Provvedimento Garante n.481

Provvedimento nei confronti dell’Agenzia delle entrate sull’obbligo di fatturazione elettronica – 15 novembre 2018

Registro dei provvedimenti
n. 481 del 15 novembre 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannoni, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito Regolamento;

Visto il d. lgs. 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

Visti il Codice in materia di protezione dei dati personali, d.lgs. 30 giugno 2003, n. 196, (di seguito Codice), così come modificato dal predetto d.lgs. n. 101 del 2018;

Vista la documentazione in atti;

Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Con la legge di bilancio 2018 (legge 27 dicembre 2017, n. 205, art. 1, spec. comma 909, recante “Bilancio di previsione dello Stato per l’anno finanziario 2018 e bilancio pluriennale per il triennio 2018-2020”), l’obbligo di fatturazione elettronica, già applicato nei confronti della pubblica amministrazione, è stato esteso alle cessioni di beni e prestazioni di servizi effettuate tra due operatori Iva (operazioni Business to Business, c.d. B2B), ma anche a quelle effettuate verso un consumatore finale (operazioni Business to Consumer, c.d. B2C), modificando l’art. 1 del d.lgs. 5 agosto 2015, n. 127, in materia di trasmissione telematica delle operazioni IVA e di controllo delle cessioni di beni effettuate attraverso distributori automatici.

Dall’anno di imposta 2017, la fattura elettronica è stata introdotta, in via facoltativa, per le operazioni B2B, mentre dal 1° gennaio 2019, sarà obbligatoria per tutte le cessioni di beni e prestazioni di servizi comunque effettuate tra soggetti residenti o stabiliti in Italia (art. 1, comma 916, della legge di bilancio 2018), con l’eccezione degli operatori che rientrano nei c.d. regimi di vantaggio e regimi forfettari, per i quali è facoltativo, nonché dei piccoli produttori agricoli già esonerati dall’emissione di fattura.

La citata legge ha previsto poi che il formato della fattura sia quello stabilito con l’allegato A al decreto del Ministro dell’economia e delle finanze, di concerto con il Ministro per la pubblica amministrazione e la semplificazione del 3 aprile 2013, n 55, recante il “Regolamento in materia di emissione, trasmissione e ricevimento della fattura elettronica da applicarsi alle amministrazioni pubbliche ai sensi dell’articolo 1, commi da 209 a 213, della legge 24 dicembre 2007, n. 244”.

L’attuazione di tale disciplina è avvenuta, in particolare, attraverso alcuni provvedimenti del Direttore dell’Agenzia delle entrate, adottati senza consultare il Garante. Le regole per predisporre, trasmettere, ricevere e conservare le fatture elettroniche sono state, infatti, definite nel provvedimento del Direttore dell’Agenzia delle entrate n. 89757 del 30 aprile 2018. Da ultimo, con il provvedimento del Direttore dell’Agenzia delle entrate n. 291241 del 5 novembre 2018, sono state, invece, disciplinate le modalità di conferimento e revoca delle deleghe per l’utilizzo dei servizi di fatturazione elettronica.

1. La fatturazione elettronica

In breve, per fattura elettronica si intende una fattura predisposta in un formato XML predefinito, trasmesso dall’emittente al ricevente attraverso il Sistema d’interscambio (SDI), messo a disposizione dei soggetti passivi dell’imposta sul valore aggiunto dal Ministero dell’economia e delle finanze e gestito dall’Agenzia delle Entrate “anche per l’acquisizione dei dati fiscalmente rilevanti” (art. 1 del d.lgs. 127 del 2015). In caso di utilizzo di formati e modalità di trasmissione diverse, la fattura si considera non emessa, con le relative conseguenze sanzionatorie.

I dati obbligatori da riportare, a norma di legge, nella fattura elettronica sono i medesimi di quelli stessi già riportati nelle fatture cartacee (artt. 21, ovvero 21-bis del d.P.R. 26 ottobre 1972, n. 633). È previsto, tuttavia, che le informazioni obbligatorie a fini fiscali, indicate nelle fatture elettroniche, possano essere integrate “con ulteriori dati utili alla gestione del ciclo attivo e passivo degli operatori” (punto 1.4. del provvedimento n. 89757).

L’Agenzia descrive lo SDI come una sorta di postino, che verifica la presenza in fattura dei predetti dati obbligatori ai fini fiscali, nonché dell’indirizzo telematico (c.d. “codice destinatario” ovvero indirizzo PEC) al quale il cliente (operatore Iva o consumatore finale) desidera che venga recapitata la fattura.

La nuova fatturazione elettronica, così come progettata, comporta anche il trattamento, da parte dell’Agenzia delle entrate, di tutti i dati presenti nelle fatture emesse (compresi quelli ulteriori rispetto a quelli obbligatori a fini fiscali) che, oltre ad essere trasmesse e rese disponibili ai destinatari attraverso lo SDI, saranno archiviate e utilizzate anche per le attività di controllo, effettuate anche dalla Guardia di finanza, come emerge chiaramente dal punto 10 del citato provvedimento n. 89757 del Direttore dell’Agenzia.

Per agevolare l’assolvimento dell’obbligo di fatturazione elettronica, l’Agenzia delle Entrate mette a disposizione degli operatori economici tre strumenti gratuiti (in alternativa a quelli già presenti sul mercato) per predisporre il file XML: una procedura web “Fatturazione elettronica”, utilizzabile accedendo al portale “Fatture e Corrispettivi” dell’Agenzia; un software scaricabile su PC e una mobile app, denominata “Fatturae”, con opzione di salvataggio dati sul dispositivo o cloud.

I canali di colloquio con lo SDI per trasmettere le fatture sono:

a) posta elettronica certificata (PEC);

b) servizi informatici, messi a disposizione dall’Agenzia delle entrate (procedura web e mobile app);

c) sistema di cooperazione applicativa, su rete Internet, tramite web service;

d) sistema di trasmissione dati tra terminali remoti, basato su protocollo FTP.

Le fatture sono invece rese disponibili ai destinatari con le seguenti modalità:

– in caso di operazioni B2B, i canali di cui alle predette lettere a), b), c) e d);

– in caso di operazioni B2C, dal 1° gennaio 2019, le fatture saranno rese disponibili al consumatore finale, nel formato XML, nella sezione riservata del sito web dell’Agenzia delle entrate. Resta fermo che una copia della fattura, in formato elettronico o analogico, sarà messa a disposizione del consumatore, anche direttamente da chi la emette, salvo che lo stesso decida di rinunciarvi.

Indipendentemente dalle modalità di consegna, un duplicato sarà reso sempre disponibile anche nell’area riservata dell’operatore economico che ha emesso la fattura.

Viene, inoltre, previsto che l’Agenzia delle entrate metta a disposizione del contribuente, mediante l’utilizzo di reti telematiche e anche in formato strutturato, le informazioni acquisite, affinando anche i meccanismi di ausilio all’adempimento spontaneo da parte degli operatori economici, consentendo di rilevare le incongruenze tra dati presenti nelle fatture e i versamenti IVA.

Nei citati provvedimenti dell’Agenzia è previsto che i soggetti tenuti all’obbligo di fatturazione elettronica si possano avvalere, per la trasmissione, la consultazione e la ricezione delle fatture, anche di diverse categorie di intermediari appositamente delegati.

OSSERVA

Per i profili di competenza si osserva che l’estensione dell’obbligo di fatturazione elettronica, in particolare, anche alle operazioni B2C, così come delineato dalla normativa primaria e secondaria di riferimento, presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali.

Dalla documentazione, allo stato, disponibile sembrerebbe, infatti, che, nel progettare il nuovo adempimento, non si sia tenuto adeguatamente conto dei rischi, di seguito illustrati, che l’implementazione della fatturazione elettronica determina per i diritti e le libertà degli interessati, e, quindi, non siano state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento le garanzie necessarie a soddisfare i requisiti del regolamento e a tutelare i diritti degli interessati (art. 25, § 1, del Regolamento).

2. La mancata consultazione del Garante

In via preliminare, si rileva che, in violazione del previgente art. 154, comma 4, del Codice, il provvedimento del Direttore dell’Agenzia delle entrate n. 89757 del 30 aprile 2018, e dell’art. 36, § 4, del Regolamento, il provvedimento n. 291241 del 5 novembre 2018, sono stati adottati senza che il Garante sia stato consultato.

Il tempestivo, e necessario, coinvolgimento dell’Autorità, ora previsto anche in fase legislativa, avrebbe certamente potuto contribuire ad avviare il nuovo progetto con modalità e garanzie rispettose della protezione dei dati personali fin dalla progettazione.

Il nuovo obbligo di fatturazione elettronica determina, inoltre, un trattamento sistematico di dati personali su larga scala, anche di categorie particolari di dati, potenzialmente relativi ad ogni aspetto della vita quotidiana, che presenta un rischio elevato per i diritti e le libertà degli interessati, richiedendo, per questo, l’effettuazione di una valutazione di impatto ai sensi dell’art. 35 del Regolamento.

3. Dati personali presenti nelle fatture elettroniche

Come sopra accennato, viene previsto che l’Agenzia, dopo aver recapitato le fatture in qualità di “postino”, non archivi solo i dati necessari ad assolvere gli obblighi fiscali, ma la fattura vera e propria in formato XML, che contiene di per sé informazioni non necessarie a fini fiscali (oltre agli eventuali allegati inseriti dall’operatore, certamente ultronei).

Le fatture, di regola, contengono, infatti, dati, anche molto di dettaglio, volti ad individuare – spesso a fini di garanzia, assicurativi o per prassi commerciali – i beni e i servizi ceduti, con la descrizione delle prestazioni, i rapporti fra cedente e cessionario e altri soggetti, riferiti anche a sconti applicati, fidelizzazioni, abitudini di consumo, oltre a dati obbligatori imposti da specifiche normative di settore, con particolare riguardo ai trasporti, alle forniture di servizi energetici o di telecomunicazioni (tipologie dei consumi, fatturazione dettagliata, regolarità dei pagamenti, appartenenza a particolari categorie di utenti). Ciò, vale a maggior ragione anche per categorie di dati particolari e giudiziari, rilevabili da fatture elettroniche emesse, ad esempio, da operatori attivi nel settore sanitario o giudiziario.

La presenza di informazioni non rilevanti a fini fiscali, è, peraltro, espressamente contemplata nel provvedimento dell’Agenzia (cfr. punto 1.4. del Provvedimento n. 89757), che tuttavia non ha individuato al riguardo nessuna specifica misura di garanzia volta ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza (art. 5, par. 1, lett. b), c) e f) del RGPD).

Aver progettato e definito la fatturazione elettronica nel quadro normativo primario e secondario, prevedendo in tale ambito un trattamento obbligatorio, generalizzato e di dettaglio di dati personali, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi ad ogni aspetto della vita quotidiana della totalità della popolazione, non appare proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito (artt. 6, § 3, lett. b), e, con riferimento alle particolari categorie di dati, 9, § 2, lett. g), del Regolamento).

Il trattamento generalizzato di dati personali effettuato nell’ambito della fatturazione elettronica richiede, inoltre, l’adozione -da parte dell’Agenzia delle entrate, ma anche degli operatori economici- di misure appropriate al fine di fornire agli interessati tutte le informazioni di cui agli artt. 13 e 14 del Regolamento. Ciò, soprattutto per quanto riguarda l’eventuale inserimento nelle fatture, e nei relativi allegati, di informazioni di dettaglio non rilevanti a fini fiscali, che dovrà comunque avvenire nel più rigoroso rispetto del principio di minimizzazione dei dati personali.

4. Messa a disposizione delle fatture sul portale dell’Agenzia

Ulteriori criticità derivano dalla scelta di rendere disponibili ai consumatori tutte le fatture elettroniche in formato XML sul portale dell’Agenzia, anche in assenza di una puntuale richiesta degli stessi, nonostante il diritto di ottenerne una copia, digitale o analogica, direttamente dall’operatore. Un siffatto trattamento comporta, infatti, un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web.

Tale scelta determina, inoltre, per impostazione predefinita, in manifesto contrasto con il principio di privacy by default, oltreché di minimizzazione e di privacy by design (artt. 5, comma 1, lett. c) e 25 del Regolamento), l’imprescindibile trattamento, da parte dell’Agenzia delle entrate, di dati non obbligatori a fini fiscali, rappresentati nel paragrafo precedente, relativi alla totalità dei cittadini, compresi coloro che, non rinunciando a ricevere la fattura direttamente dal fornitore, non intenderanno avvalersi del servizio messo a disposizione sul portale dell’Agenzia.

5. Ruolo assunto dagli intermediari e dagli altri soggetti operanti nell’ambito della fatturazione elettronica 

Il ruolo assunto dagli intermediari (termine che viene usato con accezioni diverse nei due citati provvedimenti dell’Agenzia) e dagli altri soggetti delegabili dal contribuente fa emergere peculiari profili di rischio per il trattamento dei dati personali.

Al riguardo, si rileva, in primo luogo, che dovrebbero essere individuate misure tecniche e organizzative adeguate ad assicurare il rispetto della normativa in materia di protezione dei dati personali in tutta la filiera del trattamento dei dati personali effettuato a fini di fatturazione elettronica.

Specifica attenzione va prestata all’articolato sistema di deleghe, da ultimo delineato nel provvedimento del 5 novembre 2018, per consentire agli intermediari di utilizzare le varie funzionalità rese disponibili ai contribuenti dall’Agenzia, basate anche su complesse rielaborazioni dei dati tramessi e ricevuti, riferiti anche a terzi, assicurandone, in concreto, la riservatezza.

Non risulta chiaro, nei citati provvedimenti, il ruolo assunto da parte degli intermediari e degli altri soggetti delegati rispetto al trattamento di dati personali, anche di dettaglio, contenuti nelle fatture elettroniche emesse e ricevute.

In caso di operatore economico persona fisica (professionista o ditta individuale), vanno, comunque, assicurate garanzie per distinguere, nell’ambito della consultazione da parte del soggetto delegato, le fatture relative alla sfera professionale/imprenditoriale da quelle relative alla sfera privata.

Sotto altro aspetto, si rileva che i canali di trasmissione dello SDI sono stati progettati dall’Agenzia, al fine di semplificare il processo fatturazione elettronica, offrendo soluzioni gratuite per le piccole imprese, ma anche dando la possibilità di trasmettere grandi volumi di dati, prevedendo quindi modalità di colloquio totalmente automatizzato, attraverso canali web service e FTP.

Il nuovo obbligo determina la concentrazione, presso soggetti che operano nei confronti di una grande moltitudine di operatori economici, di una mole enorme di informazioni, anche appartenenti a categorie particolari di dati personali, che non si riscontra nella normale gestione delle attività economiche in cui, di regola, non vengono messe a disposizione di terzi informazioni sui beni e servizi ceduti, sulla clientela e sulle relative abitudini di consumo.

È facilmente intuibile che la possibilità di accedere a simili banche dati stimoli grandi interessi rispetto ai quali sono, quindi, elevati i rischi di ulteriori utilizzi impropri, non solo con riferimento a trattamenti illeciti, ma anche alla proliferazione di possibili collegamenti e raffronti tra fatture di migliaia di operatori economici, in violazione dei principi applicabili al trattamento dei dati personali (art. 5 del Regolamento).

6. Criticità ulteriori: canali di trasmissione e recapito delle fatture elettroniche, intermediari e servizio di conservazione delle fatture da parte dell’Agenzia.

Si rilevano, inoltre, ulteriori criticità, che possono verosimilmente violare il Regolamento, in relazione ai profili di sicurezza e di correttezza e trasparenza del trattamento.

6.1. Canali di trasmissione e recapito delle fatture elettroniche

Con riferimento alla sicurezza dei canali di trasmissione delle fatture elettroniche, si evidenzia che nel provvedimento n. 89757, sembrerebbe attualmente previsto l’utilizzo del protocollo FTP, che non è considerabile un canale sicuro.

In proposito, il Garante ha, infatti, più volte evidenziato le criticità connesse all’utilizzo di tale protocollo in altri ambiti di trattamento, e anche prescritto all’Agenzia, già dal 2008 e, da ultimo nel 2017, l’utilizzo di canali sicuri di trasmissione.

Occorre, pertanto, prevedere, anche nell’ambito dello SDI, l’utilizzo di canali di connessione sicuri idonei a garantire un livello di sicurezza adeguato al rischio, in linea con quanto previsto dell’art. 32 del Regolamento.

Un’ulteriore criticità deriva dalla mancata cifratura del file XML della fattura elettronica. Ciò, considerando, in particolare, il previsto utilizzo della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di gestione della posta elettronica, che espone gli interessati a maggiori rischi di accesso non autorizzato i dati personali (utilizzo non esclusivo della PEC in ambito aziendale, furto di credenziali e attacchi informatici ai server).

6.2. Correttezza e trasparenza della app Fatturae

La mobile app, messa a disposizione dall’Agenzia, consente agli operatori economici di attivare il salvataggio di alcuni dati, non meglio specificati, in ambiente cloud. Da una prima analisi, non sarebbero correttamente rappresentate agli utenti nell’informativa le ulteriori finalità di conservazione e di controllo perseguite dall’Agenzia con i dati raccolti attraverso tale applicazione, in violazione dell’art. 13 del Regolamento.

6.3. Servizio gratuito di conservazione delle fatture da parte dell’Agenzia

L’Agenzia offre un servizio gratuito di conservazione delle fatture basato su un accordo di servizio. Al riguardo, non è chiaro il ruolo assunto dall’Agenzia in relazione al trattamento dei dati personali in tale servizio gratuito. In ogni caso, da quanto emerso in alcune notizie stampa, sembrerebbe che il testo di tale accordo di servizio per la conservazione delle fatture elettroniche preveda che “l’Agenzia non potrà essere ritenuta responsabile nei confronti del contribuente né nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione”. Ciò, verosimilmente violando l’art. 5, par. 1, lett. f) e l’art. 32 del Regolamento.

RITENUTO

Alla luce delle rilevanti criticità sopra illustrate, occorre, in primo luogo, rilevare che, la disciplina della fatturazione elettronica, così come delineata nel quadro normativo primario e secondario, a cura dell’Agenzia delle entrate, sia prevalentemente concentrata sugli aspetti legati alla trasmissione dei dati attraverso lo SDI, prevedendo in tale ambito un trattamento obbligatorio, generalizzato e di dettaglio di dati personali, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi alla totalità della popolazione, non proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito.

L’attuazione  del nuovo obbligo di fatturazione elettronica è avvenuta senza individuare, in ossequio ai principi di privacy by design e by default, misure adeguate, anche di carattere organizzativo, per garantire la protezione dei dati, anche appartenenti a categorie particolari, in ogni fase del trattamento, ivi comprese quelle appropriate per assicurare un trattamento corretto e trasparente nei confronti degli interessati, coinvolti anche in qualità di operatori economici (artt. 5, 6, § 3, lett. b), 9, § 2, lett. g), 13, 14 e 25 del Regolamento).

Considerato che l’obbligo di fatturazione elettronica, già applicato alle fatture emesse nei confronti della pubblica amministrazione e ora facoltativo per il B2B, sarà operativo per tutti a partire dal 1° gennaio 2019, è, quindi, urgente l’esigenza di intervenire al fine di tutelare i diritti e le libertà degli interessati.

Il Regolamento attribuisce al Garante, tra gli altri, il potere di rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del Regolamento e di ingiungere al titolare di fornire all’Autorità ogni informazione necessaria all’esecuzione dei suoi compiti (art. 58, § 1 lett. a) e § 2, lett. a)).

Attesi i rischi elevati per le libertà e i diritti degli interessati, risulta, pertanto, necessario avvertire l’Agenzia delle entrate, titolare del trattamento, del fatto che i trattamenti di dati personali effettuati nell’ambito della fatturazione elettronica, così come attualmente delineati, possono violare le disposizioni del Regolamento di cui agli artt. 5, 6, § 3, lett. b), 9, § 2, lett. g), 13, 14, 25 e 32, ingiungendole di far conoscere all’Autorità le iniziative assunte affinché i predetti trattamenti siano resi conformi alle richiamate disposizioni allorché gli obblighi di fatturazione elettronica divengano pienamente operativi.

Il Garante ritiene altresì di comunicare il presente provvedimento alla Presidente del Consiglio dei ministri e al Ministro dell’economia e delle finanze, per le valutazioni di competenza.

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell’art. 58, § 2, lett. a), Regolamento avverte l’Agenzia delle entrate del fatto che i trattamenti di dati personali effettuati nell’ambito della fatturazione elettronica, ai sensi dell’art. 1 del decreto legislativo 5 agosto 2015, n. 127 e dei provvedimenti n. 89757 del 30 aprile 2018 e n. 291241 del 5 novembre 2018 del Direttore, così come attualmente delineati, possono violare le disposizioni del Regolamento di cui agli artt. 5, 6, § 3, lett. b), 9, § 2, lett. g), 13, 14, 25 e 32;

b) ai sensi dell’art. 58, § 1, lett. a), del Regolamento  ingiunge all’Agenzia delle entrate di far conoscere all’Autorità le iniziative assunte per rendere conformi i predetti trattamenti alle disposizioni sopra citate allorché gli obblighi di fatturazione elettronica divengano pienamente operativi;

c) trasmette copia del presente provvedimento al Presidente del Consiglio dei ministri e al Ministro dell’economia e delle finanze per le valutazioni di competenza.

Roma, 15 novembre 2018  

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia


Chiarimenti Garante della privacy

  1. Cosa è il registro delle attività di trattamento?

L’art. 30 del Regolamento (EU) n. 679/2016 (di seguito “RGPD”) prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento.

E’ un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del RGPD) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento (sul registro del responsabile, vedi, in particolare, il punto 6).

Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

  1. Chi è tenuto a redigerlo? 

Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD).

In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

imprese o organizzazioni con  almeno 250 dipendenti;

  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

Alla luce di quanto detto sopra, sono tenuti all’obbligo di redazione del registro, ad esempio:

– esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);

– liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

– associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);

– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Infine, si precisa che le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).

Al di fuori dei casi di tenuta obbligatoria del Registro, anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che,  fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso.

Si invita altresì a consultare il documento interpretativo del 19 aprile 2018 del Gruppo ex art. 29 (Ora Comitato europeo per la protezione dei dati) reperibile al seguente link: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=624045

  1. Quali informazioni deve contenere? 

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del RGPD) e in quello del responsabile (art. 30, par. 2 del RGPD).

Con riferimento ai contenuti si rappresenta quanto segue:

(a) nel campo “finalità del trattamento” oltre alla precipua indicazione delle stesse, distinta per tipologie di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica dello stesso (v. art. 6 del RGPD; in merito, con particolare riferimento al “legittimo interesse”, si rappresenta che il registro potrebbe riportare la descrizione del legittimo interesse concretamente perseguito, le “garanzie adeguate” eventualmente approntate, nonché, ove effettuata, la preventiva valutazione d’impatto posta in essere dal titolare (v. provv. del Garante del 22 febbraio 2018 – [doc web n. 8080493]). Sempre con riferimento alla base giuridica, sarebbe parimenti opportuno: in caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni di cui all’art. 9, par. 2del RGPD; in caso di trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art. 10 del RGPD;

(b) nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati (es. clienti, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);

(c) nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi). Inoltre, si ritiene opportuno che siano indicati anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento– siano trasmessi i dati da parte del titolare (es. soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento). Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali;

(d) nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.);

(e) nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”). Ad ogni modo, ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”);

(f) nel campo “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. Tale lista ha di per sé un carattere dinamico (e non più statico come è stato per l’Allegato B del d. lgs. 196/2003) dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).

  1. Può contenere informazioni ulteriori?

Può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.).

  1. Quali sono le modalità di conservazione e di aggiornamento?

Il Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile. In quanto tale, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.

Il Registro può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:

“- scheda creata in data XY”

“- ultimo aggiornamento avvenuto in data XY”

  1. Registro del responsabile

Il responsabile del trattamento tiene un registro di “tutte le categorie di attività relative al trattamento svolte per conto di un titolare” (art. 30, par. 2 del RGPD).

In merito alle modalità di compilazione dello stesso si rappresenta quanto segue:

  1. a) nel caso in cui uno stesso soggetto agisca in qualità di responsabile del trattamento per conto di più clienti quali autonomi e distinti titolari (es. società di software house), le informazioni di cui all’art. 30, par. 2 del RGPD dovranno essere riportate nel registro con riferimento a ciascuno dei suddetti titolari. In questi casi il responsabile dovrà suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce; ove, a causa dell’ingente numero di titolari per cui si operi, l’attività di puntuale indicazione e di continuo aggiornamento dei nominativi degli stessi nonché di correlazione delle categorie di trattamenti svolti per ognuno di essi risulti eccessivamente difficoltosa, il registro del responsabile potrebbe riportare il rinvio, ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2 del RGPD;
  2. b) con riferimento alla “descrizione delle categorie di trattamenti effettuati” (art. 30, par. 2, lett. b) del RGPD) è possibile far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’art. 28 del RGPD, deve individuare, in particolare, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati oggetto del trattamento, nonché la durata di quest’ultimo;
  3. c) in caso di sub-responsabile, parimenti, il registro delle attività di trattamento svolte da quest’ultimo potrà specificatamente far riferimento ai contenuti del contratto stipulato tra lo stesso e il responsabile ai sensi dell’art. 28, paragrafi 2 e 4 del RGPD.

D.lgs 101/2018

Il 04 Settembre 2018 è stato pubblicato in G. Ufficiale il D.lgs 101/2018, del 10 Agosto 2018 recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). (18G00129) (GU Serie Generale n.205 del 04-09-2018)
note: Entrata in vigore del provvedimento: 19/09/2018

Vedi documento