Protezione dei dati Vs Fisco. Quando si fanno i conti senza l’oste

Il provvedimento contro l’Agenzia delle entrate sull’obbligo di fatturazione elettronica, del 15/11/2018, esplicita il ruolo del Garante Privacy e ci mostra che “la legge è uguale per tutti”

In questi giorni uno degli argomenti più discussi riguarda il provvedimento del Garante Privacy emesso contro l’Agenzia delle Entrate, relativo alla fatturazione elettronica, esercitando il suo potere di controllo preventivo e ponendosi come scudo a difesa dei cittadini. E facendo sì che sia tutto il sistema a guadagnarci.

Il provvedimento del 15 novembre arriva subito dopo l’ultimo atto del Direttore dell’Agenzia delle Entrate, del 5 novembre, che fa coppia con il precedente del 30 aprile. In entrambi i casi, l’agenzia ha adottato tali provvedimenti senza consultare il Garante, come previsto dalle norme.
Ulteriori criticità, poi, sono emerse in considerazione di altri elementi intrinsecamente legati alla fatturazione elettronica. Ecco i perché.

Obbligo di valutazione d’impatto

La fatturazione elettronica implica un trattamento sistematico di dati personali su larga scala, anche particolari, potenzialmente relativi ad ogni aspetto della vita quotidiana, e presenta un rischio elevato per i diritti e le libertà degli interessati. È chiaro che sussiste l’obbligo di valutazione d’impatto e, potenzialmente, di consultazione preventiva. Nulla di ciò è stato fatto.

Principio di proporzionalità ed eccedenza nel trattamento

L’Agenzia delle Entrate, oltre a rendere disponibile lo SDI per recapitare le fatture in qualità di “postino”, archivia sia i dati necessari ad assolvere gli obblighi fiscali (finalità legittima) che la fattura vera e propria in formato XML, che può contenere informazioni non necessarie a fini fiscali; detta presenza, pur contemplata nel provvedimento di aprile, non è tutelata da nessuna specifica misura volta ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza.

Altre criticità derivano dalla possibilità di accesso degli interessati a tutte le fatture elettroniche sul portale dell’Agenzia, nonostante il diritto di ottenerne una copia direttamente da chi l’ha emessa. In pratica si ha un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web.

Per tali motivi il Garante ritiene che siano violati i principi di protezione per impostazione predefinita e sin dalla progettazione del trattamento.

Il ruolo degli intermediari

Il Garante si è anche preoccupato della posizione, assai critica, degli intermediari, che ben poco possono fare, visto che l’intero trattamento deve essere eseguito nei modi e nei tempi decisi dall’Agenzia. Il pericolo maggiore è che, in caso di operatore economico persona fisica (professionista o ditta individuale), potrebbero essere consultate sia le fatture relative alla sfera professionale o imprenditoriale che quelle relative alla sfera privata. Ciò determinerebbe la concentrazione, soprattutto presso gli intermediari con maggior numero di clienti, di una mole enorme di informazioni che non si riscontrerebbe normalmente.

È facilmente intuibile che la presenza di simili banche dati sia un rischio elevato, il cui governo, da parte degli intermediari, potrebbe essere particolarmente oneroso, non solo in termini economici.

Altre criticità

Il Garante, inoltre, rileva che il protocollo FTP, base del sistema di comunicazione dello SDI, sia poco sicuro, e che nel trattamento gioca un ruolo fondamentale la PEC, che coinvolge implicitamente gli operatori di mercato che vendono il loro servizio di posta elettronica certificata: ciò significa che i dati personali contenuti delle fatture potrebbero (ragionevolmente) essere memorizzati sui server di gestione delle caselle PEC. Chi se ne assume la responsabilità?

Infine, il Garante ha criticato il servizio di conservazione messo gratuitamente a disposizione dalle Entrate, facendo notare che il contratto proposto prevede che “l’Agenzia non potrà essere ritenuta responsabile nei confronti del contribuente né nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione”. In pratica l’Agenzia non si ritiene responsabile per la mancata applicazione del principio di integrità e riservatezza.

Conclusioni

Per tali motivi, il Garante ha doverosamente agito in difesa dei cittadini e dei loro intermediari, facendo notare che l’Agenzia ha operato al di fuori delle norme di riferimento, senza consultarlo e progettando e imponendo al mercato un sistema che viola in più punti i principi fondamentali della protezione dei dati, peraltro senza nemmeno volersene assumere le responsabilità. E se i dati non fossero disponibili per un malfunzionamento del sistema, chi ne risponderebbe? Il Garante ha praticamente chiarito che spetta all’Agenzia.

Ciò che è successo nei giorni scorsi, quindi, è facilmente sintetizzabile così: il Garante ha ricordato all’Agenzia che non può fare quello che le pare e che è bene che prima di giocare, conosca le regole del gioco. Dura lex, sed lex.

Fonte: Fiscal Focus

Marzo 15, 2018Marzo 15, 2018

Devo tenere il registro dei trattamenti?

Sul portale iCLHUB ho pubblicato un semplice software programmato on Excel per determinare se la vostra organizzazione deve tenere e aggiornare il registro dei trattamenti a norma del GDPR.

Il file è disponibile per il dowload cliccando QUI.

Gennaio 8, 2018Gennaio 8, 2018

Software per valutazione SLC

Valutazione SLC: disponibile il mio software programmato in Excel

È ora disponibile il file Excel programmato per la valutazione SLC (stress lavoro-correlato) secondo le linee guida pubblicate dall’INAIL a ottobre 2017, aggiornando quelle del 2011.

Il mio file, scaricabile dal portale iCLHUB, si propone come alternativa alla piattaforma online messa a disposizione dall’INAIL, a cui si può accedere solo previa autenticazione.

Oltre a essere funzionante offline, ha il pregio di poter essere modificato a piacimento dall’utilizzatore, così che possa essere adattato alle sue esigenze.

Si invitano coloro che vorranno scaricarlo a considerare che:

La responsabilità della valutazione dei rischi – qualunque essi siano, quindi anche l’SLC – grava sul datore di lavoro.
Per ottenere il miglior risultato possibile, la valutazione SLC e la base di dati elaborati dal software devono essere costantemente aggiornate, almeno una volta l’anno.

Maggio 3, 2017Maggio 3, 2017

Software gestionali per la privacy: benefici e rischi

Prima di procedere con l’acquisto, così come durante il suo utilizzo, sarebbe bene ricordarsi che un programma gestionale è solamente uno strumento che per rendere al meglio deve essere maneggiato con l’adeguata preparazione.

Capiamoci fin da subito: non sono contro i gestionali per partito preso, anzi, direi piuttosto che mi schiero con chi ritiene che le macchine non possono fare tutto e non possono sostituirsi all’uomo. Se è vero che avere un software apporta alcuni benefici, lo è altrettanto che espone chi lo usa a nuovi rischi.

Tralasciamo il fatto che non tutti i gestionali sono uguali e che possono comportare spese differenti in termini di acquisto della licenza, o investimenti per lo sviluppo interno, o canoni per l’assistenza, e che ovviamente possono offrire una qualità di servizio differente, e concentriamoci su alcuni (tutti è difficile farlo in questa sede) dei benefici e dei rischi che interessano prevalentemente il lato operativo della faccenda.

Tra i benefici penso si possano elencare una miglioria nella gestione complessiva degli adempimenti, una migliore organizzazione delle scadenze e una facilità di accesso a determinate informazioni sul modello organizzativo adottato per proteggere i dati personali.

In alcune realtà, potrebbe essere un valido strumento per la conduzione di audit o, comunque, per espletare alcuni dei controlli necessari, tra cui la valutazione di impatto sulla protezione dei dati (c.d. DPIA), e migliora senza dubbio gli effetti del lavoro di squadra e della collaborazione attiva, sempre più rilevanti e importanti nelle organizzazioni moderne, soprattutto se il suo impego non è limitato a poche persone chiave.

D’altro canto, i rischi sono comunque dietro l’angolo.

Innanzi tutto si rischia di sostituire completamente l’elemento umano, trasformando potenzialmente alcuni dei trattamenti da “manuali” a “automatizzati”, con tutto quanto ne consegue anche sotto l’aspetto della tutela dei diritti degli interessati.

Secondariamente, affidarsi troppo al software potrebbe allontanare dalla realtà effettiva dei fatti chi è incaricato di controllare il sistema, come i responsabili o i DPO. Se il software non funzionasse correttamente (e non è un’ipotesi da escludere a priori, visto che è prassi consolidata emettere patch o aggiornamenti per correggere anomalie o bachi) potrebbe avere effetti negativi sulla realtà percepita e, di conseguenza, sull’efficacia del controllo e della gestione complessiva.

Infine, basare il proprio operato esclusivamente sul gestionale per la privacy, genera un errore di fondo gravissimo (a mio parere) soprattutto in sede di valutazione d’impatto: procedendo solo con il software, non potremmo più parlare di “valutazione”, bensì dovremmo parlare di “misurazione”.

Il perché è presto detto: ogni realtà è differente e ognuna include necessariamente operatori (responsabili del trattamento, DPO, incaricati, IT manager…) differenti che hanno ognuno ciascuno un bagaglio di conoscenze ed esperienze diversi e di cui è doveroso tenerne conto in sede di valutazione che, oltre tutto, è di per sé un prodotto di queste conoscenze ed esperienze. Una valutazione è necessariamente soggettiva e deve essere relativa al contesto osservato, perché è sulla base delle sue caratteristiche e dei risultati della valutazione stessa, che il titolare del trattamento può mettersi nella condizione di essere adempiente alle norme vigenti, su tutte il GDPR, con particolare riferimento agli artt. 24, 25, 32 e 35, che richiedono tutti di tenere conto dell’ stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche i rischi gravanti sui diritti e le libertà degli interessati.

Tutto questo, senza scomodare la più recente giurisprudenza che è arrivata ad affermare che il concetto di dato personale, fortemente legato all’identificabilità anche indiretta della persona fisica a cui si riferiscono, è correlato anche alla “facilità” e all’impegno necessario per identificarla. Tradotto: se io scrivo Mario Rossi o John Smith, in questo testo e per coloro che lo leggono, sono quattro parole che di dato personale hanno ben poco.

Pensare di essere a posto con la privacy solo perché si è comprato un software per la sua gestione, è come salire su un’auto da F1 e pensare di poter vincere il GP di Montecarlo senza aver mai guidato quel mezzo, né mezzi simili, né essere mai stato in pista, né aver mai visto le strade di Montecarlo aperte al traffico.

Chi lo fa, è un pericolo per sé e per gli altri. Con l’aggravante di non essere pienamente consapevole di cosa significhi effettivamente occuparsi della protezione dei dati personali.