Alla luce della piena applicazione del Regolamento Europeo sulla protezione dei dati personali, Il Garante Privacy ha esercitato il proprio potere correttivo anche nei confronti dell’Agenzia delle entrate.
Il nuovo obbligo di fatturazione elettronica, che scatta dal 1 gennaio 2019, “presenta rilevanti criticità in ordine alla compatibilità” con il GDPR. Il Garante ha pertanto sollecitato l’Agenzia delle Entrate a provvedere con urgenza alla compliance.
In particolare, tutto il sistema realizzato dall’Agenzia delle Entrate non rispetta la “privacy by design”. Secondo il Garante infatti, vi è un rischio elevato per i diritti e le libertà fondamentali degli interessati, poiché comporterebbe un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, riferiti a tutti gli aspetti della vita quotidiana dell’intera popolazione.
Diverse sono quindi le criticità tra cui emerge la possibilità per l’Agenzia di utilizzare i dati recapitati attraverso il sistema di interscambio (SDI), per finalità di controllo. Oltre ai dati obbligatori a fini fiscali, sarà archiviata l’intera fattura che contiene importanti informazioni e dettagli sui tipologia di beni e servizi acquistati, quali per esempio le abitudini e le tipologie di consumo, altre inerenti la fornitura di servizi di telecomunicazione ed energetici come ad esempio la regolarità nei pagamenti, l’appartenenza a particolari categorie di interessati, o cosa molto più grave, la descrizione delle prestazioni sanitarie o legali
“Secondo il Garante l’Agenzia delle Entrate avrebbe potuto effettuare una consultazione preventiva, così da poter tutelare fin dalla progettazione il nuovo sistema, garantendo la protezione dei dati personali, ed introducendo misure tecnico organizzative adeguate per il nuovo trattamento dei dati personali attraverso la fatturazione elettronica” ha dichiarato Simone Gogna, titolare dello Studio Gogna (info@studiogogna.com)che si occupa anche di consulenza rispetto alle esigenze connesse alla nuova normativa e per l’elaborazione di tutta la documentazione necessaria.
I nuovi adempimenti privacy infatti, dettati dal GDPR, prevedono la riorganizzazione dei processi aziendali e del sistema informatico, oltre alla revisione di tutte le informative, del controllo sulla raccolta dei consensi e l’importante introduzione dei principi di “privacy by design” e “privacy by default”. I rischi connessi al mancato rispetto del nuovo regolamento europeo sono molto elevati e anche le aziende ne stanno sempre più prendendo coscienza. Ci sono diversi gruppi e profili sanzionatori, sia amministrativi che penali, con importi di sanzioni che possono arrivare fin a 10 milioni di Euro o al 2% del fatturato. In attesa dell’irrogazione delle prime sanzioni per mancata compliance per le autorità europee la priorità è che le aziende si conformino al GDPR.
“L’intervento del Garante sulla mancata compliance in ambito di fatturazione elettronica ci aiuta a capire sempre di più l’importanza del tema della privacy. A livello aziendale, per evitare rischi è necessario strutturare i propri processi di gestione dei dati con un approccio GDPR-compliant” ha concluso Simone Gogna (simone.gogna@studiogogna.com).