Il Garante per la protezione dei dati personali, con il parere n. 133 del 9 luglio 2020 sullo «schema di provvedimento del Direttore dell’Agenzia delle entrate concernente Regole tecniche per l’emissione e la ricezione delle fatture elettroniche per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti e stabiliti nel territorio dello Stato e per le relative variazioni» (doc. web n. 9434785), interviene per “censurare” il sistema di memorizzazione/archiviazione dei file xml delle fatture elettroniche (ex art. 14, «Utilizzo dei file delle fatture elettroniche», del decreto legge 26 ottobre 2019, n. 124, «Disposizioni urgenti in materia fiscale e per esigenze indifferibili», convertito dalla legge 19 dicembre 2019, n. 157) ad integrazione del provvedimento del Direttore dell’Agenzia del 30 aprile 2018.

Le regole tecniche per l’emissione e la ricezione delle fatture elettroniche per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti e stabiliti nel territorio dello Stato e per le relative variazioni, attraverso il Sistema di Interscambio, nonché per la trasmissione telematica dei dati delle operazioni di cessione di beni e prestazioni di servizi transfrontaliere non supera la “Valutazione d’impatto sulla protezione dei dati” (Data Protection Impact Assessment, DPIA).

Nelle Linee – guida del Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati (WP248) traspare all’evidenza che quando «un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il regolamento 2016/679 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l’Autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l’impatto del trattamento non siano ritenute sufficienti – cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato»: un profilo correlato al principio della responsabilizzazione (accountability) dove i “Titolari” assumono obblighi cogenti di rispetto delle disposizioni del GDPR, dimostrando nei fatti il modo di apprestamento delle misure (rectius la valutazione di impatto), in ossequio ai principi di privacy by design e by default.

In breve, manca nella memorizzazione/archiviazione dei file delle fatture elettroniche acquisite quelle misure di sicurezza (anche organizzative) idonee a garantire la tutela dei diritti e delle libertà degli interessati, in aperta violazione del regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 e del decreto legislativo 30 giugno 2003, n. 196, (ex art. 1, comma 5 ter): in verità si tratta di un massiccio trattamento dei c.d. “dati fattura integrati” (dati ulteriori, non fiscalmente rilevanti) memorizzati nella fattura, in aggiunta ai c.d. “dati fattura”, quelli sufficienti per lo svolgimento delle attività istituzionali (di controllo incrociato) da parte del personale delle strutture centrali dell’Agenzia (e della Gdf) che non risulta proporzionato rispetto alle finalità.

Siamo in presenza di circa 2 miliardi di fatture che trattano dati (big data), anche molto di dettaglio, non rilevanti per le attività dell’Agenzia, quali ad esempio le informazioni di garanzia, assicurative, penali, commerciali, sconti, fidelizzazioni, abitudini di consumo, regolarità nei pagamenti: siamo indubbiamente di fronte ad una profilazione dell’utente/consumatore/contribuente esorbitante ed eccedente: una evidente tracciatura e schedatura abnorme rispetto alla liceità del trattamento.

A questo punto, il Garante privacy non può che richiamarsi alle precedenti cesure (rilievi inviati alla Commissione VI (Finanze) della Camera dei Deputati relativamente al disegno di legge di conversione C. 2220, del 5 novembre 2019, doc. web n. 9178137, sui precedenti rilievi del 18 novembre, doc. web 9059949)[1] sui limiti ex lege della «memorizzazione e dell’utilizzazione, senza distinzione alcuna, dell’insieme dei dati personali contenuti nei file delle fatture elettroniche, anche laddove si assicurino elevati livelli di sicurezza e accessi selettivi»: il trattamento si presenta sproporzionato in un sistema che pretende definirsi democratico, «per quantità e qualità delle informazioni oggetto di trattamento, rispetto al perseguimento del legittimo obiettivo di interesse pubblico di contrasto all’evasione fiscale perseguito».

Questo profilo di «proporzionalità» del trattamento dei dati, sancito dal Regolamento (ex art. 6, par. 3, con garanzie rafforzate per i dati di cui agli artt. 9 e 10), è assurto a parametro di legittimità in materia[2], impedendo che si possa acquisire una moltitudine di dati personali, anche di minori, senza alcuna finalità rispetto allo scopo dichiarato, quello fiscale, esponendo l’intera popolazione ad un illecito trattamento non coerente con l’obiettivo di interesse pubblico.

Ancora una volta, si vorrebbe in ragione (questa volta) della lotta all’evasione (le altre, per tutelare la salute o riformare la P.A., alias l’impronta digitale)[3] estendere “immuni” all’intera comunità, senza ostacolo e in modo silente, con una qualche ingiustificata esigenza, minando le libertà civili, assecondando i bisogni primari di riservatezza e integrità della persona dall’invadenza dell’Autorità, funzionale ad allargare il controllo (ed il consenso), privando l’individuo di una propria soggettività giuridica in nome dell’astrattezza della norma (o della forza del potere).

Albergando in tali processi una qualche parvenza di modernità e di condivisa partecipazione digitale, anche le decisioni pubbliche possono essere sostituite da flussi di informazioni, algoritmi e I.A. dei creatori della “trasparenza” (sull’esasperazione del modello FOIA), generatrice di tante illusioni e complicazioni: una scia di nuovi adempimenti formali (spunti sono presenti nel “decreto semplificazioni del sistema Italia”).

La celebrazione della fattura elettronica, e dei loro software, si è dimostrata un pericolo reale alla democrazia senza alcun corrispettivo sociale, la gestione di una moltitudine di dati personali eccedenti, oltre a gravare sui costi della sicurezza, non portando (secondo le indicazioni del Garante) alcuna utilità ai controlli fiscali segna la dimensione del rapporto tra cittadino e Autorità, quest’ultima insensibile ai diritti di libertà, tra cui si annovera quello di essere lasciati soli («the right to be alone», paper della Harvard Law Review, posto a fondamento dei primi inquadramenti legali di privacy).

[1] Si rinvia, Fattura elettronica ed eccesso di trattamenti di dati personali (e biometrici): va cambiata, mauriziolucca.com, novembre 2018.

[2] Cfr. Corte di giustizia, sentenza 8 aprile 2004, C- 203/12 e C-594/12, Digital Rights Ireland Ldt); Corte europea dei diritti dell’uomo, sez. II, sentenza 28 novembre 2017, Antović and Mirković c. Montenegro; Corte costituzionale, sentenza n. 20 del 2019.

[3] Si rinvia, Impronte digitali e microchip per la riforma della PA, mauriziolucca.com, agosto 2018.