Requisiti attuali per la sicurezza dell’invio di fatture tramite e-mail
Con sentenza del 10 febbraio 2025 (n. 12 U 9/24), l’Oberlandesgericht dello Schleswig-Holstein ha concretizzato in modo determinante i requisiti relativi alla sicurezza informatica per l’invio elettronico di fatture da parte di imprenditori. Elemento centrale di questa decisione è l’obbligo esplicito di garantire, durante l’invio di documenti di fatturazione tramite e-mail, un livello di protezione adeguato in relazione alla riservatezza dei dati personali. La sentenza chiarisce che già la trasmissione di documenti sensibili come le fatture richiede in linea di principio la cifratura end-to-end, per soddisfare i requisiti legali in materia di protezione dei dati secondo il Regolamento Generale sulla Protezione dei Dati (GDPR) e la Legge federale tedesca sulla protezione dei dati (BDSG).
Contesto giuridico: tutela dei dati personali nella corrispondenza e-mail
Nel caso di specie, l’OLG Schleswig-Holstein ha dovuto affrontare la questione se un imprenditore sia obbligato ad adottare, durante l’invio di fatture via e-mail, misure tecniche e organizzative che escludano l’accesso non autorizzato ai dati personali contenuti. La situazione concreta riguardava l’inoltro di una fattura che, oltre ai normali dati di fatturazione, includeva anche dati personali del destinatario. Il destinatario ha contestato l’assenza di cifratura del trasporto o addirittura di cifratura end-to-end, in quanto teoricamente terzi avrebbero potuto avere accesso alle informazioni riservate durante la trasmissione.
Ai sensi dell’art. 5 par. 1 lett. f GDPR e dell’art. 32 GDPR, i titolari del trattamento sono obbligati a garantire la protezione dei dati personali sia tramite misure tecniche che organizzative. La crittografia della comunicazione elettronica rappresenta a tal proposito una soluzione pratica per garantire integrità e riservatezza dei dati.
Requisiti per la comunicazione e-mail: la decisione del tribunale
I giudici dello Schleswig-Holstein hanno sottolineato che già per l’invio di fatture – anche se a prima vista sembrano meno sensibili rispetto ad altri dati personali – sussiste una particolare esigenza di protezione. Le fatture possono infatti contenere, oltre a nome e indirizzo, anche informazioni sul comportamento del consumatore, coordinate bancarie, oggetto dei contratti o altri dati meritevoli di tutela. Un accesso non autorizzato a tali informazioni può comportare notevoli svantaggi per la persona interessata.
Il tribunale ha chiarito che la mancata applicazione della cifratura end-to-end nell’invio di una fattura non soddisfa i requisiti del GDPR, salvo che non esista un accordo con il destinatario a rinunciare esplicitamente a tali misure di protezione, avendo ricevuto una spiegazione esaustiva a riguardo. Tale rinuncia deve inoltre essere documentata in modo comprensibile e avvenire su base volontaria.
Implicazioni pratiche per le aziende e importanza della sentenza
La sentenza invita a rivedere criticamente i processi interni relativi all’invio elettronico di documenti. Dal punto di vista della protezione dei dati, la sicurezza informatica non si limita alla salvaguardia del proprio sistema IT, ma include anche il trasferimento sicuro dei dati all’esterno. Le imprese che inviano regolarmente o automaticamente fatture tramite e-mail a clienti o partner commerciali sono pertanto chiamate a garantire una trasmissione sicura. Questo può rendere necessario – a seconda dell’infrastruttura tecnica e del modello di business – l’implementazione di sistemi di comunicazione basati su crittografia oppure accordi individuali con i destinatari.
Per quanto concerne le questioni di responsabilità, l’OLG sottolinea che le violazioni degli obblighi di legge in materia di protezione dei dati possono dar luogo a richieste di risarcimento danni ai sensi dell’art. 82 GDPR. Pertanto rimane compito permanente delle strutture che trattano i dati dimostrare che tutte le misure di protezione previste sono state effettivamente implementate sia dal punto di vista tecnico che organizzativo.
Ulteriori implicazioni e questioni aperte selezionate
Interazione con altre disposizioni normative
Oltre al GDPR devono essere osservate anche altre disposizioni. Ad esempio, il Codice Tributario (AO) e il Codice di Commercio (HGB) possono imporre requisiti sulla conservazione e l’inalterabilità dei documenti elettronici di fatturazione, mentre il segreto fiscale ai sensi del § 30 AO è soggetto a proprie esigenze di tutela.
Sviluppi in corso nel diritto della sicurezza informatica
Data la rapida evoluzione degli standard tecnici e la frequente rivalutazione dello stato della tecnica secondo l’art. 32 GDPR, l’adeguatezza delle misure di sicurezza adottate deve essere regolarmente aggiornata in base ai requisiti attuali. L’Oberlandesgericht dello Schleswig-Holstein sottolinea in modo esplicito che lo stato della tecnica è soggetto a continui cambiamenti e che le aziende sono obbligate a una costante revisione e adeguamento.
Protezione dell’affidamento e rischi di responsabilità
La sentenza sottolinea che per le imprese può esservi un notevole fabbisogno d’azione per garantire la fiducia di clienti e partner commerciali. In caso di controversia, può risultare decisivo procedere in modo trasparente e dettagliatamente documentato in merito alle misure adottate, al fine di potersi difendere efficacemente da eventuali rivalse o richieste di risarcimento.
Prospettive future
La decisione dello Schleswig-Holstein può servire da linea guida per la gestione dell’invio di documenti sensibili tramite e-mail, fissando standard elevati per la protezione dei dati nella vita aziendale quotidiana. Le imprese si trovano così di fronte a elevate aspettative riguardo alle tecnologie di crittografia e alla valutazione mirata dei rischi.
Per ulteriori chiarimenti su questioni giuridiche specifiche o in caso di dubbi relativi ai requisiti per la comunicazione elettronica sicura, gli avvocati di MTR Legal Rechtsanwalt sono a disposizione.
