• Fattura elettronica, i commercialisti devono proteggere le informazioni da trasmettere

    Non dovranno solo preoccuparsi di come attrezzarsi per spedire, a partire dal prossimo primo gennaio, le fatture in via elettronica, ma dovranno anche riflettere sulla protezione dei dati personali contenuti in quei documenti.

    Il problema riguarda in prima persona i professionisti, a partire dai commercialisti, che rappresentano il principale snodo di raccolta e invio delle fatture, e coinvolge soprattutto le operazioni B2C (business to consumer).

    L’esempio emblematico, anche per la tipologia dei dati che vi possono essere riportati, è quello della parcella dello studio medico, dove di solito è indicato il tipo di visita. Si tratta di informazioni particolari, quelle che prima del Gdpr (il regolamento Ue applicato dal 25 maggio) si definivano”sensibili” (e ora “particolari”) .Dati da proteggere – Una gran massa di dati personali si appresta, dunque, a viaggiare in modalità digitale.

    E questo comporta un problema di protezione. Ci sono almeno due motivi per non sottovalutare la questione: in primo luogo perché i dati personali vanno sempre messi in sicurezza; inoltre, perché le soluzioni verso cui la gran parte degli studi si sta orientando è quella di affidarsi ai servizi cloud: la fattura parte dallo studio del professionista, transita per l’hub del provider e, attraverso lo SdI (il nodo di interscambio dell’Agenzia delle entrate) arriva al destinatario finale.

    Continue Reading…

  • Gli effetti del nuovo regolamento Privacy UE 679/2016

    Il Regolamento UE privacy n. 2016/ 679 (siglato RGPD o GDPR) è in vigore.

    Il 25 maggio 2018 è diventato operativo al 100%. Il nuovo regolamento prevede un’unica serie di norme direttamente applicabili in tutti gli stati dell’Unione.

    Saranno necessari ancora notevoli adeguamenti per determinati aspetti, come la modifica delle leggi esistenti da parte degli stati nazionali o l’istituzione del Comitato europeo per la protezione dei dati da parte delle autorità di protezione dei dati.

    In Italia sono in corso d’opera i decreti legislativi attuativi dell’articolo 13 della legge 163/ 2013 e i provvedimenti del Garante previsti dai commi da 1021 a 1024 della legge 205/ 2017 (legge bilancio per il 2018).

    Il Regolamento UE 2016/ 679 manderà in soffitta la vecchia privacy (anche se non tutto il codice della privacy) e impone alle imprese di adeguarsi (nuovi adempimenti, soprattutto dal lato della sicurezza delle reti e degli archivi).

    Ci saranno effetti sulla conduzione corrente delle imprese e sulla vita quotidiana delle persone. A ricordarlo è stata la Commissione europea, che ha fornito una serie di esempi pratici.

    Partiamo da casi sviluppati dal lato dell’interessato, cioè del soggetto cui si riferiscono i dati personali.

    Alcuni  esempi per  vedere in concreto come si applica un istituto del Regolamento Ue 2016/ 679. 

    Società paghe/ responsabile esterno

    Un’azienda ha molti dipendenti. L’impresa sottoscrive un contratto con una società che si occupa di paghe per il pagamento degli stipendi. Il birrificio comunica alla società di servizi quando devono essere pagati gli stipendi, quando un dipendente cessa dal servizio e ha un aumento di stipendio e fornisce tutte le altre informazioni per l’elaborazione del listino paga e per il pagamento. La società di servizi fornisce il sistema informatico e conserva i dati dei dipendenti. L’azienda è il titolare del trattamento e la società di paghe è responsabile del trattamento.

    Cloud/ responsabile del trattamento

    Una società di vendita al dettaglio decide di conservare una copia dell’archivio dei clienti su un server cloud. A questo scopo viene sottoscritto un contratto con un provider conosciuto per i livelli di alta sicurezza, che si avvale di un sistema certificato di crittografica dei dati. Il cloud provider è un responsabile del trattamento, dal momento che la conservazione dei dati dei clienti della società è effettuata per conto della società commerciale.

    Dpo (responsabile della protezione dei dati, siglabile anche RPD)

    Il DPO è obbligatorio per: un ospedale che tratta una gran quantità di dati sensibili una società che offre servizi di sicurezza ambientale, che fa monitoraggio di centri commerciali e spazi pubblici una piccola società che si occupa di selezione del personale che profila I candidati

    Il DPO non è obbligatorio per: singolo medico che tratta i dati dei propri clienti piccolo studio legale.

    Continue Reading…