GDPR e fattura elettronica

Come saprete, l’Autorità di Controllo italiana si è espressa sulla imminente estensione dell’obbligo di fatturazione elettronica alle operazioni “business to business” e “business to consumer” , emanando un provvedimento nel quale ha evidenziato diverse importanti criticità.

Nel confermare tutte quante le preoccupazioni espresse dal Garante per la Protezione dei Dati Personali, vorrei evidenziare tre punti in particolare.

Il trattamento di tutti i dati relativi ad una fattura, comprese le descrizioni di ogni riga, oltre che violare i principi di privacy by default e di minimizzazione, determinano il rischio che soggetti terzi non autorizzati possano avere accesso a tali informazioni; tale condizione è particolarmente rilevante qualora la transazione economica riguardi interessi coperti da segreti aziendali, industriali o comunque si debba mantenere la riservatezza su tali importi o sconti applicati.

Come secondo punto, occorre considerare gli aspetti derivanti dalla funzione degli “intermediari e dagli altri soggetti operanti nell’ambito della fatturazione elettronica”;  si realizzeranno dei trattamenti “big-data”, soggetti non solo ai rischi indicati dal Garante ma anche a procedure di “data mining”, tramite le quali estrarre rilevanti e preziosissime informazioni sottese.

Come terzo aspetto, e consentitemi una notazione tecnologica; ai giorni nostri, l’adozione del protocollo ftp (nato nel 1971) per trasferire elevate quantità di dati, anche personali e potenzialmente di “levatura particolare”, equivale ad inviare dati personali usando piccioni viaggiatori. Ciò conferma che, spesso, chi determina non ha esatta contezza degli aspetti tecnici e delle conseguenze delle proprie decisioni.

Mi auguro che, in extremis, qualcuno si prenda la briga quantomeno di cercare soluzioni, procedurali e tecniche.

Aggiornamento del 21 dicembre: al tavolo tecnico svoltosi nei giorni scorsi tra Agenzia delle Entrate e Garante Privacy, ha fatto seguito un provvedimento del Garante.

Invito tutti i soggetti “coinvolti” nella fatturazione elettronica a leggere con attenzione il provvedimento, in particolare gli operatori sanitari, gli intermediari e gli altri soggetti delegati nell’ambito della fatturazione elettronica.

Sono state accettate le contestazioni della Autorità di Controllo italiana relative alla sproporzione della memorizzazione di tutti i dati delle fatture (le descrizioni di riga, ma anche i dati correlati, quali quelli dei vettori) e quelle relative alla assoluta insicurezza del protocollo ftp, che adesso verrà sostituito con sftp (logica conseguenza).

L’ Autorità ha autorizzato la fatturazione elettronica, alle condizioni indicate nel provvedimento, chiedendo alla Agenzia delle Entrate, entro il 15 aprile 2019, di rifare la DPIA (adesso carente in alcune parti) e di valutare l’adozione di algoritmi di cifratura dei files XML trasmessi al SDI.

Differenza tra privacy by design e privacy by default

Privacy by Design e Privacy by Default sono due concetti non particolarmente nuovi, portati alla ribalta dal nuovo Regolamento UE 679/2018.

Concettualmente sono “vicini” ma distinti; spesso assisto ad interventi di professionisti, anche autorevoli, che confondono i due concetti.

Non voglio entrare nel merito di una disquisizione tecnica, che probabilmente confonderebbe ulteriormente le idee, ma intendo fornire una semplice indicazione che consente di districarsi in molte occasioni.

Il concetto di Privacy by Design è affiancabile a quello di progettazione.

Il concetto di Privacy by Default è collegabile a quello di configurazione.

GDPR e software house

Il nuovo codice Europeo sulla Protezione dei Dati Personali impatta in modo rilevante sulle organizzazioni che producono software (software house).

In primo luogo, perché dovranno garantire che il software da loro prodotto (o commercializzato) sia compliant ai dettami del GDPR.

I più rilevanti sono quelli derivanti dall’articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita:

  1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
  2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
  3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Quindi il nuovo approccio dettato dal GDPR è basato non più prevalentemente sulla persona ma sulla protezione del dato personale in sé.

Cosa significa Privacy by Design?
Il concetto indica che, in ogni sistema di trattamento, occorre prevenire (prima) invece che intervenire (poi); significa progettare un sistema (ambiente software, servizio SAAS, Cloud Platform, …) che metta alla base delle proprie funzioni la protezione dei dati.
La maggior parte degli incidenti di data security, nel GDPR definiti con il termine poco calzante di Data Breach, derivano da ambienti e sistemi software con bug o vulnerabilità, oppure mal progettati e/o mal configurati.

Cosa significa Privacy by Default?
Il concetto di Privacy by Default determina che per impostazione predefinita i sistemi di trattamento devono trattare i dati personali solo nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati personali; nel definire il periodo strettamente necessario, occorre quindi anche considerare il nuovo diritto all’oblio.