Fatture elettroniche: il campanello d’allarme del Garante per le Nuove Regole Tecniche

L’Agenzia delle entrate, con nota del 20 settembre 2021, ha sottoposto all’Autorità Garante lo schema di provvedimento del Direttore dell’Agenzia recante “Regole Tecniche per l’emissione e la ricezione delle fatture elettroniche per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti Interscambio, nonché per la trasmissione telematica dei dati delle operazioni di cessione di beni e prestazioni di servizi transfrontaliere”.

In tale ottica, l’art. 14 del DL 26 ottobre 2019, n. 124, modificando l’art. 1 del D.lgs. 5 agosto 2015, n. 127, amplia l’ambito di utilizzo dei file delle fatture elettroniche. La citata norma, tra le altre cose, ne prevede infatti la memorizzazione “fino al 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento ovvero fino alla definizione di eventuali giudizi, al fine di essere utilizzati:

a) dalla Guardia di finanza nell’assolvimento delle funzioni di polizia economica e finanziaria[1];
b) dall’Agenzia delle entrate e dalla Guardia di finanza per le attività di analisi del rischio e di controllo a fini fiscali”, previa l’adozione, da parte di entrambe le Autorità, di apposite misure di sicurezza tecniche e organizzative a tutela dei diritti e delle libertà degli interessati conformemente a quanto disposto dalla normativa in materia di protezione dei dati personali.

[1] Di cui all’articolo 2, co. 2, del D.Lgs. 19 marzo 2001, n. 68 [compiti di prevenzione, ricerca e repressione di violazioni di varia natura, tra cui quelle in materia di imposte e tributi].

MasterClass

Documenti aziendali fiscalmente rilevanti e e-commerce

ANORC riparte con la formazione proponendo 4 percorsi pronti all’uso, caratterizzati da un approccio multidisciplinare, fortemente tecnico e intuitivo.

Non perdere l’appuntamento con la prima MasterClass dedicata a “Documenti aziendali fiscalmente rilevanti e e-commerce” in programma il prossimo 27 gennaio con la partecipazione del dott. Rosario Farina.

Per scoprire le altre MasterClass e l’offerta a te dedicata, consulta la pagina ufficiale del corso!

SCOPRI L'OFFERTA

Le nuove regole tecniche per la memorizzazione delle fatture elettroniche

Le nuove regole tecniche andrebbero a sostituire il provvedimento del Direttore dell’Agenzia delle entrate del 30 aprile 2018, in base al quale attualmente l’AE estrae dai file xml di tutte le fatture elettroniche che transitano sullo SDI i c.d. “dati fattura” – a esclusione di quelli relativi a natura, qualità e quantità dei beni e dei servizi oggetto dell’operazione – che possono essere utilizzati, tra l’altro e in particolare, per controlli automatizzati, come ulteriore stimolo per l’adempimento spontaneo.

Tali nuove regole tecniche sono volte a disciplinare le modalità con cui l’Agenzia intende memorizzare e rendere disponibili, al proprio personale e al corpo della Guardia di finanza, i file xml delle fatture elettroniche e i dati in essi contenuti. Ciò che preme evidenziare al riguardo è la circostanza, non di poca rilevanza, che nell’ipotesi prospettata dall’AE vi sarebbero inclusi, salvo eccezioni, anche i dati relativi alla natura, alla qualità e alla quantità dei beni e dei servizi acquistati.

Il parere del Garante

Al fine di valutare l’adeguatezza delle garanzie prospettate dall’Agenzia delle entrate nello schema di provvedimento, il Garante ha acquisito un campione sufficientemente rappresentativo di fatture elettroniche relative a settori di attività ritenute maggiormente rischiose per i diritti e le libertà degli interessati.

Ebbene, l’analisi svolta ha evidenziato che dalle fatture sono più o meno direttamente desumibili diverse tipologie di informazioni, anche di natura molto sensibile, la cui consultazione da parte delle autorità non sarebbe necessaria al fine di contrastare l’evasione dell’IVA.

Le fatture, infatti – rileva il Garante nel Parere sullo schema di provvedimento – contengono dati, anche molto dettagliati ed ultronei alle finalità per cui vengono trattati, volti ad individuare – spesso a soli fini di garanzia, assicurativi o per prassi commerciali – i beni ceduti e i servizi prestati, con la descrizione delle prestazioni, i rapporti fra cedente e cessionario e altri soggetti, riferiti anche a sconti applicati, fidelizzazioni, abitudini di consumo.

Verrebbero individuati, inoltre, dati obbligatori imposti da specifiche normative di settore, con particolare riguardo ai trasporti, alle forniture di servizi energetici o di telecomunicazioni (tipologie dei consumi, fatturazione dettagliata, regolarità dei pagamenti, appartenenza a particolari categorie di utenti), con la presenza, all’interno dei file delle fatture elettroniche, di ulteriori dati utili alla gestione del ciclo attivo e passivo degli operatori, ma non rilevanti a fini fiscali (come, ad esempio, quelli contenuti negli allegati).

Il campanello d’allarme

Ebbene, la concentrazione, presso l’Agenzia delle entrate, di miliardi di fatture elettroniche contenenti, tra l’altro, informazioni di cui sopra, determinerebbe un’ingerenza sistematica e preventiva nella sfera privata dei cittadini non proporzionata all’obiettivo di interesse pubblico, pur legittimo, perseguito dall’Agenzia delle entrate e dalla Guardia di finanza. Un accesso libero e indiscriminato a tutti i dati, a ben vedere, sarebbe un po’ come poter seguire, seppur ad intermittenza e non in tempo reale, i movimenti di una persona, le abitudini, gli acquisti, una sorta di profilazione.

E se a tali considerazioni aggiungiamo l’ingente mole di dati trattati – sono circa 2 miliardi le fatture elettroniche che annualmente risultano transitare sullo SDI dell’Agenzia delle entrate – e il periodo di memorizzazione delle stesse, è giusto allora che scatti un campanello d’allarme. Poiché tale mole deve essere salvaguardata, tra l’altro, da adeguate misure tecniche ed organizzative al fine di minimizzare i rischi di perdita e/o violazione di tali dati.

Sarebbe, quello ipotizzato, un giusto prezzo da pagare per continuare a combattere l’evasione fiscale in Italia?

L’intervento correttivo del Garante

Il Garante pone l’accento sull’importanza che l’acquisizione delle fatture elettroniche e dei dati in esse contenuti, nonché l’accessibilità a tali documenti e dati, risponda alle garanzie richieste dalla normativa in materia di protezione dei dati personali. E tali garanzie non possono ricondursi alle sole misure di sicurezza informatiche che, per quanto robuste, rischiano di restare prive di efficacia se non accompagnate da misure di sicurezza organizzative e da misure volte ad attuare concretamente i principi fondamentali applicabili al trattamento dei dati personali (in particolare la minimizzazione e la limitazione delle finalità del trattamento e i tempi di conservazione) e i principi di privacy by design e by default.

A tal riguardo il Garante, dopo aver ricordato che il Regolamento (UE) 2016/679 (GDPR) è fondato su un approccio basato sul rischio, fa presente che quando “la raccolta di una simile mole di informazioni, di cui è stata rappresentata la pervasività rispetto a ogni aspetto della vita quotidiana delle persone fisiche, viene accentrata presso una banca dati pubblica, questa diviene un patrimonio informativo di per sé destinato a essere oggetto di potenziali utilizzi da parte di innumerevoli soggetti e autorità pubbliche, ma anche, come da ultimo ribadito dal Consiglio di Stato, di richieste di accesso da parte da chiunque ne abbia interesse ai sensi della legge n. 241/1990”. A tal proposito il Garante, contestualmente al rilascio del parere all’Agenzia delle entrate – si legge nella nota dello scorso 27 dicembre – ha segnalato al Parlamento e al Governo l’opportunità di introdurre una disposizione legislativa per limitare l’utilizzo delle informazioni contenute nelle fatture elettroniche alle sole finalità di contrasto all’evasione fiscale, limitando i diritti di accesso alla documentazione amministrativa da parte di soggetti non collegati alla fattura, nel rispetto dei principi di proporzionalità, di liceità e correttezza e di minimizzazione del trattamento.

Alla luce di quanto sopra, il Garante ha, quindi, chiesto all’Agenzia delle entrate l’adozione di ulteriori garanzie finalizzate a tutelare la privacy dei soggetti coinvolti, e volte tra l’altro ad assicurare: l’inintelligibilità di alcuni campi relativi alle fatture afferenti al settore legale e l’esclusione della loro memorizzazione dalla banca di dati “fattura integrati”, l’inutilizzabilità dei dati xml delle fatture del consumatore finale al di fuori di specifiche ipotesi relative all’avvio di controlli puntuali sulla persona fisica.

Giova sottolineare, infine, che il Garante, nell’analizzare il campione acquisito di fatture elettroniche, ha rilevato un elevato numero di casi in cui le fatture sono state emesse in luogo di altri e differenti documenti commerciali e non in base a un obbligo imposto dalla normativa fiscale.

Tale pratica – fa notare l’Autorità – laddove avvenga in assenza di un obbligo di legge (art. 6, par. 1, lett. c) del GDPR), ovvero di una richiesta del consumatore finale (art. 6, par. 1, lett. a) GDPR), può violare il GDPR.

Cookie	Durata	Descrizione
ApplicationGatewayAffinity	session	This cookie is set by the Laravel Framework. This cookie is used for managing browsing sessions. It enables keeping the web browser traffic assigned to single server.
ARRAffinity	session	ARRAffinity cookie is set by Azure app service, and allows the service to choose the right instance established by a user to deliver subsequent requests made by that user.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
ApplicationGatewayAffinityCORS	session	No description available.
ARRAffinitySameSite	session	No description available.
BIGipServerfront_contenuti_statici	session	No description
captcha-cookie	1 day	No description
cookielawinfo-checkbox-pubblicita-e-marketing	1 year	No description

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92775180_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months 8 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

[1] Di cui all’articolo 2, co. 2, del D.Lgs. 19 marzo 2001, n. 68 [compiti di prevenzione, ricerca e repressione di violazioni di varia natura, tra cui quelle in materia di imposte e tributi].

Le nuove regole tecniche per la memorizzazione delle fatture elettroniche

Il parere del Garante

Il campanello d’allarme

L’intervento correttivo del Garante

Cerchi altre informazioni?

Sei nel posto giusto!

+39 0832 256065

Segreteria

Direzione

PEC

Ufficio Comunicazione

Ufficio Stampa

Le nostre sedi

Lecce

Sede principale

Milano

Sede secondaria

Roma

Sede secondaria

Biella

Sede secondaria

Rassegna stampa e newsletter