• Passa alla navigazione primaria
  • Passa al contenuto principale
  • Passa alla barra laterale primaria
  • Passa al piè di pagina
via Garofalo 29, 20133 Milano - tel. 02 29408650
  • Home
  • News
  • Chi siamo
  • Contatti

Programma Radon

Ente Accreditato Regione Lombardia N. 1027/2017

  • Privacy
  • Sviluppo organizzativo
  • Sicurezza sul lavoro
  • Rifiuti
  • Sistemi di gestione
  • Legge 231
  • Rapporti con gli Enti
  • Ambiente
Ti trovi qui: Home / Approfondimenti / Privacy e fatturazione elettronica

Privacy e fatturazione elettronica

7 Gennaio 2019 di Valeria Carozzi Lascia un commento

Il Garante per la protezione dei dati personali si è espresso in merito alla fatturazione elettronica…e di sicuro non in modo positivo.Iniziamo infatti l’anno leggendo 15 pagine di provvedimento con il quale il Garante si esprime sul sistema messo a punto dall’Agenzia delle Entrate e ne evidenzia rischi e lacune, che per tutti gli addetti ai lavori risultano particolarmente rilevanti. Son stati evidenziati in particolare 4 punti critici che hanno portato l’Agenzia delle Entrate ad impegnarsi nell’implementazione di nuove soluzioni tecniche ed organizzative ed a inaugurare un periodo transitorio che terminerà il 2 luglio 2019. Vediamo quali:

  1. Sproporzionalità della memorizzazione di tutte le informazioni contenute nel file XML delle fatture elettroniche, rispetto alle finalità che devono essere perseguite dall’Agenzia delle entrate
  2. Poca chiarezza del ruolo dell’Agenzia delle entrate e delle modalità di erogazione del servizio di conservazione delle fatture per conto degli utenti
  3. Utilizzo di un canale non sicuro per la trasmissione delle fatture (FTP), mancata cifratura dei file, utilizzo della PEC come recapito privilegiato
  4. Rischi derivanti dal coinvolgimento di un significativo numero di intermediari per la gestione del processo

Sproporzionalità dei dati raccolti e memorizzazione dei medesimi 

Indice

  • Sproporzionalità dei dati raccolti e memorizzazione dei medesimi 
  • Conservazione dei dati 
  • Sicurezza del trattamento
  • Ruolo degli intermediari

Allo stato attuale, il sistema prevede un trattamento obbligatorio, generalizzato e di dettaglio dei dati personali relativi alla totalità della popolazione che va oltre all’obiettivo di tutela dell’interesse pubblico. A questo si affianca il mancato rispetto dei principi di privacy by design e default che prevedono l’adozione di misure tecniche ed organizzative rigorose al fine di assicurare un trattamento corretto e trasparente. Inoltre il sistema prevede la conservazione integrale di tutte le fatture emesse e ricevute.

L’Agenzia a fronte di queste due osservazioni si è impegnata innanzitutto ad erogare il servizio di conservazione integrale delle fatture solo a coloro che ne faranno esplicita richiesta aderendo ad apposito accordo, previa informativa completa e trasparente, assumendo a tutti gli effetti il ruolo di Responsabile esterno del trattamento, debitamente incaricato.

In secondo luogo si è attivata per garantire a tutti coloro che non richiedessero la conservazione delle proprie fatture l’immediata cancellazione di tutti i dati “non fiscali” dal file XML (in particolare la descrizione del prodotto o servizio acquistati). Il file, così depurato, verrà poi cancellato il 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione.

Per apportare tali modifiche l’Agenzia delle entrate ha chiesto tempo fino al 3 maggio 2019 e successivamente fino al 2 luglio per permettere a tutti gli intermediari di adeguarsi. Nell’arco di questo periodo transitorio verranno archiviati tutti i file XML in versione integrale, che verranno poi “depurati” dei dati non fiscali.

E’ stato inoltre introdotto un regime di deroga per tutte le strutture sanitarie che, visto le lacune del sistema, NON devono emettere fatture elettroniche nel corso del 2019. Il Garante si è raccomandato con l’Agenzia di dare istruzioni a tali soggetti affinchè non siano emesse in nessun caso fatture che passino attraverso lo SDI.

Conservazione dei dati 

Come specificato sopra, il servizio di conservazione delle fatture dovrà essere erogato esclusivamente ai soggetti che ne faranno esplicita richiesta. A tal proposito è stato presentato al Garante un nuovo accordo di servizio che l’Agenzia proporrà ai facenti richiesta nel quale si specificano criteri e modalità del servizio , l’esistenza del sub-responsabile del trattamento Sogei in veste di conservatore di documenti digitali, nonchè le finalità del trattamento , che prevedono esclusivamente la conservazione delle fatture e l’esibizione delle stesse esclusivamente a soggetti formalmente incaricati dall’utente, senza alcun ulteriore trattamento che preveda analisi, condivisione o diffusione delle informazioni contenute nelle fatture elettroniche. In tal caso per questo specifico servizio è prevista la conservazione dei documenti per 15 anni.

Sicurezza del trattamento

Il Garante ha evidenziato che il ricorso dl protocollo FTP come canale per la trasmissione ed il recapito delle fatture elettroniche, la mancanza di criteri di cifrature dei file XML e l ‘utilizzo della PEC quale canale di recapito delle fatture costituiscono tutti elementi critici del sistema.

L’agenzia a tal proposito ha previsto l’attivazione di un canale  cifrato basato sul protocollo SFTP per tutti i soggetti che hanno presentato richiesta di accreditamento allo SDI; mentre per quanto riguarda la cifratura dei file XML archiviati e trasmessi a quanto sembra la risposta dell’Agenzia richiede ancora ulteriori analisi e approfondimenti.

Ruolo degli intermediari

Ovviamente, per gestire e far girare correttamente questo complesso sistema, sono stati identificati e accreditati diversi soggetti intermediari in ambito informatico , che costituiscono una ulteriore significativa criticità del sistema. Tutti costoro sono chiamati quanto prima a redigere clausole contrattuali conformi al Regolamento, con particolare riguardo alla durata, natura , finalità del trattamento, nonchè al ricorso ad eventuali sub-responsabili. E’ inoltre fondamentale che il trattamento si limiti esclusivamente alla esecuzione della prestazione contrattualmente richiesta, evitando trattamenti ulteriori quali analisi statistiche, anonimizzazione dei dati, ecc. Questo è in particolare l’aspetto che riguarda più direttamente tutti i titolari, che come per i servizi Cloud, dovendo comunicare i dati degli interessati a soggetti terzi, sono tenuti ad assicurarsi che questi (gli itnermediari dei servizi di fatturazione elettronica) forniscano determinate garanzie di protezione dei dati e attuino procedure organizzative e tecniche conformi a quanto previsto dal GDPR.

L’agenzia delle entrate dovrà inoltre presentare entro il 15 aprile 2019 una nuova Valutazione di Impatto che risponda maggiormente a quanto previsto dal GDPR e consideri  ,oltre alle misure tecniche e organizzative già analizzate, anche i potenziali rischi per i diritti e le libertà dell’interessato. Aspettiamo quindi questa nuova puntata per vedere che evoluzione avrà la vicenda e se ci saranno ricadute significative sugli utenti “obbligati ” del sistema di fatturazione elettronica.

Potete consultare l’intero provvedimento a questo link

Archiviato in:Approfondimenti, Privacy, Privacy, Uncategorized

Interazioni del lettore

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Barra laterale primaria

Ti potrebbe interessare anche

  • CRM: pillole di privacy

    27 Ottobre 2022
  • Google Analytics 4: le precisazioni del garante Danese

    27 Ottobre 2022
  • Novità sul trasferimento dei dati in America

    27 Ottobre 2022
  • La gestione della Mailbox del dipendente

    1 Luglio 2022
  • Attenzione a Google Analytics

    27 Giugno 2022
  • Stai valutando un Password Manager?

    7 Giugno 2022
  • Al via le Class Action privacy

    7 Giugno 2022
  • Come bloccare le telefonate indesiderate sul cellulare

    21 Aprile 2022
  • Indicazioni di cybersicurezza in tempi di guerra

    22 Marzo 2022
  • Come gestire una Ispezione Privacy

    15 Febbraio 2022

I nostri servizi

ambiente antincendio assistenza legale bandi bando benessere organizzativo bonus fiscali consulenza cookie coronavirus covid-19 covid19 enti controllo formazione gestione e comunicazione interna imballaggi medicina del lavoro misurazione movimentazione carichi normativa norme tecniche pratiche burocratiche privacy procedure e istruzioni operative radon sicurezza sistemi di gestione smart working smartworking sostenibilita' SOSTENIBILITà stress stress lavoro correlato sviluppo organizzativo valutazioni tecniche e misurazioni

Footer

Contatti

via Garofalo 29
20133 Milano
tel. 02 29408650

info@prograd.it
inviodoc@pec.programmaradon.it

   

Informazioni

Orari di ufficio
Dal lunedì al venerdì
ore 9.00 – 13.00
ore 14.00 – 18.15

Informative
Trattamento dei dati personali
Informativa cookies
Condizioni di vendita
Politica della qualità

Certificazioni

Aree di competenza

  • Privacy
  • Sviluppo organizzativo
  • Sicurezza sul lavoro
  • Rifiuti
  • Sistemi di gestione
  • Legge 231
  • Rapporti con gli Enti
  • Ambiente

Corsi e strumenti di formazione

© 2017 - 2023 Programma Radon srl, Via Garofalo 29, 20133 Milano - Tel. 02 29408650 - P. IVA 10859340159 - inviodoc@pec.programmaradon.it