500+ seller attivi
2.400.000 transazioni elaborate
27 paesi EU coperti
GDPR Compliant · Dati in EU
LIVE --:--:-- orario server
GDPR 22/02/2026 VATManager Team

Data retention e GDPR per report fiscali

Come ragionare su conservazione dati e privacy nei report IVA.

Perché parlare di data retention sui report IVA

I report IVA non sono solo numeri: contengono dati su clienti, volumi di vendita, canali usati, paesi serviti.
Dal punto di vista GDPR, rientrano nella categoria dei dati personali (anche quando riferiti a clienti business, se riconducibili a persone fisiche) e vanno gestiti con una politica di conservazione (data retention) chiara e documentata.

Allo stesso tempo, il diritto fiscale e civile impone obblighi di conservazione di lungo periodo:

  • fatture e scritture contabili devono essere conservate generalmente per 10 anni;
  • i registri IVA rientrano nella stessa logica di lungo periodo.

La data retention è quindi un punto di equilibrio tra:

  • obblighi normativi (non si possono cancellare i dati prima di questi termini);
  • principio di minimizzazione del GDPR (non si deve conservare più del necessario);
  • esigenze operative (analisi storica, audit trail, controlli interni).

Base giuridica della conservazione dei dati fiscali

Per i report fiscali la base giuridica del trattamento non è il consenso, ma:

  • l’adempimento di obblighi legali in materia civilistica e fiscale;
  • l’eventuale esecuzione del contratto con il cliente;
  • il legittimo interesse alla difesa in giudizio in caso di contestazioni.

Questo significa che, anche se un cliente revoca il consenso marketing, non puoi cancellare i suoi dati dalle scritture fiscali, perché prevale l’obbligo di conservazione per finalità contabili.

Questa distinzione deve emergere chiaramente dalle tue privacy policy e dalle procedure interne.

Tempi di conservazione: il vincolo dei 10 anni

Nell’ordinamento italiano, la normativa fiscale e civilistica prevede la conservazione delle fatture e dei documenti contabili per almeno 10 anni dalla data dell’ultima registrazione, per finalità di verifica fiscale e tutela contrattuale.
Per i report IVA derivati (es. export da VATManager, riepiloghi OSS, report per paese) si applica in genere lo stesso orizzonte, perché sono “derivati” delle registrazioni contabili.

Una policy tipica può prevedere:

  • 10 anni per i documenti e i report utilizzati direttamente o indirettamente per dichiarazioni IVA, OSS e bilancio;
  • tempi più brevi (es. 24–36 mesi) per dati di log non necessari ai fini fiscali;
  • cancellazione o anonimizzazione dopo la scadenza, con job periodici.

Data retention e OSS/IOSS

Con OSS e IOSS, la documentazione fiscale assume anche una dimensione transnazionale.
La normativa IVA UE richiede che il soggetto che utilizza regimi speciali mantenga un registro delle operazioni per almeno 10 anni, a disposizione delle amministrazioni dei vari stati membri.

In pratica:

  • devi poter ricostruire vendite, aliquote, paesi di consumo e imposte versate per un arco temporale lungo;
  • devi conservare i report originali dei marketplace (Amazon, eBay, Shopify) e i report consolidati su cui hai basato le dichiarazioni;
  • devi poter esibire questi dati alle autorità di uno qualsiasi dei paesi di consumo in caso di verifica.

Minimizzazione: cosa puoi evitare di conservare

Il principio di limitazione della conservazione del GDPR invita a non tenere dati oltre il necessario.
Nel contesto dei report fiscali, puoi lavorare su due livelli:

  • minimizzazione dei dati identificativi: dove possibile, usa identificativi pseudonimizzati (ID cliente) invece di nomi completi se non rilevanti ai fini fiscali;
  • separazione dei livelli: mantieni a lungo i dati aggregati per paese e aliquota, e riduci più rapidamente i dati di dettaglio non necessari alla prova fiscale.

Ad esempio, potresti conservare:

  • report di dettaglio per transazione per 10 anni in un archivio sicuro ma a bassa frequenza di accesso;
  • log applicativi dettagliati (IP, user agent, ecc.) solo per 12–24 mesi, se non richiesti per finalità legali.

Sicurezza e controlli di accesso

Una buona policy di retention implica anche controlli su chi può accedere ai dati e in quali casi.
Per i report fiscali:

  • limita l’accesso completo solo a ruoli che ne hanno reale necessità (es. amministrazione, consulenti fiscali);
  • usa profili “read-only” per chi deve solo visualizzare report;
  • registra gli accessi e le esportazioni rilevanti (audit log).

La combinazione di retention + controllo accessi rende la gestione dei report fiscali coerente con il principio di “accountability” del GDPR.

Data retention in VATManager

VATManager è pensato per facilitare l’adempimento sia fiscale sia privacy:

  • permette l’esportazione periodica dei report in formati standard (CSV, Excel, PDF) che puoi inserire in sistemi di conservazione sostitutiva;
  • non utilizza i dati caricati per finalità diverse da quelle di calcolo e reportistica IVA;
  • consente di segmentare l’accesso per ruolo (es. operatore vs consulente esterno);
  • può supportare strategie di anonimizzazione o pseudonimizzazione sui dati non più necessari in chiaro.

In questo modo puoi mantenere allineati:

  • obblighi decennali di conservazione fiscale;
  • principi GDPR di minimizzazione, sicurezza e trasparenza verso gli interessati.

Approfondisci

← Torna al blog Parla con noi