LE PRINCIPALI NOVITA’ IN MATERIA DI PRIVACY: UNA NUOVA COMPLIANCE AZIENDALE NEL SEGNO DI UNA MAGGIORE SICUREZZA DEL PATRIMONIO INFORMATICO AZIENDALE

LE PRINCIPALI NOVITA’ IN MATERIA DI PRIVACY: UNA NUOVA COMPLIANCE AZIENDALE NEL SEGNO DI UNA MAGGIORE SICUREZZA DEL PATRIMONIO INFORMATICO AZIENDALE.

La tecnologia attuale consente, come mai in precedenza, sia alle imprese che alla pubblica amministrazione di utilizzare in modo sistematico e massivo dati personali nello svolgimento delle loro attività con riguardo ad una moltitudine di soggetti e, sempre più spesso, anche i privati rendono pubbliche sul web informazioni personali che li riguardano. Ciò comporta una crescita esponenziale dei rischi per la sicurezza dei dati personali e quindi per i diritti e le libertà delle persone fisiche. In questo scenario si è reso necessario l’intervento del Legislatore Europeo, al fine di delineare un quadro giuridico uniforme, solido e coerente in materia di protezione dei dati nell’Unione, con la recente entrata in vigore del Nuovo Regolamento Europeo sulla “Protezione delle persone fisiche con riguardo al trattamento dei dati personali e libera circolazione di tali dati”, che sostituirà il nostro Codice Privacy.
La nuova normativa affiancata da efficaci misure di attuazione e da un severo quadro sanzionatorio, consentirà un migliore sviluppo dell’economia digitale nel mercato interno, garantirà alle persone fisiche un maggiore controllo dei loro dati personali e rafforzerà la certezza giuridica e operativa per i soggetti economici e le autorità pubbliche. Ciò sarà tuttavia possibile solo attraverso la consapevolezza del valore del proprio patrimonio dati e dei rischi sulla sicurezza, da parte dei soggetti, pubblici o privati, che quotidianamente, nello svolgimento della loro attività, trattano dati personali.

UN FOCUS SUL NUOVO REGOLAMENTO UE 2016/679
In vigore dal 24 maggio 2016, sarà definitivamente applicabile in ciascuno degli stati membri dell’Unione Europea a decorrere dal 25 maggio 2018, di seguito le principali novità:

1. L’INFORMATIVA E IL PRINCIPIO DI TRASPARENZA
Il principio della trasparenza impone che le informazioni destinate al pubblico o all’interessato siano concise, facilmente accessibili e che sia utilizzato un linguaggio semplice e chiaro, specie se dirette ai minori. È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché sulle finalità e sulle modalità di esercizio dei loro diritti relativi al trattamento. I dati raccolti dovrebbero essere corretti, adeguati, pertinenti e limitati a quanto necessario per le finalità del trattamento; da qui l’obbligo, in particolare, di indicare il periodo di conservazione dei dati o se non possibile il criterio per determinare tale periodo.

2. DAI DATI SENSIBILI ALLA CATEGORIA PARTICOLARE DI DATI
Cambia la denominazione e viene ampliata la definizione, restando vietato il trattamento, se non con determinate severe garanzie, dei dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, nonché trattare dati genetici e dati biometrici intesi a identificare in modo univoco una persona fisica.

3. LE PERSONE E LE RESPONSABILITÀ: IL TITOLARE DEL TRATTAMENTO
Dovrà mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento e se ciò è proporzionato rispetto alle attività di trattamento. Le misure includono l’attuazione di politiche adeguate in materia di protezione dei dati: Privacy by design – Privacy by default con una particolare attenzione alle misure di sicurezza informatica.
Un meccanismo di certificazione potrà essere utilizzato come elemento discriminante per dimostrare la conformità ai requisiti richiesti dal Regolamento. Inoltre, non si potrà prescindere da un Sistema di Gestione Privacy, in quanto il Regolamento (ma già il D. Lgs. 196/2003) prevede una serie di attività preventive, da realizzarsi mediante Modelli Organizzativi, integrando una tecnica di Compliance aziendale, al pari, ed integrandosi, con i D. Lgs. 81/2008 e 231/2001.

4. DPO – DATA PROTECTION OFFICER-RESPONSABILE DELLA PROTEZIONE DEI DATI:
Nuova figura professionale sarà obbligatoria per la PA e per i soggetti che trattano su larga scala categorie particolari di dati (dati sensibili) o che effettuano trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala in altri casi espressamente indicati dal Regolamento – particolarmente competente in materia di data protection, in grado di fornire tutta l’assistenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione di dati personali. In particolare i compiti del DPO sono riassumibili:
• sorvegliare la corretta applicazione della normativa sulla protezione dei dati;
• dare il suo parere sul privacy impact assestment di progetti;
• verificare la corretta applicazione della protezione dei dati sin dalla progettazione degli applicativi (privacy by design), controllando che gli stessi abbiano impostazioni privacy predefinite (privacy by default);
• effettua audit;
• collabora con le autorità competenti (L’autorità Garante per la protezione dei dati personali) e funge da punto di contatto con le stesse.
• controlla che le violazioni dei dati personali siano documentate, notificate e comunicate.

5. NUOVI ADEMPIMENTI:
– REGISTRI DEI TRATTAMENTI
– DATA PRIVACY IMPACT ASSESTMENT – VALUTAZIONE DI IMPATTO
– ESTENSIONE DEL DATA BREACH – NOTIFICA DELLA VIOLAZIONE DI DATI PERSONALI

ACCOUNTABILITY
Principio di rendicontazione, secondo cui ogni Titolare e quando designato il Responsabile del trattamento devono tenere un registro ove conservare la documentazione di tutte le categorie di attività effettuate sotto la propria responsabilità indicando obbligatoriamente – per ognuno di essi – una serie di informazioni, tali da assicurare e comprovare – per ciascun operazione – la conformità alle disposizioni del Regolamento.

DPIA: Data Privacy Impact Assestment – Valutazione di impatto
Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

DATA BREACH- Notifica della violazione di dati personali
La violazione dei dati è la violazione di sicurezza che comporta anche solo accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’acceso ai dati personali trasmessi, conservati o comunque trattati
Quando la violazione dei dati personali rischia di pregiudicare i dati personali o di attentare alla vita privata dell’interessato, il responsabile del trattamento provvederà senza ingiustificato ritardo alla notificazione all’Autorità Garante di quanto avvenuto e alla successiva documentazione dei fatti e dei rimedi adottati, questo adempimento è stato esteso a tutti i Titolari.

6. LE SANZIONI PER L’INOSSERVANZA DEL REGOLAMENTO
Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte siano in ogni singolo caso effettive, proporzionate e dissuasive.
La violazione delle principali disposizioni del Regolamento è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

7. CERTIFICAZIONE
Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese. Se il responsabile o l’incaricato è in possesso di un “Sigillo europeo per la protezione dei dati” valido in conformità all’art. 42 del Regolamento, nei casi di mancata conformità, intenzionale o dovuta a negligenza è imposta solo una sanzione amministrativa pecuniaria fino a Euro 10.000.000 euro o fino al 2% del fatturato mondiale annuo nel caso di impresa, se superiore.

DIRITTO PENALE COMMERCIALE: LE VALUTAZIONI NEL REATO DI FALSE COMUNICAZIONI SOCIALI.

La Corte di Cassazione torna nuovamente ad esprimersi sullo spinoso e tuttora irrisolto problema della rilevanza penale delle valutazioni nel reato di false comunicazioni sociali, così come riformato dalla legge 69/2015 che ha modificato la fattispecie prevista dall’art. 2621 c.c. ed ha espunto l’inciso “ancorché oggetto di valutazioni”. Con la sentenza n. 6916 del 22 febbraio 2016 la Sezione V della S.C. sottolinea, in aderenza alla pronuncia n. 33774/2015 (c.d. sentenza Crespi), l’esclusione degli elementi discrezionali dall’ambito del penalmente rilevante stante la soppressione, dalla disposizione in questione, dell’inciso che ad essi si riferiva. La questione non può tuttavia dirsi dipanata in quanto detto orientamento risulta essere in aperta contraddizione con quanto espresso il 15 ottobre 2015 dall’Ufficio del Massimario e del Ruolo – servizio penale – e con quanto la stessa Sezione V aveva pronunciato poche settimana prima con la sentenza 890/2016.

DIRITTO TRIBUTARIO: I COSTI DEL NOLEGGIO DI AEROMOBILI SONO STATI RITENUTI DEDUCIBILI DAL REDDITO D’IMPRESA.

La Ctr delle Marche, con la sentenza 48/16 del 25 gennaio 2016, ha affermato essere inerente all’attività aziendale il costo sostenuto per il noleggio di aeromobili per il trasporto del legale rappresentante della società e dei consulenti. L’Agenzia delle Entrate prima, e la Ctp poi, ai fini della deduzione dal reddito d’impresa, non ritenevano soddisfatto il principio di cui all’art. 109, co. 5, Tuir, in quanto nelle fatture non era stata specificata l’identità e la quantità dei passeggeri ed il dettaglio dei voli effettuati. Di diverso avviso la Ctr, secondo la quale, nel caso di specie, il collegamento con l’attività di impresa era provato dal fatto che in tutte le città di destinazione il gruppo deteneva interessi economici, che era sempre stata dimostrata la presenza a bordo dell’aereo del presidente dell’impresa e soprattutto che l’entità delle somme spese era congrua rispetto ai ricavi dichiarati.

DIRITTO TRIBUTARIO: RIBADITA LA NATURA TRIBUTARIA DEL CANONE RAI.

La Sesta Sezione civile della S.C. con l’ordinanza 1922/16 depositata il 2 febbraio 2016 ribadisce la natura del canone Rai qualificandola “prestazione tributaria fondata sulla legge e non commisurata alla possibilità effettiva di usufruire del servizio”. In altre parole il canone di abbonamento Rai trova la sua ragione nella situazione di possesso di un apparecchio atto a ricevere qualsiasi programma televisivo (Cedu, 31 marzo 2009). Non possono essere, pertanto, considerate cause di esenzione dal pagamento di detta imposta l’avvenuta richiesta di oscuramento delle reti Rai o la comunicazione di “rottura” dell’apparecchio tv.

Le regole operative fissate dal Piano di controlli del 2013 per gli ispettori del ministero: le contestazioni ai datori dovranno essere chiare ed esaustive

La più importante e recente novità in materia di procedimentalizzazione dell'attività ispettiva nei luoghi di lavoro è stata introdotta dall'art. 33 della legge n. 183/2010 ("collegato lavoro") in base al quale i verbali ispettivi devono essere chiari e trasparenti a pena d'invalidità. E' essenziale quindi, a conclusione del primo accesso ispettivo, che l'ispettore rilasci al datore o alla persona presente al momento dell'ispezione, il verbale con: l'identificazione dei lavoratori trovati al lavoro e la descrizione delle modalità del loro impiego; la specificazione delle attività accertative compiute; le eventuali dichiarazioni rese dal datore o dalla persona presente all'ispezione; ogni richiesta anche documentale necessaria al proseguimento dell'ispezione. Al termine dell'istruttoria e raggiunta la prova della commissione di illeciti amministrativi, l'ispettore provvederà con un unico verbale di accertamento e notificazione a contestare al trasgressore e all'eventuale responsabile in solido: a) l'esito dettagliato dell'accertamento, con indicazione puntuale delle fonti di prova e degli illeciti rilevati; b) la diffida a regolarizzare gli adempimenti sanabili (non rientra tra questi la mancata concessione del riposo settimanale); c) la possibilità di estinguere gli illeciti ottemperando alla diffida e al pagamento della somma, in tal caso pari all'importo minimo previsto dalla legge, mentre per quelli non diffidabili è comunque possibile estinguerli mediante il pagamento di un terzo dell'importo massimo stabilito sempre dalla legge; d) l'indicazione degli strumenti di difesa e degli organi ai quali proporre ricorso, con i termini di impugnazione.

La mancata o imprecisa indicazione delle infrazioni e delle fonti di prova rende invalida la notifica. Si avrà comunque l'invalidità del verbale se la prova indicata sia ritenuta insufficiente a dimostrare i fatti contestati.

Procedure standardizzate in materia di sicurezza del lavoro: obbligatorie dal 1° giugno 2013

Dalla data del 1° giugno 2013 le procedure standardizzate in materia di sicurezza del lavoro diventeranno obbligatorie per tutte le aziende che occupano fino a 10 lavoratori, mentre saranno facoltative per quelle dagli 11 ai 50 lavoratori.

Nel caso di medie aziende si parla di adempimento facoltativo perché, non essendo mai state autorizzate a sostituire il documento della sicurezza con l’autocertificazione, se al 1° giugno saranno formalmente già in possesso del documento di valutazione dei rischi (Dvr) elaborato secondo le forme ordinarie del testo unico di settore non dovranno necessariamente sostituirlo con altro documento secondo le procedure standardizzate.

Le micro imprese, invece, qualora si siano avvalse, in luogo del Dvr, dell’autocertificazione, dovranno immediatamente provvedere all’elaborazione del documento sulla base dei questionari allegati al decreto interministeriale del 30 novembre 2012. Tuttavia, il datore di lavoro della micro impresa il quale possa dimostrare in sede ispettiva dopo il 1° giugno di avere integralmente rispettato le disposizioni sulla valutazione dei rischi avendo redatto in precedenza il Dvr in forma ordinaria, non sarà costretto ad elaborare il documento secondo le procedure standardizzate.
 

Nuove regole per l’iscrizione all’Albo degli autotrasportatori

Sono cambiate le regole da seguire per iscrivere nuove imprese all’Albo degli autotrasportatori e per mettere in circolazione nuovi veicoli.
In applicazione del Regolamento europeo 1071/2009 e del Decreto 25 novembre 2011, la circolare n.4/2011 del Ministero delle Infrastrutture e Trasporti detta le disposizioni operative agli uffici territoriali e alle Amministrazioni provinciali. L’ambito di applicazione del Regolamento è limitato alle imprese con veicoli di massa complessiva superiore a 3,5 ton.
A partire dal 4 dicembre scorso il requisito dell’idoneità finanziaria va dimostrato da tutte le imprese, siano esse nuove o in esercizio. È lo stesso Regolamento europeo a fissarne la misura: 9.000 euro per il primo veicolo a motore e 5.000 per i veicoli successivi.
Sarà possibile ricorrere alla fideiussione bancaria o assicurativa.
Inoltre, saranno le amministrazioni provinciali a valutare queste attestazioni o ad acquisire la garanzia fideiussoria, continuando a iscrivere le imprese all’Albo. I dati così acquisti verranno raccolti dal Registro elettronico nazionale (Ren).

http://www.mit.gov.it/mit/mop_all.php?p_id=11273
 

Obbligo della posta elettronica certificata (PEC) anche per le imprese individuali.

L'obbligo previsto dall'articolo 5 del D.L. 179/2012 (“Crescita-bis”) si estende, oltre che alle imprese nascenti (20 ottobre 2012), anche a tutte le imprese individuali attive e non soggette a procedure concorsuali che sono tenute a depositare presso il registro delle imprese il proprio indirizzo Pec entro il 31 dicembre 2013.
La generalizzazione dell'uso della Pec farà dello strumento il canale unico nazionale di comunicazione a rilevanza giuridica. Alla fine del prossimo anno, per legge, la Pec dovrebbe essere attiva per tutti soggetti economici, comprese tutte le pubbliche amministrazioni (l'obbligo è del 29 novembre 2008).
Unica Pec è quella comunicata al registro delle imprese, per i professionisti quella comunicata ai rispettivi ordini e la si equipara ad una raccomandata con ricevuta di ritorno. Il provvedimento all'articolo 4, che riguarda i cittadini privati, definisce il domicilio digitale del cittadino e consente a quest'ultimo di indicare una casella di posta elettronica certificata abilitata e a rilevanza giuridica per dialogare con la Pubblica amministrazione.

La Cassazione sulle notifiche a mezzo posta

Le Sezioni Unite della Cassazione hanno stabilito con la sentenza 1428/2012 che il termine di dieci giorni di cui all'art. 8, quarto comma, della legge 890/1982, nel testo sostituito dall'art. 2 del d.l. 35/2005 deve essere qualificato come termine a "decorrenza successiva" e computato, secondo il criterio di cui all'articolo 155, primo comma, c.p.c. escludendo il giorno iniziale (data di spedizione della lettera raccomandata di cui al secondo comma dello stesso art. 8) e conteggiando quello finale; lo dteddo termine essendo stabilito nell'ambito del procedimento preordinato alla notificazione di atti inerenti al processo civile deve intendersi compreso fra i termini per il compimento di atti processuali svolti fuori dall'udienza di cui all'art. 155 c.p.c. con la conseguenza che il dies ad quem del termine medesimo, ove scadente nella giornata del sabato, è prorogato di diritto al primo giorno seguente non festivo.