Il Garante privacy all’Agenzia delle Entrate: la fatturazione elettronica va cambiata
Il Garante privacy all’Agenzia delle Entrate: la fatturazione elettronica va cambiata, “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”.
Il Garante privacy, ha chiesto all’Agenzia delle Entrate di far sapere con urgenza come intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica.
E’ la prima volta che il Garante esercita il nuovo potere correttivo di avvertimento, attribuito dal Regolamento europeo, attraverso un provvedimento adottato anche a seguito di alcuni reclami.
Questo è un breve sintetico di quanto riportato in un comunicato stampa del 20 Dicembre 2018.
Si inizia a confrontarci con un mondo del tutto nuovo e ampiamente sottovalutato che presenta notevoli risvolti nei rapporti tra privati, aziende e Pubblica Amministrazione.
Come tutte le materie in evoluzione, è necessaria, al fine di ottenere un quadro d’insieme, una breve cronostoria della tutela dei dati personali meglio conosciuta come Legge sulla Privacy.
Il fine della legge non è di impedire il trattamento dei dati, ma di evitare che questo avvenga contro la volontà dell'avente diritto.
In Italia il "diritto alla protezione dei dati personali" era garantito dal primo articolo del “Codice in materia di protezione dei dati personali” (Dlgs 30 giugno 2003, n. 196) che recita:
“Chiunque ha diritto alla protezione dei dati personali che lo riguardano". Tale protezione consiste, oltre che alla garanzia dell'adozione di appropriate misure di sicurezza quando si trattano i dati personali, anche nel diritto alla “riservatezza”.
La definizione di dati personali è data dall’articolo 4, punto b) del Codice: il “dato personale è qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale".
I dati particolari sono la componente dei dati personali formati da dati sensibili e dati giudiziari.
"Dati sensibili" sono i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
"Dati giudiziari" sono i dati personali relativi al casellario giudiziale, alle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o che rivelano la qualità di imputato o di indagato.
Al fine di proteggere la Normativa sulla Privacy fu istituito il "Garante per la protezione dei dati personali", un organo collegiale costituito da quattro membri, eletti due dalla Camera dei deputati e due dal Senato della Repubblica con voto limitato. Essi eleggono nel loro ambito un presidente, il cui voto prevale in caso di parità.
Tra i principali compiti del Garante si evidenziano in particolar modo i seguenti:
1. controllo della conformità dei trattamenti di dati personali a leggi e regolamenti e la segnalazione ai titolari o ai responsabili dei trattamenti delle modifiche da adottare per conseguire tale conformità;
2. esame delle segnalazioni, dei ricorsi e dei reclami degli interessati;
3. controllo, anche a richiesta degli interessati, sui trattamenti dei dati personali effettuati da forze di polizia e dai servizi di informazione e di sicurezza;
4. l’indicazione degli accorgimenti da adottare nell’uso dei dati "semi-sensibili" (introdotti dal d.lg. n. 467/2001
L’informativa, consenso, notificazione, adozione di misure di sicurezza, riscontro del diritto di accesso, sono i principali adempimenti per chi tratta dati personali, sensibili e giudiziari, con particolare rilevanza sulle misure di sicurezza che sono state adottate per la protezione dei dati.
Es. “se viene rubato un computer che contiene dati sensibili e questi dati vengono diffusi, bisogna dimostrare al Garante della Privacy che tutto è stato fatto per la protezione di quel specifico computer, non ultimo la dimostrazione che era dotato di password al fine di impedirne l’accesso a soggetti estranei”.
GDPR Regolamento Europeo per la Protezione dei Dati 679/2016
Data importantissima è il 25 Maggio 2018, entra in vigore il nuovo Regolamento Europeo per la Protezione dei Dati 679/2016 (GDPR).
Il regolamento Cee ha come obiettivo di uniformare tutta la materia in modo univoco all’interno della Comunità Europea, pertanto si delinea un nuovo quadro di adempimenti pesanti e innovativi per aziende e professionisti.
Il perché il Regolamento introduce nuovi principi e nuove figure aziendali "ben diversi" da quelli previsti dalle normative attualmente in vigore circa il trattamento dei dati personali:
1. Perche' le sanzioni pecuniarie previste dalla normative sono elevatissime: possono raggiungere un importo fino al 4% del fatturato totale annuo dell’azienda o fino ad un massimo di 20 milioni di euro.
2. Perché il non adeguarsi comporta rischi notevoli per il Titolare del trattamento dei dati e per la sua azienda! La nuova normativa pone nei confronti del Titolare obblighi e responsabilità più complessi con la necessità di "dover dimostrare" quanto posto in essere ai fini dell'adeguamento”.
3. Perché le novità riguardano anche documenti e rapporti che diamo per scontati quali l'Informativa per il consenso e i contratti di servizi. Quest’ultimi, nella maggior parte dei casi, andranno sicuramente rivisti, nell'ottica di una conformità con quanto previsto dal nuovo Regolamento.
Tommaso Magno
Articolo del:
