Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Il Garante per la privacy ha espresso parere favorevole sullo schema di decreto del Presidente del Consiglio dei ministri che consentirà a Regioni e Province autonome di dare il via al Fascicolo sanitario elettronico, la cartella digitale che raccoglie i dati e i documenti digitali relativi alla storia clinica e sanitaria dei pazienti.

Lo schema di decreto approvato prevede che il paziente, una volta informato chiaramente, possa decidere con maggiore consapevolezza se dare il consenso a che i propri dati personali vengano aggregati e conservati nel  Fse. Diversamente  il fascicolo rimarrà vuoto e quindi non accessibile, né per finalità di cura, né per finalità di ricerca o di programmazione sanitaria e monitoraggio. Nel caso il paziente acconsenta al trattamento dei dati potrà decidere se dare il consenso solo per finalità di monitoraggio, programmazione e ricerca, con le dovute garanzie di anonimato, o se autorizzarlo anche per finalità di cura.

Anche senza autorizzazione, ha voluto sottolineare il Garante, al paziente non sarà preclusa la possibilità di aderire alle prestazioni del servizio sanitario nazionale.

Il paziente avrà inoltre la possibilità di specificare se far inserire nel Fse alcune informazioni di particolare delicatezza (sieropositività, interruzione volontaria di gravidanza, violenza sessuale, pedofilia, uso di sostanze stupefacenti, parto in anonimato).

Gli accessi al Fse da parte degli operatori del Ssn dovranno essere tracciabili e la consultazione del Fse dovrà essere limitata al personale sanitario che abbia in cura effettivamente il paziente, e solo per il tempo necessario. Per scongiurare il rischio di accessi abusivi, lo schema è stato integrato prevedendo l’obbligo per il titolare del trattamento di avvisare immediatamente il Garante nel caso in cui i dati trattati nell’ambito del Fse subiscano violazioni.

Lo schema di decreto individua anche i primi contenuti da attivare a livello nazionale: i dati e i documenti da inserire nel fascicolo elettronico; le responsabilità e i compiti dei soggetti coinvolti; le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali; le modalità e i livelli diversificati di accesso al fascicolo; i criteri di interoperabilità, i contenuti informativi e le codifiche del profilo sanitario sintetico e del referto di laboratorio.

Il parere del Garante segue il provvedimento generale sullo stesso argomento che nel 2009 l’Autorità aveva emesso in attesa della normativa adeguata. Il testo dello schema di decreto odierno è stato elaborato da un tavolo di lavoro del Ministero della salute cui ha partecipato anche l’Ufficio del Garante.

firma_digitale2È stato pubblicato in Gazzetta Ufficiale il Decreto Ministeriale del 17 giugno 2014 in materia di “Modalità di assolvimento degli obblighi fiscali relativi ai documenti informatici ed alla loro riproduzione su diversi tipi di supporto – articolo 21, comma 5, del decreto legislativo n. 82/2005″.

Il Decreto – con la cui entrata in vigore viene abrogato il precedente Decreto del Ministro dell’Economia e delle Finanze del 23 gennaio 2004 – elimina il termine dei 15 giorni per la conservazione elettronica delle Fatture (art. 3, comma 3).

Il testo del nuovo Decreto Ministeriale è disponibile QUI.

Ricordiamo anche che nei giorni scorsi è stata pubblicata sul sito dell’Agenzia delle Entrate la Circolare 18/E del 24 giugno 2014 con “chiarimenti in tema di fatturazione elettronica”, alla luce delle modifiche alla Normativa interna a seguito del recepimento della Direttiva 2010/45/UE del 13 luglio 2010.

A quest’ultima novità normativa è dedicato l’approfondimento di Giusella Finocchiaro pubblicato dal Sole 24 ore e disponibile QUI.

Vi proponiamo qui l’articolo di Giusella Finocchiaro apparso sul Sole 24 Ore , sezione Quotidiano del Fisco, il 26 giugno  2014.

Con la circolare 18/E del 24 giugno 2014 l’agenzia delle Entrate fornisce chiarimenti sulla fatturazione elettronica e risposte a specifici quesiti.

Il primo chiarimento è sulla definizione. Per «fattura elettronica», dispone l’articolo 21 del Dpr 633/1972, si intende «la fattura che è stata emessa e ricevuta in un qualunque formato elettronico». La circolare chiarisce che, per potersi qualificare una fattura come «elettronica» ciò che rileva non è il formato originario, utilizzato per la sua creazione, che può essere anche cartaceo, ma la circostanza che la fattura sia in formato elettronico al momento della sua trasmissione al destinatario. Al contrario, non può qualificarsi come «elettronica» la fattura, creata in formato informatico, che venga inviata e ricevuta dal destinatario in formato cartaceo.

Il secondo chiarimento è relativo all’«accettazione» della fattura. L’articolo 21 del Dpr 633/1972 dispone che «il ricorso alla fattura elettronica è subordinato all’accettazione da parte del destinatario». La circolare precisa che il termine «accettazione», coerentemente con le indicazioni delle note esplicative della Direttiva 2010/45/UE del 13 luglio 2010, nonché sulla base di un’interpretazione letterale, non presuppone un accordo formale (precedente o successivo alla fatturazione) tra le parti. Inoltre, l’accettazione del destinatario non influenza l’obbligo dell’emittente di procedere comunque all’integrazione del processo di fatturazione con quello di conservazione elettronica in capo all’emittente. Infatti, come precisato dal paragrafo 1.5 della circolare, se il destinatario non accetta il documento elettronico, l’emittente può comunque procedere all’integrazione del processo di fatturazione con quello di conservazione elettronica, sempre che la fattura creata e trasmessa in modalità elettronica possieda i requisiti di legge (autenticità dell’origine, integrità del contenuto e leggibilità) dal momento della sua emissione fino al termine del periodo di conservazione. Il destinatario, invece, potrà procedere alla stampa. Il punto è di centrale importanza e trova la sua ratio nella volontà di non creare vincoli alla diffusione della fatturazione in modalità elettronica. Non c’è dunque un obbligo di simmetria tra ciò che viene originato e inviato dall’emittente e ciò che viene conservato dal destinatario. Il destinatario di una fattura elettronica, qualora non accetti il processo, potrà materializzare il documento stampando la fattura elettronica e creando così una copia analogica del documento informatico costituito dalla fattura, ai sensi dell’articole 23 del Codice dell’amministrazione digitale.

Un ulteriore importante chiarimento riguarda la «conservazione». Con riguardo alla fase di conservazione, la circolare chiarisce quali siano i vincoli da rispettare nel caso in cui il luogo di conservazione elettronica delle fatture sia in un altro Stato. Questi requisiti potranno trovare compiuta disciplina in un apposito contratto di outsourcing avente ad oggetto la fornitura del servizio di conservazione.

Ancora, con riguardo ai requisiti della fattura che, si ricorda, sono autenticità dell’origine, integrità del contenuto e leggibilità, la circolare precisa che sia il fornitore/prestatore sia il cessionario/committente devono garantire l’autenticità dell’origine della fattura e l’integrità del suo contenuto. Anche in questo caso, non è prevista la simmetria: essi possono scegliere indipendentemente o congiuntamente le modalità attraverso cui garantire i detti requisiti. La circolare ribadisce che la firma elettronica avanzata non è di per sé sufficiente. Possono essere invece utilizzati, a titolo esemplificativo: i sistemi di controllo di gestione; la firma elettronica qualificata o digitale dell’emittente; i sistemi EDI (Electronic Data Interchange) di trasmissione elettronica dei dati; altre tecnologie non specificate.

Si conferma che il cedente o prestatore possono incaricare il proprio cliente o un terzo di emettere per loro conto la fattura: in questi casi occorre che l’origine e l’integrità del documento elettronico siano garantiti dal soggetto emittente il quale è tenuto ad apporre la propria firma elettronica qualificata o digitale.

Sono fondamentali gli accordi intervenuti tra il cedente/prestatore ed il cliente/terzo, che possono prevedere l’invio del documento finale già redatto, oppure il semplice flusso di dati da aggregare per la compilazione del documento finale, ovvero la sua messa a disposizione. Anche in questo caso è essenziale il contratto di outsourcing. In ogni caso, ribadisce la circolare, occorre annotare in fattura che la stessa è stata compilata dal cliente ovvero, per conto del cedente o prestatore, dal terzo (articolo 21, comma 2, lettera n), del D.P.R. n. 633 del 1972).

Il Garante per la protezione dei dati personali ha ordinato all’autore di un blog di rendere non identificabili i minorenni coinvolti nelle vicende pubblicate.

Al pari dei giornalisti, anche i blogger sono tenuti a rispettare la normativa sulla privacy e il codice deontologico dei giornalisti, in particolare per quanto riguarda i diritti dei minori. La normativa sulla privacy riconosce infatti specifiche garanzie e cautele ai trattamenti di dati effettuati per finalità giornalistiche o equiparate, tra cui rientra anche la gestione di un blog.

È quanto ha affermato il Garante privacy in un provvedimento che accoglie il ricorso di una donna che lamentava la diffusione online, sul blog dell’ex coniuge , di nomi, cognomi, date e situazioni strettamente personali riferite a lei e alle figlie minorenni.

L’Authority ha ordinato al blogger di rendere anonimi i dati identificativi delle persone citate, incluse le iniziali dei nomi di battesimo sottolineando che le informazioni e dati personali possono essere riportati anche senza consenso degli interessati, purché si rispettino i diritti e le libertà fondamentali delle persone e le regole del codice deontologico dei giornalisti.

Com’è noto, il Codice tutela i minori prescrivendo di omettere la pubblicazione delle generalità o altri dettagli che li rendano identificabili.

Nel caso specifico tale accorgimento garantirà alle minori la necessaria tutela della loro identità, considerate le ripercussioni psicologiche e relazionali che possono derivare dalla diffusione online della loro vicenda familiare, e nello steso tempo permetterà al blogger di poter esprimere, in modo giuridicamente corretto, le opinioni personali sulla propria esperienza di vita.

posted by admin on giugno 23, 2014

Computer Crimes

(No comments)

Si registrano sempre più casi di attacchi informatici finalizzati all’estorsione, in cui anonimi criminali chiedono denaro minacciando di scatenare un attacco informatico, e le vittime privilegiate sono spesso le piccole e medie tech company della rete. La notizia proviene dal New York Times.

Negli ultimi mesi diversi siti tra cui la piattaforma social MeetUp, il portale video Vimeo e il servizio di newsletter online MailChimp sono stati bersaglio di quella che si potrebbe definire la versione moderna del cosiddetto “pizzo” mafioso.

La procedura è sempre la stessa: il CEO dell’azienda riceve una mail in cui viene chiesto un pagamento per evitare che la propria piattaforma subisca un attacco di tipo DoS (Denial of Service), in grado di rendere il sito irraggiungibile per diverse ore o giorni. Nel caso di MeetUp, i fondatori hanno avuto solo 4 minuti di tempo per decidere se pagare gli estortori o assistere all’affossamento del proprio sito.

A quanto si apprende, fino ad oggi i pagamenti richiesti dai criminali si sono assestati su piccole cifre, intorno ai 300 dollari, e sempre in Bitcoin, la valuta di Internet.

Le aziende che non hanno pagato subito sono state puntualmente oggetto di attacchi DoS che hanno bloccato l’accesso alle loro piattaforme. Per fare cessare il bombardamento di richieste che causa il blocco del sito alcune compagnie hanno deciso di pagare gli estorsori, mentre altre hanno preferito chiedere aiuto ad aziende di cybersicurezza in grado di interrompere l’attacco massivo dei cosiddetti bot. Quest’ultima scelta, anche se eticamente corretta, risulta però economicamente svantaggiosa per le compagnie attaccate. Infatti, informa il NY Times, il business delle aziende in grado di sventare gli attacchi DoS è florido e il mercato è in forte ampliamento.

La terza opzione per le start-up sarebbe quella di trasferire le loro piattaforme sui server di giganti del web come Amazon e Google, ma anche in questo caso l’investimento sarebbe superiore al danno economico derivante dall’estorsione (e più in generale si tratta di una scelta poco praticabile per le piccole e medie imprese del web).

Secondo il NY Times l’F.B.I. sta indagando sugli attacchi, che si ritiene possano essere stati compiuti da uno stesso gruppo di criminali.

Struttura degli attacchi DOS

Struttura degli attacchi DoS

La Corte Suprema dell’Irlanda ha rinviato alla Corte di Giustizia Europea il ricorso di un cittadino che si era rivolto al Garante privacy irlandese per ottenere accertamenti sul trattamento dei dati personali che Facebook raccoglie in Europa e invia negli Stati Uniti. La richiesta era stata presentata in seguito alle rivelazioni di Snowden sul programma PRISM del governo degli Stati Uniti.

Nel 2013,  l’Authority irlandese per la protezione dei dati personali aveva rigettato la domanda di un cittadino austriaco di nome Max Schrems, attivista della privacy e fondatore del gruppo Europe Vs. Facebook, che chiedeva di avviare una procedura di verifica sul sospetto trasferimento di dati tra la succursale irlandese di Facebook e la National Security Agency (NSA) americana.

Il rifiuto del Garante privacy di procedere con la verifica si basava sulla constatazione che la controversia, essendo nata in seguito alla “soffiata” di Snowden, era da risolversi ad un livello politico.

Formalmente, la liceità del trattamento che Facebook Irlanda opera sui dati personali dei cittadini dell’Unione Europea è “garantita” dai principi del cosiddetto Safe Harbor, un’autocertificazione che permette alle compagnie americane di risultare conformi ai principi di protezione dei dati personali stabiliti dalla Direttiva 95/46/CE . I principi del Safe Harbor, sono stati definiti allo scopo di evitare perdite di dati ed intrusioni non autorizzate e sono stati stabiliti da un accordo fra il Dipartimento del Commercio Americano e la Commissione Europea che risale al 2000.

Nel ricorso contro la decisione del Garante, Schrems obiettava che non era sua intenzione mettere in discussione la validità dei principi del Safe Harbor quanto l’effettiva operatività di tali principi, dal momento che il trasferimento dei dati personali degli utenti europei di Facebook all’Agenzia per la Sicurezza Nazionale degli Stati Uniti, non è previsto da alcuna eccezione del Safe Harbor Program.

Accogliendo parte del ragionamento presentato da Schrems, il giudice della High Court ha dichiarato che ci sono prove che suggeriscono che i dati personali raccolti da Facebook in Europa vengano periodicamente controllati in massa e su base indistinta dalle autorità americane. Pertanto, dal momento che è necessario Garantire ai cittadini irlandesi il diritto alla privacy, il giudice ha deciso di chiedere il parere della Corte di Giustizia europea.

In particolare, viene richiesto alla Corte di Lussemburgo di esaminare se il Garante Privacy irlandese è vincolato alla procedura del Safe Harbor, che autorizza al trasferimento dei dati sulla base di un’autocertificazione, o se al contrario può investigare oltre ed eventualmente rigettare l’autorizzazione della Commissione Europea revocando di fatto il diritto al trasferimento dei dati.

Il responso della Corte di Giustizia Europea è atteso con grande interesse in tutti gli Stati membri.

L’identificazione tramite dispositivi elettronici e i servizi fiduciari saranno il tema del workshop a Bruxelles organizzato dal consorzio del Progetto IAS.

Com’è noto, il 4 giugno 2012 la Commissione Europea ha approvato una proposta per il “Regolamento in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno” che include le norme per i dispositivi di identificazione elettronica.

Durante il workshop saranno raccolte e discusse le opinioni degli stakeholder sulle possibili integrazioni alla proposta di Regolamento.

Tra i relatori invitati sarà presente Giusella Finocchiaro.

L’evento è fissato per il 18 giugno 2014 presso la sede della Commissione Europea a Bruxelles (Auditorium, 1 Place Madou, 1210 Brussels, metro MADOU).

Per ulteriori informazioni sul progetto IAS si rimanda alla pagina web dedicata www.iasproject.eu.

Il Garante per la privacy, con un provvedimento generale pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014, ha imposto ai siti internet il divieto di istallazione di cookie a fini di marketing senza consenso esplicito da parte degli utenti.

I cookie sono stringhe di testo che i siti inviano ai terminali degli utenti per essere memorizzati e ritrasmessi ad ogni nuovo accesso, agendo da vere e proprie “spie” che raccolgono dati sulle azioni dei navigatori allo scopo di costruire profili utili al futuro riconoscimento degli utenti e alla promozione mirata di prodotti e servizi.

Per proteggere la privacy degli utenti e consentirne un consenso più libero e consapevole, nel rispetto degli obblighi previsti dalla normativa europea, il Garante ha disposto che al momento dell’accesso ad un sito web debba comparire un banner informativo che comunichi immediatamente agli utenti:

1) se il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;

2) se il sito consente anche l’invio di cookie di “terze parti”, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;

3) un link a una informativa più ampia, con le indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti”;

4) l’indicazione che proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito o selezionando un’immagine o un link) si presta il consenso all’uso dei cookie.

Spetterà a chi naviga online, dunque, decidere se permettere che i siti visitati raccolgano informazioni sul proprio conto a fine pubblicitario. Quando il “monitoraggio” dei cookie fosse permesso, l’utente dovrà essere libero di poter modificare le proprie scelte attraverso l’informativa estesa, che dovrà essere linkabile da ogni pagina del sito.

Vi proponiamo qui l’articolo di Giusella Finocchiaro apparso su Agenda Digitale il 5 giugno 2014.

Agenda Digitale In alcuni casi, provare l’identità è necessario: ancora, per esempio, per acquisire una carta di credito. Per risolvere questo problema il Parlamento europeo ha approvato il 3 aprile la proposta di Regolamento europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno che è in attesa di pubblicazione in Gazzetta Ufficiale.

Come si accerta l’identità di una persona su Internet?

Come si può essere certi che il signor Tizio Caio è veramente colui che dice di essere?

Questa domanda è il vero interrogativo oggi per la nuova fase della digitalizzazione che riguarda tutti i servizi che richiedono l’accertamento dell’identità: per esempio, aprire un conto corrente bancario o inviare un’istanza alla pubblica amministrazione o ancora partecipare ad una gara d’appalto on line.

Non tutti i servizi on line richiedono ovviamente l’accertamento dell’identità: per molti acquisti di commercio elettronico è richiesto solo il pagamento e non l’accertamento dell’identità: basta dunque la carta di credito. Ma in alcuni casi, provare l’identità è necessario: ancora, per esempio, per acquisire una carta di credito.

Per risolvere questo problema il Parlamento europeo ha approvato il 3 aprile la proposta di Regolamento europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno che è in attesa di pubblicazione in Gazzetta Ufficiale.

[Continua su Agenda Digitale.]

posted by admin on giugno 3, 2014

Miscellanee

(No comments)

Schermata 2014-06-04 alle 09.31.56Il 6 giugno 2014 la Fatturazione Elettronica verso la PA diventa obbligo. Nella stessa data l’Osservatorio Fatturazione Elettronica e Dematerializzazione, promosso dalla School of Management del Politecnico di Milano, organizza il convegno nazionale di presentazione dei risultati della Ricerca 2014.

La scelta della data del convegno non è casuale. L’obbligo di Fatturazione Elettronica verso la PA segna un’innovazione attesa da tempo (la legge risale al dicembre 2007), che coinvolgerà, progressivamente, tutte le PA e molte imprese del nostro Paese.

Sarà questo uno dei temi principali che saranno affrontati e discussi in occasione del Convegno, durante il quale verranno presentati i risultati della nuova Ricerca.

La Ricerca si è posta in questa ultima Edizione i seguenti obiettivi:

  • comprendere le opportunità della Fatturazione Elettronica sia nella Pubblica Amministrazione sia per i fornitori della PA;
  • monitorare continuativamente evoluzione e sviluppi del quadro normativo nel nostro Paese;
  • analizzare le nuove opportunità della Digitalizzazione nei processi di business, verso cui tende l’intero Sistema Paese;
  • analizzare il grado di diffusione della Digitalizzazione e individuare la presenza di best practice in Italia;
  • continuare nel percorso di diffusione culturale delle opportunità della Digitalizzazione a supporto dei processi di business.

Il Convegno si terrà venerdì 6 giugno 2014, dalle ore 09.00 alle ore 13.30, presso l’Auditorium Giovanni Testori – Palazzo Lombardia, Piazza Città di Lombardia 1, Milano.

Alle 11.00 Giusella Finocchiaro interverrà rispondendo a domande sulla Fatturazione Elettronica verso la PA. Il programma delconvegno è disponibile QUI.

La partecipazione è gratuita, previa iscrizione cliccando qui.

Per maggiori informazioni contattare l’Ing. Irene Facchinetti (email: irene.facchinetti@polimi.it).