di Gianluca Massini Rosati
La Fatturazione elettronica si trasformerà in uno strumento contro le aziende e gli imprenditori oppure sarà un valido supporto che agevolerà sia i processi aziendali che la gestione e il controllo dei flussi delle entrate dello Stato? Il tema della privacy e della gestione dei dati delle fatture non è secondario ma anzi è il punto di partenza per capire se l’amministrazione pubblica sta agendo seguendo un’intenzione coercitiva e di controllo oppure se vuole effettivamente erogare un servizio ai cittadini producendo un duplice beneficio: migliorare le casse dello Stato e rendere efficiente il sistema di scambio dei flussi tra aziende.
A molti imprenditori e professionisti stanno arrivando comunicazioni da parte dei propri commercialisti che avvertono dell’imminente entrata in vigore della fatturazione elettronica. Nel frattempo, però, il Garante della Privacy ha sollevato una serie di rilievi proprio sul fronte del trattamento dei dati, aspetto cruciale in questo nuova modalità di fatturazione. Sui principi generali della normativa l’Agenzia delle entrate è stata chiara: per essere redatta, una fattura elettronica ha bisogno di alcuni dati essenziali come i dati personali e aziendali dell’emittente, quelli del cliente (il codice destinatario, fondamentale per l’invio della fattura elettronica), i dati rilevanti della fattura (importo, numero progressivo di emissione, aliquota Iva), causale ed eventuali dati di riferimento del contratto (soprattutto nel caso di emissione di una fattura nei confronti della pubblica amministrazione).
Il Garante della Privacy ha preso una posizione precisa, evidenziando come lo strumento metta in atto una «sproporzionata raccolta di informazioni» che può rischiare di generare un uso improprio dei dati raccolti. Per il Garante, infatti, l’obbligo introdotto «presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali». L’Agenzia delle Entrate dovrà far sapere, con urgenza, come intende rendere conformi al Gdpr i trattamenti di dati effettuati ai fini della fatturazione elettronica, anche se in effetti sono indicazioni già contenute nella circolare n. 18 che richiama il dpr 633/72, all’art. 21 dello stesso decreto, dove viene precisato come strutturare una fattura e quali dati indicare nella compilazione della stessa. Nel decreto sono elencati in via generale solo i dati richiesti per la fattura: numero di progressione, dati dei soggetti coinvolti, natura, qualità e quantità dei beni e dei servizi oggetto dell’operazione, e altri dati necessari per la determinazione dell’imponibile. Manca qualunque riferimento al trattamento dei dati personali e questo rischia di diventare un punto focale della discussione sulla fatturazione elettronica in quanto con il nuovo sistema vengono veicolate una serie di informazioni che esulano dal campo fiscale e che, in alcuni casi, possono interessare dati sensibili dei soggetti. Gli esempi possono essere molteplici: si va dalle fatture per le prestazioni mediche (che contengono riferimenti agli aspetti sanitari del cliente), all’energia elettrica (che magari riporta l’avvertenza che i pagamenti precedenti non sono regolari).
Ora il tema è capire quanti dati aggiuntivi arriveranno allo Sdi e come verranno trattati questi dati. Esiste la possibilità che in maniera aggregata i dati possano essere utilizzati per fini di studio di settore o per rilevare anomalie di flusso? I dipendenti dell’Agenzia delle entrate potranno leggere i dati personali presenti nelle descrizioni delle fatture? Il perimetro d’azione sulla lettura e la manipolazione di tali dati è il tema principale per la privacy. In questo quadro, per le aziende sarà importante valutare attentamente quale software (proprietario o di terze parti) adottare per dialogare con nuovo il sistema dell’Agenzia delle Entrate. I fornitori di servizi digitali di eFatturazione dovranno essere in grado di proporre soluzioni capaci di scremare tutti quei dati che l’Agenzia delle entrate non richiede come obbligatori ma che rischiano comunque di venire comunicati, in modo da evitare alla fonte il problema della privacy e dell’utilizzo improprio dei dati.
Con Xriba ci siamo posti fin da subito il problema e abbiamo scelto di investire nella creazione di un software in grado di criptare i dati sensibili alla fonte, già all’interno dei file xml o nel pdf allegato alla fattura elettronica inviata tramite l’Sdi. Grazie alla combinazione di Intelligenza Artificiale e Blockchain, XribaBooks riesce a criptare la maggior parte delle informazioni lasciando in «chiaro» solo i dati necessari all’Agenzia delle Entrate per la fatturazione elettronica. In questo modo, solo il cliente finale tramite la sua chiave privata, può avere accesso a dati sensibili. Ttoccherà ai privati dotarsi degli strumenti necessari alla tutela dei propri dati, quando invece dovrebbe essere compito primo dello Stato, e in questo caso dell’Agenzia delle Entrate, garantire il rispetto delle norme in materia. La speranza è che l’anomalia venga presto sanata con un aggiornamento degli strumenti informatici che, evidentemente, non rispecchiano gli standard minimi richiesti dalla normativa. (riproduzione riservata)
Fonte: