Fattura elettronica, i commercialisti devono proteggere le informazioni da trasmettere

Non dovranno solo preoccuparsi di come attrezzarsi per spedire, a partire dal prossimo primo gennaio, le fatture in via elettronica, ma dovranno anche riflettere sulla protezione dei dati personali contenuti in quei documenti.

Il problema riguarda in prima persona i professionisti, a partire dai commercialisti, che rappresentano il principale snodo di raccolta e invio delle fatture, e coinvolge soprattutto le operazioni B2C (business to consumer).

L’esempio emblematico, anche per la tipologia dei dati che vi possono essere riportati, è quello della parcella dello studio medico, dove di solito è indicato il tipo di visita. Si tratta di informazioni particolari, quelle che prima del Gdpr (il regolamento Ue applicato dal 25 maggio) si definivano”sensibili” (e ora “particolari”) .Dati da proteggere – Una gran massa di dati personali si appresta, dunque, a viaggiare in modalità digitale.

E questo comporta un problema di protezione. Ci sono almeno due motivi per non sottovalutare la questione: in primo luogo perché i dati personali vanno sempre messi in sicurezza; inoltre, perché le soluzioni verso cui la gran parte degli studi si sta orientando è quella di affidarsi ai servizi cloud: la fattura parte dallo studio del professionista, transita per l’hub del provider e, attraverso lo SdI (il nodo di interscambio dell’Agenzia delle entrate) arriva al destinatario finale.

Continue Reading…

Cassazione: multa da 66 mila euro ad azienda per utilizzo badge con l’impronta della mano senza l’ok del Garante

0 No tags Permalink 0

Senza l’autorizzazione del Garante della privacy è vietato raccogliere le impronte della mano dei dipendenti, attraverso un badge per vedere se sono presenti. Ora lo sa una Srl, attiva nel settore della raccolta dei rifiuti, condannata dall’Authority a pagare una sanzione di 66 mila euro, per aver violato il Codice sulla protezione dei dati personali. La società aveva installato un sistema di raccolta dei dati biometrici della mano, per rilevare le presenze dei dipendenti. Azione che – ad avviso del Tribunale che aveva condannato il Garante a pagare 30 mila euro per responsabilità aggravata – non provava il trattamento dei dati in violazione della disciplina di settore.

Per i giudici di prima istanza, infatti, le apparecchiature non prelevavano e non trattavano i dati, utilizzati come «individualizzanti e non come identificanti». In più non esisteva alcuna banca dati. Ragione per cui, andava escluso il “trattamento” e non scattava la tutela prevista dal Codice. La Cassazione (Cassazione_25686-2018) è di diverso avviso e accoglie il ricorso del Garante analizzando, in concreto, il funzionamento del dispositivo finito nel mirino dell’Authority.

Continue Reading…

Sentenza della cassazione: l’utente dei social può chiedere i dati dell’identità rubata

Sfuggire all’identificazione per un profilo fake potrebbe essere più difficile, almeno stando alle ultime sentenze. I giudici, infatti, aprono agli elementi indiziari che potrebbero portare a individuare l’autore del reato oltre ogni ragionevole dubbio. Lo ha stabilito la Cassazione, con la sentenza 20485 depositata il 9 maggio scorso, secondo la quale, oltre agli accertamenti tecnici sui dispositivi, pesano anche gli elementi indiziari che, se precisi, gravi e concordanti, possono portare alla condanna.

Così l’indirizzo Ip può identificare il colpevole, anche se proviene da un router aperto, ovvero non protetto da password, se altri elementi fanno convergere verso l’identificazione del fake, come i pregressi rapporti con la vittima, l’età e il contesto in generale. Tuttavia, la scarsa collaborazione dei provider e la possibilità di mascherare il proprio indirizzo Ip da parte degli autori dei reati informatici genera ancora vuoti di tutela.

Chi si muove con abilità in rete sfrutta infatti le falle del sistema. A partire dalla possibilità di utilizzare indirizzi Ip dinamici o camuffati che simulano connessioni da oltreoceano oppure servizi Vpn (Virtual private network) che consentono di non far tracciare il reale indirizzo Ip di chi naviga. A oggi non esiste poi una responsabilità penale diretta dei provider (Google, Facebook) per gli illeciti commessi dagli utenti.

Tuttavia, quando l’Internet service provider viene messo a conoscenza dell’esistenza di un contenuto illecito, l’articolo 17 del Dlgs 70/2003 prevede l’obbligo di informare l’autorità giudiziaria e di collaborare con le autorità per consentire l’identificazione del responsabile. Finora la giurisprudenza, nonostante alcuni tentativi di segno contrario, ha interpretato comunque questo dovere come una fonte di responsabilità esclusivamente civilistica.

Continue Reading…

Gli effetti del nuovo regolamento Privacy UE 679/2016

Il Regolamento UE privacy n. 2016/ 679 (siglato RGPD o GDPR) è in vigore.

Il 25 maggio 2018 è diventato operativo al 100%. Il nuovo regolamento prevede un’unica serie di norme direttamente applicabili in tutti gli stati dell’Unione.

Saranno necessari ancora notevoli adeguamenti per determinati aspetti, come la modifica delle leggi esistenti da parte degli stati nazionali o l’istituzione del Comitato europeo per la protezione dei dati da parte delle autorità di protezione dei dati.

In Italia sono in corso d’opera i decreti legislativi attuativi dell’articolo 13 della legge 163/ 2013 e i provvedimenti del Garante previsti dai commi da 1021 a 1024 della legge 205/ 2017 (legge bilancio per il 2018).

Il Regolamento UE 2016/ 679 manderà in soffitta la vecchia privacy (anche se non tutto il codice della privacy) e impone alle imprese di adeguarsi (nuovi adempimenti, soprattutto dal lato della sicurezza delle reti e degli archivi).

Ci saranno effetti sulla conduzione corrente delle imprese e sulla vita quotidiana delle persone. A ricordarlo è stata la Commissione europea, che ha fornito una serie di esempi pratici.

Partiamo da casi sviluppati dal lato dell’interessato, cioè del soggetto cui si riferiscono i dati personali.

Alcuni  esempi per  vedere in concreto come si applica un istituto del Regolamento Ue 2016/ 679. 

Società paghe/ responsabile esterno

Un’azienda ha molti dipendenti. L’impresa sottoscrive un contratto con una società che si occupa di paghe per il pagamento degli stipendi. Il birrificio comunica alla società di servizi quando devono essere pagati gli stipendi, quando un dipendente cessa dal servizio e ha un aumento di stipendio e fornisce tutte le altre informazioni per l’elaborazione del listino paga e per il pagamento. La società di servizi fornisce il sistema informatico e conserva i dati dei dipendenti. L’azienda è il titolare del trattamento e la società di paghe è responsabile del trattamento.

Cloud/ responsabile del trattamento

Una società di vendita al dettaglio decide di conservare una copia dell’archivio dei clienti su un server cloud. A questo scopo viene sottoscritto un contratto con un provider conosciuto per i livelli di alta sicurezza, che si avvale di un sistema certificato di crittografica dei dati. Il cloud provider è un responsabile del trattamento, dal momento che la conservazione dei dati dei clienti della società è effettuata per conto della società commerciale.

Dpo (responsabile della protezione dei dati, siglabile anche RPD)

Il DPO è obbligatorio per: un ospedale che tratta una gran quantità di dati sensibili una società che offre servizi di sicurezza ambientale, che fa monitoraggio di centri commerciali e spazi pubblici una piccola società che si occupa di selezione del personale che profila I candidati

Il DPO non è obbligatorio per: singolo medico che tratta i dati dei propri clienti piccolo studio legale.

Continue Reading…