NEWS

La privacy, l'Europa e la salvaguardia delle libertà

I tempi sono cambiati, anche per l'amministrazione dello Stato, perfino per il fisco. Non si può più relegare la privacy a un perimetro marginale, formalistico, eventuale, perché tutto, ormai, è fatto di dati e regolato attraverso i dati. Ce lo ricorda il parere espresso dall'Autorità Garante per la protezione dei dati personali, con un avvertimento – severo – su due provvedimenti del Direttore dell'Agenzia delle Entrate: uno contenente regole per predisporre, trasmettere, ricevere e conservare le fatture elettroniche, e l'altro sulle modalità di conferimento e revoca delle deleghe per l'utilizzo dei servizi di fatturazione elettronica.

Entrambi questi provvedimenti erano attuativi dell'art. 1, spec. comma 909 della legge 27 dicembre 2017, n. 205, che introduce l'obbligo di fatturazione elettronica per tutti i rapporti tra privati dal primo gennaio del 2019.

Il Garante rileva nelle modalità attuative del nuovo regime di fatturazione elettronica generalizzata una serie di irregolarità formali e sostanziali in materia di protezione dei dati personali e privacy. Prima di tutto, l'Autorità sottolinea come sia stata omessa la necessaria consultazione preventiva del Garante stesso, invece prevista dalla normativa previgente (l'ormai superato art. 154 comma 4 del Codice privacy) e da quella vigente (art. 36.4 del Regolamento privacy UE, cosiddetto “GDPR”). Un richiamo che sa di rimprovero culturale, prima ancora che giuridico, come a sottolineare che non è più tempo di certe dimenticanze, vista la rilevanza della materia e delle tutele in questione.

Sul piano di merito, il Garante contesta alle soluzioni attuative ipotizzate dall'Agenzia delle Entrate un potenziale insufficiente rispetto ad alcune norme contenute nel GDPR e, più precisamente, degli articoli 5, 6, § 3, lett. b), 9, § 2, lett. g), 13, 14, 25 e 32. Il lettore sarà confuso di fronte a questi numeri di articoli, ma sono abbastanza facili da spiegare. Per esempio, l'articolo 5 del GDPR è quello relativo ai principi fondamentali e generali del trattamento di dati, che tutti, anche lo Stato, devono osservare: per esempio, non si possono trattare più dati di quelli necessari allo scopo (cd. principio di minimizzazione, e invece si prevedevano accumuli di documenti e dati in misura eccessiva e superflua, come nel caso delle fatture complete) e non si dovrebbero operare trattamenti di dati senza sufficiente chiarezza verso gli interessati (cd. principio di trasparenza, cui si aggiungono gli articoli 13 e 14 del GDPR, relativi all'obbligo di informare compiutamente le persone a cui si riferiscono i dati – e il Garante rileva come non sia chiarito agli interessati che quei dati verranno usati anche per finalità di controllo, e come).

Poi abbiamo, sempre all'art. 5, il principio di integrità e riservatezza, che potremmo ribattezzare come “principio di sicurezza adeguata”, che si tiene con l'art. 32 del GDPR: vanno assicurate misure di sicurezza tecniche e organizzative idonee a prevenire e mitigare al massimo i rischi di violazione dei dati e, più in generale, per i diritti e le libertà delle persone; già, ma per fare questo servirebbe svolgere a monte una valutazione d'impatto per il progetto di fatturazione elettronica, la quale non risulta eseguita, almeno stando agli atti del Garante.

Pure sul piano della robustezza delle basi giuridiche (artt. 6 e 9 del GDPR) sembrano esservi delle insufficienze nel progetto attuativo, perché il rilevante interesse pubblico previsto dalla legge italiana per le attività di fatturazione elettronica e, più in generale, di controllo fiscale deve comunque accompagnarsi a precise misure di salvaguardia e garanzia per gli interessati, e non basta una norma generica a legittimare trattamenti di dati estremamente invasivi, sistematici, massivi come quelli immaginati.

È l'Europa, bellezza, viene da commentare. Dopotutto, questo è proprio un volto dell'Unione Europea che, paradossalmente, potrebbe piacere moltissimo perfino ai più euroscettici: la nuova disciplina in materia di protezione dei dati personali si rivela un baluardo di libertà per i cittadini, gli imprenditori, i consumatori, anche quando bisogna difendersi da ingerenze eccessive – pur operate con legittime intenzioni – da parte dello Stato. E l'Autorità Garante per la protezione dei dati personali dimostra la sua indispensabile funzione, di rango meta-costituzionale e sovranazionale, per la salvaguardia della libertà di tutti noi.

Fonte: Il Sole 24 Ore

Note sull'Autore

Luca Bolognini Luca Bolognini

Presidente Istituto Italiano per la Privacy, founder di Ict Legal Consulting - Twitter: @lucabolognini

Prev Lui è The Hacker Giraffe, metà "pi-erre" e metà stampante. E potrebbe violare anche la vostra
Next Attenzione agli amici che avete sui social, l'algoritmo potrebbe farvi bocciare la richiesta di prestito online

Privacy Day Forum 2024, il trailer della giornata

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy