AmbienteDiritto.it - Rivista giuridica - Electronic Law Review - Copyright © AmbienteDiritto.it
Testata registrata presso il Tribunale di Patti Reg. n. 197 del 19/07/2006
PRIVACY & ELENCO CLIENTI/FORNITORI:
Le Regole Privacy per una corretta compilazione e comunicazione dell’Elenco Clienti e Fornitori
A cura di DR. ERIC FALZONE
INDICE
* INTRODUZIONE
I - IL DECRETO LEGGE 223/06
II - L’ANALISI DELL’ART. 37 COMMA 8 DEL D. L. 223/06
III - LE NOVITA INTRODOTTE ALL’ART 8 BIS DEL D.P.R.
322/98
IV - LE DEROGHE PER L’ANNO IN CORSO
V - IL TRATTAMENTO DEI DATI PERSONALI NELL’ELENCO
CLIENTI/FORNITORI
VI - LA DISCIPLINA GENERALE PRIVACY PER L’ELENCO
CLIENTI/FORNITORI
VII - LE REGOLE PRIVACY IL TRATTAMENTO DEI DATI
DELL’ELENCO
VIII - CONCLUSIONI
FONTI
Privacy in Azienda: Manuale di Formazione per Titolari, Responsabili e
Incaricati (Autore Eric Falzone - Casa Editrice Hoepli Spa) - Decreto
legislativo 30 giugno 2003, n. 196 - Decreto Legge n. 223 del 4 luglio 2006 -
Decreto del Presidente della Repubblica 22 luglio 1998, n. 322 - Legge
27.12.2006 n° 296 Finanziaria 2007 - Decreto Legislativo 18 dicembre 1997, n.
471 - Circolare dell’Agenzia delle Entrare n. 28/E/2006 - Provvedimento Garante
Privacy del 25 maggio 2005
* INTRODUZIONE
Con l’entrata in vigore del D.L. n. 223 del 4 luglio 2006, è stato reintrodotto
l'obbligo, per i contribuenti IVA, di presentare all'Amministrazione finanziaria
l'elenco dei propri clienti e fornitori.
Anche questa volta - e come sempre d’altronde in occasione dell’introduzione di
novità normative - non si può che rimanere sbigottiti dinanzi agli strabilianti
e singolari fenomeni di massa a cui “l’interpretazione legislativa all’italiana”
possa portare.
Mi riferisco, in particolare, alle centinaia e migliaia di lettere in partenza
ed arrivo ogni giorno - relative alla richiesta di dati personali ai fini
dell’adempimento degli obblighi normativi in materia di elenco clienti/fornitori
- che oltre a non essere necessarie, il più delle volte risultano perfino in
aperta violazione della disciplina privacy attualmente in vigore.
Pertanto al fine di sedare inutili allarmismi e evitare pericolose iniziative da
parte degli “Interpreti più diligenti” non rimane che analizzare
dettagliatamente la normativa in materia alla luce delle disposizioni del Codice
Privacy.
I - IL DECRETO LEGGE 223/06
Il Decreto Legge n. 223 del 4 luglio 2006 - “Disposizioni urgenti per il
rilancio economico e sociale, per il contenimento e la razionalizzazione della
spesa pubblica, nonché interventi in materia di entrate e di contrasto
all'evasione fiscale.”, così come convertito con modificazioni dalla legge n.
248 del 04/08/2006, ha reintrodotto l’obbligo della compilazione e comunicazione
dell’elenco clienti e fornitori ai seguenti articoli:
Art. 37 comma 8 - “In attesa dell'introduzione della normativa sulla
fatturazione informatica, all'articolo 8-bis del regolamento di cui al Decreto
del Presidente della Repubblica 22 luglio 1998, n. 322, sono apportate le
seguenti modificazioni: a) dopo il comma 4 e' inserito il seguente:"4-bis. Entro
sessanta giorni dal termine previsto per la presentazione della comunicazione di
cui ai precedenti commi, il contribuente presenta l'elenco dei soggetti nei cui
confronti sono state emesse fatture nell'anno cui si riferisce la comunicazione
nonché, in relazione al medesimo periodo, l'elenco dei soggetti titolari di
partita IVA da cui sono effettuati acquisti rilevanti ai fini dell'applicazione
dell'imposta sul valore aggiunto. Per ciascun soggetto sono indicati il codice
fiscale e l'importo complessivo delle operazioni effettuate, al netto delle
relative note di variazione, con la evidenziazione dell'imponibile,
dell'imposta, nonché, dell'importo delle operazioni non imponibili e di quelle
esenti. Con provvedimento del Direttore dell'Agenzia delle entrate, da
pubblicare nella Gazzetta Ufficiale: a) sono individuati gli elementi
informativi da indicare negli elenchi previsti dal presente comma, nonché le
modalità per la presentazione, esclusivamente in via telematica, degli stessi;
b) il termine di cui al primo periodo del presente comma può essere differito
per esigenze di natura esclusivamente tecnica, ovvero relativamente a
particolari tipologie di contribuenti, anche in considerazione della dimensione
dei dati da trasmettere."; b) il comma 6 e' sostituito dal seguente: "6. Per
l'omissione della comunicazione ovvero degli elenchi, nonché per l'invio degli
stessi con dati incompleti o non veritieri, si applicano le disposizioni
previste dall'articolo 11 del decreto legislativo 18 dicembre 1997, n. 471.".
Art. 37 comma 9 - “Per il periodo d'imposta in corso alla data di entrata in
vigore del presente decreto l'elenco dei soggetti nei cui confronti sono state
emesse fatture comprende i soli titolari di partita IVA.”
II - L’ANALISI DELL’ART. 37 COMMA 8 DEL D. L.
223/06
Al fine di comprendere a pieno le novità introdotte dal D.L. 223/06 risulta
necessario analizzare dettagliatamente le disposizioni normative contenute nel
comma 8 dell’art. 37.
In primis in questo comma il legislatore ha fatto un importantissima premessa
evidenziando l’importanza fiscale che assumerà la fatturazione elettronica nei
prossimi anni; Nel proseguo della frase ha poi citato esplicitamente la norma
che una volta modificata diventerà il riferimento legislativo in materia di
elenchi clienti/fornitori ovvero l’articolo 8-bis relativo alle Comunicazioni
dati IVA del “Decreto del Presidente della Repubblica 22 luglio 1998, n. 322
-
Regolamento recante modalità per la presentazione delle dichiarazioni relative
alle imposte sui redditi, all'imposta regionale sulle attività produttive e
all'imposta sul valore aggiunto, ai sensi dell'articolo 3, comma 136, della
legge 23 dicembre 1996, n. 662“.
Le modifiche apportate all’art. 8 bis del D.P.R. 322/98 dal D.L. 233/03
sostanzialmente si concretizzano nell’aggiunta di un nuovo comma definito “4
bis” (la cui funzione è quella di definire il contenuto dell’elenco clienti
fornitori e le modalità e la periodicità di invio dello stesso) e nella
variazione del comma 6 (in modo da stabilire le sanzioni applicabili per
inadempimento).
III
- LE NOVITA INTRODOTTE ALL’ART 8 BIS DEL D.P.R. 322/98
Le principali novità introdotte dal nuova comma 4 bis dell’art. 8 bis del D.P.R. 322/98 possono essere sintetizzare nel seguente modo:
- DESTINATARI DELLA NORMA: Sono soggetti alla tenuta e all’invio telematico
dell’elenco clienti/fornitori tutti i titolari di partita iva che hanno emesso
e/o ricevuto fatture nel periodo di riferimento.
- OBBLIGHI PER I DESTINATARI: Entro 60 giorni dal termine di presentazione della
comunicazione annuale dei dati IVA (ovvero entro il 29 Aprile di ogni anno) i
soggetti destinatari della norma dovranno essere inviare telematicamente gli
elenchi clienti e fornitori all’Agenzia delle Entrate.
- SOGGETTI DA INCLUDERE NELL’ELENCO: Devono essere inclusi nell’elenco i clienti
nei cui confronti sono state emesse fatture nell’anno di riferimento ed i
fornitori titolari di partita IVA da cui sono stati effettuati acquisti di beni
e servizi rilevanti ai fini dell’applicazione dell’IVA (ovvero soggetti ad IVA).
- DATI DA REGISTRARE NELL’ELENCO: Per ciascun soggetto cliente/fornitore sono
indicati:
. Codice Fiscale
. Importo complessivo delle operazioni effettuate, al netto delle relative note
di variazione
. Imponibile
. Imposta
. Importo delle operazioni non
imponibili
. Importo delle operazioni esenti.
- EVENTUALI ULTERIORI DATI DA INSERIRE: Con provvedimento del Direttore
dell'Agenzia delle entrate, possono essere individuati ulteriori elementi
informativi da indicare negli elenchi previsti, nonché le modalità per la
presentazione telematica.
Il nuovo comma 6 dell’art. 8 bis del D.P.R. 322/98, invece ha introdotto il
seguente sistema sanzionatorio:
- SANZIONI PER INADEMPIMENTO: Per l'omissione della comunicazione degli elenchi,
nonché per l'invio degli stessi con dati incompleti o non veritieri, si
applicano le disposizioni previste dall'articolo 11 del Decreto Legislativo 18
dicembre 1997, n. 471 che prevedono una sanzione amministrativa da € 258,23 a €
2.065,83. Come precisato nella circolare esplicativa dell’Agenzia delle Entrare
n. 28/E/2006 nei casi sopra elencati, è comunque sempre possibile regolarizzare
eventuali violazioni ricorrendo all’istituto del ravvedimento operoso.
IV - LE DEROGHE PER L’ANNO IN CORSO
Per il periodo di imposta 2006 sono previste due deroghe alle novità introdotte
dall’ art. 37 comma 8 del D.L. 223/06:
- La prima dettata dall’ art. 37 comma 9 del D.L. 223/06 che stabilisce che per
il periodo di imposta 2006 vanno inseriti nell’elenco clienti solo i titolari di
partita iva
- La seconda definita dall’ art. 1 comma 337 della “Legge 27.12.2006 n° 296 -
Finanziaria 2007 - Disposizioni in materia di entrate” che sancisce che per il
periodo di imposta 2006 è possibile inserire nell’elenco fornitori anche il
numero di partita iva in alternativa al Codice Fiscale.
V - IL TRATTAMENTO DEI DATI PERSONALI NELL’ELENCO
CLIENTI/FORNITORI
In base alla suddetta normativa, il quadro generale del trattamento di dati
personali ai fini dell’adempimento degli obblighi in materia di elenco clienti e
fornitori, è il seguente:
- Per il periodo di imposta 2006:
. L’elenco clienti va compilato solo per i titolari di partita iva
. L’elenco clienti deve contenere il Codice Fiscale e i dati contabili e fiscali
previsti
. L’elenco fornitori va compilato solo per i titolari di partita iva dai quali
sono stati acquistati beni e servizi soggetti ad iva
. L’elenco fornitori deve contenere il numero di Partita Iva (in alternativa al
Codice Fiscale) e i dati fiscali e contabili previsti
- Per i periodi di imposta successivi:
. L’elenco clienti va compilato per tutti i soggetti a cui si emette fattura
. L’elenco clienti deve contenere il Codice Fiscale e i dati contabili e fiscali
previsti
. L’elenco fornitori va compilato solo per i titolari di partita iva dai quali
sono stati acquistati beni e servizi soggetti ad iva
. L’elenco fornitori deve contenere il Codice Fiscale e i dati contabili e
fiscali previsti
Alla suddetta disciplina potranno comunque essere apportate modifiche con
provvedimento del Direttore dell'Agenzia delle entrate.
VI - LA DISCIPLINA GENERALE PRIVACY PER L’ELENCO
CLIENTI/FORNITORI
Da quanto finora descritto risulta evidente che l’adempimento degli obblighi in
materia di elenco clienti/fornitori richiede esclusivamente il trattamento dei
seguenti dati:
- Codice Fiscale di Clienti e Fornitori
- Importo complessivo delle operazioni effettuate con clienti e fornitori con
dettaglio di imponibile, Imposta e Importo delle operazioni non imponibili e
esenti.
Pertanto al fine di adempiere correttamente agli obblighi previsti dall’art. 37
comma 8 del D.L. 223/06 è sufficiente creare un elenco clienti e fornitori, da
inviare telematicamente all’Agenzia delle Entrate, che contenga solamente i
suddetti dati.
La motivazione di tale soluzione trova la sua ragion d’essere nei principi di
necessità e proporzionalità previsti dagli art. 3 e 11 del Codice Privacy.
In particolare secondo quanto previsto dall’art. 11 comma 1 lettera d del D.Lgs
196/03 “I dati personali oggetto di trattamento sono… pertinenti, completi e non
eccedenti rispetto alle finalità per le quali sono raccolti o successivamente
trattati…”
Analizzando il caso in questione, si evince immediatamente che la finalità del
trattamento sarà quella di adempiere ad un obbligo di legge, pertanto i dati che
si potranno trattare lecitamente saranno solamente quelli pertinenti rispetto
alla finalità ovvero quelli previsti dall’art. 37 comma 8 del D.L. 223/06.
Ulteriori richieste di dati personali rivolte a clienti e fornitori (quali ad
es. luogo e data di nascita) risulteranno perciò infondate ed illecite in quanto
in contrasto con il principio di non eccedenza rispetto alla finalità della
raccolta.
Ulteriore limite al trattamento di tali dati sarà poi dato dall’applicazione del
principio di necessità previsto dall’art. 3 del D.Lgs 196/03 che impone ai
titolari di ridurre al minimo l’utilizzo di dati personali ed identificativi
qualora essi siano trattati con sistemi e programmi informatici.
Tale orientamento è rinvenibile anche al punto 2.2 del “Provvedimento del
Garante - 25 maggio 2005” relativo agli “Accertamenti fiscali e tributari”:
“… va rilevata, anzitutto, l'esigenza che… sia avviata … presso l'anagrafe
tributaria, una verifica organica sull'effettiva necessità e proporzionalità
della raccolta sistematica e generalizzata delle varie categorie di dati
acquisite e disponibili, alla luce dei principi introdotti o ribaditi in
proposito dal Codice entrato in vigore il 1° gennaio 2004.… dei richiamati
principi di necessità e proporzionalità (artt. 3 e 11 del Codice)…Il Codice
prevede infatti che le operazioni di comunicazione dei dati debbano avvenire, in
applicazione del principio di proporzionalità, mettendo solo i dati di interesse
a disposizione per via telematica, anziché -se non è indispensabile in rapporto
alle finalità- duplicarli tutti e farne oggetto di una trasmissione sistematica
ad un terzo (art. 4, comma1, lett.l ed 11, comma 1, lett. d) del Codice).”
VII - LE REGOLE PRIVACY IL TRATTAMENTO DEI DATI
DELL’ELENCO
Al fine di un corretto trattamento dei dati personali necessari alla gestione
dell’elenco clienti e fornitori sarà fondamentale rispettare le seguenti regole
privacy:
1. INFORMATIVA : Fornire (oralmente o per iscritto), all'interessato o alla
persona presso la quale sono raccolti i dati personali necessari ad adempiere
all’obbligo di legge, un’idonea informativa ai sensi dell’art. 13 del D.Lgs
196/03.
Nell’informativa bisognerà specificare che:
a. la finalità del trattamento è l’adempimento degli obblighi previsti dall’art.
37 comma 8 del D.L. 223/06
b. la modalità del trattamento sarà realizzata con l’ausilio di sistemi e
programmi informatici e che la comunicazione dei dati avverrà telematicamente
c. il conferimento dei dati è obbligatorio per legge e che in caso l’interessato
si rifiutasse di rispondere sarà ritenuto responsabile di tale inadempimento
d. si dovranno indicare all’interessato i soggetti o le categorie di soggetti ai
quali i dati personali potranno essere comunicati o che potranno venirne a
conoscenza in qualità di responsabili o incaricati, e l’eventuale ambito di
diffusione di tali dati
e. si dovranno poi specificare gli estremi del titolare e degli eventuali
responsabili e si dovrà ricordare la facoltà di esercizio dei diritti
dell’interessato di cui all’art. 7 del Codice Privacy.
2. CONSENSO: Ai sensi dell’art. 24 comma 1.a del D.Lgs 196/03, il consenso non
sarà richiesto in quanto il trattamento è necessario per adempiere ad un obbligo
previsto dalla legge.
3. DIRITTI DELL’INTERESSATO: qualora venissero richiesti dati personali
ulteriori rispetti a quelli previsti obbligatoriamente per legge, l'interessato
(ai sensi dell’art. 7 comma 4.a) avrà diritto di opporsi al trattamento per
motivi legittimi.
4. TRATTAMENTO DA PARTE DELL’AMMINISTRAZIONE FINANZIARIA: I dati personali
contenuti nell’elenco clienti e fornitori dovranno essere trattati dall’Agenzia
delle Entrate secondo i presupposti ed i limiti previsti dal Codice Privacy e
dal D.L. 223/06 (art. 18 comma 3 - D.Lgs 196/03) e solo per lo svolgimento delle
funzioni istituzionali (art. 18 comma 2 - D.Lgs 196/03).
5. OBBLIGHI DI SICUREZZA: Il titolare del trattamento dei dati personali sarà
soggetto agli obblighi di sicurezza previsti dall’art. 31 comma 1 del Codice
Privacy: “I dati personali oggetto di trattamento sono custoditi e controllati…
in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure
di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati
stessi, di accesso non autorizzato o di trattamento non consentito o non
conforme alle finalità della raccolta.”
Il titolare dovrà comunque sempre adottare le misure minime di sicurezza
previste dagli art. 34 e 35 e dall’allegato B) del D.Lgs 196/03, che per il
trattamento di dati con strumenti elettronici sono:
- autenticazione informatica;
- adozione di procedure di gestione delle credenziali di autenticazione;
- utilizzazione di un sistema di autorizzazione;
- aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
- protezione degli strumenti elettronici e dei dati rispetto a trattamenti
illeciti di dati, ad accessi non consentiti e a determinati programmi
informatici;
- adozione di procedure per la custodia di copie di sicurezza, il ripristino
della disponibilità dei dati e dei sistemi;
- tenuta di un aggiornato documento programmatico sulla sicurezza.
In caso di trattamento di dati senza l’ausilio di strumenti elettronici il
titolare dovrà invece:
- aggiornare periodicamente l'ambito del trattamento consentito ai singoli
incaricati o alle unità organizzative;
- prevedere procedure per un'idonea custodia di atti e documenti affidati agli
incaricati per lo svolgimento dei relativi compiti;
- prevedere procedure per la conservazione di determinati atti in archivi ad
accesso selezionato e disciplinarne le modalità di accesso.
VIII - CONCLUSIONI
In definitiva, risolti i dubbi di natura interpretativa, al fine di adempiere
correttamente agli obblighi in materia di elenco clienti/fornitori i
responsabili amministrativi dovranno:
- Verificare se nei data base aziendali è presente il Codice Fiscale di clienti
e fornitori
- Definire una procedura aziendale per la raccolta dei Codici Fiscali mancanti
- Definire le procedure aziendali per il trattamento dei dati personali e per la
gestione dell’elenco clienti e fornitori
- Nominare i responsabili e gli incaricati al trattamento dei dati personali
dell’elenco clienti e fornitori
- Verificare le misure minime di sicurezza previste dal Codice Privacy ed in
caso di necessità apportare le dovute modifiche al sistema informativo aziendale
al fine di rispettare gli obblighi di legge
- Preparare un modulo per la raccolta del Codice Fiscale con un’idonea
informativa, da inviare a clienti e fornitori
- Definire le misure minime di sicurezza per la gestione interna dell’elenco
clienti/fornitori e per il suo invio telematico all’Amministrazione Finanziaria.
Pubblicato su www.AmbienteDiritto.it
il 13/01/2007