In questi giorni di prima applicazione dell’obbligo di fattura elettronica sono stati segnalati atteggiamenti illeciti da parte dei produttori di software e intermediari. Comportamenti che un osservatore non troppo attento, potrebbe farsi sfuggire, subendo di conseguenza dei danni. A evidenziare il problema alcuni soci di Unappa, che si sono rivolti alla loro associazione raccontando quanto succede.
Il perpetuarsi di comportamenti illeciti ai danni dei consumatori era già stato denunciato riguardo agli operatori delle filiere dei distributori di carburante e dei supermercati nei confronti della fatturazione elettronica; con atteggiamenti quali il non fare fattura o farla solo dopo il bonifico anticipato. Adesso emergono anche le irregolarità delle software house.
Costi impropri per manutenzione evolutiva e pacchetti software
Il problema è emerso perché molti professionisti e operatori si erano già muniti da tempo di software per la redazione e la trasmissione di fatture elettroniche, questo per venire incontro alle esigenze dei clienti e per poter procedere, soprattutto, alla fatturazione di prestazioni verso la pubblica amministrazione tramite FatturaPA. A Unappa risulta che molti di loro hanno scritto contratti di manutenzione di questi software, comprendente le attività di manutenzione ordinaria (ossia l’applicazione di patch e di altre correzioni via via necessarie) e, spesso, anche la cosiddetta manutenzione evolutiva, ossia quella tesa ad aggiornare il software rispetto ad eventuali modifiche normative, trattandosi, appunto di software volti proprio a consentire in maniera più semplice l’adempimento di obblighi normativi.
Nonostante tali previsioni, però, alcune software house italiane, anche di rilievo nazionale, non hanno rilasciato i previsti aggiornamenti, il cui costo era ricompreso nei canoni dei contratti di manutenzione, ma hanno imposto, con una politica commerciale alquanto aggressiva, di acquistare degli ulteriori moduli per attivare le funzionalità della fatturazione B2B. Molti professionisti ed aziende, quindi, si sono viste costrette a comprare nuovi prodotti nonostante avessero già corrisposto le somme per ottenere gli aggiornamenti dei programmi necessari ad adeguare gli stessi alla nuovo normativa. Si tratta di comportamenti contrattualmente non corretti, i quali presi singolarmente forse non sembrerebbero essere così rilevanti, ma considerata la platea dei soggetti obbligati e le somme richieste a ciascuno di essi per l’acquisto dei nuovi moduli, hanno consentito di lucrare in maniera contrattualmente non corretta tali software house.
Il suggerimento, quindi, che forniamo ai commercialisti ed alle aziende che già avevano acquistato dei software per la fatturazione elettronica prima del 1° gennaio 2019 e che si sono viste richiedere l’acquisto di ulteriori software per poter procedere alla fatturazione B2B è di leggere attentamente le clausole contrattuali relative alle attività di manutenzione, in quanto, se comprensive della manutenzione evolutiva in realtà, in realtà dovevano ritenersi già ricomprese le attività di adeguamento del software precedentemente acquistato alla nuova normativa.
Il problema privacy della gestione dei dati
Un ulteriore comportamento del tutto illegittimo è relativo alle configurazioni che alcune aziende hanno proposto circa la titolarità del trattamento dei dati. Nel provvedimento del 20 dicembre 2018 il Garante per la protezione dei dati personali aveva evidenziato alcune di queste anomalie espressamente chiarendo che nell’esame di alcuni modelli contrattuali utilizzati dalle maggiori società produttrici di software gestionale e fiscale sono
“presenti alcune clausole suscettibili di violare, in particolare, gli artt. 5, 6 e 28 del Regolamento, che evidenziano elevati rischi di utilizzi impropri dei dati personali nell’ambito dei trattamenti effettuati dagli intermediari e dagli altri soggetti delegati dagli operatori economici nel processo di fatturazione, non solo con riferimento a trattamenti illeciti, ma anche alla proliferazione di possibili collegamenti e raffronti tra fatture di migliaia di operatori economici”.
L’Autorità chiariva espressamente che non risulta
“conforme al Regolamento, la clausola in cui è previsto che una società produttrice di software gestionale e fiscale possa procedere “all’elaborazione e utilizzo di informazioni puramente statistiche, su base aggregata e previa anonimizzazione, raccolte in relazione all’utilizzo dei Servizi da parte del Cliente e del Terzo Beneficiario, ivi incluse informazioni relative ai meta-dati associati ai Documenti, a fini di studio e statistici, concedendo a tal fine [alla predetta società] una licenza non esclusiva, perpetua, irrevocabile, valida in tutto il mondo e a titolo gratuito, ad utilizzare tali informazioni per dette finalità”.
In questo periodo, però, alcuni ordini professionali hanno ricevuto delle proposte di convenzioni da parte di società produttrici di software – che operano quali intermediari verso SDI – per consentire l’utilizzo degli stessi da parte degli iscritti a condizioni agevolate. In alcuni casi, addirittura, i ruoli vengono ribaltati completamente, ed il professionista viene nominato Responsabile del trattamento ex art. 28 del Regolamento (UE) n. 679/2016 da parte della software house, che si definisce Titolare.
Tale impostazione, è bene chiarirlo subito, è da ritenersi del tutto errata ed, oltretutto, espone la stessa software house a problemi ed adempimenti di non poco conto. Essa, infatti, dovrebbe rendere le informative ai soggetti i cui dati personali sono riportati nelle fatture che sono emesse da professionisti, per non parlare del fatto che mancherebbe, senza il consenso espresso di tali soggetti, la base giuridica a giustificazione del trattamento (ed, infatti, l’intermediario non tratta il dato personale basandosi su un proprio obbligo di legge né potrebbe essere invocato un legittimo interesse ex art. 6, lett. f) GDPR).
Con molta probabilità tale configurazione è stata pensata per poter poi effettuare trattamenti aggiuntivi ed ulteriori sui dati raccolti tramite i sistemi di fatturazione elettronica, non tenendo però in considerazione con le dovute accortezze le conseguenze. Nel provvedimento del Garante per la protezione dei dati personali sopra richiamato l’Autorità chiaramente evidenzia che
“Nell’ambito del tavolo di lavoro, a cui hanno partecipato, oltre all’Agenzia, anche il CDDCEC, il CNOCL e AssoSoftware, è emerso che gli intermediari e gli altri soggetti delegati assumono il ruolo di responsabile o sub-responsabili del trattamento, ai sensi dell’art. 28 del Regolamento, a seconda delle scelte organizzative degli operatori economici e dei relativi modelli contrattuali utilizzati”.
In tale ipotesi, ossia nello svolgimento delle attività di trasmissione delle fatture elettroniche a SDI, appare evidente che difficilmente i ruoli dei vari attori possano essere configurati in maniera diversa. Il Titolare del trattamento, infatti, può essere solamente l’azienda o professionista sui cui grava l’obbligo di emettere la fattura elettronica. Egli è tenuto ad informare i propri clienti (ove persone fisiche) secondo le previsioni degli arti. 13 o 14 del GDPR e tale trattamento fonda la propria base giuridica sull’adempimento di un obbligo di legge. Trattamenti ulteriori, se non giustificati da altri adempimenti obbligatori o da esigenze di marketing diretto, possono essere svolti solamente previo consenso espresso degli interessati e, comunque, possono essere svolti solo dall’interessato a meno che non si avvalga anche per tali trattamenti di responsabili ex art. 28).
La software house che svolge il ruolo di intermediario, a sua volta, assume la veste di responsabile del trattamento e può svolgere solamente ed unicamente le attività necessarie all’inoltro delle fatture elettroniche a SDI. Non può sicuramente, contrariamente alle clausole previste in alcuni modelli contrattuali, svolgere ulteriori e diversi trattamenti (anche se solo a fini statistici) né tantomeno collezionare i dati, monitorare o profilare gli interessati cui i dati sono riferiti all’interno delle fatture elettroniche, ponendo in essere, in tali ipotesi, trattamenti illeciti e non corretti dei dati.
I consigli
In questo periodo di prima applicazione della normativa si corre il rischio, vuoi per la necessità di adeguarsi al più presto vuoi per quella di trovare un servizio affidabile ma al contempo economico, di trovarsi o a spendere di più del dovuto o a non rendersi conto dell’errata configurazione dei ruoli che l’intermediario sta proponendo (correndo anche il rischio di esporre i dati dei propri clienti in maniera involontaria).
L’invito è quello di prestare particolare attenzione, esaminando il contenuto dei contratti in essere e verificando gli allegati contrattuali che vengono proposti. Ritrovarsi con un fornitore che effettua estrazione dei dati della nostra clientela, magari rivendendo tali dati a terzi, può esporre l’azienda o il professionista a responsabilità in termini di violazione della normativa privacy, in quanto è sempre e comunque il Titolare del trattamento che deve garantire il rispetto di tale normativa nei confronti degli interessati di cui raccoglie e tratta i dati.
Fonte: Agenda Digitale