Ancora prima della sua uscita la fatturazione elettronica era già stata oggetto di critiche da parte del Garante della Privacy. Numerose erano infatti le criticità rilevate che rendevano il nuovo servizio, così come concepito inizialmente dall’Agenzia delle Entrate come non conforme alla recente normativa sulla privacy nota anche come GDPR.
Il 15 novembre, a pochi giorni dall’entrata in vigore dell’obbligo di fatturazione elettronica, il Garante della Privacy si era espresso in maniera abbastanza netta nei confronti del nuovo sistema di fatturazione.
L’avvertimento era chiaro: la fatturazione elettronica avrebbero potuto violare le recenti normative in materia di trattamento e circolazione dei dati personali, anche noto come GDPR.
Da qui, la richiesta all’Agenzia delle Entrate di adeguare il sistema e di produrre una sintesi delle attività messe in atto per risolvere i problemi.
Nel provvedimento n. 481 del 15 novembre 2018 il Garante aveva indicato una serie di punti specifici, mettendo in evidenza le “falle” di un sistema pensato e attuato senza la consultazione del Garante stesso e che quindi presentava rischi per la violazione della privacy degli utilizzatori e per il trattamento dei dati.
Tra i difetti, indicati puntualmente dal Garante i principali riguardavano:
- dati personali presenti nelle fatture elettroniche: all’interno della fattura elettronica infatti vengono collezionati anche i dettagli relativi alla fornitura di beni o alla prestazione di servizi. Dati quindi facilmente utilizzabili per trarre informazioni su abitudini di consumo ma anche personali e privati e comunque facilmente trattabili tramite profilazioni su larga scala;
- disponibilità delle fatture sul sito dell’Agenzia: la critica riguardava il fatto che le fatture venissero rese disponibili in modo integrale sul sito dell’Agenzia delle Entrate, anche in caso non ci fosse nessuna espressa richiesta di esibizione, incrementando quindi il rischio per un trattamento non regolato dei dati disponibili;
- ruolo degli intermediari o dei soggetti delegati alla gestione delle fatture: secondo il Garante, il processo di delega non garantiva la corretta garanzia di trattamento dei dati personali e non era chiaro il ruolo degli intermediari nel trattamento dei dati delle fatture per le quali era stata delegata la gestione;
- canali di trasmissione e conservazione digitale delle fatture: ulteriori elementi di criticità erano stati rilevati nel processo stesso di trasmissione delle fatture, che non prevedeva nessun livello di sicurezza o crittografia, facendo transitare tutto attraverso un canale FTP non sicuro. Il servizio stesso di conservazione delle fatture elettroniche, offerto gratuitamente dall’Agenzia delle Entrate era entrato nel mirino del Garante, in quanto l’accordo di servizio, da sottoscrivere per l’utilizzo, non conteneva alcuna informazione utile a chiarire le modalità e le finalità del trattamento dei dati personali presenti sulle fatture.
Un provvedimento pesante, quindi, non solo per la portata e i numerosi punti evidenziati.
Era la prima volta infatti che il recente regolamento del
GDPR veniva preso in considerazione ed utilizzato per contestare un servizio come la fatturazione elettronica, riassunti in un provvedimento emanato proprio alla vigilia dell’entrata in vigore del nuovo obbligo.
L’Agenzia delle Entrate si è subito attivata per sanare le principali note di accusa rivolte al nuovo sistema, tanto da uscire, poco più di un mese dopo, con una serie di soluzioni che hanno fatto sì che il Garante ritenesse idoneo il nuovo sistema di fatturazione, pur indicando la necessità di affinare i miglioramenti e offrendo all’Agenzia più tempo per mettere in pratica tutte le misure richieste.
Le principali modifiche apportate in extremis, a fine dicembre hanno riguardato, soprattutto:
- le modalità di memorizzazione dei dati: il file XML viene memorizzato in modalità integrale e reso disponibile ai fini della consultazione e download solamente nel caso in cui il mittente, il destinatario o l’intermediario delegato aderiscano espressamente al servizio di consultazione oppure nel caso in cui il recapito delle fatture presso l’Agenzia delle Entrate sia l’unica modalità di ricezione prevista;
- in ogni caso tuttavia, ciò che verrà memorizzato, saranno unicamente i dati fattura. Tutti i dati non fiscali (come, appunto, la descrizione dei beni e servizi oggetto della fattura), verranno cancellati. Inoltre è stato stabilito che la consultazione delle fatture elettroniche sarà resa disponibile solo fino al 31 dicembre del secondo anno successivo alla ricezione della fattura;
- per risolvere inoltre le criticità legate all’emissione di fatture da parte di chi esercita professioni sanitarie, che quindi conterrebbero dati sensibili, è stato allargato l’esonero non solo a chi già trasmette dati attraverso il Sistema Tessera Sanitaria, ma anche a tutti coloro che emettono fatture per prestazioni sanitarie, di qualsiasi genere esse siano.
Naturalmente queste sono solo alcune delle misure “tampone” messe in atto dall’Agenzia delle Entrate ma sufficienti per ottenere parere positivo per l’avvio dell’obbligo, che in effetti è partito regolarmente dal 1° gennaio 2019.
L’Agenzia ha però richiesto un periodo cuscinetto di 6 mesi, fino al 2 luglio 2019, da considerare come transitorio: sarà durante questo periodo, quindi, che l’Agenzia delle Entrate continuerà a lavorare per rendere il sistema perfettamente compliant con le direttive e i requisiti descritti dal Garante.
Per quanto riguarda infine i
chiarimenti sui ruoli degli intermediari, il Garante per la privacy ha tenuto a sottolineare di porre particolare attenzione ai contratti di erogazione dei servizi di fatturazione elettronica in quanto potrebbero contenere al loro interno rischi in merito al trattamento dei dati da soggetti terzi.
Per questo è assolutamente necessario
scegliere con cura il proprio fornitore di servizi. Per assicurarsi che i propri dati siano trattati in conformità con la normativa e non vi siano violazioni.
Come Aruba tratta i tuoi dati
Aruba, oltre a garantire il pieno rispetto della più recente normativa in fatto di trattamento dei dati personali, garantisce il rispetto della sicurezza dell’informazione in tutte le sue forme.
Tutti i dati anagrafici e amministrativi dei clienti vengono gestiti attraverso infrastrutture italiane, dove l’azienda ha la sua sede legale, e sono pertanto sottoposte alle leggi europee.
L’utilizzo che ne viene fatto è limitato esclusivamente alla fornitura del servizio e non vengono né ceduti né tantomeno venduti a terzi per nessun motivo.
Tutti i dati inseriti su Aruba rimangono quindi sotto il pieno controllo del solo titolare senza possibilità per l’azienda di accesso a nessun tipo di dato personale inserito nei sistemi.
A queste garanzie di sicurezza e controllo dei dati, Aruba aggiunge standard tecnologici ai massimi livelli: i data center in cui sono ospitati i dati dei clienti sono situati in Italia e di proprietà.
Sicurezza ed affidabilità sono conforme ai massimi standard (Rating 4) secondo ANSI/TIA-942.
Aruba è inoltre certificata e rispetta gli standard di sicurezza logica, fisica e organizzativa imposti della certificazione ISO 27001 e molte altre conseguite nel corso degli anni.
Infine, ma non meno importante, la società che eroga il servizio di fatturazione elettronica, è la stessa che eroga anche servizi come PEC, Firma Digitale, SPID, servizi che, per la loro natura, richiedono livelli di controllo ancora maggiori.
Aruba è infatti un Trust Service Provider a norma eIDAS e quindi sottoposta a procedure di certificazione, accreditamento e controlli da parte di specifici organismi di vigilanza. Naturalmente queste ulteriori garanzie vanno ad aggiungersi anche al servizio di fatturazione elettronica, nonostante sia ben oltre quanto previsto dalla normativa di riferimento.