Il Garante della Privacy “boccia” i controlli incrociati sui dati delle fatture elettroniche. Nel mirino dell’Authority ci sono, in particolare, le troppe informazioni coinvolte nelle procedure di memorizzazione e archiviazione delle fatture elettroniche, che metterebbero a rischio la privacy dei contribuenti.

Il parere dell’Autorità garante, annotato al n. 133 del registro dei provvedimenti, riguarda la valutazione di impatto sullo schema di provvedimento attuativo della nuova procedura di utilizzo, per otto anni, dei dati delle fatture elettroniche, ai fini delle analisi del rischio di evasione.

Le critiche del Garante

In discussione non è tanto l’impianto generale della fatturazione elettronica, dunque, quanto piuttosto alcuni punti del Decreto Fiscale n. 124/2019. Il Garante della Privacy esprime preoccupazione per la decisione di consentire al Fisco di conservare per ben 8 anni tutti i dati relativi alle fatture elettroniche inviate al Sistema di Interscambio (SdI).

In questo modo, a quei dati possono accedere Guardia di Finanza e Agenzia delle Entrate per i loro controlli incrociati. Ma le informazioni conservate riguardano non soltanto gli importi, ma anche tutti i dettagli sulla natura dei beni e dei servizi al centro dell’operazione.

“La previsione della memorizzazione e dell’utilizzazione, senza distinzione alcuna, dell’insieme dei dati personali contenuti nei file delle fatture elettroniche, anche laddove si assicurino elevati livelli di sicurezza e accessi selettivi”, rileva l’Autorità in una nota, “risulta sproporzionata in uno stato democratico, per quantità e qualità delle informazioni oggetto di trattamento, rispetto al perseguimento del legittimo obiettivo di interesse pubblico di contrasto all’evasione fiscale perseguito”. Questo, prosegue il Garante, “pur tenendo conto che, allo stato, le spese sanitarie trasmesse attraverso il sistema TS sono escluse da tale previsione”.

I dati conservati

Ogni anno, si legge nel parere dell’Autorità, vengono emesse complessivamente circa 2 miliardi di fatture, che normalmente contengono dati, anche molto dettagliati, sui beni e i servizi ceduti, con la descrizione delle prestazioni, i rapporti fra cedente e cessionario e altri soggetti, riferiti anche a sconti applicati, fidelizzazioni, abitudini di consumo.

Ci sono poi dati obbligatori imposti da specifiche normative di settore, con particolare riguardo ai trasporti e alle forniture di servizi energetici o di telecomunicazioni (tipologie dei consumi, fatturazione dettagliata, regolarità dei pagamenti, appartenenza a particolari categorie di utenti). “La presenza, all’interno dei file delle fatture elettroniche, di ulteriori dati, utili alla gestione del ciclo attivo e passivo degli operatori, ma non rilevanti a fini fiscali”, sottolinea il Garante, “è peraltro espressamente contemplata nello schema di provvedimento in esame e nella valutazione di impatto”.

L’insieme di dati raccolti e memorizzati comprende persino informazioni del tutto irrilevanti ai fini fiscali, tra cui alcune che riguardano categorie particolari, come quelle relative a eventuali procedimenti penali a danno dei soggetti interessati.

Già in passato l’Autorità aveva sottoposto all’attenzione del legislatore il rischio di violare il principio di proporzionalità del trattamento dei dati sancito dal Regolamento (Ue) 2016/679, e gli aveva dunque richiesto di individuare “con specificità le tipologie di informazioni trattate, che dovevano essere oggetto di specifica valutazione rispetto alle esigenze perseguite in concreto”.

Il parere del Garante

Su queste basi, il parere del Garante è negativo sia per quanto riguarda lo schema di provvedimento attuativo, sia per quel che concerne i prospettati trattamenti da effettuare ai fini delle analisi del rischio di evasione.

In merito al primo, l’Autorità lo ritiene “non proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito”; quanto invece ai trattamenti ai fini delle analisi del rischio, lo scenario è quello di una vera e propria “profilazione di tutti i contribuenti, anche minori d’età”, a cui sono connessi “rischi elevati per i diritti e le libertà degli interessati”.