«Libero Pensatore» (è tempo di agire)
Articolo Pubblicato il 23 Novembre, 2018

Fattura elettronica ed eccesso di trattamenti di dati personali (e biometrici): va cambiata

Fattura elettronica ed eccesso di trattamenti di dati personali (e biometrici): va cambiata

Il caso si ripete: sproporzionalità rispetto al fine e lesione delle libertà individuali.

Il Garante per la protezione dei dati personali (c.d. Garante privacy) interviene (potere correttivo di avvertimento) dando alcune indicazioni (con spirito collaborativo) ALL’AGENZIA DELLE ENTRATE (Titolare del trattamento) sulla fatturazione elettronica che dovrebbe essere cambiata (dal sito del Garante «Il Garante privacy all’Agenzia delle entrate: la fatturazione elettronica va cambiata») per non violare i diktat del Regolamento UE n. 679/2016 GDPR (General Data Protection Regulation).

La fattura elettronica (trasmessa dall’emittente al ricevente attraverso il Sistema d’interscambio, SDI) sarà obbligatoria per tutte le cessioni di beni e prestazioni di servizi comunque effettuate tra soggetti residenti o stabiliti in Italia, con l’eccezione degli operatori che rientrano nei c.d. regimi di vantaggio e regimi forfettari, per i quali è facoltativo, nonché dei piccoli produttori agricoli già esonerati dall’emissione di fattura.

Il Garante privacy, si legge nel sito istituzionale (https://www.garanteprivacy.it/), precisa che «il nuovo obbligo della fatturazione elettronica, così come è stato regolato dall’Agenzia delle entrate, presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali», invitando la stessa Agenzia «di far sapere con urgenza come intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica [doc. web n. 9059949]».

In breve, sussiste un rischio elevato per i diritti e le libertà degli interessati, causato da un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito.

Il sistema provvederà ad archiviare un patrimonio di (big data) dati, non solo quelli obbligatori a fini fiscali, ma una vera profilazione di informazioni in grado di tracciare:

  1. le abitudini e le tipologie di consumo;
  2. la regolarità nei pagamenti;
  3. l’appartenenza a particolari categorie di utenti;
  4. la descrizione delle prestazioni sanitarie o legali;
  5. tutte le fatture in formato digitale.

L’architettura del sistema da una parte, metterà a disposizione di più operatori economici (gli intermediatori di servizi) una massa di dati personali, dall’altra aumenteranno le connessioni a rete (la tracciatura e l’utilizzo delle PEC), con un esponenziale rischio (data breach) non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici, peraltro in assenza di una mancata cifratura della fattura elettronica.

Il Garante segnala, inoltre, la mancata preventiva consultazione richiesta dal previgente Codice privacy e dal nuovo Regolamento Ue; consultazione preventiva che avrebbe potuto assicurare «fin dalla progettazione l’avvio del nuovo sistema con modalità e garanzie rispettose della protezione dei dati personali, introducendo misure tecnico organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica».

La lettura puntuale del pronunciamento (doc. web n. 9059949, Registro dei provvedimenti n. 481 del 15 novembre 2018) acclara che, nel progettare il nuovo adempimento, non si sia tenuto adeguatamente conto dei rischi che l’implementazione della fatturazione elettronica determina per i diritti e le libertà degli interessati, e, quindi, non siano state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento le garanzie necessarie a soddisfare i requisiti del Regolamento e a tutelare i diritti degli interessati (art. 25, § 1, del Regolamento).

Le norme e i principi disattesi:

  1. le misure minime di sicurezza per assicurare i principi di limitazione della finalità, minimizzazione e riservatezza (art. 5, par. 1, lett. b), c) e f) del RGPD);
  2. il trattamento massivo di dati ulteriori non appare proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito (artt. 6, § 3, lett. b), e, con riferimento alle particolari categorie di dati, 9, § 2, lett. g), del Regolamento);
  3. un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web in contrasto con il principio di privacy by defalut, oltreché di minimizzazione e di privacy by design (artt. 5, comma 1, lett. c) e 25 del Regolamento);
  4. manca una policy (data breach) sul rispetto della normativa in materia di protezione dei dati personali in tutta la filiera del trattamento dei dati personali effettuato a fini di fatturazione elettronica;
  5. non risulta chiaro il ruolo assunto da parte degli intermediari e degli altri soggetti delegati rispetto al trattamento di dati personali, compresa la competenza in materia di sicurezza, trattamento, trasmissione e utilizzo dei dati acquisiti, potendo assicurare agli stessi spazi rilevanti di mercato frutto di asimetrie informative rispetto alla concorrenza;
  6. la possibile memorizzazione dei documenti sui server di gestione della posta elettronica (anche quello fornito dall’Agenzia), espone gli interessati a maggiori rischi di accesso non autorizzato i dati personali (utilizzo non esclusivo della PEC in ambito aziendale, furto di credenziali e attacchi informatici ai server), oltre al c.d. diritto all’oblio e alla garanzia sulla continuità del servizio di conservazione (violando l’art. 5, par. 1, lett. f) e l’art. 32 del Regolamento.

Si comprende, anche senza essere esperti o responsabili per la protezione dei dati (Data Protection Officer) che l’intero meccanismo non regge alle regole comunitarie in materia di tutela dei dati personali: vi è un eccesso di profilazione, in violazione dei principi e delle norme a tutela delle persone fisiche, con riguardo al trattamento dei dati personali che dovrebbero rispettarne i diritti e le libertà fondamentali.

La creazione sostenuta (cfr. «Intervista ad Antonello Soro, Presidente dell’Autorità Garante per la protezione dei dati personali, su fatturazione elettronica, sicurezza cibernetica della Pa, carta di identità elettronica» del 23 novembre 2018), con queste indicazioni sulla fatturazione elettronica, porta alla realizzazione di un “grande fratello” digitale, che tratta una quantità di dati senza le necessarie garanzie di sicurezza nel trasferimento e comunicazione (canale di trasmissione) dei big data, compresa la conservazione, potendo potenzialmente utilizzare i dati raccolti per finalità diverse: un mondo digitale capace di osservare gli aspetti essenziali delle identità delle persone (una schedatura post caduta del muro), esponendo alla vulnerabilità delle persone sia nella serenità fiscale che la (comprimere) libertà, in antitesi con la creazione di una società digitale priva di sicurezza dei dati.

La società digitale deve garantire medesimi diritti della società reale, afferma il Garante Privacy, ponendo al centro d’interesse la tutela delle persone che corrisponde alla tutela dei dati, scongiurando la vulnerabilità delle persone e dei dati (vedi, gli attacchi planetari dei virus ai sistemi informatici; una guerra cibernetica, su iniziativa del singolo hacher o su commissione di potenze straniere, gli esempi sono quotidiani: violazioni PEC o CNR).

Manca la cultura digitale, non vengono garantiti i diritti minimi di sicurezza se i dati raccolti sono in eccesso rispetto alle esigenze dichiarate, i dati personali non necessari tracciano, è chiaro, la proiezione della persona, diminuendo la libertà dei cittadini.

Ritornando alla disciplina sulla fattura elettronica, le persone fisiche che utilizzeranno tale sistema obbligatorio non avranno il controllo dei dati personali che li riguardano, ne si può sostenere che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche: una controtendenza rispetto ai dettami comunitari.

Traspare, senza andare oltre, che i dati personali vengono richiesti in modo massivo, non adeguato (sproporzionato), pertinente e limitato a quanto necessario per le finalità del loro trattamento: troppi dati in eccesso rispetto al fine ultimo della fatturazione, senza alcuna misura certa sulla loro sicurezza e utilizzabilità ulteriore.

La connettività richiesta nell’adempimento della fattura elettronica espone l’utente, il consumatore, la persona fisica, l’operatore economico, a consegnare profili inerenti gli aspetti della propria esistenza non necessari per assolvere lo scopo della tracciatura dei pagamenti, distruggendo la dimensione privata, con un eccesso di dati non pertinenti.

Questo modo di operare può mettere (mette) a rischio le libertà e i diritti fondamentali della persona, e più in generale della democrazia con una evoluzione verso un esito ancora poco percepibile di un nuovo ordine sociale, di una alterazione o manipolazione dei fini, richiedendo sempre più dati personali che, interconnessi e con un’analisi comparata, descrivono il sistema relazionale dei consumatori, tracciando non solo le fatturazioni dei servizi o delle prestazioni ma una nuova dimensione del controllo totale, anticamera della c.d. dittatura digitale.

La privacy nella sua dimensione e tradizione storica (the right to be left alone) viene sempre più incisa, e il richiamo dell’Autorità Garante non lascia spazio all’interpretazione per la sua chiarezza espositiva e solennità del pronunciamento: una vera e propria bocciatura senza esami di riparazione.

Vi è anche da osservare, per l’importanza e la delicatezza dei temi trattati, che nell’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati, ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679 (doc. web n. 9058979, Registro dei provvedimenti n. 467 dell’11 ottobre 2018), figurano al punto 4. i «Trattamenti su larga scala di dati aventi carattere estremamente personale (v. WP 248, rev. 01): si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizza ti per commettere frodi in materia di pagamenti)», mentre al punto 5. «Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) di quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti».

Risultano, pertanto e a detta del Garante, trattamenti che necessitano di un’adeguata sicurezza da verificare nel concreto.

Nel “Ddl Concretezza” il Garante per la protezione dei dati personali, ha espresso un parere favorevole, ma sono state «chieste garanzie per i lavoratori alla luce dei limiti posti dal nuovo quadro normativo europeo applicabile anche nel nostro Paese a partire dal 25 maggio».

Nel parere («su uno schema di disegno di legge recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo”», 11 ottobre 2018, doc. web n. 9051774, Registro dei provvedimenti, n. 464 dell’11 ottobre 2018) si esprimono delle prescrizioni sul trattamento dei dati biometrici (impronti digitali) e sulla videosorveglianza per contrastare il fenomeno dell’assenteismo, soprattutto con riferimento al fatto che il Regolamento europeo stabilisce che una previsione normativa riguardante il trattamento dei dati biometrici che «deve essere proporzionata rispetto all’obiettivo perseguito».

Il Garante si richiama alla giurisprudenza, ormai consolidata della Corte di giustizia dell’Unione europea e della Corte europea dei diritti umani, e allo stesso Regolamento che consente poi ad ogni Stato membro di prevedere “norme più specifiche” in materia dei rapporti di lavoro, purché queste includano “misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati”.

È necessario, si legge nel comunicato (NEWSLETTER N. 445del 15 ottobre 2018), «che ogni trattamento di dati rispetti i principi di liceità, di proporzionalità e di “minimizzazione dei dati”. E, sotto questo profilo, l’introduzione di sistemi di rilevazione delle presenze tramite impronte digitali se avvenisse in maniera sistematica e generalizzata in tutte le pubbliche amministrazioni  sarebbe sproporzionata, considerando l’invasività di queste forme di verifica e la delicatezza dei dati in questione… Il Garante ha poi indicato una serie di cautele da rispettare. Ha chiesto che venga evitato l’impiego simultaneo di sistemi di rilevazione di dati biometrici e di sistemi di videosorveglianza, impiego simultaneo che risulterebbe eccedente. Ha chiesto che l’adozione delle nuove tecnologie avvenga solo qualora altri sistemi di rilevazione non risultino adeguati e l’adozione queste tecnologie sia legata a specifici fattori di rischio o di particolari presupposti, quali, ad esempio, le dimensioni dell’ente, il numero dei dipendenti coinvolti, situazioni di criticità determinate anche dal contesto ambientale in cui si trova ad operare una pubblica amministrazione».

Anche in questo caso, senza essere un esperto del settore, risulta evidente che prevenire, mediante le impronti digitali o lo scanner oculare, il rischio dell’assenteismo quando vi sono già sistemi alternativi presenti (funzionanti) e meno invasi del trattamento del dato biometrico, l’applicazione generale e sistematica non rispetta i dettami del GDPR.

Peraltro, tale sistema di rilevazione se da una parte, è sostitutivo del badge e consente l’identificazione certa della persona, dall’altra, non argina il fenomeno nella sua essenzialità e rappresentazione; ovvero, evitare che il personale una volta timbrata o scannerizzata l’impronta possa indiscriminatamente (e di nascosto) uscire, con l’ovvia conseguenza di sminare gli effetti pretesi, senza parlare di tutti i rischi insiti in un trattamento così invasivo (e sono molti, anche se qualcuno fa finta di niente).

Lo scopo delle impronte digitali o lo scanner oculare non risolverebbero, se non in parte, tale nefasta condotta, richiedendo – in un prossimo futuro – il microchip sottocutaneo con rilevamento satellitare (GPS) della presenza, o con incorporamento della telecamera, per una costante videosorveglianza del lavoratore, in aperta violazione dello Statuto (Legge n. 300/1970), oltre ad un decalogo di norme e diritti naturali.

Ancora una volta, e una volta ancora, si pretenderebbe di trattare dati personali senza le dovute cautele e il rispetto delle regole imposte, anche dalla disciplina nazionale e dalle indicazioni dell’apposita Autorità indipendente di regolamentazione del settore con una richiesta e trattamento (massivo e abnorme) di dati personali rispetto al fine concreto: una lesione ai principi di legalità e alle libertà individuali: l’ingerenza non giustificata nella sfera privata della persona.

L’«incessante progresso tecnologico, con il perfezionamento (e la pericolosità) … degli strumenti di raccolta dati e notizie», comporta (e i casi non mancano e si vedono) una deriva digitale, una perdita d’identità con nuove ed «inedite, per il passato del tutto impensabili e, talora gravissime, aggressioni agli aspetti più intimi della personalità», dovendo indurre il diritto ad introdurre «efficaci e adeguate difese» del «diritto alla riservatezza (o all’intimità della sfera privata dell’individuo)» (Cass. Civ., sez. I, 19 maggio 2014, n. 10947; 20 maggio 2016, n. 10512).

Si sta perdendo la dimensione umana.

Tutto sembra possibile in nome del progresso e della condivisione; chiedono, cediamo, doniamo i nostri dati nell’indifferenza generale, «Ma un bimbo che ne sa, Sempre azzurra non può essere l’età» (NOMADI, Io Vagabondo, 1972).

È evidente il passo (passepartout) che si vorrebbe cogliere.

È, altrettanto, irrinunciabile il diritto ad esigere una corretta gestione dei propri dati personali, rientrante nei diritti fondamentali di cui all’art. 2 Cost., «La Repubblica riconosce e garantisce i diritti inviolabili dell’uomo, sia come singolo, sia nelle formazioni sociali ove si svolge la sua personalità, e richiede l’adempimento dei doveri inderogabili di solidarietà politica, economica e sociale».