Come saprete, l’Autorità di Controllo italiana si è espressa sulla imminente estensione dell’obbligo di fatturazione elettronica alle operazioni “business to business” e “business to consumer” , emanando un provvedimento nel quale ha evidenziato diverse importanti criticità.
Nel confermare tutte quante le preoccupazioni espresse dal Garante per la Protezione dei Dati Personali, vorrei evidenziare tre punti in particolare.
Il trattamento di tutti i dati relativi ad una fattura, comprese le descrizioni di ogni riga, oltre che violare i principi di privacy by default e di minimizzazione, determinano il rischio che soggetti terzi non autorizzati possano avere accesso a tali informazioni; tale condizione è particolarmente rilevante qualora la transazione economica riguardi interessi coperti da segreti aziendali, industriali o comunque si debba mantenere la riservatezza su tali importi o sconti applicati.
Come secondo punto, occorre considerare gli aspetti derivanti dalla funzione degli “intermediari e dagli altri soggetti operanti nell’ambito della fatturazione elettronica”; si realizzeranno dei trattamenti “big-data”, soggetti non solo ai rischi indicati dal Garante ma anche a procedure di “data mining”, tramite le quali estrarre rilevanti e preziosissime informazioni sottese.
Come terzo aspetto, e consentitemi una notazione tecnologica; ai giorni nostri, l’adozione del protocollo ftp (nato nel 1971) per trasferire elevate quantità di dati, anche personali e potenzialmente di “levatura particolare”, equivale ad inviare dati personali usando piccioni viaggiatori. Ciò conferma che, spesso, chi determina non ha esatta contezza degli aspetti tecnici e delle conseguenze delle proprie decisioni.
Mi auguro che, in extremis, qualcuno si prenda la briga quantomeno di cercare soluzioni, procedurali e tecniche.
Aggiornamento del 21 dicembre: al tavolo tecnico svoltosi nei giorni scorsi tra Agenzia delle Entrate e Garante Privacy, ha fatto seguito un provvedimento del Garante.
Invito tutti i soggetti “coinvolti” nella fatturazione elettronica a leggere con attenzione il provvedimento, in particolare gli operatori sanitari, gli intermediari e gli altri soggetti delegati nell’ambito della fatturazione elettronica.
Sono state accettate le contestazioni della Autorità di Controllo italiana relative alla sproporzione della memorizzazione di tutti i dati delle fatture (le descrizioni di riga, ma anche i dati correlati, quali quelli dei vettori) e quelle relative alla assoluta insicurezza del protocollo ftp, che adesso verrà sostituito con sftp (logica conseguenza).
L’ Autorità ha autorizzato la fatturazione elettronica, alle condizioni indicate nel provvedimento, chiedendo alla Agenzia delle Entrate, entro il 15 aprile 2019, di rifare la DPIA (adesso carente in alcune parti) e di valutare l’adozione di algoritmi di cifratura dei files XML trasmessi al SDI.