Nell’era digitale, l’informazione è ovunque e molto facilmente può essere utilizzata e immagazzinata. Negli ultimi anni, a fronte di abusi, violazioni e furti sempre più frequenti, il legislatore è intervenuto in protezione dei dati sensibili e, più in generale, dei dati personali. La principale fonte normativa in tal senso è il Regolamento generale per la protezione dei dati personali (General Data Protection Regulation – GDPR), elaborato dalla Commissione Europea. Il suo impatto è vastissimo e tocca anche alcune pratiche amministrative dell’attività commerciale, come la fatturazione elettronica.
Il Regolamento GDPR
Pubblicato in Gazzetta Ufficiale Europea nel 2016, il Regolamento ha trovato attuazione in Italia solo 2 anni dopo: il nostro Garante per la protezione dei dati personali ha infatti arricchito la versione originale del Regolamento approfondendo i 173 “considerando” del testo originale al fine di consentire una più facile interpretazione dei suoi 99 articoli. L’intervento comunitario era inevitabile, soprattutto dopo l’inserimento della protezione dei dati personali tra i diritti fondamentali dei cittadini europei (tramite il Trattato di Lisbona, entrato in vigore nel 2009); con le nuove tecnologie digitali e lo sviluppo del Mercato Unico Digitale europeo, poi, l’identificazione di un giusto bilanciamento tra tutela del cittadino e libertà di attività imprenditoriale (e di ricerca) è diventato un tema sempre più urgente. Il Regolamento infatti cerca di consentire una “libera circolazione” dei dati tutelandone al tempo stesso anche il proprietario, che deve essere sempre informato su come saranno utilizzati. Al centro del nuovo quadro normativo c’è il cosiddetto Responsabile del trattamento che, oltre a concretamente dare comunicazione in merito all’uso dei dati, deve anche garantire massima sicurezza nella loro conservazione. Giacché nel rapporto con i clienti lo scambio di dati è frequente, la questione ci interessa da vicino; vediamo quindi gli adempimenti previsti dalla materia in merito a una procedura amministrativa molto banale: la fatturazione elettronica.
Leggi anche Le regole per emettere la fattura elettronica nel modo giusto
Privacy e fatturazione elettronica
La fatturazione elettronica è un processo digitale che consente l’emissione, la trasmissione e la conservazione delle e-fatture attraverso un sistema informatico (che fa capo all’Agenzia delle Entrate) che, in quanto tale, prevede un trattamento sistematico e generalizzato di dati personali su larga scala. Ad oggi, l’Agenzia delle Entrate prevede la memorizzazione di tali documenti fino al 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento (ovvero fino alla definizione di eventuali procedimenti giudiziari): secondo il Garante della Privacy, persino questa azione di conservazione avrebbe elementi di sproporzionalità rispetto agli obiettivi dell’ente pubblico (controllo fiscale e analisi del rischio). Non tutti i dati contenuti nelle fatture sono infatti meramente fiscali, anzi: spesso, anche solo per motivi di auto-tutela o per banale prassi commerciale, nelle fatture vengono descritti i beni e i servizi oggetto della transazione e vengono date informazioni sui rapporti “personali” tra le due parti (sconti, fidelizzazioni, etc). Tramite questi dati è possibile ricostruire profili e tipologie di consumo e business: un’indagine che richiederebbe un esplicito consenso dei proprietari dei dati in questione, pena importanti sanzioni.
Come vanno gestiti i dati personali?
Tutti i soggetti coinvolti nella fatturazione elettronica (aziende, intermediari, Agenzia delle Entrate) devono garantire al proprietario del dato un suo utilizzo nel rispetto dei principi di minimizzazione, integrità e riservatezza: ciò richiede l’adozione di adeguate misure tecniche e organizzative. Lato imprese, bisogna nominare un Responsabile del trattamento e dotarsi di un registro di trattamento dati dove raccogliere tutte le informazioni sugli archivi informatici, i
database e le varie attività di trattamento. Numerosi strumenti informatici consentono di gestire automaticamente questa incombenza, tuttavia è molto importante applicare opportune misure di sicurezza analizzando a monte, dalla prospettiva del trattamento, le attività da svolgere e le soluzioni IT da usare. Sicuramente la scelta del gestionale da usare per la fatturazione elettronica è decisiva: il sistema utilizzato deve essere a norma di legge e quindi applicare misure tecnico- organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica; possedere Data Center certificati con possesso dei requisiti previsti dalle normative; utilizzare procedure di Back up e Disaster Recovery. Un partner affidabile è fondamentale: molti software gestionali e fiscali prevendono una clausola, ora giudicata illegittima dal Garante, di autorizzazione all’elaborazione e utilizzo di informazioni tratte dalle nostre attività “ivi incluse informazioni relative ai meta-dati associati ai Documenti, a fini di studio e statistici”. L’operazione, apparentemente innocente, autorizza di fatto al confronto tra fatture di migliaia di operatori economici. Sottoscrivere una clausola del genere è considerato un trattamento illecito da parte dell’azienda che sta utilizzando il software in questione: di fatto è come si stesse cedendo a terzi (la software house, appunto) dati non proprietari, per trattamenti mai autorizzati dai diretti interessati. E le sanzioni in quel caso sono pesantissime, il responsabile del trattamento rischia addirittura la reclusione: con la privacy, insomma, non si scherza!
