Il Garante ha rilevato gravi criticità nelle modalità con le quali l’Agenzia delle entrate ha deciso di dare esecuzione al nuovo obbligo generalizzato di fatturazione elettronica introdotto dalla legge di bilancio 2018 (legge 27 dicembre 2017, n. 205), esteso, a partire dal 1° gennaio 2019, alle cessioni di beni e prestazioni di servizi effettuate tra due operatori Iva (operazioni Business to Business, cd. B2B), ma anche a quelle effettuate verso un consumatore finale (operazioni Business to Consumer, cd. B2C). Come di seguito illustrato, l’Autorità è, pertanto, intervenuta nei confronti dell’Agenzia dell’entrate rappresentando la necessità di modificare le modalità di realizzazione della fatturazione elettronica atteso che la proporzionata raccolta di informazioni e i connessi rischi di usi impropri da parte di terzi potevano violare la normativa sulla protezione dei dati. Al fine di assicurare il giusto contemperamento tra le esigenze del fisco e i diritti e le libertà degli interessati, il Garante, su richiesta dell’Agenzia, ha poi ha avviato un tavolo di lavoro, in tempi assai ristretti, necessari a conformare i trattamenti al RGPD e al Codice prima dell’entrata in vigore del nuovo obbligo.

Con un provvedimento adottato anche a seguito di alcuni reclami, il Garante ha esercitato per la prima volta il nuovo potere correttivo attribuito dal Regolamento europeo, avvertendo l’Agenzia delle entrate che le modalità con cui intendeva dare attuazione al nuovo obbligo generalizzato di fatturazione elettronica, esteso anche alle fatture tra operatori economici e consumatori, presentavano rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali. Peraltro, i provvedimenti di attuazione di tale obbligo (provvedimenti del Direttore dell’Agenzia delle entrate nn. 89757 e 291241 del 30 aprile 2018 e del 5 novembre 2018) sono stati adottati senza consultare il Garante. Il tempestivo, oltre che necessario, coinvolgimento dell’Autorità, ora previsto anche in fase legislativa, avrebbe certamente potuto contribuire ad avviare il nuovo progetto con modalità e garanzie rispettose della protezione dei dati personali fin dalla progettazione. Per questo motivo è stato altresì richiesto all’Agenzia di far conoscere con urgenza le modalità individuate per rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica (provv. 15 novembre 2018, n. 481, doc. web n. 9059949).

Entrando nel merito del nuovo sistema di fatturazione elettronica il Garante ha rilevato una serie di criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali.

In primo luogo, l’Agenzia, dopo aver recapitato le fatture in qualità di “postino” attraverso il sistema di interscambio (Sdi) tra gli operatori economici e i contribuenti (2,1 miliardi di fatture nel 2017), intende archiviare e utilizzare i dati anche a fini di controllo. Tuttavia non sarebbero stati archiviati solo i dati obbligatori a fini fiscali, ma la fattura vera e propria, che contiene di per sé informazioni di dettaglio ulteriori sui beni e servizi acquistati, quali le abitudini e le tipologie di consumo, legate alla fornitura di servizi energetici e di telecomunicazioni (es. regolarità nei pagamenti, appartenenza a particolari categorie di utenti), o addirittura la descrizione delle prestazioni sanitarie o legali. Occorre poi considerare al riguardo che anche le fatture emesse nei confronti di una persona giuridica possono contenere dati riferiti a persone fisiche, come in caso di utenze telefoniche, biglietti ferroviari o aerei, pedaggi autostradali, pernottamenti. Ulteriori criticità derivano dalla scelta dell’Agenzia delle entrate di mettere a disposizione sul proprio portale, senza una richiesta dei consumatori, in manifesto contrasto con il principio di privacy by default, oltreché di minimizzazione e di privacy by design, tutte le fatture in formato digitale, anche per chi preferirà comunque continuare a ricevere solo la fattura cartacea o digitale direttamente dal fornitore, come garantito dal legislatore, con un ingiustificato incremento dei rischi insiti in un trattamento massivo di dati accessibili tramite un applicativo web. Il Garante ha, pertanto, rilevato, che il nuovo obbligo di fatturazione elettronica presenta un rischio elevato per i diritti e le libertà degli interessati, poiché comporta un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico perseguito, pur legittimo, poiché tutte le fatture emesse contengono anche dati ulteriori rispetto a quelli obbligatori a fini fiscali.

Non è inoltre risultato chiaro il ruolo assunto dagli intermediari delegabili dal contribuente per la trasmissione, la ricezione e la conservazione delle fatture, alcuni dei quali operano anche nei confronti di una moltitudine di imprese, accentrando enormi masse di dati personali che non si riscontrano nella normale gestione delle attività economiche in cui, di regola, non vengono messe a disposizione di terzi informazioni sui beni e servizi ceduti, sulla clientela e sulle relative abitudini di consumo, con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.

Sono state rilevate ulteriori criticità che possono verosimilmente violare il RGPD in relazione ai profili di sicurezza, di correttezza e trasparenza del trattamento. In particolare, per quanto riguarda i canali di trasmissione e recapito delle fatture elettroniche, è stato ancora previsto l’uso il protocollo FTP, che non può essere considerato un canale sicuro ai sensi dell’art. 32 del RGPD. Un’ulteriore criticità deriva dalla mancata cifratura del file xml della fattura elettronica. Ciò considerando, in particolare, il previsto utilizzo della Pec per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di gestione della posta elettronica, che espone gli interessati a maggiori rischi di accesso non autorizzato ai dati personali (utilizzo non esclusivo della Pec in ambito aziendale, furto di credenziali e attacchi informatici ai server). Non sarebbero state inoltre correttamente rappresentate agli utenti nell’informativa le ulteriori finalità di conservazione e di controllo perseguite dall’Agenzia con i dati raccolti attraverso tale applicazione. Per quanto riguarda, invece, il servizio gratuito di conservazione delle fatture offerto dall’Agenzia, non è stato ben chiarito il ruolo assunto in relazione al trattamento dei dati personali e alle conseguenti responsabilità.

In seguito al menzionato provvedimento del 15 novembre 2018, n. 481, su richiesta dell’Agenzia, è stato costituito un tavolo di lavoro tecnico per esaminare congiuntamente le criticità rilevate dal Garante, nell’ambito del quale, per gli aspetti di competenza, sono stati coinvolti anche il Mef, l’AgID, il Consiglio nazionale dei dottori commercialisti e degli esperti contabili, il Consiglio nazionale dell’ordine dei consulenti del lavoro e l’associazione dei produttori di software gestionale e fiscale (AssoSoftware).

All’esito di tale tavolo di lavoro, con un articolato provvedimento, il Garante − preso atto delle modifiche apportate all’impianto normativo originario della fatturazione elettronica e delle ulteriori rassicurazioni fornite dall’Agenzia delle entrate − ha individuato i presupposti e le condizioni perché la stessa Agenzia potesse avviare dal 1° gennaio 2019 i trattamenti di dati connessi al nuovo obbligo (provv. 20 dicembre 2018, n. 511, doc. web n. 9069072). In tale provvedimento, di seguito sintetizzato, il Garante ha esaminato i trattamenti a rischio elevato effettuati nell’ambito della fatturazione elettronica, anche ai sensi dell’art. 36, par. 5, del RGPD e dell’art. 2-quinquesdecies del Codice, e si è espresso sulle modifiche apportate dall’Agenzia ai relativi provvedimenti attuativi. In primo luogo, è stato reputato sproporzionato, rispetto alle finalità perseguite, l’impianto originario della fatturazione elettronica prefigurato dell’Agenzia, che aveva ritenuto di procedere alla memorizzazione integrale – in formato xml – di tutte le fatture, emesse e ricevute, comprensive dei relativi allegati, contenenti anche dati personali ulteriori rispetto a quelli obbligatori a fini fiscali; ciò avuto riguardo anche ai rischi elevati per i diritti e le libertà degli interessati che un simile trattamento inevitabilmente determina. La sproporzione è stata eccepita dal Garante non solo per i dati non rilevanti a fini fiscali, riportati dagli operatori economici nelle fatture e negli allegati, ma anche per le informazioni obbligatorie ai sensi dell’art. 21, d.P.R. 29 settembre 1973, n. 600, quali quelle relative alla descrizione del bene o del servizio oggetto di fatturazione (natura, qualità e quantità del bene ceduto o del servizio reso). Particolari criticità presenta poi il trattamento delle fatture emesse da operatori attivi in ambito sanitario e dagli avvocati, che riportano, nella descrizione, informazioni specifiche sulle prestazioni eseguite riferibili anche a patologie o a puntuali vicende giudiziarie, con il trattamento di particolari categorie di dati e di dati relativi a condanne penali e reati (artt. 9 e 10 del RGPD).

Al fine di conformare il trattamento al RGPD, nel tavolo di lavoro si è reso necessario anzitutto individuare puntualmente le finalità perseguite dall’Agenzia nell’esecuzione dei compiti di interesse pubblico affidatile dal legislatore, individuando, per ciascuna, i correttivi necessari.

a) Recapito delle fatture attraverso lo Sdi a operatori economici e consumatori. L’integrale memorizzazione del file xml e dei relativi allegati risulta indubbiamente necessaria al fine di recapitare la fattura elettronica attraverso il Sistema d’interscambio (Sdi) mediante il canale (cd. indirizzo telematico) prescelto dai contribuenti. Il Garante ha tuttavia rilevato che tale trattamento deve avvenire nel più rigoroso rispetto dei principi di minimizzazione, integrità e riservatezza, con l’adozione di adeguate misure tecniche e organizzative a cura di tutti i soggetti coinvolti nella filiera della fatturazione elettronica (operatori economici, intermediari, altri soggetti delegati e Agenzia delle entrate).

b) Servizio di consultazione delle fatture per gli operatori economici e i consumatori. L’Autorità ha ritenuto tale trattamento proporzionato e conforme al RGPD solo se espressamente richiesto ed effettuato in nome e per conto degli operatori economici. La finalità perseguita attraverso una generalizzata messa a disposizione di tutti i contribuenti di tale servizio, anche in assenza di una loro specifica richiesta, non può giustificare, infatti, per impostazione predefinita, una complessiva e integrale archiviazione da parte dell’Agenzia delle entrate di miliardi di fatture; soprattutto considerato che i consumatori hanno sempre il diritto di ottenere sempre una copia della fattura, digitale o analogica, direttamente dall’operatore valida a fini fiscali. Il servizio di consultazione deve pertanto essere messo a disposizione dall’Agenzia agli operatori economici in base di uno specifico accordo che, nell’ambito delle proprie scelte organizzative, volessero avvalersi a tal fine dell’Agenzia delle entrate, ai sensi dell’art. 28 del RGPD, in qualità di responsabile del trattamento dei dati personali relativi a terzi contenuti nelle fatture. Analogamente, anche i consumatori che volessero utilizzare tale servizio dovrebbero stipulare un apposito accordo, base giuridica per il trattamento da parte dell’Agenzia ai sensi dell’art. 6, par. 1, lett. b), del RGPD. In assenza dell’adesione ai predetti servizi, l’Agenzia memorizzerà il file xml della fattura nei soli casi residuali in cui la messa a disposizione della fattura nell’area riservata del portale dell’Agenzia sia una delle modalità previste per la consegna della stessa al destinatario, ovvero quando, per cause tecniche, il recapito non fosse possibile. L’Autorità ha ingiunto, in ogni caso, all’Agenzia di trasmettere, appena predisposti, i modelli di accordi di adesione al servizio di consultazione e download delle fatture, al fine di verificarne la conformità al RGPD.

c) Controlli fiscali automatizzati e puntuali. Nell’ottica della protezione dei dati personali, le attività di controllo fiscale effettuate dall’Agenzia possono essere ricondotte a due tipologie: la prima basata su trattamenti automatizzati (ad es., quelli volti a rilevare le incongruenze tra i dati dichiarati e quelli a disposizione dell’Agenzia nonché quelli relativi all’analisi del rischio evasione) e l’altra, più analitica, fondata sull’esame puntuale della posizione fiscale del contribuente e della documentazione fiscale nell’ambito di accertamenti fiscali e verifiche, anche da parte della Guardia di finanza. I controlli automatizzati richiedono, per loro natura, la memorizzazione e l’elaborazione massiva dei dati estratti dalle fatture (cd. dati fattura), utilizzati anche per finalità di assistenza, controllo finalizzato all’erogazione dei rimborsi Iva e predisposizione della dichiarazione dei redditi e dell’Iva, e messi anche a disposizione del contribuente sul portale dell’Agenzia per rilevare le incongruenze con i versamenti Iva. In ossequio al principio di minimizzazione, il Garante ha ritenuto sproporzionato far ricadere, tra i dati utilizzabili per i controlli automatizzati, il campo della fattura contenente la descrizione dell’operazione che, oltre a contenere dati di dettaglio sopra esemplificati, relativi alla natura, qualità e quantità dei beni e dei servizi fatturati, e presentare quindi rischi elevati per gli interessati, non si presta ad elaborazioni massive, poiché richiede un esame puntuale, caso per caso, del contenuto. L’Agenzia ha quindi proposto al Garante, di non memorizzare i dati contenuti nei campi relativi alle “descrizioni” (compresi quelli attinenti ai codici “parlanti”), contenenti dati personali di dettaglio e più delicati. Una volta consegnata la fattura, devono essere, pertanto, memorizzati unicamente i dati fattura necessari ai controlli automatizzati e quelli necessari a garantire il processo di fatturazione (compreso il codice hash del file xml, codice alfanumerico necessario a verificarne l’autenticità e l’integrità del documento esibito in sede di controllo), mentre i dati “non fiscali”, unitamente al dato fiscale relativo alla descrizione dell’operazione, saranno cancellati. Al riguardo, tuttavia, il Garante ha invitato l’Agenzia a rivalutare anche la memorizzazione di alcuni campi relativi ai “dati trasporto” che deve risultare adeguata, pertinente e limitata rispetto alla finalità per le quali tali dati devono essere trattati. Più in generale, con riferimento ai trattamenti automatizzati a fini di controllo, il Garante ha ricordato all’Agenzia che, oltre agli specifici obblighi di trasparenza del trattamento nei confronti degli interessati, il nuovo quadro giuridico prevede precise garanzie e adempimenti in relazione ai trattamenti automatizzati di dati personali che presentano rischi elevati per i diritti e le libertà degli interessati di cui occorre tenere conto. L’archiviazione generalizzata delle fatture è risultata sproporzionata anche per l’esecuzione dei controlli puntuali, risultati molto limitati rispetto alla generale platea di contribuenti alla luce dei dati quantitativi di accertamenti fiscali e verifiche effettuati negli anni passati forniti dall’Agenzia. L’introduzione della fattura elettronica potrà invece agevolare i controlli a distanza, con nuove modalità di acquisizione delle fatture da parte dell’Agenzia, anche in relazione alle fatture per le quali il contribuente ha aderito al servizio di consultazione e download delle fatture.

d) Servizio di conservazione delle fatture. L’Agenzia ha perfezionato nell’ambito del tavolo di lavoro l’accordo in base al quale, a richiesta, mette a disposizione dei contribuenti, in qualità di responsabile del trattamento dei dati, tramite Sogei s.p.a., un servizio di conservazione delle fatture. Il Garante ha convenuto che, per realizzare il nuovo impianto della fatturazione elettronica conforme al RGPD, l’Agenzia necessiti, di un periodo transitorio, che decorre dal 1° gennaio 2019 fino al 2 luglio 2019, per realizzare l’acquisizione dei dati fattura e il servizio di consultazione, in cui il trattamento sarà limitato alla sola memorizzazione dei dati fattura per la consultazione e download dei file xml, evitando qualunque altro utilizzo.

Il Garante ha valutato con favore il temporaneo regime derogatorio introdotto dal legislatore in ambito sanitario che ha esonerato dalla fatturazione elettronica i soggetti tenuti all’invio dei dati al sistema Tessera sanitaria (Ts), per il periodo di imposta 2019, con riferimento alle fatture i cui dati sono inviati al predetto Sistema. Tuttavia l’Autorità ha rilevato che tale esonero ex lege non opera nei confronti delle fatture emesse dai soggetti che erogano prestazioni sanitarie non trasmesse attraverso il Sistema Ts, ad esempio in seguito all’opposizione legittimamente manifestata dagli interessati e quindi, paradossalmente, proprio per le situazioni ragionevolmente più delicate. Inoltre, negli operatori sanitari permaneva il dubbio se l’eventuale emissione di una fattura elettronica attraverso lo Sdi, nonostante il predetto esonero, fosse conforme al RGPD. Al riguardo, il Garante ha chiarito nel provvedimento che, alla luce del quadro normativo vigente, l’utilizzo del sistema di fatturazione elettronica da parte del professionista non potrebbe essere ritenuto lecito, ai sensi dell’art. 6, par. 1, lett. c), del RGPD, essendo stato espressamente esonerato dall’obbligo di emissione della fattura elettronica in caso di trasmissione dei relativi dati attraverso il Sistema Ts. È stato pertanto ingiunto all’Agenzia delle entrate di dare idonee istruzioni a tali soggetti affinché in nessun caso sia emessa una fattura elettronica attraverso lo SDI concernente l’erogazione di una prestazione sanitaria, a prescindere dall’invio dei dati attraverso il Sistema Ts, in modo da evitare trattamenti di dati in violazione del Regolamento e del Codice da parte dell’Agenzia stessa e di tutti i soggetti a vario titolo coinvolti nel processo di fatturazione elettronica.

Nel tavolo di lavoro, con riferimento alla mancata adozione di misure di protezione crittografica dei file xml delle fatture elettroniche, l’Agenzia ha rappresentato che l’applicazione di algoritmi di cifratura (anche parziali), sia simmetrici che asimmetrici, non risulterebbe compatibile con un modello in cui la fattura deve essere leggibile dal cedente/prestatore, dal cessionario/committente, dagli eventuali soggetti delegati alla gestione delle fatture nonché, ai fini dell’estrazione dei dati fattura, dall’Agenzia delle entrate. Al riguardo, il Garante ha rilevato che spetta al titolare del trattamento individuare le misure tecniche e organizzative adeguate per garantire la protezione dei dati anche con tecniche crittografiche, nel rispetto dei principi di privacy by design e by default, attraverso un’attenta analisi dei processi e un adeguato impegno progettuale. In questo ambito, tecniche di cifratura e scambio di messaggi tra più soggetti sono da tempo disponibili e potrebbero essere implementate, anche gradualmente, tenendo conto dell’impatto della cifratura sulle prestazioni complessive e sull’usabilità dei servizi informatici a supporto del processo di fatturazione elettronica. Pertanto, alla luce di tali considerazioni, l’Agenzia delle entrate è stata invitata a fornire entro il 15 aprile 2018 una nuova analisi di tali aspetti, anche nell’ambito della valutazione di impatto. Ulteriori approfondimenti sono stati richiesti all’Agenzia anche in relazione all’utilizzo della Pec, quale canale di trasmissione e ricezione delle fatture, atteso che le menzionate tecniche di cifratura consentirebbero di eliminare i rischi ivi prospettati. L’Agenzia è stata altresì invitata a illustrare, nelle istruzioni fornite ai contribuenti, i rischi insiti in tale canale di trasmissione e recapito delle fatture, soprattutto laddove i file xml non vengano cancellati dai server di posta ovvero vengano utilizzate caselle Pec a uso non esclusivo dell’interessato.

Il Garante ha rilevato, in generale, che una valutazione di impatto dovrebbe in primo luogo tenere conto dei rischi incombenti sui diritti e sulle libertà degli interessati, esaminando, in modo esaustivo, i diversi scenari di rischio e i possibili impatti al fine di individuare misure adeguate ad affrontarli, annullandoli o, quantomeno, riducendoli a un livello accettabile. La valutazione di impatto effettuata dall’Agenzia è risultata, invece, focalizzata su aspetti meramente tecnici del trattamento, traducendosi prevalentemente, se non esclusivamente, in un documento di valutazione del rischio informatico incombente sui dati, carente nella parte analitica riferita agli impatti sui diritti e sulle libertà degli interessati derivanti dai diversi scenari di rischio considerati, anche laddove non siano riferibili alla fattispecie degli incidenti informatici. Pur considerando la recente introduzione di tale adempimento, la complessità e la portata della fatturazione elettronica, che coinvolge l’intera popolazione, richiedono che la valutazione di impatto sia realizzata evitando di sfruttare schemi standard e semplificazioni che rischiano di comprometterne l’efficacia, fornendo alla stessa un connotato di eccessiva genericità e di inadeguatezza, soprattutto in relazione all’analisi dei rischi che ne costituisce il presupposto essenziale. Inoltre, non è risultato che, come previsto dall’art. 35, par. 9, del RGPD, l’Agenzia abbia raccolto, attraverso le modalità ritenute più opportune, e tenuto in considerazione nell’ambito della valutazione di impatto, le opinioni degli interessati o dei loro rappresentanti, quali le associazioni di categoria o di consumatori. Anche quando avesse ritenuto non appropriato procedere in tal senso, avrebbe dovuto quantomeno documentare, all’interno del documento, i motivi della mancata raccolta delle opinioni degli interessati. Il Garante ha, pertanto, ingiunto all’Agenzia delle entrate di comunicare, entro il 15 aprile 2019, una nuova versione della valutazione di impatto, riesaminando gli elevati rischi connessi al processo di fatturazione elettronica, anche alla luce di quanto emergerà nei primi mesi di operatività del nuovo obbligo.

Il Garante ha evidenziato che gli operatori economici devono prestare particolari cautele in ordine all’articolato sistema di deleghe delineato dall’Agenzia, soprattutto in considerazione dei rischi connessi al trattamento dei personali di terzi coinvolti nel processo di fatturazione. Gli intermediari e gli altri soggetti delegati assumono, in tale contesto, il ruolo di responsabile o sub-responsabili del trattamento, a seconda delle scelte organizzative degli operatori economici e dei relativi modelli contrattuali utilizzati. Il Garante ha formulato alcuni rilievi critici in relazione ad alcuni modelli contrattuali utilizzati dalle maggiori società produttrici di software gestionale e fiscale, che evidenziano elevati rischi di utilizzi impropri dei dati personali nell’ambito dei trattamenti effettuati dagli intermediari e dagli altri soggetti delegati dagli operatori economici nel processo di fatturazione. Non è risultata infatti conforme al RGPD la clausola in cui è previsto che una società produttrice di software gestionale e fiscale possa autonomamente procedere all’elaborazione e all’utilizzo di informazioni, su base aggregata e previa anonimizzazione, ivi incluse informazioni relative ai meta-dati associati alle fatture, a fini di studio e statistici, attraverso una licenza non esclusiva, perpetua, irrevocabile, valida in tutto il mondo e a titolo gratuito, ad utilizzare tali informazioni per dette finalità. I dati personali contenuti nelle fatture, infatti, non sono riferiti esclusivamente all’operatore economico che le ha emesse e ricevute, ma pure ai terzi – anche persone fisiche – con cui intrattiene rapporti economici. I trattamenti svolti in qualità di responsabile e di sub-responsabile devono, pertanto, essere limitati solo ed esclusivamente a quanto necessario per la fornitura dei servizi forniti al titolare e, dunque, per l’esecuzione del contratto stesso, senza introdurre operazioni di trattamento ulteriori (ivi compresa l’anonimizzazione dei dati) preordinate al perseguimento di finalità proprie del responsabile, rispetto alle quali deve essere, di volta in volta, valutata la rispondenza ai requisiti del RGPD, quali, in particolare, i presupposti di liceità del trattamento e il rispetto dei principi applicabili al trattamento dei dati personali. Sono state rilevate altresì peculiari modalità di articolazione dei ruoli assunti nel trattamento dei dati personali oggetto della fatturazione elettronica, che non ripartiscono correttamente le responsabilità circa i rischi derivanti dal trattamento, introducendo sproporzionati esoneri di responsabilità, soprattutto in caso di contratti standard, con margini di negoziazione pressoché nulli in capo al titolare del trattamento. Più in generale, il Garante ha richiamato, infine, l’attenzione sulle modalità con cui viene attuato l’obbligo di autorizzazione scritta all’utilizzo di altri responsabili da parte dell’iniziale responsabile del trattamento, con situazioni che, in concreto, in violazione del principio di accountability, potrebbero privare il titolare di strumenti di controllo delle attività di trattamento effettuate sotto la propria responsabilità. Pertanto, l’Autorità, in relazione a tali aspetti, ha avvertito gli operatori economici, gli intermediari e gli altri soggetti delegati che trattamenti effettuati in base alle clausole contrattuali analoghe possono violare gli artt. 5, 6 e 28 del RGPD.

Fonte: Autorità Garante - Relazione 2018