Art. 7
Trattamento di dati personali
1. La societa' tratta i dati raccolti tramite l'App IO, o altro
portale dedicato messo a disposizione dall'issuer, e trattati
nell'ambito del Sistema, in qualita' di titolare del trattamento,
esclusivamente per le finalita' di cui al presente decreto. La
societa' e' altresi' titolare del trattamento effettuato per la messa
a disposizione ai cessionari dei dati di cui all'art. 6, comma 1,
lettera i), del presente decreto, nonche' per le verifiche di cui
agli articoli 5, comma 1, lettera c), e 6, comma 1, lettera g), da
attuarsi secondo le modalita' previste dalla apposita convenzione con
l'Agenzia delle entrate, sottoscritta e allegata alla valutazione di
impatto di cui al comma 6 del presente articolo.
2. La societa' e' designata responsabile dagli esercenti, ai sensi
dell'art. 28 del regolamento UE 2016/679, per i trattamenti
effettuati per conto degli stessi nell'ambito del servizio di
fatturazione automatica di cui al presente decreto.
3. Gli issuer sono designati responsabili dalla societa', ai sensi
dell'art. 28 del regolamento UE 2016/679, per i trattamenti
effettuati, in virtu' di un'apposita convenzione, per lo svolgimento
delle attivita' ad essi affidate ai sensi del precedente art. 6,
comma 1, lettera i), del presente decreto.
4. Al fine di individuare le transazioni rilevanti, e' fatto
obbligo agli acquirer, previa messa a disposizione da parte della
societa' dei dati relativi alle registrazioni dei cessionari e agli
identificativi delle transazioni effettuate per le quali sia stata
richiesta la fattura, di comunicare alla societa' i dati necessari a
tal fine. L'attivita' di comunicazione e' svolta dagli acquirer in
qualita' di titolari del trattamento, nel rispetto degli obblighi di
sicurezza previsti dalla normativa rilevante nonche' dagli standard
di settore. E' fatto divieto agli acquirer di utilizzare i dati
relativi alle registrazioni dei cessionari forniti dalla societa' per
finalita' non strettamente necessarie all'espletamento dei propri
compiti ai sensi del presente decreto. Gli acquirer tengono
aggiornati i dati ricevuti dalla societa' e li cancellano
automaticamente non appena non piu' necessari all'espletamento delle
attivita' di cui al presente decreto, secondo le modalita'
individuate nella valutazione di impatto di cui al comma 6 del
presente articolo. In sede di prima applicazione, gli acquirer
possono demandare lo svolgimento di talune delle attivita' previste
dal presente decreto alla societa' stessa, che le svolgera' previa
designazione come responsabile del trattamento ai sensi dell'art. 28
del regolamento UE 2016/679, come dettagliate nella valutazione di
impatto di cui al comma 6 che segue.
5. Il trattamento dei dati avviene nel rispetto delle misure e
degli obblighi imposti dal regolamento UE 2016/679 e dal decreto
legislativo 30 giugno 2003, n. 196 e successive modificazioni.
6. La societa' effettua, prima del trattamento, la valutazione di
impatto ai sensi dell'art. 35 del regolamento (UE) 2016/679 e la
sottopone alla verifica preventiva del Garante per la protezione dei
dati personali.
7. Nella valutazione di impatto sono indicate, inter alia, le
misure tecniche e organizzative idonee a garantire un livello di
sicurezza adeguato al rischio, nonche' a tutela dei diritti e delle
liberta' degli interessati. Nella valutazione, sono altresi'
disciplinati i tempi e le modalita' di conservazione dei dati
trattati ai sensi del presente decreto, assicurando che gli stessi
siano conservati solo per il tempo necessario all'erogazione del
servizio.