Lo scorso 7 maggio 2019 si è tenuta la presentazione della Relazione per l’anno 2018 da parte del presidente del Garante per la protezione dei dati personali Antonello Soro.

Il resoconto ha tirato le somme alla soglia del termine dell’attuale mandato settennale iniziato il 19 giugno 2012 e ha riguardato le principali attività svolte. Nel corso del 2018 ha trovato applicazione il GDPR (Regolamento generale sulla protezione dei dati). La data del 25 maggio 2018 ha rappresentato quindi un vero e proprio spartiacque con riguardo alle operazioni svolte dal Garante nel corso dell’anno. Anche il D.Lgs. 101/2018, che ha provveduto alla modifica del “vecchio codice” della privacy (D.Lgs. 196/2003 a tutti gli effetti ancora vigente) ha svolto un ruolo fondamentale.

I controlli e le sanzioni

Il 2018 ha numeri a dir poco interessanti, basti pensare ai circa 8 milioni di euro di sanzioni riscosse in ragione dell’attività di controllo compiuta durante il primo semestre, in particolare nell’ambito delle attività di telemarketing.

Il secondo semestre ha, invece, riguardato attività finalizzate ad allineare l’operatività dell’Autorità garante rispetto alle modifiche normative, come ad esempio la revisione delle autorizzazioni generali.

È stato un anno rivolto alla ricerca del giusto bilanciamento tra esigenze di trasparenza e diritto alla protezione dei dati personali, tema ripropostosi anche all’inizio del 2019 con l’avvento della fatturazione elettronica.

La fatturazione elettronica: le implicazioni privacy

Il Garante per la protezione dei dati personali ha, infatti, rilevato importanti criticità nelle modalità con le quali l’Agenzia delle entrate ha dato esecuzione al nuovo obbligo generalizzato di fatturazione elettronica introdotto dalla legge di bilancio 2018, senza consultazione alcuna dell’autorità stessa. Il suo intervento ha avuto l’obiettivo di evitare possibili violazioni della normativa sulla protezione dei dati personali mediante l’avvio di un tavolo di lavoro per contemperare le esigenze fiscali con i diritti e le libertà degli interessati ed emanando un dettagliato provvedimento ad hoc.

Il coinvolgimento, se tempestivo, dell’Autorità competente avrebbe garantito l’avvio del progetto con modalità e garanzie rispettose della protezione dei dati personali secondo il cosiddetto principio di privacy by design.

Le principali criticità derivano dalla volontà dell’Agenzia delle entrate di archiviare ed utilizzare a fini di controllo non solo i dati fiscali ma la fattura stessa. Essa contiene dati di dettaglio circa beni e servizi acquistati, incluse eventuali prestazioni rese da operatori attivi in ambito sanitario, contravvenendo al principio di proporzionalità.

Ulteriori spinosità derivano, poi, dal ruolo dubbio degli intermediari del contribuente i quali, operando per una moltitudine di interessati, accentrano una grande quantità di dati personali esponendoli a rischi dovuti anche a collegamenti e raffronti impropri.

È doveroso richiamare, inoltre, possibili violazioni dell’art. 32 del Regolamento UE 2016/679 relativo alle misure di sicurezza e per il quale il titolare del trattamento e il responsabile del trattamento devono mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. Con specifico riferimento ai canali di trasmissione e recapito delle fatture elettroniche, è stato previsto l’uso del protocollo FTP, non considerato sicuro e una mancata cifratura del file xml della fattura elettronica.

Il Garante ha infine ritenuto che la valutazione di impatto (DPIA), svolta ai sensi dell’art. 35 del Regolamento UE 2016/679 da parte dell’Agenzia delle entrate, sia inadeguata, generica ed eccessivamente proiettata su aspetti tecnici difettando di stime circa i rischi incombenti sui diritti e sulle libertà degli interessati. A seguito di una ingiunzione della stessa autorità, l’Agenzia delle entrate ha dovuto comunicare una nuova valutazione di impatto, con riesame degli elevati rischi connessi al processo di fatturazione elettronica, entro il 15 aprile scorso.

Di fondamentale importanza, quindi, l’articolato provvedimento n° 511 del 20 dicembre con cui il Garante per la protezione dei dati personali è andato ad esaminare i trattamenti a rischio elevato nell’ambito della fatturazione elettronica esprimendosi sulle modifiche apportate dall’Agenzia ai relativi provvedimenti attuativi ed indicando misure per la razionalizzazione e messa in sicurezza di uno strumento che impatta nella vita quotidiana dell’intera popolazione.