I commi 29-vicies e 29-viciessemel integrano la disciplina relativa alla trasmissione dei dati fiscali dei soggetti tenuti all’invio dei dati al Sistema tessera sanitaria.
Viene chiarito che i dati trasmessi possono essere utilizzati solo dalle
pubbliche amministrazioni ed esclusivamente per garantire l'applicazione
delle norme in materia tributaria e doganale ovvero, in forma aggregata, per il monitoraggio della spesa pubblica e privata complessiva.
In particolare, il comma 29-vicies, che sostituisce l'articolo 10-bis del decreto legge n. 119 del 2018, conferma in primo luogo che per il periodo d'imposta 2019 i soggetti tenuti all'invio dei dati al Sistema tessera sanitaria, ai fini dell'elaborazione della dichiarazione dei redditi precompilata, non possono emettere fatture elettroniche con riferimento alle fatture i cui dati sono da inviare al Sistema tessera sanitaria.
Si chiarisce che i dati trasmessi al Sistema tessera sanitaria possono essere utilizzati solo dalle pubbliche amministrazioni per due finalità
esclusive:
garantire l'applicazione delle disposizioni in materia tributaria e doganale;
in forma aggregata, per il monitoraggio della spesa pubblica e privata complessiva.
Con decreto del MEF, di concerto con il Ministero della salute e per la pubblica amministrazione, sentito il Garante per la protezione dei dati personali, sono definiti, nel rispetto dei principi in materia di protezione dei dati personali:
i termini e gli ambiti di utilizzo dei predetti dati e i relativi limiti; i tipi di dati che possono essere trattati;
le operazioni eseguibili;
le misure per tutelare i diritti e le libertà dell'interessato.
Si ricorda che con provvedimento del 15 novembre 2018, il Garante per la protezione dei dati personali ha avvertito l’Agenzia delle entrate che il nuovo obbligo della fatturazione elettronica, così come è stato regolato dall’Agenzia delle entrate, presenta rilevanti criticità in ordine alla compatibilità con la
chiesto all’Agenzia di far sapere con urgenza come intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica.
E’ la prima volta che il Garante esercita il nuovo potere correttivo di avvertimento, attribuito dall’articolo 58 del Regolamento europeo2016/679, verso un provvedimento adottato senza che il Garante sia stato consultato preventivamente (articolo 36 del Regolamento richiamato).
In particolare, il Garante ha rilevato che non saranno archiviati solo i dati obbligatori a fini fiscali, ma la fattura vera e propria, che contiene di per sé informazioni di dettaglio ulteriori sui beni e servizi acquistati, come le abitudini e le tipologie di consumo, legate alla fornitura di servizi energetici e di telecomunicazioni (es. regolarità nei pagamenti, appartenenza a particolari categorie di utenti), o addirittura la descrizione delle prestazioni sanitarie o legali. Ulteriori problemi pone il ruolo assunto dagli intermediari delegabili dal contribuente per la trasmissione, la ricezione e la conservazione delle fatture, alcuni dei quali operano anche nei confronti di una moltitudine di imprese, accentrando enormi masse di dati personali con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici. Anche le modalità di trasmissione attraverso lo SDI e gli ulteriori servizi offerti dall’Agenzia (come la conservazione dei dati) presentano criticità per quanto riguarda i profili di sicurezza, a partire dalla mancata cifratura della fattura elettronica, tanto più considerato l’utilizzo della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di posta elettronica.
Da ultimo, nel rispondere all’interrogazione n. 5-00911 a risposta immediata in Commissione finanze alla Camera dei deputati, circa possibili problemi di violazione di segreti industriali e commerciali nonché di violazioni della privacy dei consumatori, il sottosegretario di Stato per l'Economia e le finanze, Villarosa, ha precisato che tutte le modalità disponibili per la ricezione e per il successivo inoltro delle fatture elettroniche e delle relative ricevute rispettano i più aggiornati protocolli di sicurezza, in termini di autenticazione del trasmittente, riservatezza e disponibilità. I dati infatti sono crittografati e la consultazione sicura degli archivi informatici dell'Agenzia delle entrate è garantita da misure che prevedono un sistema di profilazione, identificazione, autenticazione dei soggetti abilitati alla consultazione, di tracciatura degli accessi effettuati con indicazione dei tempi e della tipologia delle operazioni svolte, nonché di conservazione di copie di sicurezza. Il sottosegretario ha poi annunciato che è stato attivato un tavolo
tecnico congiunto Agenzia delle entrate e Autorità Garante finalizzato ad
individuare soluzioni idonee a garantire il rispetto della normativa in materia di
privacy.
Con un nuovo provvedimento del 20 dicembre 2018, il Garante - preso atto
delle modifiche apportate all’impianto originario della fatturazione elettronica e delle ulteriori rassicurazioni fornite dall’Agenzia delle entrate - ha individuato i
presupposti e le condizioni perché la stessa Agenzia possa avviare dal 1 gennaio 2019 i trattamenti di dati connessi al nuovo obbligo.
Il comma 29-viciessemel, sostituisce il comma 6-quater all’articolo 2 del d.lgs. n. 127 del 2015 sulla fatturazione elettronica, il quale stabilisce che i soggetti tenuti all'invio dei dati al Sistema tessera sanitaria ai fini dell'elaborazione della dichiarazione dei redditi precompilata possono adempiere all'obbligo di memorizzazione e trasmissione telematica dei corrispettivi mediante memorizzazione elettronica e trasmissione telematica dei dati relativi a tutti i corrispettivi giornalieri al Sistema tessera sanitaria.
In particolare, anche in tale caso, sono introdotte le norme per il rispetto