GDRP: Fattura elettronica, commercialisti responsabili del trattamento

L’interpretazione consolidatasi in questi mesi del Regolamento UE 2016/679 (anche grazie al chiarimento fatto dal dott. Giovanni Buttarelli, Garante della Privacy Europeo)   ci consente di collocare l’attività  del commercialista (sia la parte consulenziale che quella di elaborazione dati) nell’ambito del Titolare autonomo dei dati.

Il ragionamento che fa il Garante europeo è molto lineare: il commercialista a cui il cliente consegna la propria contabilità ha regole e procedure hardware e software interne di studio, rapporti con i collaboratori, gestione della propria attività professionale che non potranno essere controllate né tantomeno regolate dal cliente, rimanendo esclusiva competenza del professionista. In un tale contesto non è ipotizzabile che il commercialista assuma la qualità di responsabile del trattamento dei dati ex art. 28  ma dovrà essere considerato Titolare autonomo.

L’introduzione della fatturazione elettronica pone questioni molto delicate relative all’applicazione del GDPR al lavoro dei commercialisti e in determinati casi può cambiare il ruolo del professionista da Titolare autonomo a Responsabile del trattamento.

Il riferimento è alla fattispecie, sempre più comune, in cui il commercialista offra il servizio d’invio della fattura elettronica all’utente finale: la fattura cioè viene generata dal software del commercialista per poi transitare nell’hub dell’internet provider, passare al servizio SdI (Sistema di Interscambio dell’Agenzia delle Entrate) e alla fine essere recapitata al destinatario finale.

In tale ipotesi il commercialista elabora la fattura che nel caso di rapporto B2C contiene dati personali (e che in base al tipo di bene o servizio oggetto della fattura, potranno essere anche dati particolari ex art. 9  Reg.Ue 2016/679) e la invia per conto del proprio cliente, avvalendosi di mezzi informatici, al destinatario finale.

In questa ipotesi il commercialista agisce per conto del cliente e si sostituisce a questo in un’attività (la fatturazione) che è propria del cliente: pertanto il Titolare dei dati di fatturazione (identificativi, contabili e di contenuto) è il cliente e il commercialista rimane solo Responsabile del trattamento ex art 28, cui il Titolare dovrà indicare le modalità con cui effettuare il trattamento.

Per evitare che ciascun cliente che si avvale del servizio di fatturazione elettronica del commercialista indichi a quest’ultimo le proprie regole, si suggerisce a ciascun professionista di proporre un contratto di servizio con il quale i propri clienti indichino chiaramente: durata, natura e finalità del trattamento, tipo di dati personali, categorie d’interessati e obblighi e diritti del Titolare.

Giovanni Brancalion Spadon

Giovanni Brancalion Spadon

Nato a Venezia, ha studiato presso l’Università di Bologna e presso l’UCLA California, è iscritto all’Albo Avvocati di Venezia dal 2004. Dopo la laurea ha conseguito un master in Diritto delle Nuove Tecnologie, uno in Diritto Ambientale e uno in Diritto d’Autore e dello spettacolo e si è specializzato in Blockchain Technologies presso il Massachusetts Institute of Technology (MIT) di Boston. Docente presso la Business School dell’Università Ca’Foscari di Venezia, collabora con istituti di formazione per le materie connesse al diritto delle nuove tecnologie, alla privacy e alla blockchain e relative applicazioni, all’amministrazione digitale; è consulente di P.A. per la digitalizzazione e l'adeguamento GDPR. Socio fondatore di Porto4, è dedicato principalmente ai programmi 4ANALYSIS - analisi strategica d'Impresa, 4 GDPR  e 4FORMAZIONE - per la diffusione della cultura legale nelle imprese. Da oltre 15 anni opera nel diritto delle nuove tecnologie, industriale, d’autore e societario. E’ interessato ai processi d’innovazione in ogni ambito, appassionato d’arte contemporanea e insegna teatro.