Il Garante ha evidenziato che gli operatori economici devono prestare particolari cautele in ordine all’articolato sistema di deleghe delineato dall’Agenzia, soprattutto in considerazione dei rischi connessi al trattamento dei personali di terzi coinvolti nel processo di fatturazione.

Gli intermediari e gli altri soggetti delegati assumono, in tale contesto, il ruolo di responsabile o sub-responsabili del trattamento, a seconda delle scelte organizzative degli operatori economici e dei relativi modelli contrattuali utilizzati.

Il Garante ha formulato alcuni rilievi critici in relazione ad alcuni modelli contrattuali utilizzati dalle maggiori società produttrici di software gestionale e fiscale, che evidenziano elevati rischi di utilizzi impropri dei dati personali nell’ambito dei trattamenti effettuati dagli intermediari e dagli altri soggetti delegati dagli operatori economici nel processo di fatturazione.

Non è risultata infatti conforme al RGPD la clausola in cui è previsto che una società produttrice di software gestionale e fiscale possa autonomamente procedere all’elaborazione e all’utilizzo di informazioni, su base aggregata e previa anonimizzazione, ivi incluse informazioni relative ai meta-dati associati alle fatture, a fini di studio e statistici, attraverso una licenza non esclusiva, perpetua, irrevocabile, valida in tutto il mondo e a titolo gratuito, ad utilizzare tali informazioni per dette finalità. I dati personali contenuti nelle fatture, infatti, non sono riferiti esclusivamente all’operatore economico che le ha emesse e ricevute, ma pure ai terzi – anche persone fisiche – con cui intrattiene rapporti economici. I trattamenti svolti in qualità di responsabile e di sub-responsabile devono, pertanto, essere limitati solo ed esclusivamente a quanto necessario per la fornitura dei servizi forniti al titolare e, dunque, per l’esecuzione del contratto stesso, senza introdurre operazioni di trattamento ulteriori (ivi compresa l’anonimizzazione dei dati) preordinate al perseguimento di finalità proprie del responsabile, rispetto alle quali deve essere, di volta in volta, valutata la rispondenza ai requisiti del RGPD, quali, in particolare, i presupposti di liceità del trattamento e il rispetto dei principi applicabili al trattamento dei dati personali.

Sono state rilevate altresì peculiari modalità di articolazione dei ruoli assunti nel trattamento dei dati personali oggetto della fatturazione elettronica, che non ripartiscono correttamente le responsabilità circa i rischi derivanti dal trattamento, introducendo sproporzionati esoneri di responsabilità, soprattutto in caso di contratti standard, con margini di negoziazione pressoché nulli in capo al titolare del trattamento.

Più in generale, il Garante ha richiamato, infine, l’attenzione sulle modalità con cui viene attuato l’obbligo di autorizzazione scritta all’utilizzo di altri responsabili da parte dell’iniziale responsabile del trattamento, con situazioni che, in concreto, in violazione del principio di accountability, potrebbero privare il titolare di strumenti di controllo delle attività di trattamento effettuate sotto la propria responsabilità. Pertanto, l’Autorità, in relazione a tali aspetti, ha avvertito gli operatori economici, gli intermediari e gli altri soggetti delegati che trattamenti effettuati in base alle clausole contrattuali analoghe possono violare gli artt. 5, 6 e 28 del RGPD.

Fonte: Autorità Garante - Relazione 2018