Diritti interna

Doveri interna

ricerca avanzata

Memoria del Presidente del Garante per la protezione dei dati personali nell’ambito dell’esame del disegno di legge C. 2220, di conversione in legge del decreto-legge n. 124 del 2019, recante disposizioni urgenti in materia fiscale e per esigenze indifferibili

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9178137
Data:
05/11/19
Tipologia:
Memoria

Memoria del Presidente del Garante per la protezione dei dati personali nell’ambito dell’esame del disegno di legge C. 2220, di conversione in legge del decreto-legge n. 124 del 2019, recante disposizioni urgenti in materia fiscale e per esigenze indifferibili

Commissione VI (Finanze) della Camera dei Deputati

(5 novembre 2019)


1. Premessa.

Il decreto-legge in conversione contiene alcune disposizioni d’interesse sotto il profilo della protezione dei dati personali, meritevoli di talune considerazioni, ai fini della piena conformità delle norme in esame con la disciplina rilevante in materia. In questa sede, ci si limiterà ad analizzare le sole norme meritevoli di integrazione o modifica in conversione o, eventualmente, in fase attuativa, non considerando le pur numerose disposizioni volte a legittimare ulteriori trattamenti di dati personali, la cui applicazione dovrà, come noto, osservare la disciplina europea e nazionale di riferimento.

2. Memorizzazione e utilizzazione dei dati tratti da fatture elettroniche

Tra le norme meritevoli di alcune osservazioni, vi è in primo luogo quella di cui all’articolo 14 del decreto-legge, che nel novellare l’articolo 1 del decreto legislativo 5 agosto 2015, n. 127, dispone la memorizzazione dei file delle fatture elettroniche fino al 31 dicembre dell'ottavo anno successivo a quello di presentazione della dichiarazione di riferimento, ovvero fino alla definizione di eventuali giudizi.

I dati da memorizzare includono- si legge nella Relazione illustrativa- quelli inerenti la natura, qualità e quantità dei beni e servizi oggetto dell’operazione, di cui all’ art. 21, c. 2, lett.g) dPR 633 del 1972.

Essi sono resi accessibili- secondo quanto previsto dal comma 1 dell’articolo in analisi - alla Guardia di finanza nell’assolvimento delle funzioni di polizia economica e finanziaria, nonché all’Agenzia delle entrate e alla stessa Guardia di finanza per le attività di verifica e analisi del rischio fiscale.

Si dispone, dunque, l’estensione dell’ambito di utilizzazione dei dati di fatturazione a tutte le funzioni di polizia economica-finanziaria demandate al Corpo della Guardia di finanza dal d.lgs. 68 del 2001 e non soltanto – come a legislazione vigente – limitatamente alle verifiche fiscali. Tale modifica è volta a potenziare “l’attività di contrasto di qualunque forma di illegalità, anche in settori diversi da quello strettamente tributario, quali ad esempio la spesa pubblica, il mercato dei capitali e la tutela della proprietà intellettuale” (Relazione illustrativa AC 2220, p.19) .

La norma estende, dunque, tanto l’oggetto della memorizzazione quanto l’ambito di utilizzazione dei dati di fatturazione, senza peraltro escluderne (come conferma la Relazione illustrativa) alcune categorie, quali i dati non fiscalmente rilevanti o quelli inerenti la descrizione delle prestazioni fornite, sulla proporzionalità della cui archiviazione il Garante aveva espresso perplessità nei provvedimenti del 18 novembre e del 20 dicembre 2018, in relazione allo schema di provvedimento del direttore dell’Agenzia delle entrate in materia di fatturazione elettronica.

Ferma restando la discrezionalità del legislatore nel valutare la funzionalità dell’utilizzo delle suddette informazioni rispetto ad attività esulanti dall’ambito strettamente tributario, è opportuno svolgere alcune considerazioni in ordine al novero dei dati memorizzati.    

Come anticipato, con i provvedimenti del novembre e del dicembre 2018, il Garante ha ritenuto sproporzionata la memorizzazione dei dati non fiscalmente rilevanti e di quelli inerenti la descrizione delle prestazioni fornite, suscettibili di comprendere anche dati idonei a rivelare lo stato di salute o l’eventuale sottoposizione dell’interessato a procedimenti penali, come per le fatture relative a prestazioni in ambito sanitario o forense.

Annualmente risultano, infatti, essere emesse complessivamente circa 2,1 miliardi di fatture che, di regola, contengono dati, anche molto di dettaglio, volti ad individuare – spesso a fini di garanzia, assicurativi o per prassi commerciali - i beni e i servizi ceduti, con la descrizione delle prestazioni, i rapporti fra cedente e cessionario e altri soggetti, riferiti anche a sconti applicati, fidelizzazioni, abitudini di consumo, oltre a dati obbligatori imposti da specifiche normative di settore, con particolare riguardo ai trasporti, alle forniture di servizi energetici o di telecomunicazioni (tipologie dei consumi, fatturazione dettagliata, regolarità dei pagamenti, appartenenza a particolari categorie di utenti).

La presenza, all’interno dei file delle fatture elettroniche (ad esempio, allegati), di informazioni non rilevanti a fini fiscali - che possono riguardare anche categorie particolari di dati personali e dati personali relativi alle condanne penali e ai reati di cui agli artt. 9 e 10 del Regolamento (UE) 2016/679, potenzialmente riferibili ad ogni aspetto della vita quotidiana- è, peraltro, espressamente contemplata nel provvedimento dell’Agenzia del 30 aprile 2018 che prevede infatti una selezione dei dati presenti in fattura, oggetto di memorizzazione da parte dell’Agenzia, in quanto non rilevanti a fini fiscali.

Con specifico riferimento all’utilizzo delle fatture elettroniche a fini di controllo da parte dell’Agenzia delle entrate e della Guardia di finanza, le attività di controllo fiscale effettuate possono essere ricondotte a due tipologie: la prima basata su trattamenti automatizzati e di analisi del rischio (ad esempio, quelli volti a rilevare le incongruenze tra i dati dichiarati e quelli a disposizione dell’Agenzia nonché quelli relativi all’analisi del rischio evasione) e l’altra, più analitica, fondata sull’esame puntuale della posizione fiscale del contribuente e della documentazione fiscale.

I controlli automatizzati e l’analisi del rischio richiedono, per loro natura, la memorizzazione e l’elaborazione massiva dei dati estratti dai file XML delle fatture (c.d. dati fattura), tra cui non dovrebbe rientrare il campo del file XML contenente la descrizione dell’operazione oggetto di fattura che, oltre a poter contenere i significativi dati personali di dettaglio, sopra esemplificati, relativi alla natura, qualità e quantità dei beni e dei servizi fatturati, e presentare, quindi, rischi elevati per gli interessati, non si presta ad elaborazioni massive, essendo un campo a testo libero e non strutturato, che richiede, invece, un esame puntuale, caso per caso, del contenuto.

Con riferimento, invece, ai controlli puntuali che possono richiedere l’esame analitico delle fatture, dalla documentazione fornita dall’Agenzia dell’entrate in occasione dei suddetti pareri del 2018 risulta, in particolare, che, negli anni 2016 e 2017, sono stati effettuati, rispettivamente, 121.849 e 163.339 accertamenti nei confronti di contribuenti IVA, a fronte di circa 4,7 milioni soggetti che hanno presentato la dichiarazione IVA.

Alla luce di tali elementi, l’archiviazione integrale di tutte le fatture emesse e ricevute, comprensiva dei dati non fiscalmente rilevanti (anche, naturalmente, dei destinatari delle prestazioni fatturate) e di quelli inerenti alla descrizione delle prestazioni fornite, ai fini dell’esecuzione di controlli puntuali nell’ambito di accertamenti fiscali e verifiche, anche da parte della Guardia di finanza, appare quindi sproporzionata.

Come già rilevato, gli obblighi di memorizzazione dei file XML delle fatture elettroniche a cura degli operatori economici, anche presso l’Agenzia delle entrate, possono invece agevolare i controlli a distanza da parte dell’Agenzia e della Guardia di finanza previsti dal comma 5 dell’art. 1 del d.lgs. 127 del 2015, mediante le nuove modalità di acquisizione delle fatture che dovranno essere individuate con il decreto ministeriale da emanarsi ai sensi della medesima disposizione. L’autenticità e l’integrità di ciascun file, indispensabile ai fini dei controlli, è peraltro garantita dalla memorizzazione, da parte dell’Agenzia, di una c.d. impronta univoca della fattura (valore di hash).

La previsione di un obbligo di memorizzazione (e potenzialmente anche di utilizzazione) di dati personali sproporzionato – per quantità e qualità delle informazioni – rispetto alle reali esigenze perseguite renderebbe, infatti, la norma illegittima per contrasto con il principio di proporzionalità del trattamento dei dati, assurto nella giurisprudenza della Corte di giustizia a parametro ermeneutico essenziale in materia (vds. sentt.20 maggio 2003, nelle cause riunite C-465/00, C-138/01 e C-139/01, Österreichischer Rundfunk e altri, e 9 novembre 2010, nelle cause riunite C-92/09 e 93/09, Volker und Markus Schecke e Eifert, 8 aprile 2004, C- 203/12 e C-594/12, Digital Rights Ireland; 21 dicembre 2016, Tele2 Sverige, C-203/15 e 698/15 nonché, per quanto concerne la Corte europea dei diritti umani, in ordine al canone di proporzionalità in via generale, cfr., in particolare, sez. II, sent. 28 novembre 2017, ric. n. 70838-13; Grande Camera, 5 settembre 2017, Bărbulescu c. Romania (n. 61496/08 ).

Quello della necessità delle misure limitative del diritto alla protezione dati è, peraltro un principio che la Corte di giustizia (ma anche la Corte Edu) ha più volte valorizzato, ammettendo le misure più invasive solo a fronte dell’inidoneità allo scopo di sistemi meno limitativi del diritto, dal momento che “deroghe e restrizioni” ai diritti fondamentali devono intervenire “entro i limiti dello stretto necessario” (cfr., ex plurimis, CGUE, C-362/14, Maximillian Schrems c. Data Protection Commissioner [GC], 6 ottobre 2015).

La stessa Corte costituzionale, con la sentenza 20 del 2019, ha attribuito a tali principi una rilevante funzione etero-integrativa del canone di ragionevolezza di cui all’art. 3 Cost., fondandovi la declaratoria di illegittimità parziale, per violazione appunto del parametro interno così integrato, degli obblighi di pubblicità previsti per i dirigenti pubblici dall’art. 14, comma 1-bis, del decreto legislativo 14 marzo 2013, n. 33.

In sede di conversione, sarà pertanto opportuno, in primo luogo, vagliare l’effettiva necessità dell’archiviazione integrale dei dati di fatturazione, per la durata prevista, per la realizzazione delle varie attività di indagine, nei settori tributario ed extratributario, in vista delle quali si consente l’utilizzazione di tali informazioni.

Sarà, in particolare, auspicabile acquisire dal Governo elementi idonei a superare le criticità già rappresentate nei citati provvedimenti del Garante, valutando se la memorizzazione di un novero così esteso di dati sia realmente funzionale al perseguimento delle finalità considerate e non sostituibile con misure parimenti efficaci ma meno invasive o anche solo con l’oscuramento dei dati irrilevanti eventualmente presenti nelle fatture.

Le necessarie misure volte a evitare che un patrimonio informativo così sensibile sia esposto a rischi di esfiltrazione o attacchi informatici dovrebbero, peraltro, essere individuate con atto normativo ai sensi dell’art. 6, par. 3, del Regolamento, e non già con i previsti provvedimenti della Guardia di Finanza e dell’Agenzia delle entrate (cfr. comma 5-ter).

3. Certificazioni fiscali e pagamenti elettronici

L’articolo 21 del decreto-legge aggiunge, nel corpo dell’articolo 5 del CAD, i commi 2-sexies e 2 – septies.

La prima disposizione, in particolare, estende le funzionalità della piattaforma (c.d. “pagoPA”), disciplinata dal comma 2 dello stesso articolo, ricomprendendovi o processi di certificazione fiscale tra soggetti privati e, in particolare la fatturazione elettronica e la trasmissione telematica all'Agenzia delle entrate dei dati inerenti i corrispettivi giornalieri delle cessioni di beni e delle prestazioni di servizi, in sostituzione degli obblighi di registrazione.

La piattaforma metterebbe quindi a disposizione, in modo automatico durante il pagamento, i dati necessari per la generazione della fattura elettronica agli esercenti aderenti e ai loro eventuali provider di fatturazione, per le transazioni effettuate dai clienti finali mediante carta di pagamento su POS opportunamente integrati.

Le regole tecniche per l’attuazione della previsione normativa saranno emanate- dispone il comma 2-septies- con decreto del Presidente del Consiglio dei Ministri o del Ministro delegato per l’innovazione tecnologica e la digitalizzazione, d’intesa con il Ministero dell’economia e delle finanze e l’Agenzia delle entrate.

In ragione della particolare rilevanza del flusso informativo in questione e dell’esigenza di assicurare la piena conformità di tali trattamenti alla disciplina di protezione dei dati, è opportuno che tale disposizione sia riformulata precisando, quantomeno, il ruolo assunto dal gestore della Piattaforma e le caratteristiche del trattamento che si intende disciplinare in relazione ai processi di certificazione fiscale, a fini di fatturazione elettronica e di memorizzazione e trasmissione dei corrispettivi giornalieri.

In ogni caso, il Garante avrà modo di esprimere le proprie valutazioni sullo schema di DPCM in occasione del parere da rendere ai sensi della pertinente normativa (cfr. artt. 36 par 4 e 57 par 1 lett.  c) del Regolamento (UE) 2016/679)