Nuovo regolamento privacy GDPR e fatturazione elettronica B2B

21 Feb 2018

Ho partecipato, il 14 Febbraio 2018, all’evento organizzato da Abletech sul Nuovo Regolamento privacy GDPR e sulla nuova normativa in tema di fattura elettronica. Quali sono le opportunità che le nuove normative aprono alle organizzazioni? Quali soluzioni tecnologiche possono rendere più semplici e sostenibili gli adeguamenti? In questo articolo i dettagli.

privacy GDPR

Nuovo Regolamento generale sulla protezione dei dati (GDPR)

Il Nuovo Regolamento generale sulla protezione dei dati (GDPR) sarà applicato, in tutti i Paesi UE, a decorrere dal 25 maggio 2018. Integrerà la direttiva CE 95/46. L’obiettivo del GDPR sarà quello di regolamentare la gestione dei dati personali da parte delle aziende.

Dati personali

Sono definiti dati personali le informazioni che identificano o rendono identificabile una persona fisica:

  • identificativi: permettono l’identificazione diretta. Si possono così identificare i dati anagrafici, le immagini, ecc.;
  • sensibili: possono rivelare l’origine razziale ed etnica. Questi dati mostrano le convinzioni religiose, filosofiche o di altro genere. Le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale. Lo stato di salute e la vita sessuale;
  • giudiziari: possono rivelare l’esistenza di provvedimenti giudiziari, soggetti ad iscrizione nel casellario giudiziale o la qualità di imputato o di indagato.

Fonte: garanteprivacy.it

I dati personali possono essere amministrati attraverso operazioni di:

  • raccolta;
  • memorizzazione;
  • organizzazione;
  • elaborazione;
  • eliminazione.

Le operazioni di amministrazione dei dati personali, dovranno seguire le procedure dettate dal Nuovo Regolamento privacy.

I soggetti coinvolti

Saranno coinvolte le organizzazioni che raccolgono e processano dati personali dei cittadini UE.

Gli obblighi per le grandi aziende e per le PMI

Accountability

Il nuovo Regolamento UE sulla privacy dei dati inoltre, pone con forza l’accento sulla “responsabilizzazione” (accountability), di titolari e responsabili. Di conseguenza si dovranno adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento.

Privacy Impact Assessment (PIA)

Il  PIA (Privacy Impact Assessment o valutazione d’impatto) è un processo codificato e strutturato in fasi. Il PIA è uno strumento operativo che aiuta le organizzazioni ad analizzare, individuare e ridurre i rischi della privacy.

La valutazione d’impatto è necessaria e richiesta per i trattamenti considerati “a rischio”, in base al tipo e alla modalità dei dati trattati.

privacy GDPR

Valutazione dei rischi

La privacy non può essere garantita se il dato non è messo in sicurezza. Si rende così necessario garantire nei sistemi e nei servizi di elaborazione:

  • riservatezza;
  • integrità;
  • disponibilità;
  • resilienza.

Al fine di garantire tutto ciò si possono adottare misure pratiche come la crittografia e l’autenticazione a due fattori.

Privacy by default e by design

Il Regolamento europeo privacy GDPR impone al titolare del trattamento l’adozione di misure tecniche ed organizzative per tutelare i dati da trattamenti illeciti.

L’articolo 25 introduce, a questo scopo, il principio di privacy by design e privacy by default. Un approccio che impone alle aziende l’obbligo di avviare un progetto di privacy prevedendo gli strumenti a tutela dei dati personali.

Le aziende dovranno quindi valutare la natura della attività di trattamento contestualmente ai rischi che tali attività comportano per i diritti degli utenti. tutto ciò significa che gli obblighi devono essere proporzionati al rischio.

Registro cartaceo o elettronico delle operazioni di raccolta dati personali

Secondo il Regolamento Europeo privacy GDPR, Titolari e Responsabili del Trattamento, hanno l’obbligo di compilare in forma scritta ed elettronica il Registro delle attività di trattamento, svolte dall’organizzazione.

Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono quindi tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30. Il registro deve essere esibito su richiesta al Garante. In seguito un’immagine esplicativa sull’obbligatorietà della tenuta del Registro.

privacy GDPR

Nomina del responsabile per la protezione dei dati (DPO, Data Protection Officer)

Il DPO (Responsabile della Protezione dei dati) è un professionista, interno o esterno all’azienda, che deve avere competenze giuridiche, informatiche, di risk management e di analisi dei processi. La nomina del DPO è obbligatoria se:

  • il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali; 
  • le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; 
  • le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Fonte: il Sole 24 ore

Data Breach Notification

La nuova normativa impone ai Titolari del trattamento, ai sensi degli artt. 33 e 34 , l’obbligo di notificare all’autorità Nazionale di vigilanza le violazioni alla sicurezza che comportino:

  • la distruzione;
  • la perdita;
  • la modifica;
  • la divulgazione non autorizzata;
  • l’accesso ai dati personali.

Dove tale violazione presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento è tenuto a informare sia l’autorità di controllo sia l’interessato (a cui i dati si riferiscono) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.

La notifica deve presentare un contenuto minimo di informazioni indicate dal Regolamento e tali da consentire all’autorità di controllo di verificare il rispetto della normativa da parte del titolare.

Fonte: Agenda Digitale

Semplificare gli adeguamenti del GDPR con ARXivar

La compliance al GDPR può essere semplificata con piattaforme di Information & Process ManagementARXivar  il sistema di gestione documentale e dei processi, garantisce la conformità al GDPR attraverso la gestione delle informazioni e dei processi aziendali. Inoltre, integrandosi a tutte le applicazioni aziendali in uso, permette di gestire con un unico strumento centralizzato: 

  • procedure;
  • processi;
  • informazioni.

Si rende quindi attuabile un approccio by design (basato sui processi). Le operazioni rimangono perciò tracciate, misurate e sono dimostrabili. E’ il processo stesso a guidare l’attività dell’azienda, tramite workflow (modellatore grafico degli step procedurali). Per approfondire l’argomento, visita la pagina: “Conformità al regolamento europeo privacy (GDPR) con ARXivar“.

privacy GDPR

Fattura elettronica B2B

La fatturazione elettronica B2B sarà obbligatoria a partire dal 1° gennaio 2019. Al momento la fatturazione elettronica è imposta:

  • nei rapporti commerciali con la Pubblica Amministrazione;
  • per la compravendita di benzina e gasolio;
  • per la filiera dei subappalti verso la Pubblica Amministrazione.

Le aziende sono quindi portate a ottimizzare i processi amministrativi. Come adeguarsi? Quali strumenti tecnologici utilizzare? La fatturazione elettronica coinvolge diversi attori:

  • il fornitore o l’intermediario;
  • il Sistema di Interscambio nazionale (SdI);
  • la Pubblica Amministrazione (PA) o i privati.

Fattura elettronica SDI privacy GDPR

Come inviare la fattura elettronica [Parte Tecnica]

Invoice Xchange (IX) è il servizio dedicato per la trasmissione delle fatture elettroniche dirette alla Pubblica Amministrazione. IX è un servizio web creato e gestito da Abletech, azienda produttrice del sistema software documentale ARXivar. IX offre un servizio di:

  • acquisizione dei documenti di vendita;
  • trasmissione alla PA o all’impresa;
  • ricezione e consegna delle notifiche di stato.

Invoice Xchange riceve la fattura elettronica in formato XML già firmata in modo digitale, o il PDF della fattura. Nel caso non sia convertita nel formato XML, la converte e la firma in modo digitale. Quindi esegue un controllo formale della fattura, la depone in un proprio archivio consultabile e la invia allo SdI.

Dal portale web del programma è possibile monitorare gli stati di avanzamento nel processo di consegna delle proprie fatture elettroniche e il processo di conservazione elettronica.

fattura-pa privacy GDPR

Come conservare la fattura elettronica [Parte Tecnica]

Con la soluzione di conservazione in outsourcing (IXCE), il cliente demanda ad Abletech, Ente accreditato presso AgID, tutti gli adempimenti della procedura di conservazione.

arxivar-fattura-elettronica-vantaggi privacy GDPR

Abletech diventa quindi il responsabile della conservazione aziendale e si occupa di creare i pacchetti di versamento, archiviazione e generazione del manuale di conservazione. Il cliente in qualsiasi momento, potrà quindi richiedere la generazione di pacchetti di consultazione e distribuzione, da esibire in caso d’ispezione fiscale.

Nuovo Regolamento privacy GDPR e Fattura elettronica B2B. Le conclusioni

Ho partecipato il 14 Febbraio, all’evento sul Nuovo Regolamento privacy GDPR e sulla nuova normativa in tema di Fatturazione elettronica. In questo post ho descritto i punti chiave, le soluzioni e gli strumenti per rendere più semplici gli adeguamenti richiesti. Ora tocca a te. Come stai affrontando questi passaggi obbligatori? Scrivimi la tua opinione nei commenti.

 


Daniele Andreani

Document & Process Management c/o ATC Service S.r.l.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Leggi articolo precedente:
Il coaching per raggiungere obiettivi concreti (anche sul web)

Hai mai sentito parlare di coaching? Forse sì. I film americani sul football, o sullo sport in generale, hanno spesso come...

Chiudi