla conforme alla normativa vigente in tema di tutela dei dati personali. È la prima volta che il Garante esercita il nuovo potere avvertimento (attribuito dal Regolamento europeo) con un provvedimento adottato anche a seguito di alcuni reclami.
I problemi, segnalati anche tramite reclami, riguardano per esempio il sistema di consegna delle fatture, che vede AdE nei panni del "postino digitale". Tramite il sistema di interscambio SDI, AdE è in grado di raccogliere i dati e usarli a fini di controllo e verifica.
Il problema, specifica il garante, è che sarà archiviata la fattura vera e propria, non solo i dati necessari per il controllo fiscale. Un documento che "contiene di per sé informazioni di dettaglio ulteriori sui beni e servizi acquistati". Informazioni che, a quanto si deduce, non dovrebbero interessare ad AdE.
Le fatture, di regola, contengono, infatti, dati, anche molto di dettaglio, volti ad individuare – spesso a fini di garanzia, assicurativi o per prassi commerciali - i beni e i servizi ceduti, con la descrizione delle prestazioni, i rapporti fra cedente e cessionario e altri soggetti, riferiti anche a sconti applicati, fidelizzazioni, abitudini di consumo, oltre a dati obbligatori imposti da specifiche normative di settore, con particolare riguardo ai trasporti, alle forniture di servizi energetici o di telecomunicazioni (tipologie dei consumi, fatturazione dettagliata, regolarità dei pagamenti, appartenenza a particolari categorie di utenti). Ciò, vale a maggior ragione anche per categorie di dati particolari e giudiziari, rilevabili da fatture elettroniche emesse, ad esempio, da operatori attivi nel settore sanitario o giudiziario.
Inoltre le fatture saranno disponibili sul sito di AdE, anche se le persone coinvolte hanno chiesto la versione cartacea o l'invio diretto dal fornitore. "Un siffatto trattamento comporta, infatti, un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web".
Ci sono problemi anche per quanto riguarda gli intermediari, come i commercialisti, che finirebbero per accentrare "enormi masse di dati personali con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici".
Si aggiunge il fatto che il sistema SDI non usa un adeguato livello di crittografia, ed è quindi vulnerabile a eventuali attacchi informatici. E poi c'è la possibile memorizzazione dei dati sui server di Posta Elettronica Certificata (PEC) usati per l'invio e la ricezione delle fatture e altre comunicazioni.
"Si evidenzia che nel provvedimento n. 89757, sembrerebbe attualmente previsto l’utilizzo del protocollo FTP, che non è considerabile un canale sicuro", recita il provvedimento. Si sottolineano problemi anche con l'applicazione Fatturae, che " consente agli operatori economici di attivare il salvataggio di alcuni dati, non meglio specificati, in ambiente cloud. Da una prima analisi, non sarebbero correttamente rappresentate agli utenti nell’informativa le ulteriori finalità di conservazione e di controllo perseguite dall’Agenzia con i dati raccolti attraverso tale applicazione, in violazione dell’art. 13 del Regolamento". Simili i dubbi riguardo al servizio gratuito di conservazione delle fatture offerto da AdE.
Il comunicato del Garante si conclude sottolineando che una "preventiva consultazione […] avrebbe potuto assicurare fin dalla progettazione l’avvio del nuovo sistema con modalità e garanzie rispettose della protezione dei dati personali". In altre parole, se glielo avessero domandato prima, magari, si evitava il pasticcio.
L'avvertimento non è vincolante, e l'Agenzia potrebbe procedere sulla propria strada ignorandolo. Cosa che probabilmente accadrà, visto che a poco più di un mese dall'entrata in vigore è pressoché impossibile risolvere tutti i problemi segnalati. Diventa dunque chiaro che stiamo per varare un sistema che introduce diversi rischi per la privacy dei cittadini italiani, il che non è proprio la migliore delle notizie.