GDPR e fatture elettroniche
La fatturazione elettronica, obbligatoria dal 1° gennaio 2019 tra privati titolari di partita IVA residenti in Italia, è un sistema digitale di emissione, trasmissione e conservazione delle fatture che consente di abbandonare il supporto cartaceo, risparmiando i costi relativi alla stampa, alla spedizione ed alla conservazione.
Secondo la legge, la fattura può essere emessa e ricevuta utilizzando esclusivamente il Sistema di Interscambio (SdI) gestito dall’Agenzia delle Entrate.
La e-fattura implica un trattamento sistematico e generalizzato di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana di tutta la popolazione.
Pertanto, l’Autorità Garante per la protezione dei dati personali ha richiesto all’Agenzia di memorizzare unicamente i dati fiscali necessari per i controlli automatizzati, come ad esempio le incongruenze tra dati dichiarati e quelli a disposizione dell’Agenzia, escludendo quindi la descrizione del bene o servizio oggetto di fattura.
Ci può essere profilazione?
Per profilazione (art 22 Reg.UE 2016/679) si intende qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali informazioni per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.
Poiché tra le informazioni contenute nelle fatture non ci sono solo dati fiscali, ma è possibile reperire anche abitudini e tipologie di consumo, ad esempio quelle legate alla fornitura di servizi energetici e di telecomunicazioni, si può prefigurare una profilazione.
Naturalmente, tutti gli attori della filiera devono gestire il trattamento dei dati personali rispettando i requisiti e gli obblighi previsti dal Regolamento 2016/679.
Come si gestiscono i dati personali?
In base ai possibili trattamenti ogni interlocutore deve analizzare le proprie attività prendendo in considerazione le architetture dei sistemi software utilizzati, i possibili rischi e gestire al meglio quello residuo applicando le opportune misure di sicurezza.
È d’obbligo predisporre un registro di trattamento dati: lo si può fare agevolmente utilizzando strumenti informatici che, reperendo tutte le informazioni circa archivi informatici, database ed attività di trattamento, consentono di esaminare le possibili minacce, analizzare i rischi e gestire per ogni singolo caso le misure di protezione generando automaticamente i registri delle attività di trattamento.
Come si proteggono le informazioni contenute nelle fatture?
Sia il sistema messo a punto dall’Agenzia delle Entrate sia i sistemi informatici delle software house devono:
- applicare misure tecnico-organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica;
- possedere Data Center certificati con possesso di tutti i requisiti previsti dalle normative;
- utilizzare Procedure di Back up e Disaster Recovery.
L’utente finale deve essere a conoscenza di tutte queste informazioni: occorre quindi porre la dovuta attenzione nella scelta di un servizio per la fatturazione elettronica.
Attenzione ai sistemi “fai da te”.
È possibile provvedere in autonomia alla conservazione sostitutiva applicando una marca temporale e firmando elettronicamente il documento.
Tale operazione, oltre ad essere più laboriosa, è anche molto rischiosa in caso di perdita dei sistemi di archiviazione sui quali saranno conservati (rottura dell’hard disk, furto del computer, ecc.); la conservazione su server accreditati, invece, è sicura al 100%, ricultando praticamente impossibile la perdita dei dati.
Inoltre, conservare in autonomia significa mettere in piedi un vero e proprio sistema applicando delle misure di sicurezza specifiche, elaborando il manuale di conservazione ed affidando delle nomine ben precise responsabili del processo di conservazione.