Sarà disponibile a partire dal p.v. 28 gennaio, il libro digitale “Fatturazione Elettronica e Gdpr” edito da Wolters Kluwer e scritto dalla Dott.ssa Gloriamaria Paci in collaborazione con Luca Di Leo.

Un ebook che illustra in maniera chiara e sintetica i provvedimenti del Garante rispetto alla fatturazione elettronica attuativa dal 1 gennaio 2019.

L’ebook si può prenotare al seguente link:

https://shop.wki.it/Ipsoa/eBook/eBook_Fatturazione_Elettronica_e_Gdpr_s684922.aspx

I video dell’evento:

San Marino – Nuova legge sulla privacy: l’incontro per approfondire il nuovo regolamento

San Marino – Intervista al Dott. Giuseppe Giuliano – funzionario attività ispettive Garante per la Protezione dei dati personali Dott. Giuseppe Giuliano

Studio Paci per ANIS San Marino: Privacy, imprese a “lezione” sulla Legge sammarinese

La Legge 21 Dicembre 2018 n. 171 “Protezione delle persone fisiche con riguardo al trattamento dei dati personali”) è entrata in vigore lo scorso 5 gennaio, definendo “il quadro normativo relativo alla protezione dei dati personali sul territorio sammarinese”. Commentando da ANIS. “Abbiamo ritenuto opportuno, pertanto, organizzare un appuntamento di approfondimento della nuova legge sammarinese per martedì 29 gennaio dalle ore 9:30 presso la Sala Montelupo di Domagnano (e non nella sede ANIS, come annunciato in precedenza), con l’obiettivo anche di porla a confronto con il Regolamento Europeo 2016/679”.

Relatori del momento di approfondimento saranno il Dott. Giuseppe Giuliano, Funzionario del Dipartimento attività ispettive e sanzioni del Garante per la protezione dei dati personali italiano, e la Dott.ssa Gloriamaria Paci, consulente in materia di privacy. “Durante l’incontro”, spiegano da ANIS, “verranno quindi illustrati i contenuti della 171/2018 nonché le linee di continuità e le differenze delle due normative avendo a riguardo agli adempimenti, ai diritti degli interessati e all’impianto sanzionatorio”. L’incontro è riservato ai soli soci ANIS ed è gratuito, previa iscrizione tramite il modulo inviato via email o telefonando alla segreteria ANIS al numero 0549/873911.

Anche San Marino, come detto, ha finalmente la sua Legge sulla Privacy. E’ stato infatti approvato in Consiglio Grande e Generale il Progetto di Legge “Protezione delle persone fisiche con riguardo al trattamento dei dati personali”. La Segreteria di Stato per gli Affari Interni e il Governo, opportunamente sollecitati dalle categorie economiche in particolare ANIS, avevano intrapreso da mesi un percorso volto all’approvazione di una proposta di legge in materia di protezione dei dati personali, al fine di realizzare l’adeguamento dell’attuale impianto normativo sammarinese al Regolamento UE n. 679 emanato dal Parlamento Europeo nel 2016, direttamente applicabile anche nei confronti degli Stati Terzi all’UE, e quindi anche alla Repubblica di San Marino, a decorrere dal 25 maggio 2018. “La Repubblica”, si legge in una nota della Segreteria agli Interni, “ha fatto propria l’esigenza di dotarsi di una normativa efficace in materia di protezione dei dati personali: solo con una forte tutela dei dati e delle informazioni personali, infatti, si costruisce una società dell’eguaglianza, senza discriminazioni e si difende la società della libertà”. “L’approvazione della norma”, ha poi avvertito Zanotti, “non esaurisce certamente le questioni legate a tale tema; saranno necessari ulteriori interventi per nominare i membri dell’Autorità Garante della protezione dei dati personali e per l’avvio del funzionamento dell’Autorità, medesima nonché del relativo Ufficio, che dovranno essere impostati anche dal punto di vista organizzativo e – prosegue il Segretario Zanotti – l’impegno è ad accelerare questa seconda fase”. Anche per questo il convegno ideato da ANIS servirà per definire ancora meglio i prossimi e successivi passi in avanti, sia a livello normativo, sia di piena operatività con i paesi UE e in particolare con l’Italia.

Fonte: http://www.sanmarinofixing.com/smfixing/fixing/archivio-fixing/28858-privacy-imprese-a-lezione-sulla-legge-sammarinese.html

Sarà disponibile a partire dal p.v. 28 gennaio, il libro digitale “Fatturazione Elettronica e Gdpr” edito da Wolters Kluwer e scritto dalla Dott.ssa Gloriamaria Paci in collaborazione con Luca Di Leo.

Un ebook che illustra in maniera chiara e sintetica i provvedimenti del Garante rispetto alla fatturazione elettronica attuativa dal 1 gennaio 2019.

L’ebook si può prenotare al seguente link:

https://shop.wki.it/Ipsoa/eBook/eBook_Fatturazione_Elettronica_e_Gdpr_s684922.aspx

1) Ordinanza ingiunzione nei confronti di Comune di Buccino – 7 novembre 2018

Registro dei provvedimenti
n. 479 del 7 novembre 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO  che l’Ufficio del Garante per la protezione  dei dati personali (si seguito Garante), con la nota n. 15656 del 23 maggio 2018, ha definito il procedimento amministrativo relativo a una segnalazione, accertando che il Comune di Buccino C. Fisc.: 82003670658, con sede in Buccino (Sa), piazza Municipio n.  1, in persona del legale rappresentante pro-tempore,  ha diffuso on line dati personali sul sito web istituzionale http://www.comune.buccino.sa.it mediante la pubblicazione  della nota n. 3645 del 23 maggio 2016, contenente  “l’elenco non residenti a Buccino  – Cancellazione  liste  elettorali” , in assenza  di un  idoneo  presupposto  normativo  in violazione dell’art. 19, comma 3 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n.  196 – nel seguito, “Codice”). Ciò, anche tenendo conto di quanto acquisito in atti nell’ambito dell’istruttoria e formalizzato nella nota n. 15656 del 23 maggio 2018 dal Dipartimento libertà pubblica e sanità del Garante circa il fatto che  “(…) la normativa statale  in materia di trasparenza (d. lgs. n. 33 del 24/3/2013) non prevede  l ‘obbligo di pubblicazioni  dei dati personali oggetto della segnalazione  (…) “;

VISTO il verbale n. 20683/103633 del 10 luglio 2018 con cui è stata contestata dall’Ufficio del Garante al Comune di Buccino, in persona del legale rappresentante pro-tempore la violazione amministrativa prevista dall’art. 162, comma 2-bis, del Codice, in relazione all’art. 19, comma 3, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge n. 689/1981;

ESAMINATO il rapporto dell’Ufficio del Garante predisposto ai sensi  dell’art.  17 della legge 24 novembre 1981, n. 689, dal quale non risulta essere stato effettuato il pagamento in misura ridotta;

CONSIDERATO che la parte non risulta essersi avvalsa delle facoltà previste dall’art. 18 della legge n. 689/1981 (non presentando all’Autorità scritti difensivi né chiedendo di essere ascoltata);

RILEVATO, pertanto, che il Comune di Buccino, ha diffuso on line dati personali sul sito web istituzionale http://www.comune.buccino.sa.it mediante la pubblicazione della nota n. 3645 del 23 maggio 2018, contenente “l’elenco non residenti a Buccino – Cancellazione liste elettorali” , in assenza di un idoneo presupposto normativo in violazione dell’art. 19, comma 3 del Codice;

VISTO l’art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell’art. 167 del Codice, tra le quali quelle di cui all’artt. 19, comma 3, del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

RITENUTO che, nel caso in esame, ricorrano le condizioni per applicare l’art. 164-bis, comma 1, del Codice il quale prevede che se taluna delle violazioni di cui agli art. 161, 162-ter, 163 e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessi articoli sono applicati in misura pari a due quinti;

CONSIDERATO che, ai fini della determinazione dell’ammontare della  sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria per la violazione dell’art. 162, comma 2-bis del Codice in combinato disposto con l’art. 164-bis, comma 1, nella misura di euro 4.000,00 (quattromila);

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni; VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la della prof.ssa Licia Califano;

ORDINA

al Comune di Buccino C. Fisc.: 82003670658, con sede in Buccino (Sa), piazza Municipio n. 1, in  persona del legale rappresentante pro-tempore, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per la violazione dell’art. 162, comma 2-bis, indicata in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 4.000,00 (quattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 7 novembre 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia

 

2) Ordinanza ingiunzione nei confronti di Comune di Castel Maggiore – 7 novembre 2018

Registro dei provvedimenti
n. 480 del 7 novembre 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

RILEVATO che l’Ufficio del Garante, con atto n. 17786/114844 del 12 giugno 2018 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riportato, ha contestato il Comune di Castel Maggiore, con sede legale in Castel Maggiore (BO), via Matteotti n. 10, C.F. 00524081205, la violazione prevista dagli artt. 19, comma 3, 162, comma 2-bis, e 167 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”, nella formulazione antecedente alle modifiche introdotte dal d. lg. n. 4 settembre 2018, n. 101 in vigore dal 19 settembre 2018);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:

– il Garante ha adottato un provvedimento, n. 292 del 16 maggio 2018, nei confronti del Comune di Castel Maggiore, che qui si intende integralmente richiamato;

– nel provvedimento si rappresenta che, a seguito di una segnalazione, è stato accertato che il Comune ha pubblicato sul proprio sito web istituzionale la Determinazione del Settore Ufficio del Segretario Generale n. 1 del 18 maggio 2015, avente ad oggetto “obbligo di astensione del Responsabile del Settore Gestione del Territorio per parziale conflitto di interessi”;

– la Determinazione stabiliva, su richiesta dello stesso Responsabile pro-tempore del Settore Gestione del Territorio, l’obbligo del medesimo di astenersi dalla valutazione di una dipendente, per potenziale conflitto di interessi poiché propria consorte;

– la Determinazione, che riportava in chiaro i dati identificativi del Responsabile del settore e della dipendente oltre che informazioni sull’esistenza di un rapporto di lavoro presso l’ente e di un potenziale conflitto di interessi nell’anno 2014, era accessibile sia dall’area dedicata all’Albo Pretorio, alla sezione denominata “Accesso agli atti amministrativi”, che dall’area “Amministrazione trasparente”, alla sezione “Provvedimenti” “Determine dirigenziali”. L’atto risultava pubblicato da circa tre anni e, quindi, per un periodo superiore ai quindici giorni previsti dalla normativa di settore (art. 124, comma 1, d. lg. n. 267/2000);

– sulla scorta di quanto accertato con il richiamato provvedimento, l’Ufficio ha contestato al Comune, quale titolare del trattamento, la violazione di cui agli artt. 19 e 162, comma 2-bis, del Codice, per aver effettuato una diffusione di dati personali in assenza di un idoneo presupposto normativo ai sensi dell’art. 19, comma 3, del Codice;

RILEVATO che con il citato atto del 12 giugno 2018 è stata contestata al Comune la sopra richiamata violazione;

PRESO ATTO che il Comune non ha provveduto al pagamento in misura ridotta, come evidenziato dal rapporto redatto ai sensi dell’art. 17 della legge n. 689/1981;

LETTI gli scritti difensivi del 12 luglio 2018, nei quali si rappresenta che:

– la determina del Comune di Castel Maggiore del 18 maggio 2015 soggiace agli obblighi di pubblicazione previsti dall’art. 12 del d. lg. 33/2013, che impone la pubblicazione di qualsiasi atto adottato dall’ente pubblico, che dispone in generale sull’organizzazione, sui procedimenti, ivi comprese le misure integrative di prevenzione alla corruzione di cui all’art. 1, comma 2-bis della legge 190/2012;

– la pubblicazione di atti relativi a situazioni di conflitti di interesse rientra nel novero delle misure di prevenzione anti-corruzione e al riguardo devono evidenziarsi i contenuti del Piano nazionale anticorruzione (richiamato dalla citata legge n. 190/2012) nelle parti in cui si stabilisce che la trasparenza è uno degli assi portanti della politica anticorruzione ed è fondata su obblighi di pubblicazione previsti dalla legge ma anche su ulteriori misure di trasparenza, individuate da ciascun ente in ragione delle proprie caratteristiche funzionali;

– il piano anticorruzione adottato dall’Anac, aggiornato in base alla determinazione n. 12/2015, indica che le misure di prevenzione debbano avere un carattere organizzativo e consentano di adottare interventi volti a interessare anche singoli processi/procedimenti tesi a ridurre le condizioni operative che favoriscono la corruzione, misure che riguardano l’imparzialità oggettiva e soggettiva del funzionario;

– in questo senso, deve considerarsi che la pubblicazione della determina oggetto di contestazione risponde ad una duplice ratio con riferimento al rispetto della trasparenza intesa come accessibilità totale e partecipazione all’attività dell’ente, nonché alla prevenzione di fenomeni corruttivi nella pubblica amministrazione;

– la pubblicazione è comunque anche consentita dall’art. 7-bis del d. lg. n. 33/2013, laddove si prevede che le amministrazioni possano disporre la pubblicazione nel proprio sito istituzionale, per la durata di anni cinque, di informazioni e documenti che le stesse non hanno l’obbligo di pubblicare in base a quanto previsto dal decreto o da altre disposizioni di legge o regolamento;

– sotto questo profilo il Piano territoriale anticorruzione del Comune di Castel Maggiore prevede la pubblicazione sul proprio sito istituzionale di direttive, circolari, programmi, istruzioni e ogni atto che dispone in generale sulla organizzazione, sulle funzioni, sugli obiettivi e sui procedimenti e prevede altresì che i responsabili dei settori possano pubblicare ulteriori dati e informazioni che ritengono necessari per assicurare la migliore trasparenza sostanziale dell’azione amministrativa;

– sussistono pertanto, per la diffusione dei dati dei soggetti citati nella determina in argomento, le condizioni richieste dall’art. 19, comma 3, del Codice, ossia l’esistenza di una norma di legge (art. 12 o art. 7-bis del d. lg. n. 33/2013) che consente tale diffusione per un periodo superiore ai 15 giorni indicato nell’art. 124 del d. lg. n. 267/2000;

RITENUTO che le argomentazioni addotte dal Comune non sono idonee a determinare l’archiviazione del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa per le seguenti ragioni:

– sulla base della prima argomentazione difensiva, l’obbligo di pubblicazione della determina oggetto di contestazione risiederebbe nell’art. 12 del d. lg. n. 33/2013, laddove dispone che sia pubblicato “ogni atto, previsto dalla legge o comunque adottato, che dispone in generale sulla organizzazione, sulle funzioni, sugli obiettivi, sui procedimenti ovvero nei quali si determina l’interpretazione di norme giuridiche che le riguardano o si dettano disposizioni per l’applicazione di esse, ivi compresi i codici di condotta, le misure integrative di prevenzione della corruzione individuate ai sensi dell’articolo 1, comma 2-bis, della legge n. 190 del 2012, i documenti di programmazione strategico-gestionale e gli atti degli organismi indipendenti di valutazione”;

– l’art. 1, comma 2-bis, della legge n. 190/2012 chiarisce che le misure integrative di prevenzione della corruzione sono individuate nel piano nazionale anticorruzione, atto di indirizzo per tutte le amministrazioni pubbliche, adottato con cadenza triennale e aggiornamento annuale, dall’Autorità nazione anticorruzione (ANAC);

– nella ricognizione effettuata dalla difesa delle indicazioni contenute nel Piano nazionale anticorruzione e nei relativi aggiornamenti non si ravvedono riferimenti a disposizioni di legge che siano idonee a soddisfare il requisito previsto dall’art. 19, comma 3, del Codice e che, pertanto, consentano, direttamente e specificamente, la diffusione, da parte di soggetti pubblici, di dati personali di dipendenti raggiunti da un provvedimento che dispone la loro astensione dalla trattazione di determinati procedimenti;

– alla considerazione circa la liceità della predetta diffusione la difesa perviene, infatti, solo attraverso ricostruzioni interpretative di diverse disposizioni, non soltanto di rango primario, in base alle quali sarebbe consentita alle pubbliche amministrazioni, in ragione di generiche esigenze di trasparenza e prevenzione dalla corruzione, una ampia e indiscriminata possibilità di diffusione dei dati personali contenuti nella generalità degli atti dalle stesse adottate;

– al contrario, sulla base di quanto evidenziato nelle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, adottate dal Garante il 15 maggio 2014, la diffusione dei dati personali da parte di soggetti pubblici viene vincolata a stringenti condizioni ed “è ammessa unicamente quando la stessa è prevista da una specifica norma di legge o di regolamento […]. Pertanto, in relazione all´operazione di diffusione, occorre che le pubbliche amministrazioni, prima di mettere a disposizione sui propri siti web istituzionali informazioni, atti e documenti amministrativi (in forma integrale o per estratto, ivi compresi gli allegati) contenenti dati personali, verifichino che la normativa in materia di trasparenza preveda tale obbligo […]”. Peraltro “laddove l´amministrazione riscontri l´esistenza di un obbligo normativo che impone la pubblicazione dell´atto o del documento nel proprio sito web istituzionale è necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l´oscuramento di determinate informazioni. I soggetti pubblici, infatti, in conformità ai principi di protezione dei dati, sono tenuti a ridurre al minimo l´utilizzazione di dati personali e di dati identificativi  ed evitare il relativo trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l´interessato solo in caso di necessità […]. Pertanto, anche in presenza degli obblighi di pubblicazione di atti o documenti contenuti nel d. lgs. n. 33/2013, i soggetti chiamati a darvi attuazione non possono comunque “rendere […] intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione”[…];

– il tema dell’obbligo di astensione del dipendente pubblico in caso di conflitto di interessi trova specifica disciplina nell’art. 6-bis della legge n. 241/1990 (introdotto dall’art. 1, comma 41, della legge n. 190/2012) e nell’art. 7 del d.P.R. n. 62/2013 recante il “Codice di comportamento dei dipendenti pubblici”, disposizioni che nulla prevedono in ordine alla pubblicazione di eventuali determinazioni al riguardo assunte da parte delle pubbliche amministrazioni;

– tali determinazioni, peraltro, in base allo schema delineato dalle sopra richiamate norme, interverrebbero soltanto a seguito di segnalazione da parte del dipendente su cui grava l’obbligo di astensione, come risulta sia avvenuto anche nel caso in argomento, per cui, in un’ottica di puntuale e corretto adempimento delle predette norme, alcuna misura integrativa di prevenzione alla corruzione pare rendersi necessaria;

– in buona sostanza, la determina che dispone l’astensione di un dipendente pubblico rispetto alla trattazione di un determinato procedimento, sulla base della segnalazione del medesimo dipendente, non può connotarsi, di per sé, come una misura organizzativa adottata dall’amministrazione al fine di prevenire eventuali episodi corruttivi, ma come l’ordinaria definizione e presa d’atto di un processo innestato proprio su impulso del dipendente in adempimento di specifici obblighi di legge;

– nei confronti di tale atto, pertanto, non incombe alcun obbligo di pubblicazione per periodi di tempo ulteriori rispetto a quelli stabiliti dall’art. 124 del d. lg. n. 267/2000 in materia di albo pretorio on line;

– quanto al secondo profilo difensivo, concernente la facoltà dell’ente di procedere comunque alla pubblicazione della determina in argomento in base a quanto previsto dall’art. 7-bis del d. lg. n. 33/2013, deve evidenziarsi che tale norma, al comma 3, consente agli enti “la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l’obbligo di pubblicare ai sensi del presente decreto o sulla base di specifica previsione di legge o regolamento […] procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti”;

– la disposizione non consente margini di discrezionalità da parte dell’amministrazione che intende procedere alla pubblicazione, cosicché appare inconferente l’assunto difensivo in base al quale, nel caso della determina pubblicata dal comune di Castel Maggiore, “non sarebbe stato possibile procedere ad anonimizzare o minimizzare il trattamento dei dati personali dei due interessati” poiché “i predetti dati costituiscono l’essenza dell’informazione stessa”: tale considerazione dovrebbe essere astrattamente valida per ogni atto idoneo ad incidere sulla sfera individuale di un interessato, snaturando l’obbligo di anonimizzazione contenuto nella norma;

– per tali ragioni, deve confermarsi la responsabilità del Comune in ordine alla violazione contestata;

RILEVATO, quindi, che il Comune di Castel Maggiore, sulla base degli atti e delle considerazioni di cui sopra, risulta aver commesso, in qualità di titolare del trattamento, ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice (nella formulazione vigente all’epoca dei fatti), la violazione indicata nell’atto di contestazione n. 19270/121919 del 26 giugno 2018;

VISTO l’art. 162, comma 2-bis, del Codice (nella formulazione vigente all’epoca dei fatti) che punisce le violazioni delle disposizioni indicate nell’art. 167 del Codice, fra le quali figura anche l’art. 19, con la sanzione amministrativa del pagamento di una somma da euro 10.000 ad euro 120.000;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a. in ordine all’aspetto della gravità, con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni non risultano connotate da profili di gravità;

b. ai fini della valutazione dell’opera svolta dall’agente, deve rilevarsi il Comune ha provveduto alla rimozione della determinazione oggetto di contestazione;

c. circa la personalità dell’autore della violazione, deve essere considerata la circostanza che il Comune non risulta gravato da precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione;

RITENUTO che, nel caso in esame, ricorrano le condizioni per applicare l’art. 164-bis, comma 1, del Codice il quale prevede che se taluna delle violazioni di cui agli art. 161, 162-ter, 163 e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessi articoli sono applicati in misura pari a due quinti;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 10.000 (diecimila) per la violazione di cui all’art. 162, comma 2-bis, del Codice e che, nel caso in argomento, può essere applicata la diminuente di cui all’art. 164-bis, comma 1, in ragione della lieve entità della violazione, costituita dalla pubblicazione della sola determina oggetto di contestazione;

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

al Comune di Castel Maggiore, con sede legale in Castel Maggiore (BO), via Matteotti n. 10, C.F. 00524081205, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 4.000 (quattromila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

al predetto Ente di pagare la somma di euro 4.000 (quattromila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 7 novembre 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia

 

Fonte:

1) https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9074879

2) https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9074891

Fonte:

Carta di identità elettronica: Italia verso il “bollino” europeo, fra i primi Paesi Ue

Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Andrea Ballocchi, “wisesociety.it”, 18 dicembre 2018)

I dati sono l’oro del mondo moderno. Se ne generano miliardi, i cosiddetti Big Data, autentiche miniere da cui ricavare informazioni da trasformare in servizi. È nata così l’economia digitale, «la principale forma economica oggi», afferma Antonello Soro, presidente dell’Autorità garante per la protezione dei dati personali. “L’economia digitale è la cornice entro cui si sviluppano tutte le attività dell’umanità intera. Il digitale, quindi, è una dimensione della vita, assolutamente reale per quanto immateriale sia nella quale tutti noi ci troviamo, per comunicare nelle diverse forme”. Pensiamo ai 42 miliardi di messaggi su Whatsapp, ai 150 miliardi di email, ai 66 miliardi di foto su Instagram inviati ogni giorno nel mondo. Tutti dati personali, sensibili, di cui in Rete resta tutto, con tutti i pro e i contro.

Da qui la necessità di porre attenzione alle “Persone in rete”, titolo quanto mai azzeccato del libro di Antonello Soro, presidente dell’Autorità garante della protezione dei dati personali. Infatti, c’è una componente fisica nel mondo virtuale che contribuiamo a creare anche noi con le nostre storie. Ma spesso senza rendercene conto, dando in pasto alle grandi piattaforme digitali la nostra vita. Ecco perché, scrive Soro, occorre impostare un’etica per l’algoritmo.

Presidente Soro, quanto sono importanti oggi i dati?

Sono i protagonisti della rivoluzione digitale, ma sconosciuti dai legittimi possessori. Tendiamo, infatti, a immaginarli come una pura sequenza di numeri che attraverso oscuri canali vengono trattati da alcuni esperti. Ma i dati sono la proiezione digitale della nostra stessa vita. Ogni volta che facciamo un “click” consegniamo a questa dimensione e ai soggetti che li raccoglieranno una tessera della nostra esistenza che, confluendo nei server, verranno ricomposti per formare il mosaico dell’identità. Questo avverrà sempre di più per tutta una serie di dati che hanno a che fare con la materialità della nostra persona. Per esempio, se noi affidiamo al fascicolo sanitario elettronico i dati relativi alla nostra salute c’è un luogo dedicato alla loro conservazione e alla pronta reperibilità per il medico che se ne servirà per prestare le necessarie cure. Sono informazioni vitali, la cui manipolazione però potrebbe avere effetti devastanti per noi. Ecco perché la protezione dei dati è un presupposto fondamentale per la nostra sicurezza anche fisica.

Nel suo libro si evidenzia la necessità di un’etica per l’algoritmo. Come si riesce a delinearla in un mondo finora spesso anarchico?

Attraverso due vie: la prima passa dalla consapevolezza dell’utente. Deve sapere che l’algoritmo non è neutro, ma è un programma informatico ideato da un uomo con tutti i suoi pregiudizi ed esperienze pregresse e come tale può essere un prodotto capace di avere effetti importanti una volta utilizzato. Per questo non si deve delegare alla macchina in modo ideologico e generalizzato. L’altra via passa dall’attuazione delle regole. In questa direzione va il GDPR, regolamento europeo per la protezione dei dati personali. Un provvedimento di grande importanza in quanto ha stabilito per la prima volta che nessuna decisione esclusivamente automatizzata può essere adottata senza che l’interessato possa contestarla.

Consapevolezza e regolamentazione possono costituire le basi per restituire un ruolo alla persona e in questo sta una nuova etica: non pensare che la delega all’algoritmo, alla macchina, all’innovazione sostituisca la responsabilità che sta in capo alla persona, a chi fa uso delle tecnologie, che non deve essere usato.

In questa rivoluzione digitale che ha prodotto un’economia, c’è bisogno di sostenibilità, in termini di tutela della libertà della persona?

Certo. Nella società digitale dobbiamo introdurre una regolazione che sia all’altezza della storia del diritto così come l’abbiamo maturato nei secoli nella dimensione fisica. Dobbiamo accrescere la tutela dei diritti, sapendo che la protezione del dato riguarda la tutela della persona, ma anche una tutela della nuova economia e dell’organizzazione sociale, in assenza della quale si rischia di vivere in un mondo oscuro dove la vita dell’uomo è destinata a peggiorare.

Come si rende consapevole il cittadino in tutto questo?

Con un’educazione altrettanto digitale.

Fonte:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9068705

Niente banca dati delle fatture dell’Agenzia delle entrate, memorizzati solo i dati fiscali necessari per i controlli automatizzati, no alla fatturazione elettronica per le prestazioni sanitarie. L’Agenzia potrà archiviare le fatture solo su richiesta dei contribuenti che avranno necessità di consultarle.

Con un articolato provvedimento, il Garante per la protezione dei dati personali – preso atto delle modifiche apportate all’impianto originario della fatturazione elettronica e delle ulteriori rassicurazioni fornite dall’Agenzia delle entrate – ha individuato i presupposti e le condizioni perché la stessa Agenzia possa avviare dal 1 gennaio 2019 i trattamenti di dati connessi al nuovo obbligo.

Nelle settimane scorse era stato costituito un tavolo di lavoro tecnico, con l’Agenzia delle entrate e il Mef, per esaminare congiuntamente le criticità rilevate dal Garante e che ha visto coinvolti anche l’Agid, il Consiglio nazionale dei dottori commercialisti e degli esperti contabili, il Consiglio nazionale dell’ordine dei consulenti del lavoro e l’associazione dei produttori di software gestionale e fiscale (AssoSoftware).

La fatturazione elettronica, così come originariamente prefigurata dall’Agenzia, presentava rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali. L’Agenzia, infatti, oltre a recapitare le fatture ai contribuenti attraverso il sistema di interscambio (SDI), avrebbe anche archiviato integralmente tutti i file delle fatture elettroniche (2,1 miliardi nel 2017) che contengono di per sé informazioni di dettaglio, anche non rilevanti a fini fiscali, sui beni e servizi acquistati, come le abitudini e le tipologie di consumo, legate alla fornitura di servizi energetici, di telecomunicazione o trasporto (es. regolarità nei pagamenti, pedaggi autostradali, biglietti aerei, pernottamenti), o addirittura l’indicazione puntuale delle prestazioni legali (es. numero procedimento penale) o sanitarie (es. percorso diagnostico neuropsichiatrico infantile).

Il nuovo sistema di e-fattura prevede invece che l’Agenzia si limiti a memorizzare solo i dati fiscali necessari per i controlli automatizzati (es., incongruenze tra dati dichiarati e quelli a disposizione dell’Agenzia), con l’esclusione della descrizione del bene o servizio oggetto di fattura. Dopo il periodo transitorio indispensabile a modificare il sistema, nuovi servizi di consultazione delle fatture saranno resi disponibili solo su specifica richiesta del contribuente, sulla base di accordi che saranno esaminati dall’Autorità.

I soggetti che erogano prestazioni sanitarie non dovranno emettere fattura elettronica.

Per quanto riguarda il rischio di usi impropri dei dati, il Garante, con l’istituto dell’avvertimento, ha messo in guardia tutti gli operatori (soggetti Iva e intermediari, anche tecnici) che alcune clausole contrattuali, predisposte dalle società di software, possono violare il Regolamento ed espongono a sanzioni.

Ulteriori sforzi sono richiesti all’Agenzia delle entrate per implementare la cifratura dei dati (utile soprattutto in caso di utilizzo della pec), per minimizzare i dati da memorizzare e per conformarsi agli obblighi di trasparenza e correttezza nei confronti degli interessati riguardo ai controlli fiscali effettuati attraverso trattamenti automatizzati o con l’acquisizione delle fatture per le quali il contribuente usufruisce dei servizi di consultazione e conservazione.

Tutto ciò in vista di una nuova valutazione d’impatto, prevista dalla normativa sula protezione dei dati, che l’Agenzia dovrà produrre entro il 15 aprile 2019.

Roma, 20 dicembre 2018

Fonte:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9069057

L’accordo sulla Privacy Shield UE-USA è stata adottata il 12 luglio 2016 e  diventata operativa il 1 ° agosto 2016. Tale patto protegge i diritti fondamentali di chiunque nell’UE i cui dati personali sono trasferiti negli Stati Uniti a fini commerciali. Il quadro apporta inoltre chiarezza giuridica alle aziende che fanno affidamento sui trasferimenti

Il nuovo accordo include:

–       forti obblighi di protezione dei dati per le società che ricevono dati personali dall’UE

–       garanzie sull’accesso ai dati da parte del governo degli Stati Uniti

–       protezione e risarcimento efficaci per le persone

–       una revisione congiunta annuale da parte di UE e USA per monitorare la corretta applicazione dell’accordo.

Fonte:

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/eu-us-privacy-shield_en

Laureato alla Sorbona, è riuscito a rubare 800 mila euro. Ogni anno 14 milioni di truffe informatiche alle aziende nella sola Emilia-Romagna

BOLOGNA – Una mail molto circostanziata, quindi assai credibile. Alla quale i manager di Toyota Italia, che ha sede a Bologna, hanno risposto con sollecitudine, provvedendo al pagamento di 249 mila euro, come prima tranche per un’operazione dal valore complessivo di un milioni di euro. La cattiva notizia è che si trattava di una truffa informatica, quella buona che gli stessi manager si sono accorti subito dell’inganno e con l’aiuto della polizia postale sono riusciti a bloccare l’invio di denaro. Di tentate frodi ai danni delle aziende, comprese quelle più strutturate, se ne registrano ogni giorno, anche in Emilia-Romagna e a Bologna. La polizia postale, nella sua attività di contrasto ai crimini informatici, sotto le due torri ha arrestato un ‘pirata’ del web che era riuscito a rubare ben 800 mila euro: sul tablet di questo bandito 4.0, laureato alla Sorbona, hanno scovato report su 900 società italiane, con i recapiti, gli account e dati di spesa di 6.500 tra presidenti e manager.

Eppure, quello dei reati informatici è “un fenomeno ancora molto sottovalutato dalle imprese”, avverte il presidente di Confindustria Emilia, Alberto Vacchi, che oggi ha sottoscritto a nome dell’associazione un protocollo d’intesa con la polizia postale per la difesa del sistema delle imprese dagli attacchi telematici. La polizia delle telecomunicazioni tra il 2017 e il 2018 a Bologna ha registrato frodi informatiche per 14 milioni di euro ed è riuscita a recuperare circa 8,5 milioni di euro, comprese somme già trasferite su conti esteri. Non solo. Come ha spiegato Geo Ceccaroli, dirigente del compartimento di polizia postale dell’Emilia-Romagna, a fronte delle truffe scoperte sono stati avviati 88 procedimenti, con 25 denunce e un arresto (quello pirata con laurea nel prestigioso ateneo parigino).

Il nuovo contesto tecnologico “mette le Imprese di fronte a problemi che non avevano mai affrontato. Il protocollo è importante per dare supporto alle imprese, ma anche per far toccare con mano il fenomeno, divenuto un problema da affrontare un maniera strutturale”, avverte Vacchi. “Dopo 20 anni continuiamo a perdere. Continuiamo a investire in sicurezza, ma i crimini informatici aumentano. Bisogna cambiare approccio”, suggerisce Michele Colajanni dell’Università di Modena e Reggio.

Innanzittutto, le aziende devono trovare il coraggio di denunciare. “Abbiamo sventato una frode che aveva superato le attività controllo”, conferma Giorgio Polonio, manager di Toyota Italia. “Bisogna avere il coraggio di denunciare”, sprona Roberto Sgalla, direttore centrale della polizia stradale, ferroviaria, delle comunicazioni e per i reparti speciali.

 

Fonte:

https://bologna.repubblica.it/cronaca/2018/12/10/news/preso_l_arsenio_lupin_del_web_spiava_900_aziende_frodata_anche_la_toyota-213926076/amp/