La norme sulla fatturazione elettronica non piacciono al Garante della Privacy

Stato amico del contribuente? Non proprio, anzi: secondo il Garante della Privacy più che amico lo Stato è ficcanaso, e lo scrive nero su bianco, il 9 luglio, citando nello specifico due commi del DF n. 124/2019, quelli che che prevedono che i file delle fatture elettroniche siano conservati per 8 anni.

Le critiche del Garante della Privacy alle novità sulla fatturazione elettronica

Va detto subito che il Garante non critica l'impianto della fatturazione elettronica in sé, ma alcuni dettagli introdotto con il Decreto Fiscale n. 124/2019, pensato per contrastare l'evasione fiscale. In particolare, quelli che consentono al Fisco di conservare per ben 8 anni tutti i dati relativi alle fatture elettroniche inviate a SdI. Dati ai quali potranno accedere, facendo controlli incrociati coi loro sistemi, sia la Guardia di Finanza sia l'Agenzia delle Entrate. I dati conservati includono non solo gli importi, ma tutte le informazioni sulla natura e sulla quantità di beni e servizi relativi all'operazione.

Un approccio ben più invasivo di quello attuale, che il Garante considera sproporzionato, dal momento che questa raccolta massiva di dati include anche tutte quelle informazioni non rilevanti a fini fiscali. "La previsione della memorizzazione e dell’utilizzazione, senza distinzione alcuna, dell’insieme dei  dati personali contenuti nei file delle fatture elettroniche, anche laddove si assicurino elevati livelli di sicurezza e accessi selettivi, risulta sproporzionata in uno stato democratico, per quantità e qualità delle informazioni oggetto di trattamento, rispetto al perseguimento del legittimo obiettivo di interesse pubblico di contrasto all'evasione fiscale perseguito; ciò pur tenendo conto che, allo stato, le spese sanitarie trasmesse attraverso il sistema TS sono escluse da tale previsione", sottolinea il Garante in una nota. E aggiunge: "Si ritiene pertanto che lo schema di provvedimento in esame disciplini un trattamento di dati in violazione degli artt. 5, par. 1., lett. a), 6, par. 3, 9, 10, 24 e 25 del Regolamento, riguardante, peraltro senza distinzione alcuna tra tipologie di informazioni o categorie di interessati e dati personali di dettaglio, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi alla totalità della popolazione, non proporzionato all'obiettivo di interesse pubblico, pur legittimo, perseguito, non individuando, in ossequio ai principi di privacy by design e by default, misure di garanzia adeguate per assicurare la protezione dei dati, anche in relazione a quelli di cui agli artt. 9 e 10 del Regolamento".

Insomma, giusto contrastare l'evasione, ma l'approccio attuale non è quello corretto, in quanto incompatibile con le attuali norme sulla privacy. Non è la prima volta che il Garante ribadisce questo punto. "L’Autorità aveva già, infatti, invitato il legislatore a selezionare opportunamente le tipologie di informazioni trattate, che dovevano essere oggetto di specifica valutazione rispetto alle esigenze perseguite in concreto, al fine di non violare il principio di proporzionalità del trattamento dei dati sancito dal Regolamento".