La svolta . I commercialisti devono proteggere (anche dai furti) le informazioni da trasmettere, in particolare quelle su cloud
Non dovranno solo preoccuparsi di come attrezzarsi per spedire, a partire dal prossimo primo gennaio, le fatture in via elettronica, ma dovranno anche riflettere sulla protezione dei dati personali contenuti in quei documenti. Il problema riguarda in prima persona i professionisti, a partire dai commercialisti,che rappresentano il principale snodo di raccolta e invio delle fatture, e coinvolge soprattutto le operazioni B2C (business to consumer). L’esempio emblematico, anche per la tipologia dei dati che vi possono essere riportati, è quello della parcella dello studio medico, dove di solito è indicato il tipo di visita. Si tratta di informazioni particolari, quelle che prima del Gdpr (il regolamento Ue applicato dal 25 maggio) si definivano”sensibili” (e ora “particolari”) .
Dati da proteggere
Una gran massa di dati personali si appresta, dunque, a viaggiare in modalità digitale. E questo comporta un problema di protezione. Ci sono almeno due motivi per non sottovalutare la questione: in primo luogo perché i dati personali vanno sempre messi in sicurezza; inoltre, perché le soluzioni verso cui la gran parte degli studi si sta orientando è quella di affidarsi ai servizi cloud: la fattura parte dallo studio del professionista, transita per l’hub del provider e, attraverso lo SdI (il nodo di interscambio dell’Agenzia delle entrate) arriva al destinatario finale. Ci sono, dunque, due momenti di raccolta dei documenti contabili e, dunque, dei dati. In entrambi i casi si pone un problema di privacy. Se però la sicurezza dello SdI investe meno direttamente il professionista- ma non il Garante, che aspetta che gli venga chiesta una valutazione del meccanismo di trasmissione il primo snodo impone agli studi una serie di questioni: come qualificarsi nei confronti del gestore dei servizi (come titolare o come responsabile del trattamento?); quali accorgimenti mettere in campo per rispettare il principio di accountability introdotto dal Gdpr; come comportarsi in caso di data breach, cioè di perdita dei dati: scatta la corresponsabilità con il provider? «Nei contratti standard che i gestori dei servizi sottoscrivono con i loro clienti – spiega Roberto Bellini, direttore generale di Assosoftware – le due parti, il provider e il professionista, assumono la qualifica di responsabili del trattamento. C’è, dunque, una corresponsabilità sulla protezione dei dati. La dinamica della e- fattura non va, però, vista come sganciata dal resto dell’attività gestionale che lo studio già effettua (per esempio, per spedire le dichiarazioni dei redditi). Il consiglio, dunque, è di confrontarsi con il proprio partner informatico e innestare la fatturazione elettronica sui processi già presenti. Nel caso non sia possibile, è opportuno rivolgersi a soggetti che abbiano una consolidata esperienza nel settore. Non bisogna dimenticare che oltre al problema della protezione dei dati, c’è anche quello della loro conservazione».
Commercialisti preoccupati
Considerato questo scenario e man mano che si avvicina la scadenza del 1° gennaio per la e-fattura obbligatoria, i commercialisti sono sempre più preoccupati: «Rispetto allo spesometro che conteneva un riepilogo di dati fiscali, con la fattura elettronica c’è un eccesso di informazioni», commenta Maurizio Grosso, componente del Consiglio nazionale dei dottori commercialisti con delega alla fiscalità. «Ad esempio se un cittadino compra un televisore le software house e l’agenzia delle Entrate sapranno persino di quanti pollici è». Tutti auspicano una protezione massima del dato, «ma non dimentichiamo che persino i big dell’informatica sono stati violati». Oltre alle implicazioni sulla riservatezza, la e-fattura farà aumentare negli studi anche le preoccupazioni sulla sicurezza dei dati: commercialisti e software house infatti avranno a che fare ogni giorno con un « tesoretto» di informazioni commercialmente preziose: quantità di merci vendute, scontistica, preferenze dei consumatori, tutte informazioni molto appetibili per qualsiasi hacker. «I commercialisti devono adoperarsi per prevenire i furti di dati, e cruciale in questo senso è la scelta del gestionale da valutare anche sotto il profilo della sicurezza, magari facendosi consigliare da un tecnico», avverte Alessandro De Vincentis, delegato della Fondazione dottori commercialisti di Milano. L’esperto suggerisce poi di avere pronto un piano in caso di attacco (data breach) e di rafforzare la formazione ai collaboratori di studio sulla cybersicurezza e la privacy «perché saranno loro poi di fatto a caricare le fatture dei clienti e quindi agiranno come persone autorizzate al trattamento dati». Dietro l’angolo il rischio sia di sanzioni per illecito trattamento dei dati, sia di richieste di indennizzo per i danni da data breach.
LE PRECAUZIONI
Il punto di partenza
Quello della e-fattura è un ulteriore trattamento dei dati ai fini privacy per gli studi professionali che già devono ottenere il consenso dei clienti dopo il Gdpr. Meglio prevedere alcune verifiche.
Aziende-clienti
L’azienda che emette una e-fattura dovrà informare il cliente sul nuovo trattamento elettronico dei dati.
Commercialista-azienda
Assumendo il ruolo di intermediario per la trasmissione della e-fattura, il commercialista farà bene ad informare l’azienda cliente di questo nuovo trattamento dei dati con un nuovo consenso o, in caso di cliente già informato sul Gdpr, con un addendum.
Fonte: ilsole24ore