GDPR e Fatturazione: Cosa Deve Sapere Ogni Libero Professionista
Il GDPR vale per ogni fattura. Dati personali, periodi di conservazione, base giuridica e come fatturare in conformità — guida pratica.
Il Regolamento Generale sulla Protezione dei Dati (GDPR) non riguarda solo le grandi aziende tecnologiche. Ogni libero professionista o piccola impresa che fattura clienti nell'UE — o che fattura clienti con sede nell'UE da qualsiasi parte del mondo — tratta dati personali, e questo significa che il GDPR si applica anche a te.
Questa guida spiega esattamente cosa significa il GDPR per la fatturazione: quali informazioni costituiscono dati personali su una fattura, qual è la tua base giuridica per trattarli, per quanto tempo puoi conservare i registri delle fatture e quali diritti hanno i tuoi clienti sui loro dati.
Le Fatture Contengono Dati Personali?
Sì. Una fattura contiene tipicamente:
- Il nome completo del cliente o del referente aziendale
- L'indirizzo del cliente (aziendale o privato)
- L'indirizzo e-mail
- Il numero di telefono
- La Partita IVA (per i professionisti individuali può essere correlata al Codice Fiscale)
Qualsiasi informazione che possa identificare una persona fisica — direttamente o indirettamente — è un dato personale ai sensi del GDPR. Il nome e l'indirizzo di un libero professionista sono dati personali. Il nome di un'azienda da solo non lo è — ma un referente nominato in quell'azienda sì.
La Tua Base Giuridica per il Trattamento dei Dati di Fatturazione
Ai sensi dell'articolo 6 del GDPR, è necessaria una base giuridica per trattare dati personali. Per la fatturazione, si applicano due basi:
1. Esecuzione di un contratto (Art. 6(1)(b))
Il trattamento è necessario per l'esecuzione di un contratto con l'interessato o per misure precontrattuali. Emettere una fattura soddisfa direttamente questo requisito: hai bisogno dell'indirizzo e del nome del cliente per emettere una fattura valida.
2. Obbligo legale (Art. 6(1)(c))
Il trattamento è necessario per adempiere un obbligo legale. La normativa fiscale in praticamente tutti gli Stati membri dell'UE richiede di conservare i registri delle fatture per un numero minimo di anni. La conservazione delle fatture per rispettare i requisiti dell'Agenzia delle Entrate rientra chiaramente in questa base.
Non hai bisogno del consenso per emettere fatture o conservarle per finalità fiscali. Richiedere il consenso in questo caso sarebbe sbagliato — deve essere liberamente revocabile, e non puoi eliminare un documento fiscale obbligatorio perché un cliente ha revocato il consenso.
Per Quanto Tempo Puoi Conservare i Registri delle Fatture?
I principi di minimizzazione dei dati e limitazione della conservazione del GDPR richiedono di conservare i dati personali solo per il tempo necessario. Per le fatture, il diritto fiscale nazionale — non il GDPR — definisce cosa è "necessario". Periodi di conservazione comuni:
| Paese | Periodo minimo di conservazione |
|---|---|
| Italia | 10 anni |
| Germania | 10 anni |
| Francia | 10 anni |
| Paesi Bassi | 7 anni |
| Spagna | 5 anni (generale), 4 anni (fiscale) |
| Regno Unito | 6 anni |
Alla scadenza del periodo di conservazione, devi eliminare o anonimizzare i documenti. Conservare le fatture indefinitamente "per sicurezza" non è conforme al GDPR.
Diritti dei Clienti e Fatture
Diritto di accesso (Art. 15)
Un cliente può richiedere una copia dei dati personali che conservi su di lui. Devi rispondere entro un mese. Per le fatture, ciò significa fornire copie delle fatture contenenti i suoi dati.
Diritto alla cancellazione (Art. 17)
Il "diritto all'oblio" non prevale sugli obblighi legali. Se la normativa fiscale ti obbliga a conservare una fattura per 10 anni, puoi rifiutare una richiesta di cancellazione. Devi informare il cliente che conservi il documento per adempiere obblighi legali e che lo eliminerai alla scadenza.
Diritto di rettifica (Art. 16)
Se i dati di un cliente su una fattura sono errati, può richiederne la correzione. Per le fatture già emesse, di solito si emette una nota di credito o una fattura rettificativa anziché modificare il documento originale.
Software di Fatturazione: Cosa Considerare
Se utilizzi una piattaforma di fatturazione cloud, questa diventa un responsabile del trattamento ai sensi del GDPR. Tu sei il titolare del trattamento; loro trattano i dati per tuo conto. Questo significa:
- Hai bisogno di un Accordo sul Trattamento dei Dati (DPA) con la piattaforma — le piattaforme serie lo includono nei termini di servizio
- I dati dei clienti possono essere archiviati su server fuori dall'UE — verifica dove sono ospitati i dati e se esistono garanzie adeguate
- Rimani responsabile della conformità al GDPR, anche se la piattaforma gestisce male i dati
Nota per l'Italia: la fatturazione elettronica obbligatoria (e-fattura via SDI) comporta già il trattamento di dati attraverso il Sistema di Interscambio dell'Agenzia delle Entrate. Tieni presente questa ulteriore catena di trattamento nella tua valutazione GDPR.
Gli strumenti basati su browser come invoicePrivate, che archiviano tutti i dati localmente, evitano completamente il problema del responsabile del trattamento esterno.
Passi Pratici per una Fatturazione Conforme al GDPR
- Raccogliere solo il necessario. Nome, indirizzo e numero fiscale — non di più.
- Conoscere il periodo di conservazione. Imposta un promemoria per eliminare i registri alla scadenza del periodo legale nel tuo paese.
- Aggiornare l'informativa sulla privacy. Se invii newsletter o riutilizzi i dati di contatto per marketing, la tua informativa deve indicarlo.
- Firmare un DPA con qualsiasi strumento cloud. Obbligatorio ai sensi dell'art. 28 del GDPR.
- Avere un processo per le richieste di accesso. Devi poter rispondere entro 30 giorni.
Sanzioni per la Non Conformità
Le sanzioni del GDPR sono graduate. In Italia, il Garante per la Protezione dei Dati Personali è l'autorità di controllo:
- Livello inferiore: Fino a 10 milioni di euro o il 2% del fatturato mondiale annuo
- Livello superiore: Fino a 20 milioni di euro o il 4% del fatturato mondiale annuo
FAQ
Il GDPR si applica a me se fattura clienti UE ma sono basato fuori dall'UE?▼
Sì. Il GDPR si applica a qualsiasi impresa che offra beni o servizi a persone nell'UE, indipendentemente da dove sia stabilita. Se fatturi persone fisiche con sede nell'UE, sei soggetto al GDPR.
Un cliente può costringermi a eliminare una fattura ai sensi del GDPR?▼
No, non finché sei legalmente obbligato a conservarla. La normativa fiscale italiana prevede un obbligo di conservazione di 10 anni. Puoi rifiutare la richiesta, spiegare la base giuridica e impegnarti a eliminare il documento alla scadenza del periodo di conservazione.
La fatturazione elettronica obbligatoria (e-fattura) influisce sul GDPR?▼
Sì. La trasmissione delle fatture attraverso il Sistema di Interscambio (SDI) dell'Agenzia delle Entrate comporta il trattamento di dati da parte di un soggetto terzo (lo Stato). Questo trattamento è fondato sull'obbligo legale — non hai bisogno di ottenere il consenso del cliente per inviare la fattura elettronica.
La Partita IVA di un libero professionista è un dato personale?▼
In Italia, la Partita IVA di una persona fisica (libero professionista o ditta individuale) è correlata al Codice Fiscale personale, rendendola indirettamente un dato personale. La Partita IVA di una società, invece, è riferita a una persona giuridica e non è generalmente considerata dato personale.
La tua prima fattura in meno di tre minuti
Gratis per sempre. Senza carta di credito, senza registrazione, senza filigrana. Apri lo strumento e inizia.
Crea fattura →