Decorso il periodo transitorio c.d. di “tolleranza” che tutti gli Stati europei hanno osservato per consentire alle imprese di adeguarsi al nuovo sistema legato al GDPR 679/2016, è tempo delle verifiche e dei controlli (audit, ispezioni, indagini) nonché dell’irrogazione delle prime sanzioni amministrative. Da una prima analisi compiuta fino ai giorni d’oggi, possiamo affermare come le autorità di controllo (Garanti privacy in Europa) stiano tenendo un approccio ragionevole e ponderato in merito alle sanzioni per il mancato rispetto del GDPR, e ciò, in modo conforme a quanto dispone il regolamento stesso, secondo cui le sanzioni devono essere “effettive, proporzionate e dissuasive”. Dalla predetta analisi emerge altresì come tutte le sanzioni finora inflitte presentino un denominatore comune rappresentato dal mancato rispetto dell’Accountability, principio cardine del GDPR.

L’entrata in vigore del nuovo regolamento europeo in materia di protezione dei dati personali GDPR 679/2016 ha, infatti, determinato un radicale cambiamento nell’approccio adottato nella regolamentazione della materia, introducendo nel sistema legislativo di settore principi prima estranei al nostro ordinamento ed attribuendo, tra questi, un ruolo di preminente centralità e di guida a quello così detto di “responsabilizzazione” del titolare e del responsabile del trattamento. Il termine in lingua inglese utilizzato dal Legislatore europeo per esprimere il concetto di cui si parla è quello di “accountability”, che trova in italiano la traduzione più adatta in“responsabilizzazione”, ma che necessita di un ulteriore sforzo interpretativo perché ne venga colto per intero il più ampio significato. Accountability infatti in inglese esprime un concetto diverso e più esteso della mera responsabilità. Per comprenderne appieno il significato possiamo dire che l’esigenza sottesa al principio di responsabilizzazione mira al raggiungimento della protezione effettiva del dato personale oggetto di trattamento: i soggetti che determinano finalità e mezzi del trattamento, o che trattano i dati per loro conto, dunque il titolare ed il responsabile del trattamento, devono si agire secondo le migliori prassi ma altresì dimostrare di aver posto in essere tutte le misure di sicurezza opportune e necessarie, fornendo una giustificazione al perché delle decisioni ed azioni intraprese.

continua a leggere…

Fonte: altalex.com

La fattura elettronica viola il GDPR: lo ha detto il Garante Privacy in una nota all’Agenzia delle Entrate. Cosa cambia ora? Ecco tutte le novità e l’ipotesi di una proroga in extremi

La fattura elettronica va cambiata, viola il regolamento UE sulla protezione dei dati. È il Garante Privacy a comunicarlo in data 16 novembre 2018 con una nota rivolta all’Agenzia delle Entrate.

A poco più di un mese dall’entrata in vigore dell’obbligo di fattura elettronica il Garante Privacy si è pronunciato a riguardo, affermando che la nuova modalità di invio digitale dev’essere necessariamente e considerevolmente revisionata, dal momento che va contro la nuova normativa europea prevista dal GDPR.

L’obbligo di fattura elettronica per i titolari di Partita IVA potrebbe dunque non partire dal 1° gennaio 2019 in quanto presenterebbe un rischio elevato per la privacy dei soggetti interessati.

Viene rimproverato all’Agenzia delle Entrate che i provvedimenti per l’attuazione delle nuove regole di fattura elettronica sono stati adottati senza aver consultato il Garante Privacy, requisito obbligatorio in seguito all’approvazione del testo del decreto GDPR.

Continua a leggere 

Fonte: money.it

Con la pubblicazione in Gazzetta Ufficiale del Decreto 10 agosto 2018 n.101 di adeguamento al Gdpr è crolla l’ultimo alibi per le aziende. Temporeggiare non è più possibile per adeguarsi alle nuove, stringenti regole a tutela della privacy dei cittadini europei. Il decreto è il modo in cui l’Italia adegua la propria normativa alla rivoluzione privacy voluta dall’Europa, nota appunto con il nome di Gdpr (General data protection regulation).

È vero che le regole sono già scattate il 24 maggio (quando il regolamento Gdpr è entrato automaticamente in vigore), ma si aspettava il decreto italiano per adeguare la normativa nazionale alle forti novità.

“Ora il quadro normativo è completo e non ci sono più alibi per le aziende”, dice Francesco Modafferi dirigente del Garante Privacy che molto da vicino sta seguendo l’adeguamento alla nuova normativa. Una delle novità del decreto è che prova comunque a dare un po’ di respiro alle aziende. Dice tra l’altro che il Garante in questi primi otto mesi, nell’erogare le sanzioni, “tiene conto del fatto che siamo in una fase iniziale di attuazione”.

Ossia per ora si eviterà di essere troppo punitivi verso le aziende ritardatarie. Si eserciterà una certa gradualità. Il legislatore va incontro così a quanto richiesto dal Parlamento (nel parere dato dalla Commissione speciale Camera e Senato a questo decreto), che però addirittura avrebbe voluto una temporanea sospensione delle ispezioni del Garante.

Il tutto è un forte indizio, comunque, su quanto siano in ritardo le aziende italiane nell’adeguarsi, rischiando così sanzioni fino a 20 milioni di euro o il 4% del fatturato globale. Per aiutare la vita delle PMI, un’altra delle novità del decreto è che si chiede al Garante Privacy di promuovere linee guida per fissare modalità di adeguamento semplificate ad hoc per loro. “Adesso le regole sono complete e l’arbitro può fischiare il calcio d’inizio”, dice Modafferi. L’arbitro sarà appunto il Garante Privacy, che in questi giorni farà ispezioni, sanzioni. Ma non solo. “Restano da fare ancora alcune regole di secondo livello, da parte del Garante Privacy, come previsto dal decreto”, aggiunge.

Tra le regole in arrivo, ce ne sono alcune che faranno la differenza per la ricerca e il mercato nell’ambito sanitario. Introdurranno infatti modalità innovative per l’uso di big data sanitari, genetici, biometrici dei cittadini, nel rispetto della loro privacy. La promessa di fondo è la possibilità di usare grandi masse di dati per migliorare l’attività di prevenzione e cura grazie alle tecnologie di intelligenza artificiale.

Fonte: Repubblica

DECRETO LEGISLATIVO 10 agosto 2018, n. 101

Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). (18G00129) (GU Serie Generale n.205 del 04-09-2018)

Dlgs 101/2018

Codice in materia di protezione dei dati personali (Testo coordinato) [769 k, pdf]

note: Entrata in vigore del provvedimento: 19/09/2018

Aziende e PA sono ora oggetto di ispezioni della GdF, che verificherà il rispetto degli obblighi imposti dal GDPR. Ottanta le attività previste nel secondo semestre. Ecco sulla base di quali criteri si svolgeranno i controlli e le sanzioni previste per gli inadempient

Partono dal primo di settembre i controlli della guardia di Finanza presso le aziende e le Pubbliche Amministrazioni, selezionate in base ai criteri fissati dall’Autorità Garante, per la verifica della conformità e il rispetto delle prescrizioni del Regolamento UE 2016/679 (GDPR). Ecco come si svolgono i controlli e le sanzioni.

Nel secondo semestre 2018 sono ottanta le attività ispettive programmate dall’Ufficio del Garante sulla base del protocollo d’intesa stipulato con la Guardia di Finanza il 10 marzo 2016, che fissa i principi e i criteri alla base dell’attività ispettiva della GdF presso amministrazioni pubbliche e aziende che effettuano il trattamento di dati, o presso le quali occorre effettuare rilevazioni comunque utili al controllo, nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni già copiosamente fatti pervenire all’Autorità Garante…

continua a leggere

Fonte: agendadigitale.eu

Il principio di protezione dei dati dell’UE afferma inequivocabilmente che il trattamento dei dati personali è lecito solo se, e nella misura in cui, è consentito dalla legge applicabile. Qualsiasi giustificazione per il trattamento che il controllore¹ dei dati può fornire al di fuori di tale ambito preciso è senza fondamento legale ed è considerata illegale.

Talvolta le organizzazioni ritengono di dover ottenere il consenso degli interessati per trattare i loro dati. Questo può sembrare un onere amministrativo insormontabile, ma ottenere e gestire il consenso non è obbligatorio per tutte le attività di trattamento dei dati personali. Il consenso è solo uno dei tanti modi per legittimare le attività di trattamento quando vengono esaurite altre basi legali per il trattamento dei dati.

Ecco una panoramica delle sei basi giuridiche per il trattamento dei dati….

continua a leggere

Fonte: advisera.com

Soro in Relazione annuale, +500% comunicazioni ‘data breach’

In Italia, nel solo mese di maggio, gli attacchi informatici “hanno toccato la soglia di 140 al giorno. Dal 25 maggio sono aumentate di oltre il 500% le comunicazioni di data breach al Garante, che hanno interessato, assieme a quelli notificati a partire da marzo, oltre 330.000 persone”. Lo dice il presidente dell’Autorità garante per la protezione dei dati personali, Antonello Soro, nella Relazione annuale al Parlamento…continua a leggere

Fonte: ansa.it