g-docweb-display Portlet

Parere sullo schema di provvedimento del Direttore dell’Agenzia delle entrate concernente Regole tecniche per l’emissione e la ricezione delle fatture elettroniche per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti e stabiliti nel territorio dello Stato e per le relative variazioni - 9 luglio 2020 [9434785]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE Provvedimento del 7 agosto 2020

 

[doc. web n. 9434785]

Parere sullo schema di provvedimento del Direttore dell’Agenzia delle entrate concernente Regole tecniche per l’emissione e la ricezione delle fatture elettroniche per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti e stabiliti nel territorio dello Stato e per le relative variazioni  - 9 luglio 2020

Registro dei provvedimenti
n. 133 del 9 luglio 2020 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito “Regolamento”;

Visto il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, recante Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito, “Codice”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

L’Agenzia delle entrate ha trasmesso al Garante una nota volta ad avviare un confronto in ordine all’attuazione dell’art. 14 del decreto legge 26 ottobre 2019, n. 124, convertito dalla legge 19 dicembre 2019, n. 157, che introduce la memorizzazione dei file delle fatture elettroniche.

In particolare, con la predetta nota, è stato trasmesso un nuovo schema di provvedimento del direttore dell’Agenzia recante “Regole tecniche per l’emissione e la ricezione delle fatture elettroniche per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti e stabiliti nel territorio dello Stato e per le relative variazioni, utilizzando il Sistema di Interscambio, nonché per la trasmissione telematica dei dati delle operazioni di cessione di beni e prestazioni di servizi transfrontaliere e per l’attuazione delle ulteriori disposizioni di cui all’articolo 1 del decreto legislativo 5 agosto 2015, n. 127”, che attua il predetto articolo, disciplinando la memorizzazione e l’utilizzo dei file xml delle fatture elettroniche. Allo schema di provvedimento sono state allegate tre valutazioni di impatto relative ai prospettati diversi utilizzi dei predetti file da parte dell’Agenzia delle entrate.

1.  Il quadro normativo

Con il citato decreto legge n. 124 del 2019 sono stati inseriti, in particolare, nell’art. 1 del d.lgs 127/2015 che ha introdotto la fatturazione elettronica, due commi, i quali prevedono che “i file delle fatture elettroniche acquisiti ai sensi del comma 3 sono memorizzati fino al 31 dicembre dell'ottavo anno successivo a quello di presentazione della dichiarazione di riferimento ovvero fino alla definizione di eventuali giudizi, al fine di essere utilizzati: a) dalla Guardia di finanza nell'assolvimento delle funzioni di polizia economica e finanziaria di cui all'articolo 2, comma 2, del decreto legislativo 19 marzo 2001, n. 68; b) dall'Agenzia delle entrate e dalla Guardia di Finanza per le attività di analisi del rischio e di controllo a fini fiscali.” (art.1, comma 5-bis) e che “ai fini di cui al comma 5-bis, la Guardia di Finanza e l'Agenzia delle entrate, sentito il Garante per la protezione dei dati personali, adottano idonee misure di garanzia a tutela dei diritti e delle libertà degli interessati, attraverso la previsione di apposite misure di sicurezza, anche di carattere organizzativo, in conformità con le disposizioni del regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 e del decreto legislativo 30 giugno 2003, n. 196” (art. 1, comma 5 ter).

2. Lo schema di provvedimento

Lo schema di provvedimento in esame introduce, in sintesi, talune modifiche al vigente provvedimento del Direttore dell’Agenzia del 30 aprile 2018 (che tiene conto di quanto osservato dal Garante nel parere il 20 dicembre 2018, doc. web n. 9069072), volte a definire le nuove modalità con cui l’Agenzia memorizzerà e renderà disponibili, al proprio personale e alla Guardia di finanza, i file xml delle fatture elettroniche.

In particolare, nel provvedimento vengono introdotti i seguenti elementi di novità:

- la memorizzazione dei c.d. “dati fattura integrati” che, in aggiunta alle informazioni già memorizzate nell’ambito dei c.d. “dati fattura”, contengono ulteriori dati utili ai fini fiscali, ivi compresi quelli relativi a natura, qualità e quantità dei beni e dei servizi oggetto dell’operazione (ovvero la descrizione dell’oggetto della fattura), che potranno essere trattati unicamente dal personale delle strutture centrali dell’Agenzia per lo svolgimento delle attività di analisi del rischio e di promozione dell’adempimento spontaneo di cui all’articolo 1, commi 634 e seguenti, della legge 23 dicembre 2014, n. 190 e di controllo ai fini fiscali (punti 1.2. e 10.2).

- l’utilizzo dei file xml delle fatture, da parte del personale centrale e delle strutture territoriali dell’Agenzia delle entrate specificatamente autorizzato, nell’ambito delle attività istruttorie connesse (punto 10.4):

a) all’esecuzione dei rimborsi ai sensi dell’articolo 38-bis del d.P.R. n. 633 del 1972;

b) all’esercizio dei poteri di cui agli articoli 51 del d.P.R. n. 633 del 1972 e 32 del d.P.R. n. 600 del 1973;

c) all’espletamento degli accessi, ispezioni e verifiche previsti dagli articoli 52 del d.P.R. n. 633 del 1972 e 33 del d.P.R. n. 600 del 1973;

d) al controllo formale delle dichiarazioni ai sensi dell’articolo 36-ter del d.P.R. n. 600 del 1973;

e) al controllo preventivo sulle dichiarazioni presentate mediante modello 730 con esito a rimborso, ai sensi dell’articolo 5, comma 3-bis, del decreto legislativo 21 novembre 2014, n. 175 (punto 10.5);

- la stipula di una convenzione con la Guardia di finanza per la messa a disposizione dei file delle fatture elettroniche e dei “dati fattura integrati” per le attività di polizia economica e finanziaria ai sensi dell’articolo 1, comma 5-bis, del decreto legislativo n. 127 del 2015.

OSSERVA

Lo schema di provvedimento in esame è volto a dare attuazione al citato art. 14 del decreto legge n. 124 del 2019 che è stata già oggetto di rilievi critici del Garante formulati nella memoria, inviata alla Commissione VI (Finanze) della Camera dei Deputati, dal Presidente dell’Autorità relativamente al disegno di legge di conversione C. 2220, del 5 novembre 2019 (doc. web n. 9178137), in conformità anche a quanto già rilevato dall’Autorità nei provvedimenti del 18 novembre (doc. web 9059949) e 20 dicembre 2018 (cit.) in materia, che devono intendersi qui richiamati, ritenendo sproporzionata la memorizzazione di dati non fiscalmente rilevanti e inerenti la descrizione delle prestazioni fornite.

Annualmente risultano essere emesse complessivamente circa 2 miliardi di fatture che, di regola, contengono dati, anche molto di dettaglio, volti ad individuare - spesso a soli fini di garanzia, assicurativi o per prassi commerciali - i beni e i servizi ceduti, con la descrizione delle prestazioni, i rapporti fra cedente e cessionario e altri soggetti, riferiti anche a sconti applicati, fidelizzazioni, abitudini di consumo, oltre a dati obbligatori imposti da specifiche normative di settore, con particolare riguardo ai trasporti, alle forniture di servizi energetici o di telecomunicazioni (tipologie dei consumi, fatturazione dettagliata, regolarità dei pagamenti, appartenenza a particolari categorie di utenti). La presenza, all’interno dei file delle fatture elettroniche, di ulteriori dati, utili alla gestione del ciclo attivo e passivo degli operatori, ma non rilevanti a fini fiscali (come, ad esempio, quelli contenuti negli allegati), è peraltro espressamente contemplata nello schema di provvedimento in esame e nella valutazione di impatto (punto 1.4).

Si osserva che, nel dare attuazione alla predetta disposizione, lo schema in esame prevede, senza effettuare alcuna distinzione tra tipologie di dati o categorie di interessati, la memorizzazione e l’utilizzo dei file delle fatture elettroniche che contengono i dati inerenti la natura, qualità e quantità dei beni e servizi oggetto dell’operazione di cui all’art. 21, comma 2, lett. g), del d.P.R. 26 ottobre 1972, n. 633, estendendo così tanto l’oggetto della memorizzazione, quanto l’ambito di utilizzazione dei dati presenti nella fattura elettronica. Non vengono escluse neppure alcune tipologie di dati (quali quelli non rilevanti a fini fiscali o quelli inerenti la descrizione delle prestazioni fornite, suscettibili di comprendere anche dati appartenenti a categorie particolari o l’eventuale sottoposizione dell’interessato a procedimenti penali, come per le fatture relative a prestazioni in ambito forense (cfr. artt. 9 e 10 del Regolamento), né i codici fiscali dei consumatori (quantomeno per fatture relative a spese non detraibili).

In questa sede è d’obbligo richiamare quanto già rappresentato nella predetta memoria e nei provvedimenti sopra indicati, circa il fatto che la previsione della memorizzazione e dell’utilizzazione, senza distinzione alcuna, dell’insieme dei  dati personali contenuti nei file delle fatture elettroniche, anche laddove si assicurino elevati livelli di sicurezza e accessi selettivi, risulta sproporzionata in uno stato democratico, per quantità e qualità delle informazioni oggetto di trattamento, rispetto al perseguimento del legittimo obiettivo di interesse pubblico di contrasto all’evasione fiscale perseguito; ciò pur tenendo conto che, allo stato, le spese sanitarie trasmesse attraverso il sistema TS sono escluse da tale previsione.

L’Autorità aveva già, infatti, invitato il legislatore a selezionare opportunamente le tipologie di informazioni trattate, che dovevano essere oggetto di specifica valutazione rispetto alle esigenze perseguite in concreto, al fine di non violare il principio di proporzionalità del trattamento dei dati sancito dal Regolamento (art. 6, par. 3, con garanzie rafforzate per i dati di cui agli artt. 9 e 10), e assurto a parametro di legittimità in materia, nella giurisprudenza della Corte di giustizia (ex multis sentenza dell’ 8 aprile 2004, C- 203/12 e C-594/12, Digital Rights Ireland Ldt), della Corte europea dei diritti dell’uomo (in particolare sez. II, sent. 28 novembre 2017, Antović and Mirković c. Montenegro) e della Corte costituzionale (sentenza n. 20 del 2019).

RITENUTO

Alla luce di quanto sopra rappresentato, si ritiene pertanto che lo schema di provvedimento in esame disciplini un trattamento di dati in violazione degli artt. 5, par. 1., lett. a), 6, par. 3, 9, 10, 24 e 25 del Regolamento, riguardante, peraltro senza distinzione alcuna tra tipologie di informazioni o categorie di interessati e dati personali di dettaglio, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi alla totalità della popolazione, non proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito, non individuando, in ossequio ai principi di privacy by design e by default, misure di garanzia adeguate per assicurare la protezione dei dati, anche in relazione a quelli di cui agli artt. 9 e 10 del Regolamento.

Con riferimento, invece, ai prospettati trattamenti effettuati a fini di analisi del rischio attraverso interconnessioni con le numerose banche dati a disposizione dell’Agenzia delle entrate, effettuabili anche sulla base dei c.d. dati fattura, senza informazioni sulla descrizione dei beni e servizi oggetto della fattura (cfr. DPIA n. 2, allegata alla nota citata) e che prevedono la profilazione di tutti i contribuenti, anche minori d’età, e il trattamento di dati di cui agli artt. 9 e 10 del Regolamento, si ritiene invece necessario, attesi i rischi elevati per i diritti e le libertà degli interessati, approfondire separatamente l’istruttoria al fine di acquisire ulteriori elementi di valutazione, al fine di  individuare idonee garanzie per i contribuenti, nel rispetto dell’art. 22 del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 58, par. 3, lett. b), del Regolamento, esprime parere, nei termini di cui in motivazione, sullo schema di provvedimento del Direttore dell’Agenzia delle entrate concernente le “Regole tecniche per l’emissione e la ricezione delle fatture elettroniche per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti e stabiliti nel territorio dello Stato e per le relative variazioni, utilizzando il Sistema di Interscambio, nonché per la trasmissione telematica dei dati delle operazioni di cessione di beni e prestazioni di servizi transfrontaliere e per l’attuazione delle ulteriori disposizioni di cui all’articolo 1 del decreto legislativo 5 agosto 2015, n. 127”.

Roma, 9 luglio 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia