Garante privacy: ok al nuovo sistema di fatturazione elettronica

I principi in materia di privacy da rispettare

I Ministeri competenti, nel redigere i regolamenti applicativi dei termini, ambiti e limiti di utilizzo dei dati personali e fiscali inerenti le spese sanitarie inviate al sistema Tessera Sanitaria, hanno dovuto dar prova di rispettare i principi di cui agli articoli 9 e 32 GDPR.

Ai sensi delle citate norme, è vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona, salvo i casi in cui ricorrano le seguenti eccezioni

1. l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche,
2. il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato,
3. il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica, qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso,
4. il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato,
5. il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato,
6. il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali,
7. il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato,
8. il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità,
9. il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, in applicazione del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale;
10. il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Nel redigere i Regolamenti attuativi, inoltre, i Ministeri competenti, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, hanno dovuto prevedere che il titolare/responsabile del trattamento dei dati personali metta in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

1. la pseudonimizzazione e la cifratura dei dati personali;
2. la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
3. la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
4. una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Il parere positivo del Garante Privacy sui decreti attuativi del nuovo sistema di fatturazione elettronica per i professionisti sanitari

Il Garante della Privacy dopo avere esaminato i due schemi di decreto relativi alle modalità di utilizzo dei dati fiscali delle fatture trasmessi al Sistema TS e alle modalità di utilizzo dei dati fiscali relativi ai corrispettivi trasmessi al Sistema TS, ha emesso parere favorevole, ritenendo che le normative rispettino i requisiti di cui al GDPR.

In particolare, i due decreti prevedono l’acquisizione, da parte dell’Agenzia delle entrate, a fini dell’applicazione delle disposizioni in materia tributaria, dei dati fiscali, trasmessi al Sistema TS, contenuti:

1) nelle fatture relative a prestazioni sanitarie, inclusi i dati relativi a operazioni per le quali è stata manifestata l’opposizione da parte dell’assistito e i dati relativi all’aliquota ovvero alla natura IVA della singola operazione, ad eccezione della descrizione della prestazione effettuata e del codice fiscale dell’assistito;

2) nei corrispettivi trasmessi giornalmente al Sistema TS, inclusi i dati relativi all’aliquota ovvero alla natura IVA delle operazioni, ad eccezione del codice fiscale del cliente.

Secondo gli schemi di decreto i dati fiscali contenuti nelle fatture o nei corrispettivi saranno memorizzati da parte dell’Agenzia delle entrate, in qualità di titolare del trattamento, saranno utilizzati esclusivamente a fini di svolgimento delle attività di assistenza ai contribuenti, di controllo finalizzato all’erogazione dei rimborsi fiscali, di elaborazione dei dati per attività di analisi del rischio e di controllo automatizzato e puntuale.

I decreti prevedono inoltre che i dati di natura fiscale presenti nelle fatture congiuntamente potranno essere analizzati congiuntamente ai dati presenti nelle banche dati dell’Agenzia delle entrate ed in conformità ai relativi provvedimenti del Direttore dell’Agenzia medesima, nel rispetto delle garanzie previste dal GDPR, e potranno altresì essere resi disponibili dall’Agenzia delle entrate anche alla Guardia di finanza e all’Agenzia delle dogane e dei monopoli per le loro finalità istituzionali.

Sotto il profilo dei tempi di conservazione, i decreti prevedono che i dati fiscali dovranno essere conservati sino al 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento, ovvero fino alla definizione di eventuali giudizi.

I professionisti sanitari dovranno adottare misure di sicurezza per la tutela dei diritti e delle libertà degli interessati, che prevedono l’identificazione, autenticazione e autorizzazione dei soggetti abilitati alla consultazione, la tracciatura degli accessi effettuati, nonché la conservazione delle copie di sicurezza.

Sarà infine possibile, secondo i decreti attuativi, l'utilizzo, in forma aggregata, dei dati fiscali trasmessi al Sistema TS per il monitoraggio della spesa sanitaria pubblica e privata complessiva, da parte della Ragioneria generale dello Stato presso il Ministero dell’economia e delle finanze e delle Direzioni generali competenti in materia di sistema informativo sanitario e in materia di programmazione sanitaria presso il Ministero della salute.