Il garante della privacy ha recentemente criticato alcune norme relative alla fatturazione elettronica che entrerà in vigore dal primo gennaio.

Ha emesso addirittura un provvedimento nei confronti dell’agenzia delle entrate, in cui spiega tutto ciò che non è conforme al GDPR entrato in vigore il 25 maggio scorso.

La prima cosa che lamenta il garante è di non essere stato consultato dall’Agenzia prima di emettere un provvedimento di così grande importanza che prevede la manipolazione di molti dati personali di persone fisiche e di aziende.

L’Agenzia infatti si è fatta carico autonomamente e senza consenso del trattamento di numerosi dati personali non rilevanti ai fini fiscali, che verranno trasferiti in chiaro sui propri portali, in chiaro contrasto con le recenti norme del GDPR.

Inoltre ha contestato anche la figura degli intermediari, per i quali non risulta chiaro il ruolo ai fini del trattamento dei dati personali.

Questa grossa concentrazione di dati personali presso aziende che solitamente fanno anche un altro lavoro, potrebbe esporre questi dati alla vendita per altri fini che esulano dall’emissione della fatturazione elettronica.

Una delle cose più contestate che impatta maggiormente su noi software house, è stata senza dubbio la trasmissione dei documenti attraverso il canale ftp.

In merito ai canali di trasmissione delle fatture elettroniche, il garante della privacy afferma infatti che nel provvedimento n. 89757, sembrerebbe attualmente previsto l’utilizzo del protocollo FTP, che non è considerabile un canale sicuro.

In proposito, il Garante ha, infatti, più volte evidenziato le criticità connesse all’utilizzo di tale protocollo in altri ambiti di trattamento, e anche prescritto all’Agenzia, già dal 2008 e, da ultimo nel 2017, l’utilizzo di canali sicuri di trasmissione.

Occorre, pertanto, prevedere, anche nell’ambito dello SDI, l’utilizzo di canali di connessione sicuri idonei a garantire un livello di sicurezza adeguato al rischio, in linea con quanto previsto dell’art. 32 del Regolamento.

Questo comporterà certamente l’abbandono in futuro di questo protocollo di trasmissione, pertanto tutte le software house che stanno predisponendo i propri software con questa soluzione dovranno fare rapidamente un’inversione di rotta e passare ad una nuova soluzione.

La strada migliore a mio avviso è sempre affidarsi ad un intermediario con un SDK o tramite web services, innanzitutto perchè non ci facciamo carico di alcuni problemi grossi come validazione e conservazione sostitutiva delle fatture elettroniche, ma anche perchè anche ai fini del GDPR scarichiamo su di loro gran parte delle responsabilità.