Con il Parere n.133 del 9 luglio 2020[1], l’Autorità Garante per la protezione dei dati personali si è espressa negativamente in merito allo schema di provvedimento del Direttore dell’agenzia delle entrate (Regole tecniche per l’emissione e la ricezione delle fatture elettroniche per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti e stabiliti nel territorio dello Stato e per le relative variazioni) con il quale si vanno a definire nuove modalità di memorizzazione e la messa a disposizione al personale del Fisco e della Guardia di finanzia dei corrispondenti file .xml.
I principali elementi di criticità su cui si è soffermato il Garante riguardano la memorizzazione dei cc.dd. “dati fattura integrati”, comprensivi di tutti i dettagli riguardanti l’oggetto della prestazione del bene o del servizio e dunque di informazioni che, sebbene siano utili alla gestione del ciclo attivo e passivo, non sono rilevanti ai fini fiscali. Le osservazioni, già formulate precedentemente con la memoria del 2019 relativa alla memorizzazione e utilizzazione dei dati tratti da fatture elettroniche[2], riguardano il mancato rispetto del principio di proporzionalità e, di conseguenza, la mancata predisposizione di garanzie adeguate a dare attuazione ai principi di privacy by design e privacy by default. Inoltre, la creazione di banche dati contenenti un volume di informazioni eccedente rispetto alle finalità da perseguire crea inevitabilmente (dal momento che risultano emesse circa 2 miliardi di fatture per anno) banche dati maggiormente vulnerabili.
Ulteriormente, anche qualora siano predisposte misure di sicurezza elevate e accessi selettivi, l’Autorità Garante ritiene che il sistema di controllo comporterebbe un’inutile pervasività della vita privata dei contribuenti senza però conseguire alcun sostanziale beneficio per il contrasto effettivo all’evasione fiscale. Nei dettagli delle fatture, infatti, ben potrebbero essere presenti dati di natura sanitaria, o altrimenti riguardanti condanne penali o reati, o altre informazioni non fiscalmente rilevanti ma in grado di generare un rilevante impatto nei confronti dell’ interessato (individuando comportamenti e abitudini, ad esempio).
Alle inevitabili critiche per “prese di posizione” (rectius, polemiche) nei confronti del Parere, l’Authority ha replicato invitando ad un “supplemento di riflessione” il Legislatore sulla ricerca di soluzioni che non comportino una così diffusa raccolta di informazioni eccedenti e sproporzionate.
Quanto però suscita un certo grado di perplessità (eufemisticamente parlando) è non soltanto la mancata interiorizzazione del principio di proporzionalità da parte della Pubblica Amministrazione (nonostante precise indicazioni del Garante), ma ancor più le immotivate resistenze ad una corretta cultura e alla conseguente applicazione normativa in materia di protezione dei dati personali.
[1] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9434785
[2] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9178137
