OSSERVATORIO VECOMP

Stop all’uso massivo dei dati fiscali presenti nelle fatture elettroniche
I “dati fattura integrati” relativi ad operazioni verso i consumatori finali, possono essere utilizzati nelle attività massive ed informatizzate di analisi del rischio di evasione?

Il Garante dice no. Non essendovi l'obbligo per il cedente/prestatore di identificare il cessionario/committente, per questa tipologia di operazioni salvo in alcuni casi circoscritti (ad esempio per obblighi antiriciclaggio), la riferibilità a un consumatore dei dati personali presenti nelle fatture, a fini diversi da quelli per i quali sono raccolti (quali, in particolare, l'attuazione della disciplina Iva), potrebbe portare a trattamenti non corretti, con errata rappresentazione della sua capacità contributiva, in relazione ai quali potrebbe risultare impossibile (o, quantomeno, difficile) per l'interessato comprovare, a posteriori e a distanza di tempo, l'inesattezza.
Il divieto espresso dal Garante sull'utilizzo dei dati fattura integrati nell'ambito delle operazioni B2C, non è tuttavia illimitato. Restano infatti assolutamente esperibili le attività di controllo fiscale svolte in relazione a richieste di detrazione/deduzione delle spese sostenute e documentate da fattura. In questi casi il contribuente ha il dovere di dimostrare la deducibilità o la detraibilità della spesa sostenuta descritta nel corpo della fattura stessa. Allo stesso modo i “dati fattura integrati” nell'ambito delle operazioni B2C possono essere oggetto di puntuali verifiche fiscali da parte delle competenti autorità (Entrate e Gdf) poste in essere preliminarmente nei confronti di operatori economici nell'ambito del contrasto all'evasione dell'Iva. In queste situazioni specifiche i beni ceduti o i servizi prestati, oggetto della fattura elettronica, potranno essere analizzati qualora dagli stessi possa emergere un rischio di evasione fiscale.
 
Data: 30 settembre 2022
Fonte
Garante

 

HISTORIES

Screening oncologici: il Garante sanziona la Regione Lazio
Multa di 100mila euro per il mancato aggiornamento dei dati personali

Il Garante per la protezione dei dati personali ha sanzionato la Regione Lazio per la somma di 100mila euro per non avere aggiornato i dati della piattaforma utilizzata dalle Asl per l’invito agli screening oncologici. L’Autorità è intervenuta a seguito del reclamo di una donna che aveva lamentato all’Autorità di aver ricevuto dalla Asl di Rieti un invito a partecipare al programma di screening del tumore del collo dell’utero, rivolto alla figlia deceduta nel 1995. Nel corso dell’istruttoria, l’Autorità ha accertato che - per svolgere le campagne di screening - le Asl utilizzano una piattaforma regionale denominata Sistema Informativo dei Programmi di screening oncologici (SIPSOweb), che contiene tutti i parametri necessari alla generazione degli inviti.
Quando la ASL di Rieti aveva consultato la scheda "dettaglio assistito" di SIPSOweb relativa alla figlia della reclamante, questa risultava ancora regolarmente inserita nella suddetta piattaforma regionale sebbene deceduta da tempo. L’Autorità ha pertanto contestato alla Regione il mancato rispetto dei principi di esattezza e correttezza dei dati trattati attraverso la piattaforma e, tra l’altro, la non corretta individuazione dei ruoli ricoperti dai soggetti che a vario titolo trattano dati personali attraverso SIPSOweb.
La Regione dovrà perciò identificare correttamente i ruoli, le finalità e le basi giuridiche del trattamento, modificando e integrando le informazioni da rendere agli interessati.
Per garantire una maggiore accuratezza nella gestione delle informazioni anagrafiche delle persone aventi diritto ai programmi di screening oncologici, l’Autorità ha evidenziato la necessità che tutte le Regioni utilizzino a tal fine l'Anagrafe Nazionale degli Assistiti (ANA).

 
Data: 3 ottobre 2022
Ordinanza

App per diabetici: trattamento illecito 2mila mail
Il Garante ha sanzionato per 45mila euro la società statunitense Senseonics Inc, che sviluppa la app Eversense XL (un sistema di monitoraggio continuo del glucosio per persone affette da diabete) per violazioni sui dati personali nell’utilizzo del proprio sistema di monitoraggio del glucosio e per aver comunicato illecitamente indirizzi di posta elettronica e dati sulla salute di circa 2.000 pazienti diabetici italiani.

La Società ha notificato al Garante il data breach causato da un suo dipendente che, nell’ambito di una campagna informativa, ha inviato un messaggio di posta elettronica, inserendo gli indirizzi dei destinatari nel campo “cc” (carbon copy) invece che nel campo “bcc” (blind carbon copy). Ciascun destinatario ha avuto così la possibilità di visualizzare gli indirizzi e-mail degli altri.
L’indirizzo di posta elettronica - ha ribadito il Garante - è da considerarsi un dato personale, perché riguarda una persona identificata o identificabile e va perciò trattato in modo lecito, corretto e trasparente, garantendo un’adeguata sicurezza. Inoltre, nel caso specifico la comunicazione era indirizzata a persone affette da diabete, e pertanto le informazioni contenute nella e-mail, costituivano “dati personali che possono rivelare lo stato di salute” e quindi potevano essere comunicati a terzi solo sulla base di una delega scritta dell’interessato o di un idoneo presupposto giuridico.
Nel corso dell’istruttoria l’Autorità ha rilevato ulteriori violazioni al GDPR relative all’utilizzo del sistema di monitoraggio del glucosio attraverso l’APP e in particolare riguardanti l’impossibilità di formulare specifici consensi per i diversi trattamenti dei dati.
Nel valutare la sanzione da applicare, il Garante ha tenuto conto della mancanza di intenzionalità nell’invio dell’e-mail e del comportamento collaborativo della compagnia.
 
Data: 3 ottobre 2022
Ordinanza

 

IL CASO

Vietato usare Google Analytics 3
Sanzioni privacy per chi, sui propri siti Internet, continua a usare Google Analytics. Sono servizi per avere statistiche su chi visita le pagine web, ma sono illegittime se trasferiscono dati verso gli Usa.

Il Garante italiano, seguendo i precedenti conformi dei garanti austriaco e francese, ha, infatti, bocciato la versione 3 di Google Analytics (GA) con il provvedimento n. 224 del 9 giugno 2022, a latere del quale ha avvisato aziende e pubbliche amministrazione che, a partire dal 90° giorno successivo alla notifica del provvedimento citato all'operatore coinvolto, sarebbero state avviate ispezioni per accertare chi è in regola e chi no con il GDPR. Le verifiche, dunque, sono pronte a partire.

DOMANDE E RISPOSTE

Impianto di videosorveglianza domestica: serve il permesso?
No. chi vuole posizionare un impianto domestico di videosorveglianza non deve chiedere alcuna autorizzazione, purché limiti il cono di ripresa delle telecamere alle aree di stretta pertinenza e non interferisca in alcun modo con la vita privata di altri soggetti, compresi i vicini di casa
Telecamere dei negozi: a cosa bisogna fare attenzione?
In base alle prescrizioni impartite dal Garante, l’esercente, nella sua qualità di Titolare del trattamento di dati personali altrui, «deve porre particolare attenzione alla corretta individuazione delle aree riprese dalle telecamere, adottando, se del caso, idonei strumenti volti a limitare le riprese alle sole aree di pertinenza, nonché apporre idonei cartelli informativi da cui risulti l’indicazione del titolare e delle finalità del trattamento». In definitiva, il trattamento dei dati personali ripresi dalle telecamere dei negozi deve essere «effettuato con modalità tali da limitare l’angolo visuale all’area effettivamente da proteggere, evitando, per quanto possibile, la ripresa di luoghi circostanti e di particolari non rilevanti per la tutela dell’interesse legittimo del titolare del trattamento».
Smart working semplificato: come funziona?
Questa modalità di svolgimento del rapporto di lavoro è di regola definita in un accordo sottoscritto da datore di lavoro e lavoratore, ma può essere attivata anche in modalità semplificata, senza accordo preventivo con il lavoratore, per il periodo di emergenza. Il cosiddetto smart working semplificato [DL 19 maggio 2020, n. 34] consiste nella possibilità di comunicare il ricorso al lavoro agile in modalità facilitata, utilizzando la procedura telematica predisposta dal Ministero del Lavoro e delle Politiche Sociali. Non è necessaria la sottoscrizione dell’accordo preventivo tra le parti ma è necessario rispettare la normativa di riferimento, ossia la LEGGE 22 maggio 2017, n. 81.
Rivelare l’invalidità al datore di lavoro è obbligatorio?
Da una parte il lavoratore ha il diritto di tutelare le informazioni personali. Dall’altra, però, il datore può richiedere una visita medica per verificare le condizioni di salute del dipendente. L’art. 20 del Testo Unico sulla Sicurezza stabilisce che il lavoratore ha l’obbligo di collaborare alla sicurezza e alla tutela della salute nel posto di lavoro. Ciò significa che ha il dovere di comunicare al datore di lavoro le sue condizioni mediche o eventuali invalidità che possano mettere a repentaglio la propria salute e quella dei colleghi. Spetta ad un medico competente, infatti, stabilire se il dipendente possa essere assegnato o meno a specifiche mansioni e non al lavoratore stesso.
È stato abrogato l'obbligo di predisporre il DPS?
Sì, con il decreto-Legge "Disposizioni urgenti in materia di semplificazione e sviluppo" del 03/02/2012, n. 5 (pubblicato in Gazzetta Ufficiale n. 33 del 09/02/2012), sono stati modificati l’art. 34 e l’Allegato B del D.Lgs. 196/03, in materia di protezione dei dati personali: in particolare risulta eliminato l’obbligo di predisporre e aggiornare il documento programmatico sulla sicurezza (DPS) entro il 31/03/2012, nonché riferire nella relazione accompagnatoria di bilancio in merito alla sua stesura. Rimangono invariati gli altri adempimenti.
In caso di trattamento illecito di dati o di reati informatici, si applica la normativa sulla responsabilità amministrativa delle persone giuridiche e degli enti (D.Lgs. 231/2001 e s.m.i.)?
Sì, sulla base della normativa in merito alla responsabilità amministrativa delle persone giuridiche e degli enti (D.Lgs. 231/2001 e s.m.i.), vista la presenza tra i reati presupposto degli illeciti informatici e del trattamento illecito di dati, le strutture soggette non possono ritenere superflua la predisposizione di un modello documentale, che, in qualche modo, non richiami nella logica e nella struttura il Documento Programmatico sulla Sicurezza, ora abrogato.