g-docweb-display Portlet

Parere sullo schema di decreto del Ministro per l’innovazione tecnologica e la digitalizzazione, di concerto con il Ministro dell’economia e delle finanze, di definizione delle regole tecniche del servizio di fatturazione automatica, da adottare ai sensi dell’art. 5, comma 2-septies, del CAD - 29 ottobre 2020 [9487468]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9487468]

Parere sullo schema di decreto del Ministro per l’innovazione tecnologica e la digitalizzazione, di concerto con il Ministro dell’economia e delle finanze, di definizione delle regole tecniche del servizio di fatturazione automatica, da adottare ai sensi dell’art. 5, comma 2-septies, del CAD - 29 ottobre 2020

Registro dei provvedimenti
n. 200 del 29 ottobre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il decreto legislativo 7 marzo 2005, n. 82 recante il Codice dell’amministrazione digitale (di seguito “CAD”) il quale prevede che la Presidenza del Consiglio dei ministri metta a disposizione una piattaforma tecnologica per l’interconnessione e l’interoperabilità tra le pubbliche amministrazioni e i prestatori di servizi di pagamento abilitati e che la predetta piattaforma tecnologica possa “essere utilizzata anche per facilitare e automatizzare, attraverso i pagamenti elettronici, i processi di certificazione fiscale tra soggetti privati, tra cui la fatturazione elettronica e la memorizzazione e trasmissione dei dati dei corrispettivi giornalieri di cui agli articoli 1 e 2 del decreto legislativo 5 agosto 2015, n. 127” (art. 5, commi 2 e 2-sexies);

VISTO il comma 2-septies del medesimo articolo, che dispone che “con decreto del Presidente del Consiglio dei Ministri o del Ministro delegato per l’innovazione tecnologica e la digitalizzazione, di concerto con il Ministro dell'economia e delle finanze, sono definite le regole tecniche di funzionamento della piattaforma tecnologica e dei processi di cui al comma 2-sexies”;

VISTA il decreto legge 14 dicembre 2018, n. 135, convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12, e in particolare l’art. 8, comma 2, che prevede la costituzione di una società per azioni, interamente partecipata dallo Stato e sottoposta alla vigilanza del Presidente del Consiglio dei Ministri o del Ministro delegato, per lo svolgimento delle attività di gestione della piattaforma di cui all'art. 5, comma 2, del decreto legislativo 7 marzo 2005, n. 82, nonché dei compiti e funzioni relativi a tale piattaforma;

VISTA la nota del 17 luglio 2020, successivamente integrata il 22 ottobre 2020, con cui il Ministro dell’innovazione tecnologica e la digitalizzazione ha trasmesso al Garante, ai fini dell’acquisizione del prescritto parere, lo “Schema di decreto del Ministro per l’innovazione tecnologica e la digitalizzazione, di concerto con il Ministro dell’economia e delle finanze, di definizione delle regole tecniche del servizio di fatturazione automatica”, da adottare ai sensi dell’art. 5, comma 2-septies, del CAD;

RILEVATO, in particolare, che il predetto schema prevede che:

- la società PagoPA S.p.a. (di seguito anche Società) realizzi, nell’ambito della piattaforma di cui all’art. 5, comma 2, del CAD, il sistema e le funzionalità necessarie a garantire la fornitura del Servizio di fatturazione automatica, fruibile anche da parte di coloro che effettuano acquisti al di fuori dell’esercizio dell’attività di impresa, dell’esercizio di un’arte o di una professione (art. 3, commi 1 e 2, dello schema);

- il Servizio di fatturazione automatica di cui al presente decreto si applichi alle operazioni di pagamento effettuate presso POS presenti sul territorio nazionale, effettuate mediante l’utilizzo di carte di debito, carte di credito, carte prepagate, ivi inclusi gli strumenti di pagamento, nonché tramite applicazioni che consentono di effettuare bonifici di pagamento o tramite altri sistemi di pagamento messi a disposizione presso punti vendita presenti sul territorio nazionale (art. 4, comma 1, dello schema);

- l’adesione al Servizio avvenga su base volontaria, per tutti i soggetti coinvolti, sulla base di una fase di registrazione al Servizio distinta per gli esercenti e per i cessionari: a) gli esercenti si iscrivono al Servizio (una tantum, con possibilità di modifica o cancellazione), direttamente o tramite soggetti terzi, tra i quali l’acquirer o il proprio fornitore di servizi di fatturazione elettronica; b) i cessionari, nell’App IO o nei sistemi messi a disposizione dal proprio issuer, registrano uno o più strumenti di pagamento di cui intendono avvalersi per usufruire del Servizio (una tantum, con possibilità di modifica o revoca), indicando anche gli estremi della propria partita IVA ovvero del proprio codice fiscale. Il Sistema, attraverso le metodologie tecniche comunicate dall’Agenzia delle entrate alla Società, verifica che la partita IVA e il codice fiscale siano esistenti, validi ed attivi al momento della registrazione (art. 5, comma 1, lett. a), e art. 6, comma 1, lett. a) e b), dello schema);

- gli acquirer hanno l’obbligo di integrare i propri sistemi tecnologici con il Sistema, previa stipula di un accordo con la Società, per la trasmissione dei dati relativi alle transazioni di pagamento per il funzionamento del Sistema (art.5, comma 2, dello schema);

- il compratore (il soggetto persona fisica che effettua materialmente l’acquisto di beni o servizi in qualità di legale rappresentante, o in nome e per conto, del cessionario e che, talvolta, può coincidere con quest’ultimo), al momento dell’acquisto, chiede all’esercente la fattura per i pagamenti selezionati, in nome e per conto del cessionario (art. 6, comma 1, lett. c), dello schema);

- l’esercente invia alla Società, utilizzando i protocolli messi a disposizione dal proprio sistema di cassa, l’identificativo della transazione e i dati necessari all’emissione della fattura (art. 6, comma 1, lett. d), dello schema);

- l’acquirer giornalmente, previa verifica dell’adesione del cessionario al Servizio, sulla base del PAN (Primary Account Number), fornito in sede di registrazione, opportunamente protetto mediante una funzione crittografica non reversibile, e sulla base della lista di identificativi delle transazioni effettuate nella giornata e per le quali sia stata richiesta la fattura, entrambi messi a disposizione dalla Società, individua e trasmette alla stessa i seguenti dati: l’hash del PAN dello strumento di pagamento e, per ognuna delle transazioni per le quali è stata richiesta la fattura, gli estremi della stessa (i dati contenuti nella ricevuta elaborata dal POS anche in forma cartacea, tra cui il timestamp della transazione di pagamento, l’importo della transazione, il tipo di operazione, un identificativo univoco che colleghi le fasi dell’operazione di pagamento, la categoria merceologica dell’esercente e l’identificativo univoco del merchant) (art. 6, comma 1, lett. e) e f), dello schema);

- il Sistema, dopo aver verificato, presso l’Agenzia delle entrate, che la partita IVA e il codice fiscale del cessionario nonché la partita IVA dell’esercente siano ancora esistenti, validi ed attivi al momento dell’acquisto, invia i dati anagrafici degli stessi e quelli relativi ai beni o servizi acquistati al fornitore di servizi di fatturazione elettronica dell’esercente, ai fini della generazione della fattura da trasmettere al Sistema di Interscambio (SDI) (art. 6, comma 1, lett. g) e h), dello schema);

- il cessionario riceve la notifica, attraverso l’App IO o altro portale dedicato messo a disposizione dal proprio issuer, relativa alla disponibilità di transazioni per le quali è stata richiesta la fattura, mentre la Società avvisa l’esercente quando non sia stato possibile procedere alla generazione della fattura (art. 6, comma 1, lett. i) e k), dello schema);

RILEVATO, inoltre, che, con specifico riferimento al trattamento dei dati personali, lo schema in esame stabilisce che:

- la Società tratta i dati raccolti tramite l’App IO, o altro portale dedicato messo a disposizione dall’Issuer, in qualità di titolare del trattamento, esclusivamente per le finalità di fatturazione automatica, mentre è designata responsabile dagli esercenti, ai sensi dell’art. 28 del Regolamento, per i trattamenti effettuati per conto degli stessi nell’ambito del Servizio (art. 7, commi 1 e 2, dello schema);

- gli issuer sono designati responsabili dalla Società, ai sensi dell’art. 28 del Regolamento, per i trattamenti effettuati per la messa a disposizione del cessionario dei dati relativi alle transazioni per le quali è stata richiesta la fattura (art. 7, comma 3, dello schema);

- gli acquirer sono titolari del trattamento effettuato al fine di individuare e trasmettere alla Società le transazioni rilevanti, facendo divieto agli stessi di utilizzare i dati relativi alle registrazioni dei cessionari, forniti dalla Società, per finalità non strettamente indispensabili all’espletamento dei propri compiti nell’ambito del processo di fatturazione automatica; i dati dovranno essere cancellati automaticamente laddove non più necessari; in sede di prima applicazione, gli acquirer possono demandare lo svolgimento di talune delle attività previste alla Società, che le svolgerà, previa designazione, come loro responsabile del trattamento, ai sensi dell’art. 28 del Regolamento (art. 7, comma 4, dello schema);

- la Società effettua, prima del trattamento, la valutazione di impatto ai sensi dell’art. 35 del Regolamento, da sottoporre alla verifica preventiva del Garante, alla quale sarà allegata anche la convenzione stipulata con l’Agenzia delle entrate per le previste verifiche sui codici fiscali e le partite IVA dei cessionari e degli esercenti, da effettuarsi, da parte della Società, in qualità di titolare del trattamento. Nella valutazione di impatto sono indicate, in particolare, le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, nonché a tutela dei diritti e delle libertà degli interessati, e sono, altresì, disciplinati i tempi e le modalità di conservazione dei dati, assicurando che gli stessi siano conservati solo per il tempo necessario all’erogazione del Servizio (art. 7, commi 1, 6 e 7, dello schema);

CONSIDERATO che il Servizio di fatturazione automatica presenta rischi elevati per i diritti e le libertà degli interessati, derivanti dalla raccolta massiva e generalizzata di informazioni di dettaglio, potenzialmente riferibili ad ogni aspetto della vita quotidiana dell’intera popolazione, che richiedono specifiche valutazioni in ordine alla proporzionalità del trattamento e all’individuazione delle misure da adottare al fine di rispettare i requisiti del Regolamento;

RILEVATO che la versione dello schema in esame tiene conto delle indicazioni fornite dall’Ufficio nell’ambito delle interlocuzioni informali con i rappresentati del Dipartimento per la trasformazione digitale presso la Presidenza del Consiglio dei Ministri e la Società, volte ad assicurare, in particolare, che:

- il trattamento sia progettato nel rispetto dei principi di proporzionalità e di privacy by design e by default (art. 25 del Regolamento), limitando la raccolta dei dati a quelli strettamente necessari alla finalità perseguita, senza accentrare, presso la Società, i dati relativi a tutte le transazioni commerciali eseguite con strumenti di pagamento elettronici, a prescindere dall’adesione all’iniziativa da parte dei cessionari e dal fatto che sia stata richiesta l’emissione della fattura all’atto dell’acquisto; ciò, anche circoscrivendo, alla sola fase di prima applicazione del decreto, l’ipotesi residuale che gli acquirer possano demandare alla Società lo svolgimento di alcuni compiti loro attribuiti dallo schema in esame, con il conseguente il trattamento da parte della stessa, ancorché in qualità di responsabile del trattamento ai sensi dell’art. 28 del Regolamento, dei dati relativi a tutte le transazioni effettuate tramite i relativi POS attivati presso esercenti che hanno aderito al Servizio;

- siano introdotte adeguate garanzie a tutela dei diritti e delle libertà delle persone fisiche che, in qualità di cessionari, al di fuori dell’esercizio dell’attività di impresa e dell’esercizio di un’arte o di una professione, intendano aderire al Servizio di fatturazione automatica, introducendo meccanismi che consentano di rispettare i requisiti del Regolamento, attraverso la minimizzazione nella raccolta dei dati relativi alle transazioni rilevanti;

- l’individuazione dei dati che devono essere raccolti, relativi alle transazioni commerciali effettuate con strumenti di pagamento elettronici, avvenga nel rispetto del principio di minimizzazione (art. 5, par. 1, lett. c), del Regolamento);

- il ruolo assunto dai diversi soggetti coinvolti nel trattamento di dati personali, effettuato ai fini della fatturazione automatica, sia delineato correttamente, con riguardo alla Società, al cessionario, al compratore, all’esercente, agli acquirer e agli issuer, in conformità ai principi di liceità, correttezza e trasparenza e di limitazione della finalità (art. 5, par. 1, lett. a) e b), del Regolamento);

- le operazioni e le modalità di trattamento siano descritte puntualmente, con specifico riferimento alla fase di adesione al servizio, alle verifiche effettuate presso l’Agenzia delle entrate, nonché alla corretta individuazione dei flussi di dati necessari alla realizzazione dell’iniziativa per il compito di interesse pubblico individuato dall’art. 5, commi 2 e 2-sexies, del CAD, in conformità al principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), del Regolamento e 2-ter del Codice);

- le verifiche sull’esistenza e validità di partita IVA o codice fiscale del cessionario e dell’esercente, effettuate, all’atto dell’adesione al servizio e della generazione della fattura, dalla Società, tramite servizi messi a disposizione dell’Agenzia delle entrate, avvengano nel rispetto del principio di minimizzazione dei dati (art. 5, par. 1, lett. c), del Regolamento);

- gli identificativi degli strumenti di pagamento elettronici (PAN) indicati dai cessionari all’atto dell’adesione al servizio di fatturazione automatica siano protetti tramite funzioni crittografiche non reversibili, nel rispetto del principio di integrità e riservatezza e degli obblighi di sicurezza (artt. 5, par. 1, lett. f), e 32 del Regolamento);

- nella valutazione d’impatto, che sarà sottoposta all’esame del Garante, siano indicate le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento (artt. 5, par. 1, lett. f), e 32 del Regolamento) e siano disciplinati i tempi e le modalità di conservazione dei dati trattati ai fini della fatturazione automatica, assicurando, nel rispetto del principio di limitazione della conservazione (art. 5, par. 1, lett. e), del Regolamento), che gli stessi siano conservati solo per il tempo necessario all’erogazione del Servizio;

RITENUTO che non vi siano ulteriori osservazioni da formulare sullo schema di decreto, atteso che tutte le predette indicazioni sono state tenute in debita considerazione nella versione in esame;

RILEVATO, tuttavia, che - poiché è ancora all’esame del Garante la valutazione di impatto predisposta dalla Società relativa ai trattamenti effettuati, in generale, tramite l’App IO, quale punto unico di accesso telematico per i cittadini ai servizi in rete della pubblica amministrazione (art. 64-bis del CAD), cui lo schema fa riferimento - il presente parere è formulato unicamente in relazione all’utilizzo della stessa per la realizzazione del Servizio di fatturazione automatica, fermo restando che, nell’ambito della verifica sulla valutazione di impatto che verrà trasmessa in conformità all’art. 36, par. 5, del Regolamento e all’art. 2 quinquiesdecies del Codice (cfr. art. 7, comma 6, dello schema), l’Autorità si riserva di esaminare le specifiche caratteristiche di tale app, con particolare riferimento alle osservazioni già formulate nel provvedimento n. 102 del 12 giugno 2020 (doc. web n. 9367375, par. 5), circa il previsto utilizzo di notifiche push, l’attivazione automatica di servizi non espressamente richiesti dall’utente, nonché il trasferimento di dati personali verso Paesi terzi, peraltro da attualizzarsi alla luce della recente sentenza della Corte di giustizia relativa al caso Schrems II (16 luglio 2020, causa C-311/18);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 57, par. 1, lett. c), del Regolamento, esprime parere favorevole sullo schema di decreto del Ministro per l’innovazione tecnologica e la digitalizzazione, di concerto con il Ministro dell’economia e delle finanze, di definizione delle regole tecniche del servizio di fatturazione automatica, da adottare ai sensi dell’art. 5, comma 2-septies, del CAD.

Roma, 29 ottobre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi