Privacy & Elenco Clienti/Fornitori
di Eric Falzone (consulente in tema di Privacy e sicurezza delle Informazioni, www.eucs.it)
INDICE
INTRODUZIONE
I – IL DECRETO LEGGE 223/06
II – L’ANALISI DELL’ART. 37 COMMA 8 DEL D. L. 223/06
III – LE NOVITA INTRODOTTE ALL’ART 8 BIS DEL D.P.R. 322/98
IV – LE DEROGHE PER L’ANNO IN CORSO
V – IL TRATTAMENTO DEI DATI PERSONALI NELL’ELENCO CLIENTI/FORNITORI
VI – LA DISCIPLINA GENERALE PRIVACY PER L’ELENCO CLIENTI/FORNITORI
VII – LE REGOLE PRIVACY IL TRATTAMENTO DEI DATI DELL’ELENCO
VIII - CONCLUSIONI
FONTI
Privacy in Azienda: Manuale di Formazione per Titolari, Responsabili e Incaricati (Autore Eric Falzone – Casa Editrice Hoepli Spa) - Decreto legislativo 30 giugno 2003, n. 196 – Decreto Legge n. 223 del 4 luglio 2006 - Decreto del Presidente della Repubblica 22 luglio 1998, n. 322 - Legge 27.12.2006 n° 296 Finanziaria 2007 - Decreto Legislativo 18 dicembre 1997, n. 471 - Circolare dell’Agenzia delle Entrare n. 28/E/2006 - Provvedimento Garante Privacy del 25 maggio 2005
INTRODUZIONE
Con l’entrata in vigore del D.L. n. 223 del 4 luglio 2006, è stato reintrodotto l'obbligo, per i contribuenti IVA, di presentare all'Amministrazione finanziaria l'elenco dei propri clienti e fornitori.
Anche questa volta – e come sempre d’altronde in occasione dell’introduzione di novità normative - non si può che rimanere sbigottiti dinanzi agli strabilianti e singolari fenomeni di massa a cui “l’interpretazione legislativa all’italiana” possa portare.
Mi riferisco, in particolare, alle centinaia e migliaia di lettere in partenza ed arrivo ogni giorno - relative alla richiesta di dati personali ai fini dell’adempimento degli obblighi normativi in materia di elenco clienti/fornitori - che oltre a non essere necessarie, il più delle volte risultano perfino in aperta violazione della disciplina privacy attualmente in vigore.
Pertanto al fine di sedare inutili allarmismi e evitare pericolose iniziative da parte degli “Interpreti più diligenti” non rimane che analizzare dettagliatamente la normativa in materia alla luce delle disposizioni del Codice Privacy.
I – IL DECRETO LEGGE 223/06
Il Decreto Legge n. 223 del 4 luglio 2006 -“Disposizioni urgenti per il rilancio economico e sociale, per il contenimento e la razionalizzazione della spesa pubblica, nonché interventi in materia di entrate e di contrasto all'evasione fiscale.”, così come convertito con modificazioni dalla legge n. 248 del 04/08/2006, ha reintrodotto l’obbligo della compilazione e comunicazione dell’elenco clienti e fornitori ai seguenti articoli:
Art. 37 comma 8 – “In attesa dell'introduzione della normativa sulla fatturazione informatica, all'articolo 8-bis del regolamento di cui al Decreto del Presidente della Repubblica 22 luglio 1998, n. 322, sono apportate le seguenti modificazioni: a) dopo il comma 4 e' inserito il seguente:"4-bis. Entro sessanta giorni dal termine previsto per la presentazione della comunicazione di cui ai precedenti commi, il contribuente presenta l'elenco dei soggetti nei cui confronti sono state emesse fatture nell'anno cui si riferisce la comunicazione nonché, in relazione al medesimo periodo, l'elenco dei soggetti titolari di partita IVA da cui sono effettuati acquisti rilevanti ai fini dell'applicazione dell'imposta sul valore aggiunto. Per ciascun soggetto sono indicati il codice fiscale e l'importo complessivo delle operazioni effettuate, al netto delle relative note di variazione, con la evidenziazione dell'imponibile, dell'imposta, nonché, dell'importo delle operazioni non imponibili e di quelle esenti. Con provvedimento del Direttore dell'Agenzia delle entrate, da pubblicare nella Gazzetta Ufficiale: a) sono individuati gli elementi informativi da indicare negli elenchi previsti dal presente comma, nonché le modalità per la presentazione, esclusivamente in via telematica, degli stessi; b) il termine di cui al primo periodo del presente comma può essere differito per esigenze di natura esclusivamente tecnica, ovvero relativamente a particolari tipologie di contribuenti, anche in considerazione della dimensione dei dati da trasmettere."; b) il comma 6 e' sostituito dal seguente: "6. Per l'omissione della comunicazione ovvero degli elenchi, nonché per l'invio degli stessi con dati incompleti o non veritieri, si applicano le disposizioni previste dall'articolo 11 del decreto legislativo 18 dicembre 1997, n. 471.".
Art. 37 comma 9 – “Per il periodo d'imposta in corso alla data di entrata in vigore del presente decreto l'elenco dei soggetti nei cui confronti sono state emesse fatture comprende i soli titolari di partita IVA.”
II – L’ANALISI DELL’ART. 37 COMMA 8 DEL D. L. 223/06
Al fine di comprendere a pieno le novità introdotte dal D.L. 223/06 risulta necessario analizzare dettagliatamente le disposizioni normative contenute nel comma 8 dell’art. 37.
In primis in questo comma il legislatore ha fatto un importantissima premessa evidenziando l’importanza fiscale che assumerà la fatturazione elettronica nei prossimi anni; Nel proseguo della frase ha poi citato esplicitamente la norma che una volta modificata diventerà il riferimento legislativo in materia di elenchi clienti/fornitori ovvero l’articolo 8-bis relativo alle Comunicazioni dati IVA del “Decreto del Presidente della Repubblica 22 luglio 1998, n. 322 – Regolamento recante modalità per la presentazione delle dichiarazioni relative alle imposte sui redditi, all'imposta regionale sulle attività produttive e all'imposta sul valore aggiunto, ai sensi dell'articolo 3, comma 136, della legge 23 dicembre 1996, n. 662“.
Le modifiche apportate all’art. 8 bis del D.P.R. 322/98 dal D.L. 233/03 sostanzialmente si concretizzano nell’aggiunta di un nuovo comma definito “4 bis” (la cui funzione è quella di definire il contenuto dell’elenco clienti fornitori e le modalità e la periodicità di invio dello stesso) e nella variazione del comma 6 (in modo da stabilire le sanzioni applicabili per inadempimento).
III – LE NOVITA INTRODOTTE ALL’ART 8 BIS DEL D.P.R. 322/98
Le principali novità introdotte dal nuova comma 4 bis dell’art. 8 bis del D.P.R. 322/98 possono essere sintetizzare nel seguente modo:
DESTINATARI DELLA NORMA: Sono soggetti alla tenuta e all’invio telematico dell’elenco clienti/fornitori tutti i titolari di partita iva che hanno emesso e/o ricevuto fatture nel periodo di riferimento.
OBBLIGHI PER I DESTINATARI: Entro 60 giorni dal termine di presentazione della comunicazione annuale dei dati IVA (ovvero entro il 29 Aprile di ogni anno) i soggetti destinatari della norma dovranno essere inviare telematicamente gli elenchi clienti e fornitori all’Agenzia delle Entrate.
SOGGETTI DA INCLUDERE NELL’ELENCO: Devono essere inclusi nell’elenco i clienti nei cui confronti sono state emesse fatture nell’anno di riferimento ed i fornitori titolari di partita IVA da cui sono stati effettuati acquisti di beni e servizi rilevanti ai fini dell’applicazione dell’IVA (ovvero soggetti ad IVA).
DATI DA REGISTRARE NELL’ELENCO: Per ciascun soggetto cliente/fornitore sono indicati:
Codice Fiscale
Importo complessivo delle operazioni effettuate, al netto delle relative note di variazione
Imponibile
Imposta
Importo delle operazioni non imponibili
Importo delle operazioni esenti.
EVENTUALI ULTERIORI DATI DA INSERIRE: Con provvedimento del Direttore dell'Agenzia delle entrate, possono essere individuati ulteriori elementi informativi da indicare negli elenchi previsti, nonché le modalità per la presentazione telematica.
Il nuovo comma 6 dell’art. 8 bis del D.P.R. 322/98, invece ha introdotto il seguente sistema sanzionatorio:
SANZIONI PER INADEMPIMENTO: Per l'omissione della comunicazione degli elenchi, nonché per l'invio degli stessi con dati incompleti o non veritieri, si applicano le disposizioni previste dall'articolo 11 del Decreto Legislativo 18 dicembre 1997, n. 471 che prevedono una sanzione amministrativa da € 258,23 a € 2.065,83. Come precisato nella circolare esplicativa dell’Agenzia delle Entrare n. 28/E/2006 nei casi sopra elencati, è comunque sempre possibile regolarizzare eventuali violazioni ricorrendo all’istituto del ravvedimento operoso.
IV – LE DEROGHE PER L’ANNO IN CORSO
Per il periodo di imposta 2006 sono previste due deroghe alle novità introdotte dall’ art. 37 comma 8 del D.L. 223/06:
La prima dettata dall’ art. 37 comma 9 del D.L. 223/06 che stabilisce che per il periodo di imposta 2006 vanno inseriti nell’elenco clienti solo i titolari di partita iva
La seconda definita dall’ art. 1 comma 337 della “Legge 27.12.2006 n° 296 - Finanziaria 2007 - Disposizioni in materia di entrate” che sancisce che per il periodo di imposta 2006 è possibile inserire nell’elenco fornitori anche il numero di partita iva in alternativa al Codice Fiscale.
V – IL TRATTAMENTO DEI DATI PERSONALI NELL’ELENCO CLIENTI/FORNITORI
In base alla suddetta normativa, il quadro generale del trattamento di dati personali ai fini dell’adempimento degli obblighi in materia di elenco clienti e fornitori, è il seguente:
Per il periodo di imposta 2006:
L’elenco clienti va compilato solo per i titolari di partita iva
L’elenco clienti deve contenere il Codice Fiscale e i dati contabili e fiscali previsti
L’elenco fornitori va compilato solo per i titolari di partita iva dai quali sono stati acquistati beni e servizi soggetti ad iva
L’elenco fornitori deve contenere il numero di Partita Iva (in alternativa al Codice Fiscale) e i dati fiscali e contabili previsti
Per i periodi di imposta successivi:
L’elenco clienti va compilato per tutti i soggetti a cui si emette fattura
L’elenco clienti deve contenere il Codice Fiscale e i dati contabili e fiscali previsti
L’elenco fornitori va compilato solo per i titolari di partita iva dai quali sono stati acquistati beni e servizi soggetti ad iva
L’elenco fornitori deve contenere il Codice Fiscale e i dati contabili e fiscali previsti
Alla suddetta disciplina potranno comunque essere apportate modifiche con provvedimento del Direttore dell'Agenzia delle entrate.
VI – LA DISCIPLINA GENERALE PRIVACY PER L’ELENCO CLIENTI/FORNITORI
Da quanto finora descritto risulta evidente che l’adempimento degli obblighi in materia di elenco clienti/fornitori richiede esclusivamente il trattamento dei seguenti dati:
Codice Fiscale di Clienti e Fornitori
Importo complessivo delle operazioni effettuate con clienti e fornitori con dettaglio di imponibile, Imposta e Importo delle operazioni non imponibili e esenti.
Pertanto al fine di adempiere correttamente agli obblighi previsti dall’art. 37 comma 8 del D.L. 223/06 è sufficiente creare un elenco clienti e fornitori, da inviare telematicamente all’Agenzia delle Entrate, che contenga solamente i suddetti dati.
La motivazione di tale soluzione trova la sua ragion d’essere nei principi di necessità e proporzionalità previsti dagli art. 3 e 11 del Codice Privacy.
In particolare secondo quanto previsto dall’art. 11 comma 1 lettera d del D.Lgs 196/03 “I dati personali oggetto di trattamento sono… pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati…”
Analizzando il caso in questione, si evince immediatamente che la finalità del trattamento sarà quella di adempiere ad un obbligo di legge, pertanto i dati che si potranno trattare lecitamente saranno solamente quelli pertinenti rispetto alla finalità ovvero quelli previsti dall’art. 37 comma 8 del D.L. 223/06. Ulteriori richieste di dati personali rivolte a clienti e fornitori (quali ad es. luogo e data di nascita) risulteranno perciò infondate ed illecite in quanto in contrasto con il principio di non eccedenza rispetto alla finalità della raccolta.
Ulteriore limite al trattamento di tali dati sarà poi dato dall’applicazione del principio di necessità previsto dall’art. 3 del D.Lgs 196/03 che impone ai titolari di ridurre al minimo l’utilizzo di dati personali ed identificativi qualora essi siano trattati con sistemi e programmi informatici.
Tale orientamento è rinvenibile anche al punto 2.2 del “Provvedimento del Garante - 25 maggio 2005” relativo agli “Accertamenti fiscali e tributari”:
“… va rilevata, anzitutto, l'esigenza che… sia avviata … presso l'anagrafe tributaria, una verifica organica sull'effettiva necessità e proporzionalità della raccolta sistematica e generalizzata delle varie categorie di dati acquisite e disponibili, alla luce dei principi introdotti o ribaditi in proposito dal Codice entrato in vigore il 1° gennaio 2004.… dei richiamati principi di necessità e proporzionalità (artt. 3 e 11 del Codice)…Il Codice prevede infatti che le operazioni di comunicazione dei dati debbano avvenire, in applicazione del principio di proporzionalità, mettendo solo i dati di interesse a disposizione per via telematica, anziché -se non è indispensabile in rapporto alle finalità- duplicarli tutti e farne oggetto di una trasmissione sistematica ad un terzo (art. 4, comma1, lett.l ed 11, comma 1, lett. d) del Codice).”
VII – LE REGOLE PRIVACY IL TRATTAMENTO DEI DATI DELL’ELENCO
Al fine di un corretto trattamento dei dati personali necessari alla gestione dell’elenco clienti e fornitori sarà fondamentale rispettare le seguenti regole privacy:
1.INFORMATIVA : Fornire (oralmente o per iscritto), all'interessato o alla persona presso la quale sono raccolti i dati personali necessari ad adempiere all’obbligo di legge, un’idonea informativa ai sensi dell’art. 13 del D.Lgs 196/03.
Nell’informativa bisognerà specificare che:
a.la finalità del trattamento è l’adempimento degli obblighi previsti dall’art. 37 comma 8 del D.L. 223/06
b.la modalità del trattamento sarà realizzata con l’ausilio di sistemi e programmi informatici e che la comunicazione dei dati avverrà telematicamente
c.il conferimento dei dati è obbligatorio per legge e che in caso l’interessato si rifiutasse di rispondere sarà ritenuto responsabile di tale inadempimento
d.si dovranno indicare all’interessato i soggetti o le categorie di soggetti ai quali i dati personali potranno essere comunicati o che potranno venirne a conoscenza in qualità di responsabili o incaricati, e l’eventuale ambito di diffusione di tali dati
e.si dovranno poi specificare gli estremi del titolare e degli eventuali responsabili e si dovrà ricordare la facoltà di esercizio dei diritti dell’interessato di cui all’art. 7 del Codice Privacy.
2.CONSENSO: Ai sensi dell’art. 24 comma 1.a del D.Lgs 196/03, il consenso non sarà richiesto in quanto il trattamento è necessario per adempiere ad un obbligo previsto dalla legge.
3.DIRITTI DELL’INTERESSATO: qualora venissero richiesti dati personali ulteriori rispetti a quelli previsti obbligatoriamente per legge, l'interessato (ai sensi dell’art. 7 comma 4.a) avrà diritto di opporsi al trattamento per motivi legittimi.
4.TRATTAMENTO DA PARTE DELL’AMMINISTRAZIONE FINANZIARIA: I dati personali contenuti nell’elenco clienti e fornitori dovranno essere trattati dall’Agenzia delle Entrate secondo i presupposti ed i limiti previsti dal Codice Privacy e dal D.L. 223/06 (art. 18 comma 3 – D.Lgs 196/03) e solo per lo svolgimento delle funzioni istituzionali (art. 18 comma 2 – D.Lgs 196/03).
5.OBBLIGHI DI SICUREZZA: Il titolare del trattamento dei dati personali sarà soggetto agli obblighi di sicurezza previsti dall’art. 31 comma 1 del Codice Privacy: “I dati personali oggetto di trattamento sono custoditi e controllati… in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.”
Il titolare dovrà comunque sempre adottare le misure minime di sicurezza previste dagli art. 34 e 35 e dall’allegato B) del D.Lgs 196/03, che per il trattamento di dati con strumenti elettronici sono:
autenticazione informatica;
adozione di procedure di gestione delle credenziali di autenticazione;
utilizzazione di un sistema di autorizzazione;
aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
tenuta di un aggiornato documento programmatico sulla sicurezza.
In caso di trattamento di dati senza l’ausilio di strumenti elettronici il titolare dovrà invece:
aggiornare periodicamente l'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
prevedere procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
prevedere procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplinarne le modalità di accesso.
VIII - CONCLUSIONI
In definitiva, risolti i dubbi di natura interpretativa, al fine di adempiere correttamente agli obblighi in materia di elenco clienti/fornitori i responsabili amministrativi dovranno:
Verificare se nei data base aziendali è presente il Codice Fiscale di clienti e fornitori
Definire una procedura aziendale per la raccolta dei Codici Fiscali mancanti
Definire le procedure aziendali per il trattamento dei dati personali e per la gestione dell’elenco clienti e fornitori
Nominare i responsabili e gli incaricati al trattamento dei dati personali dell’elenco clienti e fornitori
Verificare le misure minime di sicurezza previste dal Codice Privacy ed in caso di necessità apportare le dovute modifiche al sistema informativo aziendale al fine di rispettare gli obblighi di legge
Preparare un modulo per la raccolta del Codice Fiscale con un’idonea informativa, da inviare a clienti e fornitori
Definire le misure minime di sicurezza per la gestione interna dell’elenco clienti/fornitori e per il suo invio telematico all’Amministrazione Finanziaria.
Inserito il 14/01/2007 | E-Privacy