Il Garante della Privacy denuncia: grazie all’archiviazione integrale di tutte le fatture elettroniche emesse e ricevute, il Fisco ha accesso a troppi dati, anche a quelli non fiscalmente rilevanti o relativi alle prestazioni fornite. Si tratta di un quadro che contrasta con il principio di proporzionalità dei dati, uno dei parametri indicati come riferimento dalla Corte di Giustizia UE, ma che pone anche il rischio concreto che un patrimonio informativo così ricco e sensibile sia esposto ad attacchi informatici. Pertanto, sarebbe necessario individuare le misure volte a prevenire tali rischi con un atto normativo, e non solo con provvedimenti della Guardia di finanza e di Agenzia delle Entrate.
Nel dettaglio, la norma che ha destato l’allarme del Garante della privacy è l’articolo 14 del decreto fiscale (Dl 124/2019), che appunto consente la memorizzazione dei file delle e-fatture per gli otto anni successivi a quello in cui viene presentata la dichiarazione di riferimento, o fino alla conclusione di eventuali giudizi. Tale memorizzazione è finalizzata all’analisi del rischio di evasione e quindi ai controlli fiscali da parte di Guardia di finanza e Agenzia delle Entrate, oltre che all’espletamento delle funzioni di polizia economica e finanziaria della Guardia di Finanza.
I controlli anti evasione e i rischi per la privacy
Il Garante evidenzia come i controlli automatizzati e l’analisi del rischio ai fini anti evasione richiedano la memorizzazione e quindi l‘elaborazione massiva dei dati estratti dalle fatture elettroniche, tra i quali però non dovrebbe rientrare la descrizione dell’operazione oggetto della fattura.
Tale descrizione, presente in un apposito campo del file xml, potrebbe infatti contenere dati significativi relativi alla natura, alla qualità e alla quantità dei beni o dei servizi fatturati, e perciò presenta rischi elevati per la privacy degli interessati. Inoltre, tale campo “non si presta ad elaborazioni massive, essendo un campo a testo libero e non strutturato, che richiede, invece, un esame puntuale, caso per caso, del contenuto“.
E proprio in merito ai controlli puntuali che richiedono l’esame analitico delle fattura, l’Agenzia delle Entrate ha fornito, in occasione dei pareri richiesti lo scorso anno al Garante, dati importanti: negli anni 2016 e 2017, sono stati effettuati, rispettivamente, 121.849 e 163.339 accertamenti nei confronti di contribuenti Iva, a fronte di 4,7 milioni di soggetti che hanno presentato la dichiarazione Iva”.
Ecco quindi da dove nasce la conclusione del Garante della privacy, che parla proprio di conservazione dei dati “sproporzionata” e chiede quindi di valutare, in sede di conversione del decreto”, l’effettiva necessità di una archiviazione integrale dei dati di fatturazione per la durata prevista ai fini delle finalità considerate, o se piuttosto non sia possibile sostituirla con misure ugualmente efficaci ma meno invasive per la privacy, compreso semplicemente l’oscuramento dei dati irrilevanti ai fini fiscali eventualmente presenti nelle fatture.
A tal proposito, il ministro dell’Economia Roberto Gualtieri ha parlato dell'”anonimometro” previsto nel Ddl Bilancio: l’anonimizzazione dei dati della Superanagrafe per l’analisi del rischio potrebbe portare ad un maggior gettito di circa 125 milioni.