In questa sede è d’obbligo richiamare quanto già rappresentato nella predetta memoria e nei provvedimenti sopra indicati, circa il fatto che la previsione della memorizzazione e dell’utilizzazione, senza distinzione alcuna, dell’insieme dei dati personali contenuti nei file delle fatture elettroniche, anche laddove si assicurino elevati livelli di sicurezza e accessi selettivi, risulta sproporzionata in uno stato democratico, per quantità e qualità delle informazioni oggetto di trattamento, rispetto al perseguimento del legittimo obiettivo di interesse pubblico di contrasto all’evasione fiscale perseguito; ciò pur tenendo conto che, allo stato, le spese sanitarie trasmesse attraverso il sistema TS sono escluse da tale previsione.
L’Autorità aveva già, infatti, invitato il legislatore a selezionare opportunamente le tipologie di informazioni trattate, che dovevano essere oggetto di specifica valutazione rispetto alle esigenze perseguite in concreto, al fine di non violare il principio di proporzionalità del trattamento dei dati sancito dal Regolamento (art. 6, par. 3, con garanzie rafforzate per i dati di cui agli artt. 9 e 10), e assurto a parametro di legittimità in materia, nella giurisprudenza della Corte di giustizia (ex multis sentenza dell’ 8 aprile 2004, C- 203/12 e C-594/12, Digital Rights Ireland Ldt), della Corte europea dei diritti dell’uomo (in particolare sez. II, sent. 28 novembre 2017, Antović and Mirković c. Montenegro) e della Corte costituzionale (sentenza n. 20 del 2019).
RITENUTO
Alla luce di quanto sopra rappresentato, si ritiene pertanto che lo schema di provvedimento in esame disciplini un trattamento di dati in violazione degli artt. 5, par. 1., lett. a), 6, par. 3, 9, 10, 24 e 25 del Regolamento, riguardante, peraltro senza distinzione alcuna tra tipologie di informazioni o categorie di interessati e dati personali di dettaglio, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi alla totalità della popolazione, non proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito, non individuando, in ossequio ai principi di privacy by design e by default, misure di garanzia adeguate per assicurare la protezione dei dati, anche in relazione a quelli di cui agli artt. 9 e 10 del Regolamento.
Con riferimento, invece, ai prospettati trattamenti effettuati a fini di analisi del rischio attraverso interconnessioni con le numerose banche dati a disposizione dell’Agenzia delle entrate, effettuabili anche sulla base dei c.d. dati fattura, senza informazioni sulla descrizione dei beni e servizi oggetto della fattura (cfr. DPIA n. 2, allegata alla nota citata) e che prevedono la profilazione di tutti i contribuenti, anche minori d’età, e il trattamento di dati di cui agli artt. 9 e 10 del Regolamento, si ritiene invece necessario, attesi i rischi elevati per i diritti e le libertà degli interessati, approfondire separatamente l’istruttoria al fine di acquisire ulteriori elementi di valutazione, al fine di individuare idonee garanzie per i contribuenti, nel rispetto dell’art. 22 del Regolamento.