Garante Privacy, ecco la Newsletter del 22/12/21

Indicazioni per associazioni No profit, processi tributario e mercati e servizi telematici

  • No profit: per il Garante privacy le onlus possono conoscere i nomi dei donatori
  • Processo tributario telematico: ok del Garante privacy agli aggiornamenti tecnici
  • Mercati e servizi digitali: il parere dei Garanti privacy europei

No profit: per il Garante privacy le onlus possono conoscere i nomi dei donatori

E’ però necessario un intervento normativo

Le Onlus potranno ricevere dall’Agenzia delle Entrate i nominativi dei contribuenti che hanno destinato loro il 5 per mille dell’Irpef. Ma occorre una norma di legge.

Lo ha chiarito il Garante per la protezione dei dati personali rispondendo alla nota di alcune organizzazioni beneficiarie, con la quale viene prospettato un possibile intervento del legislatore.

Le associazioni no profit, al momento, sono tenute alla pubblicazione sul proprio sito web degli importi percepiti, mentre la normativa vigente non prevede modalità di rendicontazione personalizzata o forme di conoscibilità dei contribuenti.

La proposta presentata all’Autorità, sotto forma di possibile emendamento a una legge ancora non identificata, prevede l’inserimento di “un apposito consenso informato sul modulo di destinazione del 5 per mille, affinché il contribuente possa scegliere di comunicare i dati necessari a ricevere da parte dell’organizzazione beneficiaria una rendicontazione dei progetti finanziati” dallo stesso donatore. Le organizzazioni no-profit potrebbero quindi “avviare un dialogo con il proprio donatore”, in modo da consentirgli di verificare l’affidabilità e la responsabilità dell’ente prescelto.

Il Garante conferma che la conoscibilità dei dati dei donatori del 5 per mille da parte delle Onlus richiede, oltre alla volontà degli interessati, un intervento normativo che consideri presupposti, modalità e limiti dell’operazione. Ma sottolinea anche alcuni profili su cui riflettere: i compiti dell’Agenzia delle Entrate nella comunicazione dei dati; l’indeterminatezza delle modalità di contatto; le finalità connesse all’attività di “fidelizzazione”; la discriminazione delle organizzazioni minori; i tempi di conservazione; la revocabilità in ogni momento del consenso degli interessati.

Processo tributario telematico: ok del Garante privacy agli aggiornamenti tecnici

Necessario però rafforzare le misure a tutela della riservatezza dei dati

Il Garante per la protezione dei dati personali ha espresso parere favorevole allo schema di decreto direttoriale, predisposto dal Ministero dell’economia e delle finanze, che aggiorna l’utilizzo di strumenti informatici e telematici nel processo tributario.

Il testo modifica alcuni aspetti del funzionamento del Sistema informativo della giustizia tributaria (S.I.Gi.T.), come le modalità di sottoscrizione dei documenti informatici, la verifica dei documenti stessi e l’utilizzo della firma digitale.

Nell’esprimere parere positivo, il Garante privacy ha comunque chiesto di integrare lo schema di decreto al fine di assicurare maggiori tutele alla riservatezza dei dati delle persone interessate, adeguandolo alla normativa europea (Gdpr) e italiana in materia di privacy. Dovranno, ad esempio, essere definite le responsabilità dei soggetti coinvolti nel trattamento dei dati ed esplicitati gli obblighi informativi in caso di violazione dei dati (data breach).

Il decreto dovrà inoltre prevedere il periodico aggiornamento delle misure tecniche e organizzative adottate al fine di garantire un livello di sicurezza adeguato ai rischi presentati dai trattamenti.

Mercati e servizi digitali: il parere dei Garanti privacy europei

Lo scorso 15 dicembre il Parlamento europeo ha approvato il mandato negoziale per il Digital Markets Act (DMA), una proposta legislativa che, insieme a quella sui servizi digitali (Digital Services Act), rappresenta un pilastro fondamentale del pacchetto digitale predisposto dalla Commissione europea.

Su tali questioni si è pronunciato di recente il Comitato europeo per la protezione dei dati personali (Edpb), del quale fa parte anche il Garante italiano. L’Edpb ha approvato una dichiarazione riguardo al pacchetto digitale e alla strategia dei dati della Commissione europea che comprende, oltre al DMA e al DSA, anche una serie di altre importanti norme come il Data Governance Act (DGA) e la proposta di regolamento sull’intelligenza artificiale (AIR).

Le proposte della Commissione sono volte a promuovere l’utilizzo ulteriore e la condivisione di dati personali tra soggetti pubblici e privati tramite tecnologie come i Big Data e l’Intelligenza Artificiale, e a regolamentare i servizi digitali, le principali piattaforme e i mercati online.

La dichiarazione dell’EDPB richiama l’attenzione della Commissione, co-legislatore europeo, su alcune problematiche le quali, se le norme proposte venissero adottate senza modifiche, metterebbero a rischio i diritti fondamentali alla riservatezza e alla protezione dei dati sanciti dalla Carta di Nizza.

Tra le criticità evidenziate: vuoti di tutela dei diritti e delle libertà fondamentali degli individui; attività di supervisione frammentata da parte delle autorità di controllo coinvolte, con situazioni di potenziale sovrapposizione di competenze e il rischio di strutture di vigilanza parallele; rischi di incongruenze normative con il Regolamento europeo sulla protezione dei dati.

Il Comitato Europeo ha espresso poi perplessità rispetto alla proposta della Commissione di creare “spazi di dati” settoriali tra cui uno “spazio europeo dei dati sulla salute”, invitando il co-legislatore a introdurre fin dall’inizio garanzie specifiche per la protezione dei dati. Il Comitato raccomanda infine di prevedere una base giuridica esplicita per la cooperazione e lo scambio di informazioni tra Autorità di controllo, sottolineando la necessità di garantire che quest’ultime dispongano di risorse sufficienti per svolgere i compiti aggiuntivi derivanti dalle nuove regole europee.

 

Fonte ufficiale: GarantePrivacy