ICO: sanzioni per poca trasparenza e consenso illecito

ICO: sanzionata azienda per poca trasparenza e consenso non informato

Marketing, informativa e consenso si confermano criticità da non sottovalutare

Il 9 aprile scorso l’autorità di controllo del Regno Unito (Information Commissioner’s Office, ICO) ha emesso un provvedimento sanzionatorio per 400.000 sterline (circa 460.000 euro) per aver illecitamente condiviso con terze parti i dati personali appartenenti a oltre 14 milioni di persone.

Il fatto.

Nell’ambito degli accertamenti messi in atto dall’ICO, è stato rilevato che la Bounty Limited avesse raccolto informazioni personali ai fini della registrazione e dell’iscrizione tramite differenti modalità, tra cui il suo sito web e la sua app per smartphone, schede di richieste di merchandise e direttamente da nuove madri ai letti d’ospedale.

La società gestisce un sito web che fornisce informazioni, consigli e supporto in gravidanza e genitorialità per le mamme nuove e incinte, offrendo anche prodotti a supporto delle famiglie nella transizione alla genitorialità, dalla gravidanza alla nascita, dall’infanzia all’asilo. Inoltre, gestisce anche una comunità online che consente alle famiglie di condividere problemi, preoccupazioni, suggerimenti e risultati con una rete di supporto di mamme che stanno attraversando la stessa situazione; ancora, fornisce prodotti e servizi, come borse e pacchetti di campioni di prodotti, invii postali e newsletter, ritratti e servizi di pubblicazione settimanali. Infine, gestisce Bounty Boutique, un negozio online che vende giocattoli, coperte e mussole, carte e accessori (fonte: Bloomberg).

Durante le indagini è emerso altresì che la società avesse operato, sino al 30 aprile dello scorso anno, anche trasferendo i dati raccolti, cedendoli, a soggetti terzi per finalità di marketing diretto tramite modalità elettroniche, per un ammontare di oltre 34 milioni di record tra giugno 2017 e aprile 2018. Tali dati sono stati ceduti a un totale di 39 organizzazioni (tra cui le quattro di maggior rilievo sono Acxiom, Equifax, Indicia e Sky) operanti nel credito al consumo e nel marketing.

I dati personali condivisi erano riferibili a neomamme o future madri, neonati o bambini molto piccoli e includevano, oltre alla data di nascita e al sesso del bambino, anche altre informazioni particolarmente meritevoli di tutela.

Inoltre, il procedimento ispettivo ha rilevato che per le registrazioni online, sebbene l’informativa sul trattamento dei dati personali resa da Bounty fornisse “una descrizione ragionevolmente chiara delle organizzazioni con le quali potevano condividere le informazioni”, non indicava in modo esplicito nessuno dei quattro maggiori destinatari sopra citati.

Infine, è risultato che le finalità di marketing (anche da parte di terzi) non soggiacessero al cosiddetto otp-in, ossia un’espressione libera, volontaria, chiara, inequivocabile e specifica del consenso degli interessati.

Le ragioni della sanzione.

Secondo la legislazione del Regno Unito, pertanto, la Bounty ha violato il Data Protection Act del 1998 (il loro omologo del nostro Codice privacy), condividendo le informazioni in suo possesso con un numero di organizzazioni terze senza rendere un’idonea informativa, in particolare sotto al profilo della chiarezza al riguardo di tale attività di trattamento, agli interessati.

Steve Eckersley, dell’ICO, ha dichiarato:

Il numero di documenti personali e di persone coinvolte in questo caso non ha precedenti nella storia delle indagini condotte dall’ICO nei settori dell’intermediazione di dati e delle organizzazioni collegate a questo.

Bounty non ha tenuto un comportamento aperto e trasparente verso le milioni di persone interessate, che, quindi, non erano a debita conoscenza del fatto che i loro dati personali potessero essere trasmessi a un numero così grande di organizzazioni. Qualsiasi consenso dato da queste persone era chiaramente non informato. Le azioni di Bounty sembravano essere state motivate dal guadagno finanziario, dato che la condivisione dei dati era una parte integrante del loro modello di business al momento.

Tale sconsiderata condivisione di dati potrebbe aver causato disagio a molte persone, dal momento che non sapevano che le loro informazioni personali venissero condivise più volte con così tante organizzazioni, incluse le informazioni sul loro stato di gravidanza e sui loro figli”.

Dopo Google, un altro caso.

Solo poche settimane fa un’altra autorità di controllo, la CNIL, aveva sanzionato Google per la stessa ragione (qui l’articolo).

Appare sempre più chiaro, quindi, la centralità della trasparenza e della completezza delle informazioni da rendere alle persone di cui si vogliono trattare i dati personali, sulla base delle quali esse possono esprimere un consenso regolare oppure rifiutarci il trattamento per determinate finalità.

Ne consegue che determinare il contenuto di un’informativa, disciplinata dagli articoli 13 e 14 del GDPR e dalle linee guida dell’EDPB sulla trasparenza, non è così semplice e dovrebbe essere oggetto di una progettazione approfondita, poiché dovrebbe rispecchiare in modo fedele l’ambito e il contesto a cui si deve riferire.

L’attenzione al dettaglio non è mai troppa e la sanzione, come abbiamo visto, è dietro l’angolo e potrebbe non essere irrisoria.


Fonte: Fiscal Focus

Anche i defunti hanno la loro privacy.

Anche i defunti hanno la loro privacy.

Considerazioni sul trattamenti di dati di persone decedute, alla luce del GDPR e del nuovo Codice privacy.

Considerazioni generali.

Il GDPR, in alcuni ambiti, ha lasciato un certo margine di discrezionalità agli Stati membri, concedendo loro la possibilità di legiferare in alcuni ambiti molto specifici. Il legislatore italiano, perciò, ha ritenuto opportuno, anche nel segno di una certa continuità di pensiero e di approccio, mantenere quasi inalterato l’assetto normativo posto a tutela della privacy dei defunti.

Si è così passati dal vecchio art. 9, co. 3 (che prevedeva che i diritti riferiti a dati personali concernenti persone decedute potessero essere esercitati da chi avesse un interesse proprio, o agisse a tutela dell’interessato o per ragioni familiari meritevoli di protezione), al neo-introdotto dal Dlgs 101/2018 art. 2-terdecies (“Diritti riguardanti le persone decedute”), il quale inizia prevedendo che i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.

Oggigiorno, tuttavia, è divenuto necessario spingersi oltre. Per tale ragione, il legislatore nazionale ha evoluto e migliorato il precedente disposto normativo aggiungendo che l’esercizio di tali diritti non è ammesso nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della società dell’informazione (per esempio, quelli forniti tramite social network), l’interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata.

La volontà dell’interessato di vietare l’esercizio dei diritti deve risultare in modo non equivoco e deve essere specifica, libera e informata e può riguardare tutti o solo alcuni dei diritti in oggetto.

Chiaramente, l’interessato ha in ogni momento il diritto di revocare o modificare il suo divieto e, in ogni caso, tale divieto non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi.

Il caso pratico: la richiesta di accesso civico.

Il principio è stato confermato dalla nostra autorità di controllo attraverso un parere fornito a una Azienda sanitaria, nell’ambito del riesame di un provvedimento di rigetto, riguardante un accesso civico a dati sanitari di un soggetto, paziente, defunto. “La richiesta – si legge nella newsletter del Garante –, relativa ad un caso di presunta malasanità, era stata rivolta all’azienda sanitaria da una persona che attraverso il cosiddetto “Foia” intendeva avere accesso agli atti di audit clinico e agli approfondimenti condotti dal risk manager”. Tale tipo di documentazione, per sua natura, può contenere una pluralità d’informazioni di carattere particolare e oltremodo riservate.

Perciò, relativamente alla richiesta di accesso alla documentazione sanitaria, il Garante ha dichiarato che quel tipo d’informazioni “non sono accessibili con il Foia”. Il Dlgs 196/2003 novellato, infatti, vieta esplicitamente la diffusione di dati relativi alla salute, pertanto non è permesso darne “conoscenza a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”.

Il fatto, quindi, è incluso anche in una delle ipotesi per cui si esclude il diritto di accesso civico previste dalla normativa sulla trasparenza. Per tale ragione, il Garante ha giustamente riconosciuto la ragione del titolare del trattamento (l’Azienda sanitaria), il quale, pur con una motivazione sintetica, aveva correttamente respinto l’istanza di accesso.

Riflessioni sulle similitudini.

Il caso realmente accaduto ci offre alcuni spunti di riflessione per quanto potrebbe accadere negli Studi professionali di chi offre consulenza e servizi in materia amministrativa, fiscale, tributaria, di consulenza sul lavoro o similari.

È possibile (sta in capo al titolare determinarne la probabilità di accadimento) che qualcuno richieda di accedere a dati riferiti a clienti deceduti.

Il primo passo è senza dubbio quello di identificare il richiedente e circoscrivere le sue finalità: chi è? Cosa vuole? Perché sta chiedendo di accedere a quei dati? È chiaro che se costui ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione gli si deve concedere, altrimenti, no, fermo restando che ciò può essere vietato anche in presenza di specifici casi previsti dalla legge.

Un esempio concreto.

Una persona (A), parente di un defunto amministratore d’impresa (B), si presenta presso lo Studio e esercita il diritto di accesso ai dati personali (art. 15 del GDPR) , in particolare al fascicolo del cliente.

B, quale amministratore, era stato censito ai sensi della normativa antiriciclaggio e, nell’ambito delle attività quotidiane dello Studio, era stato segnalato alle autorità competenti, che avevano istruito un procedimento ispettivo nei suoi confronti e nei confronti dell’impresa che amministrava, poiché sospettato di riciclaggio e finanziamento del terrorismo.

In questo caso, il titolare dello Studio, dovrebbe rifiutare l’accesso ai dati e tale diniego sarebbe supportato dall’art. 23 del GDPR e dall’art. 39 del Dlgs 231/2007, il quale prevede, con il suo primo comma, che, sia vietato ai soggetti tenuti alla segnalazione di un’operazione sospetta e a chiunque ne sia comunque a conoscenza, di dare comunicazione al cliente interessato o a terzi dell’avvenuta segnalazione, dell’invio di ulteriori informazioni richieste dalla UIF o dell’esistenza ovvero della probabilità di indagini o approfondimenti in materia di riciclaggio o di finanziamento del terrorismo.


Fonte: Fiscal Focus

Consulenti del lavoro: titolari o responsabili?

Consulenti del lavoro: titolari o responsabili?

Il Garante per la privacy ha precisato il ruolo e le responsabilità dei consulenti del lavoro nel trattamento dei dati personali della clientela alla luce del GDPR, identificandoli come “responsabili del trattamento” quando trattano i dati dei dipendenti dei clienti in base all’incarico da questi ricevuto.

Il fatto.

La questione si trascinava dalla scorsa estate, quando prima l’Ordine dei consulenti del lavoro di Lecce e poi la presidenza del consiglio nazionale avevano inizialmente consigliato caldamente ai propri associati di non accettare contratti di consulenza in ambito privacy e poi sottolineato come questi agissero in qualità di titolari del trattamento anche nei confronti dei dati affidati loro dai rispettivi clienti.

All’epoca, ne era scaturita una accesa discussione tra gli addetti ai lavori, che si erano divisi tra le due fazioni: “consulente-titolare”, difesa dai consulenti stessi e “consulente-responsabile”, sostenuta da chi si occupa professionalmente di privacy.

Con una serie di comunicazioni ufficiali iniziate il 24 settembre 2018, il Consiglio nazionale dei consulenti del lavoro ha poi sottoposto al Garante un quesito relativo al ruolo della loro categoria alla luce del GDPR, con particolare riferimento alle qualificazioni di “titolare” e di “responsabile” del trattamento, richiamando la sua circolare n° 1150 del 23 luglio 2018, nella quale si affermava che “il consulente del lavoro nelle attività di trattamento di dati dei propri clienti e dei dipendenti di questi ultimi, non potrà che assumere la qualifica di titolare del trattamento” e che fosse “possibile ritenere configurabile, al più, una fattispecie di co-titolarità”.

L’opinione del Garante.

Il Garante, con la sua risposta del 22 gennaio 2019, fa innanzi tutto notare che il GDPR, in merito all’individuazione dei ruoli di titolare e responsabile ed alla distribuzione della relativa responsabilità, conferma quanto già prefigurato nella Direttiva 95/46/CE che ha generato prima la L 675/1996 e poi il Dlgs 196/2003 (il Codice privacy). Infatti, il titolare del trattamento è definito come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”, mentre il responsabile del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Alla luce di ciò, è bene considerare che il consulente del lavoro può trovarsi a operare in due contesti distinti:

  1. Quando tratta i dati dei propri dipendenti ovvero dei propri clienti (persone fisiche) nella sua qualità di professionista; e
  2. Quando tratta i dati dei dipendenti del cliente.

Nel primo caso il consulente del lavoro agisce in piena autonomia e indipendenza ed è il titolare del trattamento.

Nel secondo caso, al contrario, si configura come responsabile, poiché agisce nell’ambito dello svolgimento di attività delegate dal cliente (titolare, in questo caso) il quale, in funzione delle sue scelte organizzative, può individuare un soggetto particolarmente qualificato allo svolgimento delle attività tipicamente affidate al consulente del lavoro.

L’articolo 28 del GDPR ha precisato e delimitato i compiti che possono essere attribuiti dal titolare al responsabile, individuando espressamente l’ambito delle rispettive responsabilità e gli obblighi di cooperazione cui è tenuto il responsabile esclusivamente in funzione delle attività svolte per conto del titolare che gliele ha esternalizzate. Il soggetto che svolge tali attività, quindi, tratta le informazioni relative ai lavoratori utilizzando i dati raccolti dal datore di lavoro per realizzare le sue finalità, nonché in base ai criteri e alle direttive da questo impartite relativamente alla gestione del rapporto di lavoro subordinato.

Pertanto, il Garante ritiene che, sebbene le prestazioni normalmente svolte dal consulente del lavoro si fondino sulla L 12/1979 sull’ordinamento della professione di consulente del lavoro, resti pur sempre il datore di lavoro ad affidare al consulente il relativo incarico, cosa che non lo libera dall’assunzione delle responsabilità previste dal nostro ordinamento in caso di violazione degli obblighi giuslavoristici.

Il Garante, inoltre, sottolinea che, nell’ipotesi in cui il trattamento dei dati relativi ai propri clienti da parte del consulente del lavoro, la base giuridica che legittima il trattamento sia l’esecuzione del contratto di servizio.

Diversamente, qualora il consulente del lavoro agisca come responsabile del trattamento, la base normativa che lo legittima a trattare i dati personali riguardanti i lavoratori del datore di lavoro va individuata nel contratto di lavoro subordinato in cui il datore di lavoro/titolare è parte: ciò fa sì che la legittimità del trattamento si “trasferisca” alle operazioni svolte dal consulente del lavoro in ragione del contratto di sua designazione a responsabile del trattamento.

Perciò non è configurabile il rapporto di contitolarità tra datore di lavoro e consulente del lavoro.

Conclusioni.

La risposta del Garante, dunque, non stupisce affatto e, anzi, fornisce importanti spunti di riflessione anche per tutti gli altri ordini professionali regolamentati quali, per esempio, i commercialisti, gli avvocati, o i medici competenti.

Tutti loro hanno le medesime caratteristiche dei consulenti del lavoro: operano come responsabili quando agiscono in nome e per conto di chi ha affidato loro un incarico professionale che preveda il trattamento di dati personali di persone terze rispetto alle due parti che sottoscrivono il mandato o il contratto di servizio.

Tutto ciò, in conclusione e a parere di chi scrive, non dovrebbe essere vissuto come qualcosa di negativo o uno svilimento della professionalità. In primo luogo perché è quanto previsto dal GDPR e, secondariamente, perché rendere “responsabile” qualcuno, paradossalmente, significa affidargli solo una parte di tutte le responsabilità oggettive e soggettive, civili, amministrative e penali che qualsiasi trattamento di dati pone in carico al titolare del trattamento.

Chiaramente, bisognerà costruire un buon contratto o mandato e rispettarlo pedissequamente.


Fonte: Fiscal Focus

DPIA: il Garante fornisce chiarimenti interpretativi

DPIA: il Garante fornisce chiarimenti interpretativi

Primo intervento del Garante privacy per semplificare l’applicazione dei dodici criteri secondo cui è necessario procedere con la DPIA.

Sono passati appena quattro mesi esatti dall’11 ottobre 2018, giorno in cui il Garante per la Protezione dei Dati Personali pubblicava, come allegato a un suo provvedimento, l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679, elenco che reca dodici casi tipo e che possono aiutare a determinare se sia o meno dovuta una DPIA nell’ambito della propria organizzazione.

La nota interpretativa.

Oggi, sul sito dell’Autorità, per rendere le cose più semplici e ridurre gli oneri a carico dei titolari del trattamento, è stato pubblicata una nota interpretativa che rende estremamente più circostanziati alcuni dei casi di cui sopra.

Dal sito, nella sezione dedicata alla DPIA, si legge che:

<<Si evidenzia come le espressioni trattamenti “sistematici” e “non occasionali” indicate nell’Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della “larga scala” così come espressamente illustrato al quinto criterio del WP 248 (pag. 11):

“5. trattamento di dati su larga scala: il regolamento generale sulla protezione dei dati non definisce la nozione di “su larga scala”, tuttavia fornisce un orientamento in merito al considerando 91. A ogni modo, il WP29 raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:

  1. Il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
  2. Il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  3. La durata, ovvero la persistenza, dell’attività di trattamento;
  4. La portata geografica dell’attività di trattamento;”

Si evidenzia inoltre che il termine “dati biometrici” di cui al punto 11 dell’Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto va inteso come “dati biometrici, trattati per identificare univocamente una persona fisica”>>.

Nello specifico i criteri la cui interpretazione è stata fornita dal Garante con la nota odierna, andrebbero riletti come segue:

  • Criterio n° 6: Trattamenti non occasionali e su larga scala di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo).
  • Criterio n° 11: Trattamenti sistematici e su larga scala di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.
  • Criterio n° 12: Trattamenti sistematici e su larga scala di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

Conseguenze per i commercialisti e gli esperti contabili.

Alla luce della nota interpretativa fornita dal Garante, si può affermare con ragionevole certezza che i criteri 11 e 12 continuino a non trovare applicazione per gli studi dei professionisti e dei lettori-tipo di Fiscal Focus.

Lo stesso, purtroppo, non è possibile affermarlo in modo assoluto per il criterio n° 6, la cui applicabilità dovrà essere, di volta in volta, valutata caso per caso. Si pensi, per esempio, a chi si trova a gestire la contabilità di una casa di cura; in questo caso, trovo sia presente la possibilità che si vadano a trattare in modo regolare e sistematico i dati (per esempio la regolarità nei pagamenti delle rette o delle prestazioni) dei cosiddetti “soggetti vulnerabili”.


Fonte: Fiscal Focus

CNDCEC: nuove regole tecniche antiriciclaggio per i professionisti

CNDCEC: nuove regole tecniche antiriciclaggio per i professionisti

Il Consiglio nazionale dei dottori commercialisti e degli esperti contabili interviene con tre regole tecniche sulla prevenzione al riciclaggio e al finanziamento del terrorismo.

Le regole tecniche.

Il 23 gennaio 2019, con l’informativa n° 8/2019, il CNDCEC ha diramato le regole tecniche emanate ai sensi del Dlgs 231/2007, art. 11, co. 2.

Il Consiglio, in qualità di organismo di autoregolamentazione, ha predisposto tali regole rivolgendole a tutti gli iscritti all’Albo. Esse trattano specificamente tre dei principali obblighi in materia di antiriciclaggio:

  • L’autovalutazione del rischio;
  • L’adeguata verifica della clientela;
  • La conservazione dei documenti.

Le regole tecniche sono contenute nel documento intitolato “Obblighi di valutazione del rischio, adeguata verifica della clientela, conservazione dei documenti, dei dati e delle informazioni: regole tecniche ai sensi dell’art. 11, co. 2, del d.lgs. 231/2007 come modificato dal d.lgs. 25 maggio 2017, n. 90”.

Al fine di consentire agli iscritti l’apprendimento e la corretta applicazione delle presenti regole tecniche, il CNDCEC promuoverà specifiche attività di formazione nei prossimi sei mesi. Decorso tale periodo le regole tecniche saranno considerate vincolanti per gli iscritti.

L’autovalutazione del rischio.

L’autovalutazione del rischio consiste nella presa di coscienza delle criticità e degli aspetti di forza dell’organizzazione di ogni singolo professionista o studio professionale. È, perciò, intimamente legata ad aspetti propri di ciascun’organizzazione, quali:

  • Tipologia di clientela;
  • Area geografica di operatività;
  • Canali distributivi (riferito alla modalità di esplicazione della prestazione professionale, anche tramite collaborazioni esterne, corrispondenze, canali di pagamento, ecc.);
  • Servizi offerti;
  • Formazione propria e dei collaboratori;
  • Organizzazione degli adempimenti di adeguata verifica della clientela;
  • Organizzazione degli adempimenti relativi alla conservazione dei documenti, dati e informazioni;
  • Organizzazione in materia di segnalazione di operazioni sospette e comunicazione delle violazioni alle norme sull’uso del contante.

Particolarmente significativa è l’indicazione di istituire la funzione antiriciclaggio e/o quella di revisione indipendente:

  • Per 2 o più professionisti nello stesso studio (una sede o più), occorre introdurre la funzione antiriciclaggio e nominare il relativo responsabile;
  • Per più di 30 professionisti e più di 30 collaboratori nello stesso studio (una sede o più), occorre introdurre la funzione antiriciclaggio, nominare il responsabile antiriciclaggio e introdurre una funzione di revisione indipendente per la verifica dei presidi di controllo.

L’adeguata verifica della clientela.

Riprendendo un modus operandi già consolidato nel tempo, sin dalla prima versione del decreto del 2007, il CNDCEC pone grande importanza sulle attività di adeguata verifica della clientela.

Per agevolare i soggetti obbligati, sulla base di studi effettuati nel tempo, ha raggruppato in due distinte e specifiche tabelle le prestazioni ritenute a rischio non significativo e quelle ritenute a rischio poco significativo, abbastanza significativo e molto significativo.

La valutazione del rischio inerente la clientela muove dai due elenchi di cui sopra e si completa con l’ormai classica compilazione delle tabelle A e B che aiutano il professionista a determinare i libelli di rischio specifico connesso al cliente e alla prestazione professionale.

A seconda del risultato ottenuto, la regola tecnica n° 2 definisce le misure di adeguata verifica, che possono consistere nella semplice applicazione di regole di condotta o nelle misure semplificate, ordinarie o rafforzate di verifica.

La conservazione dei dati e delle informazioni.

La conservazione ha come obiettivo quello di impedire la perdita o la distruzione dei documenti e di mantenere nel tempo le loro caratteristiche di integrità, leggibilità e reperibilità. Può essere cartacea, informatica o una combinazione delle due, purché i sistemi adottati garantiscano il rispetto della normativa in materia di protezione dei dati personali e il loro trattamento esclusivamente per le finalità di cui al Dlgs 231/2007.

Nell’ambito di tali possibilità di conservazione, i professionisti possono continuare ad alimentare gli archivi cartacei o informatici quali il registro cartaceo o l’archivio informatico, integrando secondo quanto previsto dalle nuove disposizioni i dati relativi al titolare effettivo e alle informazioni sullo scopo e la natura del rapporto ed elidendo i dati non più obbligatori.

Qualunque sia il sistema di conservazione prescelto, occorrerà individuare i profili di autorizzazione dei vari componenti l’organizzazione e collaboratori e individuare uno o più responsabili della conservazione ai fini del rispetto della normativa in materia di protezione dei dati personali. Il sistema di conservazione prescelto deve garantire l’accesso ai documenti, alle informazioni e ai dati cartacei per il periodo prescritto dalla norma.

Aspetti legati al GDPR e criticità.

Quanto emerge dalla lettura delle regole tecniche mette in evidenza, ancora una volta, le norme in materia di protezione dei dati (il GDPR e il Codice privacy su tutte) siano da intendersi come foriere di indicazioni operative che permeano trasversalmente gli assetti organizzativi di qualunque soggetto, siano essi singoli professionisti o grandi studi associati.

Gli esiti delle valutazioni dei rischi non possono prescindere dalla bontà complessiva dei dati e delle informazioni su cui si basano; se non fossero rispettati i principii legati ai trattamenti dei dati, se i dati non fossero “buoni”, commettere errori che possono portare a segnalazioni non dovute o all’omissione di segnalazioni dovute, per esempio, può diventare estremamente probabile.

Un assetto organizzativo adeguato, quindi, è fondamentale; e rispettare quanto disposto dal CNDCEC può offrire una difesa in caso di controllo da parte del Garante o della Guardia di Finanza, in quanto assimilabili a codici di condotta.

Particolarmente rilevante diviene l’affidabilità di chi fornisce prestazioni o servizi esterni, sia per la ripartizione delle responsabilità, sia per quanto riguarda le misure di privacy by design e di privacy by default legate a strumenti informatici quali server, cloud, piattaforme varie, registri e quant’altro.

Infine, sorge un dubbio sul reale significato della locuzione “responsabili della conservazione” e “sistema di conservazione”: sono da intendere nelle accezioni definite dalla normativa in materia di conservazione a norma, in particolare dall’articolo 7, co. 1 del DPCM del 3 dicembre 2013 relativo alle regole tecniche in materia di sistemi di conservazione, o è un semplice caso di omonimia?


Fonte: Fiscal Focus

Controllo a distanza dei lavoratori, privacy e INL

Controllo a distanza dei lavoratori, privacy e INL

Le novità e gli adempimenti da affrontare alla luce del nuovo contesto normativo

L’attività di telecontrollo dei lavoratori è uno degli aspetti maggiormente critici della vita di un’impresa. Sin dal 1970, con lo Statuto dei lavoratori, il Legislatore nazionale si è preoccupato di disciplinare l’argomento andando a definire, in particolare, gli obblighi dei datori di lavoro e i diritti dei lavoratori. Nel tempo, lo Statuto ha subìto numerose modificazioni ed è stato affiancato da altri testi normativi, in particolare quelli che trattano di protezione dei dati personali, di cui il Codice privacy e il GDPR sono la massima espressione in questo momento. Una doverosa premessa è che la legge considera eguali sia le attività volontariamente messe in atto per controllare, sia quelle che generano la mera possibilità di farlo. Questo è sicuramente un approccio prudenziale. L’art. 4 dello Statuto dei lavoratori, prevede che “gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali”. L’oggetto della norma, quindi, è limitato agli strumenti e alla possibilità che avvenga il controllo a distanza, a prescindere che sia effettivamente messa in atto o meno; in questa frase, inoltre, vengono esplicitati gli unici presupposti di liceità del trattamento, qualora sia effettuato su base volontaria (per esempio, nei locali adibiti a sale per le videolottery, le telecamere DEVONO essere installate, perché previsto per legge) e viene posto il vincolo dell’accordo sindacale. “In mancanza di accordo”, prosegue l’art. 4, “gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro”. A onor del vero, l’articolo contiene anche altre indicazioni, ma non sono pertinenti in questa sede. Recentemente, il Ministero del Lavoro e delle Politiche Sociali ha definito i nuovi standard per procedere con l’inoltro dell’istanza di autorizzazione all’impiego di strumenti che permettono il controllo a distanza dei lavoratori (per esempio gli impianti di videosorveglianza o di rilevazione satellitare tramite rete GPS), pubblicando sul sito dell’Ispettorato Nazionale del Lavoro la modulistica da presentare per ottenerla. Compilare i campi richiesti è un’operazione semplice. L’insidia risiede in un dettaglio che, se ignorato, rischia di generare enormi ripercussioni sul piano amministrativo e penale. In tutti i moduli (videosorveglianza, GPS e “altri mezzi”), infatti, è presente una dichiarazione che il legale rappresentante presta come dichiarazione sostitutiva ai sensi dell’art. 46 del DPR 445/2000 e punita penalmente, in caso di mendacità, ai sensi del successivo art. 76, oltre che con la decadenza dai benefici eventualmente conseguenti al provvedimento emanato sulla base di una dichiarazione non veritiera. La dichiarazione, tra le altre cose, include due aspetti chiave:
  • Che si provvederà ad informare tutti i lavoratori, come previsto dallo Statuto dei lavoratori;
  • Che sarà rispettata la disciplina dettata dal GDPR.
I verbi sono al futuro perché l’autorizzazione dovrebbe essere richiesta prima di procedere e iniziare il trattamento dei dati, non successivamente. La parte complicata è fare in modo che il sistema di telecontrollo sia conforme ai dettami sulla privacy: compilare il modulo per l’istanza e scrivere le relazioni tecniche richieste non è assolutamente sufficiente, ed è doveroso procedere almeno con:
  • La conduzione di una valutazione d’impatto, focalizzata sul trattamento considerato (attenzione al coinvolgimento del Garante, nel caso risultassero rischi elevati per i diritti e le libertà delle persone);
  • La predisposizione di adeguate evidenze in materia di privacy by design e privacy by default, tra cui una certificazione da parte dell’eventuale installatore o manutentore;
  • Il censimento dell’attività nel registro dei trattamenti;
  • La predisposizione di specifiche informative;
  • La predisposizione di una procedura e di una politica interna che disciplinino specificamente l’argomento e che siano coerenti con gli altri documenti già presenti (per esempio il contratto collettivo, il regolamento interno o il codice disciplinare);
  • L’individuazione di persone autorizzate al trattamento, avendo cura di procedere contestualmente con la specificazione dei poteri operativi in caso si usino strumenti informatizzati (di amministratore di sistema o di utente).
Non essere conformi a quanto disposto dal GDPR, implica una non conformità anche sugli obblighi disposti dal Codice privacy e dallo Statuto dei lavoratori e, conseguentemente, pone il legale rappresentante nella posizione di rendere una dichiarazione non veritiera. Tutto ciò, comporta sanzioni di carattere amministrativo (per esempio ai sensi dell’art. 83 del GDPR) e penale (per esempio ai sensi dell’art. 76 del DPR 445/2000 e dall’art. 38 dello Statuto dei lavoratori).
Fonte: Fiscal Focus

Google vs CNIL: quando la trasparenza costa 50 milioni

Google vs CNIL: quando la trasparenza costa 50 milioni

L’autorità di controllo francese ha sanzionato Google, sulla base del GDPR, per non essere stata trasparente e non aver individuato le basi giuridiche per fare pubblicità

Con il GDPR, l’intero territorio dell’UE vede applicare le medesime sanzioni amministrative pecuniarie in materia di privacy. Lo stesso si può affermare anche per tutte quelle entità che, pur non essendo stabilite in Europa, qui hanno i loro affari, anche attraverso le loro filiali sul territorio. È questo il caso di Google LLC, la famosa società californiana.

La CNIL, l’omologo francese del nostro Garante privacy, che già sul finire del 2018 aveva provveduto a sanzionare altri colossi come Uber e Bouygues Télécom, rispettivamente per 400.000 € e per 250.000 €, ha recentemente sanzionato il colosso di Mountain View con una sanzione amministrativa pecuniaria pari a 50 milioni di Euro. L’impianto sanzionatorio del GDPR L’articolo di riferimento è l’83, par. 5, che prevede sanzioni fino a 20 milioni o fino al 4% del fatturato, se superiore (è evidente che siamo di fronte al caso in cui il 4% è superiore), in particolare per le violazioni che impattano sui diritti degli interessati. In questo caso, l’informativa e la definizione delle basi giuridiche sulle quali procedere con il trattamento (tra cui, ricordiamo, il consenso). Il comunicato della CNIL Come si legge sul sito istituzionale dell’autorità francese, relativamente alla delibera di 31 pagine con sui si argomenta la decisione sanzionatoria, il 21 gennaio 2019, la CNIL ha pronunciato una sanzione per mancanza di trasparenza, informazioni insoddisfacenti e mancanza di valido consenso per la personalizzazione di pubblicità. Il 25 e il 28 maggio 2018, la CNIL aveva ricevuto reclami collettivi da parte di due associazioni distinte. In questi due reclami, le associazioni evidenziavano come Google non avesse una valida base giuridica per trattare i dati personali degli utenti dei suoi servizi, in particolare ai fini della personalizzazione della pubblicità. la CNIL, quindi, iniziò immediatamente a indagare, coinvolgendo le sue controparti europee, in particolare l’autorità di protezione irlandese in cui si trovano le sedi europee di Google. L’istruttoria, alla data in cui la CNIL iniziò i suoi lavori, aveva evidenziato come l’establishment irlandese non avesse alcun potere decisionale sui trattamenti effettuati nell’ambito del sistema operativo Android e sui servizi forniti da Google LLC in relazione alla creazione di un account utente durante la configurazione di un telefono cellulare. In altre parole, la filiale irlandese non poteva essere considerata titolare del trattamento e, in ragione del fatto che il principio dello “sportello unico” (art. 56 del GDPR) non fosse applicabile, la CNIL era da ritenersi competente a condurre ispezioni e prendere decisioni sui trattamenti attuati da Google LLC. Al termine delle indagini, la CNIL aveva così rilevato due grandi mancanze. Una violazione degli obblighi di trasparenza e di informazione In primo luogo, è stato valutato che le informazioni fornite da Google non fossero facilmente accessibili agli utenti e nemmeno sempre chiare e comprensibili. Gli utenti, pertanto, non erano nella condizione di comprendere l’entità dei trattamenti messi in atto, particolarmente massivi e invadenti. In particolare, le finalità risultavano descritte in modo troppo generico e vago. Allo stesso modo, le informazioni fornite non erano sufficientemente chiare per consentire all’utente di comprendere che la base giuridica dei trattamenti di personalizzazione della pubblicità fosse il consenso e non l’interesse legittimo di Google. Infine, mancava l’indicazione del periodo di conservazione. Mancanza della base giuridica per i trattamenti di personalizzazione della pubblicità Secondo la CNIL, Google faceva affidamento sul consenso degli utenti per trattare i dati per scopi di personalizzazione della pubblicità. Tuttavia, è stato ritenuto che il consenso non fosse stato validamente raccolto per due ragioni. Innanzitutto, il consenso dell’utente non era sufficientemente informato. In secondo luogo, è risultato che il consenso ottenuto non fosse né “specifico”, né “non ambiguo”: infatti, non solo l’utente doveva cliccare sul tasto dedicato per accedere alle impostazioni avanzate, ma la visualizzazione degli annunci personalizzati risultava preselezionata per impostazione predefinita. La sanzione La CNIL, quindi, ha condannato Google al pagamento di una sanzione amministrativa di 50 milioni di euro e alla sua pubblicazione. Questa è la prima volta che un’autorità europea applica le sanzioni massime previste dal GDPR. L’importo e la pubblicità della sanzione sono giustificati dalla gravità delle carenze riscontrate che riguardano i principii essenziali del GDPR: trasparenza, informazione e consenso. Inoltre, le carenze indicavano continue violazioni, non limitate a una data breach puntuale, limitata nel tempo. Osservazioni pratiche Da quanto disposto con la delibera della CNIL, emerge come un elemento apparentemente così semplice, come l’informativa da rendere ai sensi degli artt. 13 e/o 14 del GDPR, sia fattualmente un punto estremamente critico le cui caratteristiche, qualora non fossero rispondenti ai criteri di trasparenza, intelligibilità e facilità di accesso, possono comportare, oltre a un vizio nel conferimento del consenso, l’erogazione di pesanti sanzioni a livello amministrativo. Quelle della fascia più alta, tra le due definite dal GDPR. È chiaro, quindi, che scrivere un’informativa non adeguata non è solo “facile”, ma è anche estremamente grave. Non solo per Google LLC.

Fonte: Fiscal Focus
 

Nuove regole deontologiche in ambito privacy: focus sulle investigazioni difensive

Nuove regole deontologiche in ambito privacy: focus sulle investigazioni difensive

Le Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria non si limitano solo ad avvocati e investigatori privati

Recentemente sono state pubblicate le Regole deontologiche varate dal Garante per armonizzare e adeguare i vecchi Codici di condotta al GDPR e che si prefiggono di integrare le condizioni di liceità e correttezza dei trattamenti negli ambiti a cui si riferiscono in modo esclusivo, ossia:

  1. Attività giornalistica;
  2. Statistici o ricerca scientifica;
  3. Statistica o di ricerca scientifica nell’ambito del Sistema Statistico nazionale;
  4. Investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria;
  5. Archiviazione nel pubblico interesse o per scopi di ricerca storica.
Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria Si applicano al trattamento di dati personali per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria, sia nel corso di un procedimento, anche in sede amministrativa, di arbitrato o di conciliazione, sia nella fase propedeutica all’instaurazione di un eventuale giudizio, sia nella fase successiva alla sua definizione, da parte di: a) Avvocati o praticanti avvocati iscritti ad albi territoriali o ai relativi registri, sezioni ed elenchi, i quali esercitino l’attività in forma individuale, associata o societaria svolgendo, anche su mandato, un’attività in sede giurisdizionale o di consulenza o di assistenza stragiudiziale, anche avvalendosi di collaboratori, dipendenti o ausiliari, nonché da avvocati stranieri esercenti legalmente la professione sul territorio dello Stato; b) Soggetti che, sulla base di uno specifico incarico anche da parte di un difensore, svolgano, in conformità alla legge, attività di investigazione privata; c) Chiunque tratti dati personali per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria, in particolare a altri liberi professionisti o soggetti che in conformità alla legge prestino, su mandato, attività di assistenza o consulenza per le medesime finalità. Estensione dell’ambito di applicazione Particolarmente rilevante risulta essere il Capo III delle Regole in questione, rubricato “Trattamenti da parte di altri liberi professionisti e ulteriori soggetti” e che include solamente l’art. 7, il quale prevede che

“1. Le disposizioni di cui agli articoli 2 e 5 si applicano, salvo quanto applicabile per legge unicamente all’avvocato: a) A liberi professionisti che prestino o su mandato dell’avvocato o unitamente a esso o, comunque, nei casi e nella misura consentita dalla legge, attività di consulenza e assistenza per far valere o difendere un diritto in sede giudiziaria o per lo svolgimento delle investigazioni difensive; b) Agli altri soggetti, di cui all’art. 1, comma 2, salvo quanto risulti obiettivamente incompatibile in relazione alla figura soggettiva o alla funzione svolta.”

Talvolta, quindi, anche dottori commercialisti, esperti contabili e professionisti affini, possono essere i destinatari delle Regole deontologiche in esame, in particolare quando collaborano con gli avvocati nell’ambito di un’investigazione difensiva. Cos’è una “investigazione difensiva”? In modo estremamente sintetico, con il termine intendiamo l’attività di investigazione e di indagine che l’avvocato difensore può svolgere in modo indipendente e parallelo rispetto a quelle condotte dal PM, nelle more di quanto disposto dal codice di procedura penale. Come si deve comportare il professionista? Applicando l’art. 2 (“Modalità di trattamento”), il trattamento deve essere organizzato “secondo le modalità che risultino più adeguate, caso per caso, a favorire in concreto l’effettivo rispetto dei diritti, delle libertà e della dignità degli interessati, applicando i principii di finalità, proporzionalità e minimizzazione dei dati sulla base di un’attenta valutazione sostanziale e non formalistica delle garanzie previste, nonché di un’analisi della quantità e qualità delle informazioni che utilizza e dei possibili rischi”. Sempre secondo lo stesso articolo, “nel quadro delle adeguate istruzioni da impartire per iscritto alle persone autorizzate al trattamento dei dati, sono formulate concrete indicazioni in ordine alle modalità che tali soggetti devono osservare”, rendendo di fatto obbligatorio quanto l’art. 2-quaterdecies del Codice privacy prevede come facoltà del titolare del trattamento. Inoltre, sempre l’art. 2 prevede che sia prestata specifica attenzione alla prevenzione dell’ingiustificata raccolta, utilizzazione o conoscenza di dati. L’art. 5 (“Comunicazione e diffusione di dati”), invece, dispone che “nei rapporti con i terzi e con la stampa possono essere rilasciate informazioni non coperte da segreto qualora sia necessario per finalità di tutela dell’assistito, ancorché non concordato con l’assistito medesimo, nel rispetto dei principii di liceità, trasparenza, correttezza, e minimizzazione dei dati di cui al Regolamento (UE) 2016/679 (art. 5), nonché dei diritti e della dignità dell’interessato e di terzi, di eventuali divieti di legge e del codice deontologico forense”. Particolare attenzione, dunque, dovrà essere posta all’assetto organizzativo dello Studio professionale, che dovrà essere in grado di far fronte adeguatamente anche a questi adempimenti, in particolare per quanto riguarda il coinvolgimento di sottoposti e collaboratori e i rapporti con i terzi, la stampa e i media in generale.

Fonte: Fiscal Focus

Consenso e antiriciclaggio

Consenso e antiriciclaggio

I principii di liceità del trattamento in ambito antiriciclaggio alla luce del GDPR

Tra i punti più critici di un sistema di gestione della privacy negli studi dei professionisti soggetti agli obblighi antiriciclaggio vi è certamente l’assetto documentale composto dal mandato professionale, dall’informativa e dal modulo di raccolta del consenso.

Questi tre documenti devono essere coerenti tra loro e, nell’ambito delle attività canoniche svolte per adempiere agli obblighi antiriciclaggio, se il primo e il secondo devono essere presenti, il terzo può essere superfluo.

Questo principio era già espresso nel fu art. 24 del codice privacy, che permetteva il trattamento dei dati senza consenso quando fosse necessario per adempiere a un obbligo di legge o fosse necessario per l’adempimento di un contratto di cui l’interessato fosse una delle parti.

Oggi, il GDPR consolida questo assunto ribadendo questi due aspetti e inserendone un terzo: con il Regolamento, il trattamento (legato all’antiriciclaggio) è lecito nella misura in cui sia necessario per l’esecuzione di un compito d’interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

Il codice privacy, inoltre, interviene con il suo art. 2-octies, introdotto con l’ultima modifica apportata dal Dlgs 101/2018, andando a specificare direttamente quali siano le basi giuridiche applicabili per il trattamento lecito di dati personali relativi a condanne penali o reati e includendo esplicitamente l’adempimento degli obblighi previsti dalle normative vigenti in materia di prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo (tra l’altro, il successivo art. 2-undecies prevede che i diritti degli interessati siano sottoposti a limitazione a norma dell’art. 23 del GDPR, proprio per tutto ciò che è afferente all’antiriciclaggio).

Nell’ambito di un rapporto continuativo e professionale, svolto da un dottore commercialista o da un esperto contabile o da un professionista equiparabile, quindi, si osservano tutti e tre i criteri sopra citati:

  1. Il trattamento è contemplato nel mandato professionale o nel contratto di servizio e la prestazione resa è per definizione un trattamento di dati personali, oppure il trattamento ne è una parte estremamente rilevante (si pensi all’elaborazione della dichiarazione dei redditi o alla tenuta della contabilità di una ditta individuale).
  2. Il trattamento è richiesto ai soggetti obbligati dalla normativa antiriciclaggio, che non possono esimersi, con particolare riferimento al censimento e all’adeguata verifica della clientela attraverso l’approccio basato sul rischio che, talvolta, può comportare anche la profilazione o la segnalazione agli enti di controllo, su tutti la UIF o gli ordini professionali che possono fare da intermediari.
  3. Le attività richieste ai soggetti obbligati dal decreto antiriciclaggio sono, nello spirito della norma, compiti d’interesse pubblico nella misura in cui è richiesto di osservare le caratteristiche e i comportamenti della clientela e segnalare le operazioni sospettate di agevolare lo sfruttamento del sistema economico e finanziario per agevolare il riciclaggio e il terrorismo.

Ne consegue che, a ben vedere, i professionisti si trovano nella condizione piuttosto singolare di non dover acquisire il consenso al trattamento e, talvolta, poter ignorare l’esercizio dei diritti degli interessati se compiuto in contrasto con le norme antiriciclaggio e questo perché la base giuridica su cui si fonda il loro trattamento è costituita principalmente dal Dlgs 231/2007, dalle varie direttive antiriciclaggio, dai vari decreti attuativi e dagli altri atti normativi in materia, così come dalle procedure determinate dalla UIF o degli ordini professionali di riferimento, ugualmente applicabili e, in seconda battuta, dal già citato art. 2-octies, co. 3, lett. m) del Dlgs 196/2003.

Chiaramente, il presupposto irrinunciabile è che il mandato professionale sia scritto in modo adeguato, cosa che può portare vantaggi anche nel momento in cui è necessario assumere il ruolo di responsabile del trattamento dei dati, a norma dell’art. 28 del GDPR.

Altrettanto chiaro è che quanto espresso sinora non può e non deve essere applicato ai trattamenti effettuati al di fuori del perimetro tracciato dalle norme in materia di antiriciclaggio, ma afferisce a servizi o prestazioni offerte volontariamente e a discrezione del professionista.


Fonte: Fiscal Focus

Protezione dei dati Vs Fisco. Quando si fanno i conti senza l’oste

Protezione dei dati Vs Fisco. Quando si fanno i conti senza l’oste

Il provvedimento contro l’Agenzia delle entrate sull’obbligo di fatturazione elettronica, del 15/11/2018, esplicita il ruolo del Garante Privacy e ci mostra che “la legge è uguale per tutti”

In questi giorni uno degli argomenti più discussi riguarda il provvedimento del Garante Privacy emesso contro l’Agenzia delle Entrate, relativo alla fatturazione elettronica, esercitando il suo potere di controllo preventivo e ponendosi come scudo a difesa dei cittadini. E facendo sì che sia tutto il sistema a guadagnarci.

Il provvedimento del 15 novembre arriva subito dopo l’ultimo atto del Direttore dell’Agenzia delle Entrate, del 5 novembre, che fa coppia con il precedente del 30 aprile. In entrambi i casi, l’agenzia ha adottato tali provvedimenti senza consultare il Garante, come previsto dalle norme.
Ulteriori criticità, poi, sono emerse in considerazione di altri elementi intrinsecamente legati alla fatturazione elettronica. Ecco i perché.

Obbligo di valutazione d’impatto

La fatturazione elettronica implica un trattamento sistematico di dati personali su larga scala, anche particolari, potenzialmente relativi ad ogni aspetto della vita quotidiana, e presenta un rischio elevato per i diritti e le libertà degli interessati. È chiaro che sussiste l’obbligo di valutazione d’impatto e, potenzialmente, di consultazione preventiva. Nulla di ciò è stato fatto.

Principio di proporzionalità ed eccedenza nel trattamento

L’Agenzia delle Entrate, oltre a rendere disponibile lo SDI per recapitare le fatture in qualità di “postino”, archivia sia i dati necessari ad assolvere gli obblighi fiscali (finalità legittima) che la fattura vera e propria in formato XML, che può contenere informazioni non necessarie a fini fiscali; detta presenza, pur contemplata nel provvedimento di aprile, non è tutelata da nessuna specifica misura volta ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza.

Altre criticità derivano dalla possibilità di accesso degli interessati a tutte le fatture elettroniche sul portale dell’Agenzia, nonostante il diritto di ottenerne una copia direttamente da chi l’ha emessa. In pratica si ha un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web.

Per tali motivi il Garante ritiene che siano violati i principi di protezione per impostazione predefinita e sin dalla progettazione del trattamento.

Il ruolo degli intermediari

Il Garante si è anche preoccupato della posizione, assai critica, degli intermediari, che ben poco possono fare, visto che l’intero trattamento deve essere eseguito nei modi e nei tempi decisi dall’Agenzia. Il pericolo maggiore è che, in caso di operatore economico persona fisica (professionista o ditta individuale), potrebbero essere consultate sia le fatture relative alla sfera professionale o imprenditoriale che quelle relative alla sfera privata. Ciò determinerebbe la concentrazione, soprattutto presso gli intermediari con maggior numero di clienti, di una mole enorme di informazioni che non si riscontrerebbe normalmente.

È facilmente intuibile che la presenza di simili banche dati sia un rischio elevato, il cui governo, da parte degli intermediari, potrebbe essere particolarmente oneroso, non solo in termini economici.

Altre criticità

Il Garante, inoltre, rileva che il protocollo FTP, base del sistema di comunicazione dello SDI, sia poco sicuro, e che nel trattamento gioca un ruolo fondamentale la PEC, che coinvolge implicitamente gli operatori di mercato che vendono il loro servizio di posta elettronica certificata: ciò significa che i dati personali contenuti delle fatture potrebbero (ragionevolmente) essere memorizzati sui server di gestione delle caselle PEC. Chi se ne assume la responsabilità?

Infine, il Garante ha criticato il servizio di conservazione messo gratuitamente a disposizione dalle Entrate, facendo notare che il contratto proposto prevede che “l’Agenzia non potrà essere ritenuta responsabile nei confronti del contribuente né nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione”. In pratica l’Agenzia non si ritiene responsabile per la mancata applicazione del principio di integrità e riservatezza.

Conclusioni

Per tali motivi, il Garante ha doverosamente agito in difesa dei cittadini e dei loro intermediari, facendo notare che l’Agenzia ha operato al di fuori delle norme di riferimento, senza consultarlo e progettando e imponendo al mercato un sistema che viola in più punti i principi fondamentali della protezione dei dati, peraltro senza nemmeno volersene assumere le responsabilità. E se i dati non fossero disponibili per un malfunzionamento del sistema, chi ne risponderebbe? Il Garante ha praticamente chiarito che spetta all’Agenzia.

Ciò che è successo nei giorni scorsi, quindi, è facilmente sintetizzabile così: il Garante ha ricordato all’Agenzia che non può fare quello che le pare e che è bene che prima di giocare, conosca le regole del gioco. Dura lex, sed lex.


Fonte: Fiscal Focus