Secondo il Garante della Privacy il sistema di fatturazione elettronica obbligatorio dal 1° gennaio 2019, così come regolato dall’Agenzia delle Entrate, realizza una sproporzionata raccolta di informazioni, esposte al rischio di uso improprio da parte di terzi, dato il trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione (Provvedimento 15 novembre 2018, n. 481).

Dal 1° gennaio 2019 scatta l’obbligo di fatturazione elettronica obbligatoria per tutte le cessioni di beni e prestazioni di servizi comunque effettuate tra soggetti residenti o stabiliti in Italia, sia nei rapporti tra due operatori Iva (operazioni Business to Business, cd. "B2B"), sia per le operazioni effettuate verso un consumatore finale (operazioni Business to Consumer, cd. "B2C"), con eccezione degli operatori che rientrano nei cd. "regimi di vantaggio" e "regimi forfetari", e dei piccoli produttori agricoli già esonerati dall’emissione di fattura.
Secondo il Garante della Privacy il sistema di fatturazione elettronica universale regolato dall’Agenzia delle Entrate, obbligatorio in Italia dal prossimo anno, presenta diversi profili critici in relazione alla protezione dei dati personali, prevedendo un trattamento obbligatorio generalizzato e di dettaglio di dati personali, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi alla totalità della popolazione, non proporzionato all’obiettivo di interesse pubblico perseguito. In particolare:
- i provvedimenti attuativi sono stati adottati senza la preventiva consultazione del Garante, nonostante il nuovo obbligo di fatturazione elettronica determini un trattamento sistematico di dati personali su larga scala, anche di categorie particolari di dati, potenzialmente relativi ad ogni aspetto della vita quotidiana, che presenta un rischio elevato per i diritti e le libertà degli interessati, per il quale è richiesta l’effettuazione di una valutazione di impatto;
- nella fase successiva al recapito delle fatture elettroniche in qualità di "postino", l’Agenzia delle Entrate archivia la fattura vera e propria in formato XML. Dunque, non solo i dati necessari ad assolvere gli obblighi fiscali, ma anche informazioni di dettaglio riguardanti elementi ulteriori, che consentono di individuare i beni e i servizi ceduti, con la descrizione delle prestazioni, i rapporti fra cedente e cessionario e altri soggetti, riferiti anche a sconti applicati, fidelizzazioni, abitudini di consumo, oltre a dati obbligatori imposti da specifiche normative di settore, con particolare riguardo ai trasporti, alle forniture di servizi energetici o di telecomunicazioni (tipologie dei consumi, fatturazione dettagliata, regolarità dei pagamenti, appartenenza a particolari categorie di utenti), ovvero categorie di dati particolari e giudiziari, rilevabili da fatture elettroniche emesse da operatori attivi nel settore sanitario o giudiziario. A fronte della presenza di informazioni non rilevanti ai fini fiscali, peraltro, non risultano individuate specifiche misure di garanzia volte ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza;
- nelle operazioni B2C, vale a dire nei confronti dei consumatori, la scelta di rendere disponibili tutte le fatture elettroniche in formato XML sul portale dell’Agenzia, anche in assenza di una puntuale richiesta degli stessi, nonostante il diritto di ottenerne una copia, digitale o analogica, direttamente dall’operatore, comporta un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web. Tale impostazione predefinita determina un’imprescindibile trattamento, da parte dell’Agenzia delle entrate, di dati non obbligatori a fini fiscali relativi alla totalità dei cittadini, compresi coloro che, non rinunciando a ricevere la fattura direttamente dal fornitore, non intenderanno avvalersi del servizio messo a disposizione sul portale dell’Agenzia;
- con riferimento agli intermediari delegabili per la trasmissione, la ricezione e la conservazione delle fatture, considerato che alcuni di essi operano anche nei confronti di una moltitudine di imprese, si realizza un accentramento di enormi masse di dati personali con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici;
- infine, data la mancata cifratura della fattura elettronica, sono state riscontrate criticità per quanto riguarda i profili di sicurezza in relazione alle modalità di trasmissione delle fatture elettroniche tramite lo SDI e gli altri servizi offerti dall’Agenzia delle Entrate (come la conservazione dei dati), ovvero per l’utilizzo della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di posta elettronica.
In ragione dei rilievi sopra descritti, il Garante della privacy ha avvertito l’Agenzia delle Entrate di provvedere ad introdurre i necessari cambiamenti al sistema di fatturazione elettronica, affinché i conseguenti trattamenti dei dati risultino conformi alle prescrizioni in materia di protezione dei dati personali prima che gli obblighi di fatturazione elettronica siano pienamente operativi.