E’ di dominio pubblico, in questi giorni, un acceso dibattito tra Agenzia delle Entrate e Garante Privacy in merito ad un nuovo schema di provvedimento del Direttore dell’agenzia, per l’attuazione dell’art. 14 del decreto legge 26 ottobre 2019, n. 124. Il 9 luglio 2020 il Garante ha emesso un parere, seguito da una replica del 13 luglio (questa per lo più rivolta ai nostri rappresentanti politici), in relazione a tale nuovo schema di provvedimento attuativo che disciplina l’utilizzo delle fatturazioni elettroniche (in particolar modo la loro “memorizzazione”), dove è prevista la possibilità di memorizzare, e quindi utilizzare ai fini fiscali, anche i c.d. “dati fattura integrati”.
Che cosa sono tali “dati integrati”? Sono informazioni contenute nelle fatture, a volte o spesso compresi negli allegati alle fatture stesse, dalle quali è possibile conoscere i beni e servizi oggetto di fatturazione, oltre che le specifiche prestazioni e la tipologia di rapporti fra i soggetti. Lo schema prevede che questi dati siano conservati per un periodo pari a 8 anni dal momento della presentazione della dichiarazione di riferimento o fino alla definizione di eventuali giudizi e tali dati sarebbero disponibili, tra l’altro, anche alla Guardia di Finanza, oltre che al personale dell’Agenzia delle Entrate. Ne consegue che, grazie all’incrocio ed elaborazione di questi dati, oltre a quelli già disponibili, l’AE sarebbe in grado di conoscere con elevata precisione le abitudini di consumo delle persone, la regolarità dei pagamenti, oltre che informazioni sullo stato di salute, fino ad arrivare anche a informazioni giudiziarie e penali (si pensi alle informazioni contenute nella fattura di uno studio legale).
Su tale aspetto, il Garante Privacy ha affermato, e giustamente ricordato, che questa raccolta ed elaborazione massiva di dati non fiscalmente rilevanti, per un tempo così lungo, è sproporzionata. Tenendo presente che che ogni anno, in Italia, vengono emesse più di 2 miliardi di fatture, è evidente che l’adozione di questo provvedimento, di fatto, darebbe all’Agenzia delle Entrate il potere di sorvegliare e profilare in modo estremamente dettagliato e indiscriminato la vita e le abitudini dei cittadini italiani. Un’intrusione nella vita privata dei contribuenti dal quale sarebbe praticamente impossibile sfuggire.
Ma il Garante va oltre e pone in evidenza anche gli evidenti rischi in ambito di sicurezza dei trattamenti: la sicurezza informatica della Pubblica Amministrazione italiana non è affatto delle migliori. Basti ricordare come solo pochi mesi fa l’INPS è stata vittima di un incidente che ha comportato l’accesso da parte di terzi non autorizzati a migliaia di dati personali di cittadini. Si pensi a cosa potrebbe succedere se qualcuno avesse accesso a dati così dettagliati e approfonditi delle persone?
E a fronte di questo “potenziale” ma non tanto remoto rischio, lo stesso Garante, proprio nel parere del 9 luglio scorso, lamenta l’assenza di misure di garanzia adeguate ad assicurare la protezione dei dati, soprattutto per quanto riguarda le informazioni sulla salute o sulle vicende giudiziarie dei cittadini, il tutto nel rispetto dei principi di privacy by design e by default previsti dal Regolamento UE per la protezione dei dati (GDPR).
In tale occasione quindi, il Garante ricorda come proprio il GDPR e il novellato Codice Privacy prevedono delle tutele rafforzate per il trattamento di dati relativi alla salute. E’ proprio il nuovo regolamento, nonostante sia ancora visto come un inutile balzello in capo alle organizzazioni, che prevede che tali informazioni possano essere trattate lecitamente per motivi di interesse pubblico rilevante e solo quando questo sia necessario e proporzionato alla finalità perseguita, nel rispetto dei diritti fondamentali e interessi delle persone. Paradossalmente (come spesso succede nel nostro paese), e vale la pena ricordare, lo stesso D.L. 124/2019, all’art. 14, prevede la necessità di adottare misure di garanzia adeguate alla protezione dei dati personali e la tutela dei diritti delle persone.
Però sembra proprio che il trattamento prospettato dall’Agenzia delle Entrate, non solo non sia affatto necessario e proporzionato alla finalità perseguita, ma non sembra nemmeno sia attuato adottando misure adeguate per la tutela dei diritti fondamentali delle persone.
Citando proprio il Garante Privacy, l’attività prevista dall’AE “contrasta con il principio di proporzionalità su ci si basano l’ordinamento interno ed europeo […] e configura un sistema di controllo irragionevolmente pervasivo della vita privata di tutti i contribuenti, senza peraltro migliorare il doveroso contrasto dell’evasione fiscale.” Per chi non l’avesse ancora capito, lo stesso Garante ricorda, sottolinea e ribadisce che la sorveglianza di massa della popolazione non è mai giustificabile, neanche per finalità di lotta all’evasione!
Siamo ancora poco consapevoli che i dati personali sono espressione digitale della nostra identità. Un controllo così massivo, in pieno stile “Grande Fratello” degno del romanzo di Orwell, deve ritenersi incostituzionale ancor prima che in violazione della normativa europea per la protezione dei dati personali.
Dobbiamo comprendere che la privacy è la dimensione in cui fiorisce la nostra individualità e libertà.
Senza privacy, non può esserci libertà. Nessuna Autorità pubblica dovrebbe avere un potere del genere.
De Rossi Vanni
Privacy Officer e Consulente Privacy