Privacy violation in electronic invoicing by the Italian Financial Administration

  • Posted By Pierangela Rodilosso
  • |
  • 7 August 2020
  • |
  • 0 comments

Sharing is caring!

In its Opinion of 9 July 2020, the Italian Data Protection Authority considered that the intention of the financial administration to use new risk analyses based on the procedures for storing and archiving electronic invoices leads to generalised profiling of taxpayers, including minors. In particular, following the impact assessment on the scheme of the new procedure for the use of e-invoice data for analysis of the risk of evasion, governed by Article 14 of Decree-Law 124/2019, the Authority concluded that such profiling is not proportionate and is therefore redundant concerning the public interest objective pursued.

The Authority has specified that the storage and use, without distinction, of all personal data contained in electronic invoice files, even where high levels of security and selective access are ensured, is disproportionate in a democratic state, in terms of quantity and quality of the information processed, compared to the legitimate public interest objective of combating tax evasion pursued. This is because the electronic invoices that pass through the Inland Revenue’s exchange system contain a great deal of data, often also very detailed, which have nothing to do with the needs of the tax authorities but respond to commercial logic, insurance or commercial practices. From these data, we can also see the type of relationship between transferor and user, the discounts applied, loyalty to some suppliers, consumption habits.

All these elements – including the documents attached to the electronic invoice – would be stored and archived for processing, without distinction between types of data and categories of data subjects, for a long time (eight years) by both the Revenue Agency and the Guardia di Finanza (Tax Police).

The set of data that would be stored and processed would thus also include information belonging to special categories, such as those relating to possible criminal proceedings against the data subjects, which would be extrapolated from the examination of the contents of electronic invoices relating to services rendered in the course of legal proceedings.

Concerning the draft measure implementing the procedure in question, the Data Protection Authority considers it “not proportionate to the objective of public interest, although legitimate, pursued, not identifying, in compliance with the principles of privacy by design and by default, adequate guarantee measures to ensure data protection, also about those referred to in Articles 9 and 10 of the Regulation”. With regard, instead, to the processing for risk analysis to be carried out also through the interconnection between the data of electronic invoices and the numerous databases available to the Revenue Agency, the Authority stresses the danger of a real “profiling of all taxpayers, including minors”, against which, “given the high risks for the rights and freedoms of the data subjects”, it is necessary to further investigate.

****

VIOLAZIONE DELLA PRIVACY NELLA FATTURAZIONE ELETTRONICA DA PARTE DELL’AMMINISTRAZIONE FINANZIARIA ITALIANA

Con Parere del 9 luglio 2020 il Garante della Privacy italiano ha ritenuto che l’intento dell’amministrazione finanziaria di utilizzare nuove analisi del rischio basate sulle procedure di memorizzazione ed archiviazione delle fatture elettroniche determina una profilazione generalizzata dei contribuenti, compresi i minori d’età. In particolare, a seguito della valutazione di impatto sullo schema della nuova procedura di utilizzo dei dati delle fatture elettroniche ai fini di analisi del rischio di evasione, disciplinata dall’articolo 14 del D.L. 124/2019, l’Autorità ha concluso che tale profilazione non è proporzionata e risulta, pertanto, ridondante rispetto all’obiettivo dell’interesse pubblico perseguito.

Infatti, ha precisato il Garante, la memorizzazione e l’utilizzazione, senza distinzione alcuna, dell’insieme dei dati personali contenuti nei file delle fatture elettroniche, anche laddove si assicurino elevati livelli di sicurezza e accessi selettivi, risulta sproporzionata in uno stato democratico, per quantità e qualità delle informazioni oggetto di trattamento, rispetto al perseguimento del legittimo obiettivo di interesse pubblico di contrasto all’evasione fiscale perseguito. Ciò in quanto nelle fatture elettroniche che transitano nel sistema di interscambio dell’Agenzia delle Entrate sono contenuti moltissimi dati, spesso anche molto dettagliati, che nulla hanno a che vedere con le esigenze del fisco ma rispondono a logiche commerciali, assicurative o a prassi commerciali. Da tali dati si possono evincere anche il tipo di rapporto fra cedente ed utilizzatore, gli sconti applicati, la fidelizzazione verso alcuni fornitori, le abitudini di consumo.

Tutti questi elementi – documenti allegati alla fattura elettronica compresi – sulla base dello schema di provvedimento dell’Agenzia delle Entrate verrebbero memorizzati ed archiviati per essere trattati, senza distinzione alcuna tra tipologie di dati e categorie di interessati, per un lungo periodo di tempo (otto anni) da parte sia della stessa Agenzia che della Guardia di finanza.

L’insieme dei dati che verrebbero memorizzati e trattati finirebbe così per ricomprendere anche informazioni appartenenti a categorie particolari, come ad esempio quelle relative ad eventuali procedimenti penali a carico dei relativi interessati, che verrebbero estrapolate dall’esame dei contenuti delle fatture elettroniche relative alle prestazioni rese nell’ambito dell’attività forense.

Per quanto riguarda lo schema di provvedimento attuativo della procedura in parola, il Garante della Privacy lo ritiene «non proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito, non individuando, in ossequio ai principi di privacy by design e by default, misure di garanzia adeguate per assicurare la protezione dei dati, anche in relazione a quelli di cui agli artt. 9 e 10 del Regolamento». Per quanto riguarda, invece, i trattamenti ai fini delle analisi del rischio da effettuare anche attraverso le interconnessioni fra i dati delle fatture elettroniche e le numerose banche dati a disposizione dell’Agenzia delle Entrate, il Garante sottolinea il pericolo di una vera e propria «profilazione di tutti i contribuenti, anche minori d’età», a fronte del quale, «attesi i rischi elevati per i diritti e le libertà degli interessati», risulta necessario approfondire ulteriormente l’istruttoria.

Leave a Comment

shares