Una domanda alla quale, ancora oggi, a praticamente un anno dalla sua entrata in vigore, molti operatori si pongono è: come fare per adeguarsi alla fatturazione elettronica? Domanda meno scontata di quanto si possa pensare. Perché le novità si susseguono sempre, creando la necessità di aggiornarsi e di adeguarsi.

La fattura elettronica e la privacy: due mondi inconciliabili? Due ambiti che devono trovare il modo di parlarsi? La posizione corretta, ovviamente, è la seconda. Le problematiche subentrano sulle modalità specifiche che dovrebbero portare alla tutela dei dati personali della persona.

In realtà, più che di problematiche in senso stretto, bisognerebbe parlare di questioni aperte, ancora da chiarire e da definire in maniera puntuale. In parte dovuti al General data protection regulation, il regolamento UE n. 2016/679 meglio noto come GDPR. In parte dovuti ai legittimi dubbi del Garante per la protezione dei dati personali, meglio noto come Garante privacy.

Temi:

• Il GDPR
• I dubbi del Garante privacy
• Com’è la situazione

Il GDPR

Il GDPR ha profondamente cambiato il modo di gestire i dati personali. O, per meglio dire, ha delineato in maniera più puntuale i limiti entro i quali gli operatori possono chiedere e utilizzare i dati personali, e le modalità alle quali le persone possono ricorrere per revocare l’utilizzo di tali dati.

In generale, ecco i punti salienti.

• Tempo di conservazione dei dati. Il GDPR, al riguardo, è chiarissimo. I dati personali possono essere conservati “in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”. Già questo passaggio evidenzia due aspetti fondamentali: non solo deve essere chiaramente indicato il tempo di utilizzo ma anche le finalità.
• Modalità per la revoca dell’utilizzo. Nel preciso momento in cui scadono i tempi indicati per l’utilizzo di dati o i dati non vengono utilizzati per le finalità stabilite all’inizio, la persona può chiedere la revoca del diritto di utilizzo dei dati e la loro cancellazione.
• Diritto all’oblio. Questo è il nome comune con il quale si indica la norma stabilita nell’articolo 17 del GDPR: l’utente può chiedere la cancellazione dei dati senza giustificato ritardo e il titolare del trattamento, a sua volta, deve cancellare i dati senza giustificato ritardo.
• Pubblico interesse. C’è una sola accezione alla (quasi) inderogabile regola sulla cancellazione dei dati una volta finito il tempo di utilizzo indicato: se i dati sono ritenuti “di pubblico interesse”, allora possono anche essere conservati per un periodo più lungo. Unico neo: la definizione di pubblico interesse non è chiaramente circoscritta.

I dubbi del Garante privacy

Nello specifico della fatturazione elettronica:

Il tempo di conservazione dei documenti

Il primo dubbio è, più che altro, una contraddizione. Perché:

• Da un lato, il soggetto che conserva le fatture elettroniche deve specificare per quanto tempo lo fa;
• Dall’altro, la conservazione dei documenti deve essere fatta per un tempo che viene stabilito dalla normativa del Paese in questione: in particolare, le fatture elettroniche devono essere conservate per un minimo di dieci anni e rigorosamente in conservazione digitale.

Il dubbio resta anche se, appellandosi al buon senso, l’articolo 2220 del Codice civile (dove, appunto, è specificato a dieci anni il tempo di conservazione delle scritture contabili) dovrebbe “prevalere” sul GDPR.

La conservazione integrale delle fatture

Il Sistema di interscambio dovrebbe archiviare integralmente tutte le fatture elettroniche. Il dubbio del Garante privacy è presto detto: tale conservazione tratterebbe anche informazioni non rilevanti ai fini fiscali che permetterebbero di identificare le abitudini di consumo della persona.

Ad esempio:

• Tipologia di servizi acquistati;
• Fornitura di servizi;
• Prestazioni legali o sanitarie.

I controlli fiscali

La stessa questione il Garante privacy l’ha riscontrata nei controlli che, necessariamente, sia l’Agenzia delle entrate sia la Guardia di finanza devono eseguire sulle fatture inviate/emesse. I dati trattati, infatti, sono eccessivamente in più rispetto a quelli effettivamente necessari.

Com’è la situazione

I due principali soggetti coinvolti, ovvero Garante privacy e Agenzia delle entrate, stanno lavorando per cercare di limare le questioni evidenziate e arrivare a un punto di incontro che, se da un lato deve permettere la gestione e il controllo delle fatture elettroniche, dall’altro deve rispettare completamente quanto stabilito dal GDPR.

La bussola che dovrà indirizzare le decisioni è rappresentata da una pronuncia della Corte costituzionale:

Deroghe e limitazioni alla protezione dei dati personali devono perciò operare nei limiti dello stretto necessario, e prima di ricorrervi occorre ipotizzare misure che determinino la minor lesione, per le persone fisiche, del suddetto diritto fondamentale [la riservatezza delle persone fisiche] e che, nel contempo, contribuiscano in maniera efficace al raggiungimento dei confliggenti obiettivi di trasparenza, in quanto legittimamente perseguiti.

In altre parole, nella gestione della fatturazione elettronica, bisogna individuare, trattare e conservare unicamente i dati rilevanti ai fini fiscali.