Pubblicato il

Fatturazione elettronica: niente banca dati dell’Agenzia delle entrate. Esentate le fatture per prestazioni sanitarie

Niente banca dati delle fatture dell’Agenzia delle entrate, memorizzati solo i dati fiscali necessari per i controlli automatizzati, no alla fatturazione elettronica per le prestazioni sanitarie. L’Agenzia potrà archiviare le fatture solo su richiesta dei contribuenti che avranno necessità di consultarle.

Con un articolato provvedimento, il Garante per la protezione dei dati personali – preso atto delle modifiche apportate all’impianto originario della fatturazione elettronica e delle ulteriori rassicurazioni fornite dall’Agenzia delle entrate – ha individuato i presupposti e le condizioni perché la stessa Agenzia possa avviare dal 1 gennaio 2019 i trattamenti di dati connessi al nuovo obbligo.

Nelle settimane scorse era stato costituito un tavolo di lavoro tecnico, con l’Agenzia delle entrate e il Mef, per esaminare congiuntamente le criticità rilevate dal Garante e che ha visto coinvolti anche l’Agid, il Consiglio nazionale dei dottori commercialisti e degli esperti contabili, il Consiglio nazionale dell’ordine dei consulenti del lavoro e l’associazione dei produttori di software gestionale e fiscale (AssoSoftware).

La fatturazione elettronica, così come originariamente prefigurata dall’Agenzia, presentava rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali. L’Agenzia, infatti, oltre a recapitare le fatture ai contribuenti attraverso il sistema di interscambio (SDI), avrebbe anche archiviato integralmente tutti i file delle fatture elettroniche (2,1 miliardi nel 2017) che contengono di per sé informazioni di dettaglio, anche non rilevanti a fini fiscali, sui beni e servizi acquistati, come le abitudini e le tipologie di consumo, legate alla fornitura di servizi energetici, di telecomunicazione o trasporto (es. regolarità nei pagamenti, pedaggi autostradali, biglietti aerei, pernottamenti), o addirittura l’indicazione puntuale delle prestazioni legali (es. numero procedimento penale) o sanitarie (es. percorso diagnostico neuropsichiatrico infantile).

Il nuovo sistema di e-fattura prevede invece che l’Agenzia si limiti a memorizzare solo i dati fiscali necessari per i controlli automatizzati (es., incongruenze tra dati dichiarati e quelli a disposizione dell’Agenzia), con l’esclusione della descrizione del bene o servizio oggetto di fattura. Dopo il periodo transitorio indispensabile a modificare il sistema, nuovi servizi di consultazione delle fatture saranno resi disponibili solo su specifica richiesta del contribuente, sulla base di accordi che saranno esaminati dall’Autorità.

I soggetti che erogano prestazioni sanitarie non dovranno emettere fattura elettronica.

Per quanto riguarda il rischio di usi impropri dei dati, il Garante, con l’istituto dell’avvertimento, ha messo in guardia tutti gli operatori (soggetti Iva e intermediari, anche tecnici) che alcune clausole contrattuali, predisposte dalle società di software, possono violare il Regolamento ed espongono a sanzioni.

Ulteriori sforzi sono richiesti all’Agenzia delle entrate per implementare la cifratura dei dati (utile soprattutto in caso di utilizzo della pec), per minimizzare i dati da memorizzare e per conformarsi agli obblighi di trasparenza e correttezza nei confronti degli interessati riguardo ai controlli fiscali effettuati attraverso trattamenti automatizzati o con l’acquisizione delle fatture per le quali il contribuente usufruisce dei servizi di consultazione e conservazione.

Tutto ciò in vista di una nuova valutazione d’impatto, prevista dalla normativa sula protezione dei dati, che l’Agenzia dovrà produrre entro il 15 aprile 2019.

Roma, 20 dicembre 2018

Fonte:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9069057

Pubblicato il

Antonello Soro: “Nell’economia digitale è l’etica la vera rivoluzione” Il Garante della Privacy afferma la necessità di proteggere i dati e le persone, attuando regole e rendendo consapevoli i cittadini: solo così il mondo digitale sarà etico e sostenibile

Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Andrea Ballocchi, “wisesociety.it”, 18 dicembre 2018)

I dati sono l’oro del mondo moderno. Se ne generano miliardi, i cosiddetti Big Data, autentiche miniere da cui ricavare informazioni da trasformare in servizi. È nata così l’economia digitale, «la principale forma economica oggi», afferma Antonello Soro, presidente dell’Autorità garante per la protezione dei dati personali. “L’economia digitale è la cornice entro cui si sviluppano tutte le attività dell’umanità intera. Il digitale, quindi, è una dimensione della vita, assolutamente reale per quanto immateriale sia nella quale tutti noi ci troviamo, per comunicare nelle diverse forme”. Pensiamo ai 42 miliardi di messaggi su Whatsapp, ai 150 miliardi di email, ai 66 miliardi di foto su Instagram inviati ogni giorno nel mondo. Tutti dati personali, sensibili, di cui in Rete resta tutto, con tutti i pro e i contro.

Da qui la necessità di porre attenzione alle “Persone in rete”, titolo quanto mai azzeccato del libro di Antonello Soro, presidente dell’Autorità garante della protezione dei dati personali. Infatti, c’è una componente fisica nel mondo virtuale che contribuiamo a creare anche noi con le nostre storie. Ma spesso senza rendercene conto, dando in pasto alle grandi piattaforme digitali la nostra vita. Ecco perché, scrive Soro, occorre impostare un’etica per l’algoritmo.

Presidente Soro, quanto sono importanti oggi i dati?

Sono i protagonisti della rivoluzione digitale, ma sconosciuti dai legittimi possessori. Tendiamo, infatti, a immaginarli come una pura sequenza di numeri che attraverso oscuri canali vengono trattati da alcuni esperti. Ma i dati sono la proiezione digitale della nostra stessa vita. Ogni volta che facciamo un “click” consegniamo a questa dimensione e ai soggetti che li raccoglieranno una tessera della nostra esistenza che, confluendo nei server, verranno ricomposti per formare il mosaico dell’identità. Questo avverrà sempre di più per tutta una serie di dati che hanno a che fare con la materialità della nostra persona. Per esempio, se noi affidiamo al fascicolo sanitario elettronico i dati relativi alla nostra salute c’è un luogo dedicato alla loro conservazione e alla pronta reperibilità per il medico che se ne servirà per prestare le necessarie cure. Sono informazioni vitali, la cui manipolazione però potrebbe avere effetti devastanti per noi. Ecco perché la protezione dei dati è un presupposto fondamentale per la nostra sicurezza anche fisica.

Nel suo libro si evidenzia la necessità di un’etica per l’algoritmo. Come si riesce a delinearla in un mondo finora spesso anarchico?

Attraverso due vie: la prima passa dalla consapevolezza dell’utente. Deve sapere che l’algoritmo non è neutro, ma è un programma informatico ideato da un uomo con tutti i suoi pregiudizi ed esperienze pregresse e come tale può essere un prodotto capace di avere effetti importanti una volta utilizzato. Per questo non si deve delegare alla macchina in modo ideologico e generalizzato. L’altra via passa dall’attuazione delle regole. In questa direzione va il GDPR, regolamento europeo per la protezione dei dati personali. Un provvedimento di grande importanza in quanto ha stabilito per la prima volta che nessuna decisione esclusivamente automatizzata può essere adottata senza che l’interessato possa contestarla.

Consapevolezza e regolamentazione possono costituire le basi per restituire un ruolo alla persona e in questo sta una nuova etica: non pensare che la delega all’algoritmo, alla macchina, all’innovazione sostituisca la responsabilità che sta in capo alla persona, a chi fa uso delle tecnologie, che non deve essere usato.

In questa rivoluzione digitale che ha prodotto un’economia, c’è bisogno di sostenibilità, in termini di tutela della libertà della persona?

Certo. Nella società digitale dobbiamo introdurre una regolazione che sia all’altezza della storia del diritto così come l’abbiamo maturato nei secoli nella dimensione fisica. Dobbiamo accrescere la tutela dei diritti, sapendo che la protezione del dato riguarda la tutela della persona, ma anche una tutela della nuova economia e dell’organizzazione sociale, in assenza della quale si rischia di vivere in un mondo oscuro dove la vita dell’uomo è destinata a peggiorare.

Come si rende consapevole il cittadino in tutto questo?

Con un’educazione altrettanto digitale.

Fonte:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9068705

Pubblicato il

EU-US Privacy Shield

L’accordo sulla Privacy Shield UE-USA è stata adottata il 12 luglio 2016 e  diventata operativa il 1 ° agosto 2016. Tale patto protegge i diritti fondamentali di chiunque nell’UE i cui dati personali sono trasferiti negli Stati Uniti a fini commerciali. Il quadro apporta inoltre chiarezza giuridica alle aziende che fanno affidamento sui trasferimenti

Il nuovo accordo include:

–       forti obblighi di protezione dei dati per le società che ricevono dati personali dall’UE

–       garanzie sull’accesso ai dati da parte del governo degli Stati Uniti

–       protezione e risarcimento efficaci per le persone

–       una revisione congiunta annuale da parte di UE e USA per monitorare la corretta applicazione dell’accordo.

Fonte:

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/eu-us-privacy-shield_en

Pubblicato il

Preso l’Arsenio Lupin del web, spiava 900 aziende: frodata anche la Toyota

Laureato alla Sorbona, è riuscito a rubare 800 mila euro. Ogni anno 14 milioni di truffe informatiche alle aziende nella sola Emilia-Romagna

BOLOGNA – Una mail molto circostanziata, quindi assai credibile. Alla quale i manager di Toyota Italia, che ha sede a Bologna, hanno risposto con sollecitudine, provvedendo al pagamento di 249 mila euro, come prima tranche per un’operazione dal valore complessivo di un milioni di euro. La cattiva notizia è che si trattava di una truffa informatica, quella buona che gli stessi manager si sono accorti subito dell’inganno e con l’aiuto della polizia postale sono riusciti a bloccare l’invio di denaro. Di tentate frodi ai danni delle aziende, comprese quelle più strutturate, se ne registrano ogni giorno, anche in Emilia-Romagna e a Bologna. La polizia postale, nella sua attività di contrasto ai crimini informatici, sotto le due torri ha arrestato un ‘pirata’ del web che era riuscito a rubare ben 800 mila euro: sul tablet di questo bandito 4.0, laureato alla Sorbona, hanno scovato report su 900 società italiane, con i recapiti, gli account e dati di spesa di 6.500 tra presidenti e manager.

Eppure, quello dei reati informatici è “un fenomeno ancora molto sottovalutato dalle imprese”, avverte il presidente di Confindustria Emilia, Alberto Vacchi, che oggi ha sottoscritto a nome dell’associazione un protocollo d’intesa con la polizia postale per la difesa del sistema delle imprese dagli attacchi telematici. La polizia delle telecomunicazioni tra il 2017 e il 2018 a Bologna ha registrato frodi informatiche per 14 milioni di euro ed è riuscita a recuperare circa 8,5 milioni di euro, comprese somme già trasferite su conti esteri. Non solo. Come ha spiegato Geo Ceccaroli, dirigente del compartimento di polizia postale dell’Emilia-Romagna, a fronte delle truffe scoperte sono stati avviati 88 procedimenti, con 25 denunce e un arresto (quello pirata con laurea nel prestigioso ateneo parigino).

Il nuovo contesto tecnologico “mette le Imprese di fronte a problemi che non avevano mai affrontato. Il protocollo è importante per dare supporto alle imprese, ma anche per far toccare con mano il fenomeno, divenuto un problema da affrontare un maniera strutturale”, avverte Vacchi. “Dopo 20 anni continuiamo a perdere. Continuiamo a investire in sicurezza, ma i crimini informatici aumentano. Bisogna cambiare approccio”, suggerisce Michele Colajanni dell’Università di Modena e Reggio.

Innanzittutto, le aziende devono trovare il coraggio di denunciare. “Abbiamo sventato una frode che aveva superato le attività controllo”, conferma Giorgio Polonio, manager di Toyota Italia. “Bisogna avere il coraggio di denunciare”, sprona Roberto Sgalla, direttore centrale della polizia stradale, ferroviaria, delle comunicazioni e per i reparti speciali.

 

Fonte:

https://bologna.repubblica.it/cronaca/2018/12/10/news/preso_l_arsenio_lupin_del_web_spiava_900_aziende_frodata_anche_la_toyota-213926076/amp/

Pubblicato il

La PEC non cesserà di esistere il 1 gennaio 2019!

Pochi lo avevano notato, ma l’art. 65, comma 7 del Decreto legislativo 217/2017, che ha apportato le ultime modifiche al Codice dell’amministrazione digitale, ha previsto l’abrogazione dell’art. 48 dello stesso codice a partire dal 1 gennaio 2019. Tale articolo prevede l’utilizzo della posta elettronica certificata come strumento per tutte le comunicazioni che necessitano di una ricevuta di invio e di una ricevuta di consegna. All’approssimarsi di tale data, e in mancanza di altre norme che andassero a colmare una lacuna così grande, il Consiglio dei Ministri del 12 dicembre ha emanato un decreto legge, il n. 135, pubblicato in gazzetta ufficiale il 14 dicembre scorso, che prevede l’emanazione di un DPCM che garantisca la conformità dei servizi di posta elettronica certificata al regolamento eIDAS. Solo dopo l’entrata in vigore di tale decreto l’articolo 48 del CAD verrà abrogato.

 Fonte:

https://www.linkedin.com/feed/update/urn:li:activity:6480826027420585984

Pubblicato il

UBER: 400.000 € di penale per violazione della sicurezza dei dati degli utenti

La formazione ristretta del CNIL ha dichiarato una sanzione di 400.000 € nei confronti della società UBER per non aver sufficientemente protetto i dati degli utenti del suo servizio di VTC.

Nel novembre 2017, la società UBER ha rivelato sulla stampa che un anno fa, due persone avevano rubato i dati personali di 57 milioni di utenti dei suoi servizi. A seguito di questa rivelazione, il G29 (Gruppo di CNIL europei) ha creato un gruppo di lavoro per coordinare le procedure di indagine delle diverse autorità di protezione dei dati. L’indagine ha evidenziato le diverse fasi dell’attacco. Gli autori degli attacchi sono riusciti ad accedere agli identificatori archiviati in chiaro sulla piattaforma di sviluppo collaborativo “Github”. Hanno quindi utilizzato queste credenziali per accedere da remoto a un server su cui sono archiviati i dati. Hanno scaricato informazioni su 57 milioni di utenti, inclusi 1,4 milioni di utenti in Francia.

La formazione limitata del CNIL ha stimato che questo attacco non avrebbe avuto successo se fossero state messe in atto alcune misure di sicurezza di base. In particolare, ha sottolineato che: l’azienda avrebbe dovuto aspettarsi che i suoi ingegneri si connettessero alla piattaforma di sviluppo collaborativo “Github” attraverso una forte misura di autenticazione (ad esempio, un identificatore e una password e un codice segreto inviato ad un telefono); non avrebbe dovuto essere memorizzato in modo non criptato all’interno del codice sorgente degli identificatori “GitHub” della piattaforma per accedere al server; per l’accesso ai server “Amazon Web Services S3” contenenti dati utente, dovrebbe aver impostato un sistema per filtrare gli indirizzi IP.

In queste circostanze, la formazione ristretta ha ritenuto che la società avesse fallito nel suo obbligo di sicurezza dei dati personali. Ha condannato Uber France SAS, uno stabilimento di Uber Technologies Inc. e Uber B.V, a una multa di 400.000 € . Data la data dei fatti, il GDPR non era ancora applicabile. Dato il gran numero di persone interessate e la necessità di sensibilizzare gli operatori, la formazione ristretta ha anche deciso di rendere pubblica questa decisione.

Altre autorità europee hanno imposto sanzioni in relazione a questi fatti. Il 6 novembre 2018, l’autorità olandese per la protezione dei dati ha inflitto una multa ad UBER di 600.000 € per mancata notifica della violazione dei dati. Il 26 novembre, l’autorità britannica ha imposto una sanzione di 385.000 sterline per non aver protetto i dati.

 Fonte:

https://www.cnil.fr/fr/uber-sanction-de-400000eu-pour-une-atteinte-la-securite-des-donnees-des-utilisateurs

Pubblicato il

GDPR, prime sanzioni in Europa: quale lezione trarre per le aziende

Una multa di 4 mila euro a un’azienda austriaca che usava male il sistema di videosorveglianza; una da 20 mila a un’azienda tedesca per la mancata cifratura delle password degli utenti e una da 400 mila a una struttura ospedaliera portoghese per problemi di accesso al dato. Che insegnano le prime sanzioni GDPR.

In attesa di conoscere quale sarà la sanzione che il Garante europeo comminerà alla catena alberghiera Marriot per il recentissimo caso di data breach che riguarda i dati personali di ben 327 milioni di persone, sono arrivate inesorabili le prime sanzioni in Europa ad alcune aziende, private e pubbliche, che non hanno ottemperato alle disposizioni del GDPR, entrato in vigore ormai da sei mesi. 

Le prime multe per violazione del GDPR

Partendo dalla “meno costosa”, nel mese di ottobre il Garante austriaco Datenschutzbehörden, ha erogato, a seguito di una ispezione, una sanzione di 4 mila euro ad una azienda che utilizzava il sistema di video sorveglianza in malo modo, puntandolo in parte sul marciapiede esterno al perimetro aziendale riprendendo in modo eccessivo, senza alcuna giustificata motivazione e senza informare con apposita cartellonistica i passanti.

Anche la prima sanzione ad oggetto data breach è stata erogata a novembre dal Garante tedesco Der Landesbeauftragte für Datenschutz und Informationsfreiheit ad una azienda tedesca che, dopo aver dichiarato l’avvenuto data breach riguardante ben 330 mila credenziali di caselle di posta elettronica di cittadini tedeschi, è stata multata con una sanzione di 20 mila euro. In questo caso l’attaccante, oltre ad aver sottratto le credenziali utente comprensive di password, le ha anche divulgate in chiaro sulla rete Internet mettendole a disposizione di chiunque; proprio per questo motivo l’autorità tedesca ha sanzionato l’azienda non tanto per l’avvenuta violazione dei sistemi informatici, ma per il fatto che le password delle caselle di posta elettronica venivano salvate in chiaro all’interno della base dati senza l’utilizzo di opportuni sistemi di cifratura.

In Portogallo la comissão nacional de proteccao de dados ha erogato a una struttura ospedaliera nazionale la sanzione più alta di cui ad oggi abbiamo notizia, ben 400 mila euro. La multa è stata data a seguito di un controllo ispettivo che ha permesso di accertare che sui sistemi informativi della struttura ospedaliera vi erano seri problemi di politiche di accesso al dato, evidenziato come, psicologi, infermieri e medici di qualsiasi reparto potevano, non soltanto accedere, ma anche modificare con estrema facilità (e in totale assenza del principio di necessità) i dati personali e sanitari contenuti nelle cartelle cliniche di tutti i pazienti che sono stati ospiti del complesso ospedaliero; sempre durante l’ispezione gli auditor hanno evidenziato una inadeguata politica di accesso al dato, evidenziando come il problema non è tanto sulla configurazione del sistema informativo ma soprattutto sulla inadeguatezza della policy di accesso al dato scelta e divulgata a tutti gli operatori della struttura ospedaliera.

Le lezioni che le aziende italiane possono trarre

Quali sono gli spunti di riflessione che le aziende italiane devono trarre da questi episodi? Sicuramente che le tante attese sanzioni sono arrivate e che per adesso sono state inesorabili; basti pensare all’episodio austriaco, una problematica quella della cartellonistica informativa inerente alla video sorveglianza spesso sottovalutata dalle pmi e micro imprese italiane che, probabilmente per mancanza di tempo o per la poca attenzione alla tematica della privacy, non hanno mai adeguato le informative riguardanti le aree sottoposte a video sorveglianza, in alcuni casi omettendo (tutt’oggi) l’esposizione dei cartelli informativi nei luoghi dove vi è un sistema di video sorveglianza in funzione.

La sanzione data all’azienda tedesca ci fa capire come le autorità garanti per la protezione dei dati non erogheranno sanzioni per la sola avvenuta violazione ai sistemi che custodiscono e trattano dati personali, se non nel momento in cui, a fronte di un accertamento, si evidenziassero gravi problematiche di cyber security, come per l’appunto, il madornale errore di conservale la password di un account in chiaro all’interno delle memorie informatiche aziendali, senza alcun ausilio di ormai consolidati sistemi di cifratura. Una riflessione in più va fatta in considerazione alla cattiva abitudine delle aziende italiane che adottano una politica per la gestione del data breach (o dell’incidente informatico) troppo generalista che non tiene in considerazione il fatto che nella maggior parte dei casi l’azienda ha una politica per la gestione dell’incidente informatico ma non ha un sistema per identificare gli attacchi informatici e per capire che sta avvenendo un attacco informatico che potrebbe a sua volta scaturire un data breach.

Non per ultimo il caso portoghese ci deve far riflettere su quale possa essere l’attuale stato dei sistemi informativi delle aziende sanitarie, private e pubbliche, del nostro territorio. Nel nostro territorio esistono regioni e strutture virtuose che sono al passo con i tempi e con le norme, ma per esperienza personale dello scrivente, la situazione in molti altri casi è la medesima dell’azienda ospedaliera portoghese, con addirittura alcune realtà che tutt’oggi, da nord a sud, sperano di non ricevere mai alcuna ispezione del Garante nemmeno nel 2019, perché lo stato dell’arte della revisione delle politiche di accesso al dato e dell’attuazione di queste politiche all’interno del sistema informativo aziendale è ancora in una fase embrionale, tra sistemi e software obsoleti non aggiornabili, Data Protection Officer condiviso su più aziende che non riesce a star dietro alle esigenze di una singola azienda ospedaliera, personalizzazioni di software necessarie per l’interoperabilità del dato che generano modalità lasche di accesso al dato stesso, e chi più ne ha più ne metta.

Non ci sono più scuse, e i fatti appena accaduti testimoniano un impegno dei Garanti degli Stati membri nel mantenere la guardia sempre alta, a tutela dei dati dei cittadini. Le aziende italiane sono avvisate, ancora una volta, grazie alle disavventure di altri. Colgano tutti l’occasione per imparare dagli errori e impegnarsi nell’ottemperanza della norma, sia dal punto di vista delle politiche e dei regolamenti aziendali, sia dal punto di vista implementativo e tecnologico.

 

Fonte:

https://www.agendadigitale.eu/sicurezza/privacy/gdpr-prime-sanzioni-in-europa-quale-lezione-trarre-per-le-aziende/

Pubblicato il

Pubblicato sulla gazzetta ufficiale del 4 settembre 2018 il decreto delega che raccorda la normativa italiana con il Regolamento Europeo

  • Il 4 settembre 2018 è stato pubblicato il Decreto delega n. 101 del 10 Agosto

2018 sulla gazzetta ufficiale della repubblica italiana numero 205, che

raccorda la normativa italiana con il Regolamento Europeo (EU) 679/2016.

Nei prossimi articoli, forniremo le nostre considerazioni all’applicazione delle

disposizioni.

Decreto Delega