Sull’utilizzo massivo dei dati fattura integrati relativi a operazioni B2C per le analisi del rischio di evasione, il Garante della privacy dice no. È troppo alta la probabilità di selezionare dati inesatti e non fornire una rappresentazione corretta della reale capacità contributiva del consumatore.
Anche le tecniche di pseudonimizzazione, utilizzate dall’Agenzia delle Entrate per scongiurare il rischio di intrusioni e furto di dati altamente sensibili, quali sono quelli contenuti nell’archivio dei rapporti finanziari, non sono giudicate efficaci dall’autorità garante dei dati personali.
Sono queste, in estrema sintesi, alcune delle principali “osservazioni” che il Garante della privacy ha evidenziato nella valutazione d’impatto sulla protezione dei dati in relazione ai trattamenti effettuati dall’Agenzia delle Entrate ai sensi della L. 160/2019 (parere del 30.07.2022 - doc. web n. 9808839), con specifico riferimento ai dati delle fatture elettroniche emesse nei confronti dei consumatori privati (B2C).
Il Garante aveva già ammonito l’Agenzia delle Entrate circa l’utilizzo di tali informazioni nelle attività di analisi e selezione dei contribuenti in un precedente parere in materia di fatturazione elettronica. Del monito del Garante l’Agenzia non ha evidentemente tenuto conto tant’è che nella c.d. valutazione di impatto effettuata dall’Autorità garante, si legge testualmente che tra le tipologie di dati personali oggetto di trattamento, sono indicati anche i dati fiscali delle fatture elettroniche.
Le motivazioni sulla base delle quali il Garante privacy ritiene che i dati fattura integrati (descrizione delle prestazioni ricevute o dei beni acquistati), relativi a operazioni verso i consumatori finali, non possono essere utilizzati nelle attività massive e informatizzate di analisi del rischio di evasione, sono più di una.
Per questa tipologia di operazioni, si legge nel parere in commento, non essendovi l’obbligo per il cedente/prestatore di identificare il cessionario/committente, salvo in alcuni casi circoscritti (ad esempio per obblighi antiriciclaggio), la riferibilità a un consumatore dei dati personali presenti nelle fatture, a fini diversi da quelli per i quali sono raccolti (quali, in particolare, l’attuazione della disciplina dell’Iva), potrebbe portare a trattamenti non corretti, con errata rappresentazione della sua capacità contributiva, in relazione ai quali potrebbe risultare impossibile (o, quantomeno, difficile) per l’interessato comprovare, a posteriori e a distanza di tempo, l’inesattezza.
Al momento dell’emissione di una fattura nei confronti di un consumatore finale, si legge nel parere del Garante, l’emittente non ha alcun obbligo di identificazione del soggetto passivo. Un errore nella parte anagrafica della fattura, classico il codice fiscale, finirebbe per attribuire quella spesa e il relativo indice segnaletico di capacità contributiva, a un soggetto diverso da quello effettivo.
Gli effetti di un simile errore renderebbero difficile, se non impossibile, la difesa del contribuente vittima di tali errori.
Quello del Garante privacy non è ovviamente un divieto assoluto dei dati fattura integrati ma una limitazione, relativa e limitata, delle informazioni relativi alle operazioni B2C, per le attività di analisi e selezione informatizzata del rischio di evasione.
L’utilizzo puntuale e mirato di tali dati nell’ambito dei controlli sulle deduzioni e detrazioni nonché nel contrasto all’evasione Iva, da lato dell’emittente la fattura, restano dunque liberamente esperibili anche per l’autorità garante dei dati personali.
Seguici:
Scarica gratuitamente la nostra app:
