Le fatture elettroniche secondo il GDPR: trattamento regolare e sistematico

Francesca De Santis10 Gennaio 20197min50620
GDPR_Fatt_Elettronica
Analizziamo il parere del Garante circa i requisiti da rispettare nell'ambito del nuovo obbligo di fatturazione elettronica

Dal 1° gennaio 2019 vi è l’obbligo della fatturazione elettronica tra privati titolari di partita IVA residenti in Italia. La fatturazione elettronica è un sistema digitale di emissione, trasmissione e conservazione delle fatture che permette di abbandonare il supporto cartaceo e tutti i relativi costi di stampa, spedizione e conservazione.

In base alla normativa, la fattura può essere emessa e ricevuta solo utilizzando il Sistema di Interscambio (SdI) gestito dall’Agenzia delle Entrate.

La e-fattura comporta un trattamento sistematico e generalizzato di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione. Questo è quanto sostenuto dall’Autorità Garante per la protezione dei dati personali che invita l’Agenzia a memorizzare solo i dati fiscali necessari per i controlli automatizzati come ad esempio le incongruenze tra dati dichiarati e quelli a disposizione dell’Agenzia con esclusione della descrizione del bene o servizio oggetto di fattura.

Ci può essere profilazione?

Sì, perché tra le informazioni contenute nelle fatture non ci sono solo dati fiscali ma è possibile reperire abitudini e tipologie di consumo ad esempio legate alla fornitura di servizi energetici e di telecomunicazioni o ancora dati relativi a prestazioni sanitarie e legali.

Sicuramente gli attori della e-fattura sono molteplici ma anche la modalità cartacea non escludeva la visualizzazione di dati personali da parte di commercialisti e consulenti in genere.

Ovviamente tutti gli attori della filiera devono gestire il trattamento dei dati personali rispettando i requisiti e gli obblighi previsti dal Regolamento 2016/679.

 

Come vanno gestiti i dati personali?

In base ai possibili trattamenti ogni interlocutore deve analizzare le proprie attività prendendo in considerazione le architetture dei sistemi software utilizzati, i possibili rischi e gestire al meglio quello residuo applicando opportune misure di sicurezza.

È d’obbligo predisporre un registro di trattamento dati: lo si può fare agevolmente utilizzando strumenti informatici che, reperendo tutte le informazioni circa archivi informatici, database ed attività di trattamento, consentono di esaminare le possibili minacce, analizzare i rischi e gestire per ogni singolo caso le misure di protezione generando automaticamente i registri delle attività di trattamento.

Blumatica ha da tempo messo a punto il sistema Blumatica GDPR che ha consentito a migliaia di aziende, consulenti e liberi professionisti di mettere in regola la propria organizzazione e quella dei propri assistiti.

 

Problemi di sicurezza per l’e-fattura?

Il Garante, nell’esprimere il proprio parere circa la nuova modalità di generazione e trasmissione delle fatture, ha rilevato una serie di criticità tra cui il ruolo assunto dagli intermediari delegabili dal contribuente per la trasmissione, la ricezione e la conservazione delle fatture, accentrando enormi masse di dati personali con un aumento dei rischi non solo per la sicurezza delle informazioni ma anche relativi ad ulteriori usi impropri grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.

Come si proteggono le informazioni contenute nelle fatture?

Sia il sistema messo a punto dall’Agenzia delle Entrate sia i sistemi informatici di software house devono:

  • Applicare misure tecnico-organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica
  • Possedere Data Center certificati con possesso di tutti i requisiti previsti dalle normative
  • Utilizzare Procedure di Back up e Disaster Recovery

L’utente finale deve essere a conoscenza di tutte queste informazioni; occorre quindi porre la dovuta attenzione nella scelta di un servizio per la fatturazione elettronica.

Se, ad esempio, si sceglie di utilizzare il servizio Blumatica e’fatto, il sistema per gestire tutti gli adempimenti previsti per la fatturazione elettronica, è possibile reperire tutte le informazioni relative all’architettura software, Data Center utilizzati e relative certificazioni in particolare per quanto concerne la conservazione digitale. Optando per un sistema di conservazione presso provider terzi occorre accertarsi che il soggetto responsabile della conservazione sia registrato sul sito dell’AGID (Agenzia per l’Italia Digitale).

 

Attenzione ai sistemi “fai da te”!!!

È possibile provvedere autonomamente alla conservazione sostitutiva applicando una marca temporale e firmando elettronicamente il documento.

Tale operazione, oltre ad essere più laboriosa, è anche molto rischiosa in caso di perdita dei sistemi di archiviazione sui quali saranno conservati (rottura dell’hard disk, furto del computer, ecc.); la conservazione su server accreditati come quelli offerti da Blumatica, invece, è sicura al 100% rendendo impossibile la perdita dei dati.

Molti non sanno, poi, che conservare in autonomia significa mettere in piedi un vero e proprio sistema applicando delle misure di sicurezza specifiche, elaborando il manuale di conservazione ed affidando delle nomine ben precise responsabili del processo di conservazione.

 

Invito del Garante alla collaborazione con le Autorità

L’informativa rilasciata dal Garante riporta: “Una preventiva consultazione dell’Autorità, peraltro stabilita dal previgente Codice privacy e dal nuovo Regolamento Ue, avrebbe potuto assicurare fin dalla progettazione l’avvio del nuovo sistema con modalità e garanzie rispettose della protezione dei dati personali, introducendo misure tecnico organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica”.

 

Clicca qui per scoprire gli ulteriori vantaggi di Blumatica e’fatto

 

Francesca De Santis

Responsabile Ricerca e Sviluppo Area Sicurezza


Lascia un commento

La tua email non verrà pubblicata. I campi obbligatori sono contrassegnati *