Lettera all’Autorità Garante in materia di protezione dei dati personali

Oggetto: Fatturazione elettronica, servizi in “cloud” e privacy. Un trinomio difficilmente coniugabile.
Mittente: Paolo Esposito <paolo.esposito2@archiworldpec.it>
Data: 21/09/2018 13:45
A: protocollo@pec.gpdp.it


Buon giorno, sono l’Arch. Paolo Esposito da Perugia.

Scrivo questa e-mail per segnalare a Cod. Spett. Ufficio del Garante per la protezione dei dati personali una problematica che potrebbe sussistere in maniera molto concreta a far data dal 01 gennaio 2019 in merito all’obbligo di fatturazione elettronica e che purtroppo, ad oggi, è nella sostanza sottovalutata o forse resa in secondo piano agli occhi dei contribuenti in specie dai service provider, grandi software house, società di intermediazione, ecc. che propongono ormai da tempo servizi in “cloud” dedicati.

A tal proposito formulo alcune mie considerazioni augurandomi che il Garante stesso possa intervenire in proposito con una sua autorevole determinazione.

Cominciamo col dire che l’utilizzo di un servizio di cloud computing per la memorizzazione ed il trattamento on-line di dati personali o sensibili – propri e dei clienti – può esporre l’utente a potenziali rischi di violazione delle norme in materia di custodia e protezione.

Quasi tutti i servizi on-line che gestiscono una grande quantità di dati sono spesso soggetti ad attacchi di pirateria informatica. Nell’ipotesi di atti illegittimi finalizzati all’appropriazione indebita di dati personali e/o sensibili, il danno per l’utente potrebbe essere molto elevato e con conseguenze giuridiche molto gravose.

Ma soprattutto, con quale forma di consenso (o meglio autorizzazione) i dati personali forniti dal committente/cessionario (cliente) al soggetto cedente-prestatore, finalizzati alla sola emissione di un documento fiscale, sono successivamente acquisiti, trattati e conservati da terzi?

Il processo di fatturazione presuppone necessariamente l’acquisizione da parte del cedente/prestatore degli identificativi fiscali del committente/cessionario nonché di una serie di dati normalmente afferenti la descrizione del bene ceduto o del servizio prestato che, alla luce delle normative vigenti in materia di protezione dei dati stessi, potrebbero risultare anche sensibili. Si pensi ad esempio alle fatture emesse da un medico, un avvocato, uno psicanalista, un notaio, un farmacista, ecc..

Orbene, qualora il processo di fatturazione elettronica venga affidato ad un servizio in cloud o ad un soggetto intermediario, quali potrebbero essere le ripercussioni in materia di protezione dei dati personali?

Ipotizziamo un qualsiasi soggetto cedente-prestatore che si serva di un servizio in cloud per gestire l’intero ciclo attivo di fatturazione elettronica o azzardiamo il caso, ancor più complesso, in cui la gestione della fatturazione venga affidata ad un consulente fiscale (o terzo intermediario) il quale a sua volta si serva di un servizio in cloud per produrre e gestire i documenti fiscali in formato elettronico che, come potrebbe accadere, usufruisca di servizi offerti da terzi finalizzati alla trasmissione dei documenti al Sistema di Interscambio gestito dalla Agenzia delle Entrate e alla successiva ricezione delle notifiche nonché di ulteriori soggetti accreditati presso l’AGID per la conservazione finale dei documenti informatici.

La procedura è normalmente gestita nella sua totalità su piattaforma on-line, salvo casistiche particolari che prevedono una sorta di gestione mista, ovvero parte in remoto – tramite software residente sul terminale in uso – e parte on-line.

L’immissione dei dati (personali e/o sensibili) propri o forniti dal cliente è effettuata direttamente dal soggetto che emette il documento (cedente-prestatore o terzo intermediario) ma la successiva acquisizione, il trattamento e la conservazione dei dati stessi è in vero effettuata del gestore del servizio.

Ma gli obblighi in materia di protezione delle persone fisiche con riguardo al trattamento nonché alla libera circolazione dei dati personali dettati dal vigente “REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016”, cosi come recepiti in ambito nazionale con “DECRETO LEGISLATIVO N. 101 DEL 10 AGOSTO 2018”, sono ormai chiari e purtroppo molto gravosi.

Certo, l’affidatario del servizio di fatturazione on-line, che sia un service provider, una grande software house o altro, a seguito di una idonea informativa resa al soggetto cedente-prestatore o, se del caso, al consulente fiscale (o terzo intermediario) nonché del ricevuto consenso al trattamento dei dati forniti da questi ultimi ha, nella sostanza, reso tutela a se stesso.

Ma che tipo di tutela potrà essere resa al cliente da parte del soggetto cedente-prestatore o allo stesso cedente-prestatore da parte dell’eventuale terzo intermediario o meglio che tipo di informativa potrà essere resa ex lege in nome della liceità, correttezza e trasparenza del trattamento.

A questo punto una serie di interrogativi sorge spontanea.

  • Quali figure potranno essere dichiarate come Titolare del trattamento o Responsabile del trattamento dei dati?
  • Quale luoghi potranno essere dichiarati come sede del trattamento dei dati personali cosi come quali soggetti potranno essere dichiarati come affidatari del processo di trattamento dei dati?
  • Quali modalità del trattamento dei dati personali potranno essere dichiarate?
  • Quali misure tecniche ed organizzative appropriate potranno essere dichiarate come adottate al fine di garantire un idoneo livello di sicurezza contro il rischio di distruzione, perdita, alterazione, divulgazione o accesso accidentale o non autorizzato ai dati?
  • Quali diritti potranno essere riconosciuti alla controparte e soprattutto con quali modalità potranno essere soddisfatti qualora rivendicati?
  • Quali azioni potranno essere intraprese nella remota ipotesi di avvenuta violazione dei dati personali per cause imputabili al gestore del servizio?

Sembrerebbe proprio il caso di una classica ripercussione di obblighi a catena, non così semplice da gestire nei giusti termini di legge.

Non mi resta che dire: “Che fine faranno i dati personali degli Italiani”?

Grazie per l’attenzione

Paolo Esposito

Top