IL NUOVO REGOLAMENTO EUROPEO DELLA PRIVACY. PRIME IMPRESSIONI SUI MARGINI DI INTERVENTO DEGLI STATI MEMBRI: QUALE UNIFORMITÀ APPLICATIVA?

(il presente articolo è stato pubblicato in precedenza sul sito di Lexenia: http://www.lexenia.it/il-nuovo-regolamento-europeo-della-privacy-dei-iure-condito-e-de-iure-condendo-prime-impressioni-sui-margini-di-intervento-degli-stati-membri-quale-uniformita-applicativa; è invece possibile scaricare liberamente qui il presente articolo in formato pdf:  NUOVO REGOLAMENTO PRIVACY 2016).

1 – Premessa

Dopo diversi anni di gestazione e lotte fra interessi contrapposti, finalmente le autorità comunitarie hanno predisposto il testo definitivo1 dell’emanando Regolamento comunitario in materia di trattamento dei dati personali (di seguito “Regolamento”)2, il quale sarà pubblicato a gennaio 2016 nella Gazzetta Ufficiale UE e che concederà, comunque, due anni di tempo dalla pubblicazione per la sua applicazione3.

Le novità in campo sono numerose, il tempo permetterà di colmare i tanti dubbi e risvolti applicativi che entreranno in gioco. Decisivo sarà constatare quanto i singoli Stati membri potranno e dovranno intervenire localmente – come previsto dal Regolamento stesso – onde, di fatto, creare differenze potenzialmente rilevanti da Paese a Paese. Un effetto paradossale che si voleva certamente evitare nelle intenzioni iniziali, come testimonia l’adozione dello strumento regolamentare invece di quello della Direttiva; i compromessi raggiunti hanno creato diverse “zone grigie” nell’impianto che lasciano aperta la porta a svariate interpretazioni e difformi applicazioni, rischiando di ricreare quella selva di regole stratificate che finora ha reso la materia spesso inestricabile e lontana dall’auspicata certezza del diritto4, senza menzionare la comprensibilità e chiarezza che si vorrebbero sempre presenti nei provvedimenti indirizzati anche ai semplici cittadini5. Ciò che si vuole proporre di seguito è una breve panoramica di quali incertezze si profilino de iure condito all’orizzonte già a una prima lettura del provvedimento, sperando che vengano colmate da un’effettiva e tempestiva attività uniformatrice de iure condendo.

2 – Abrogazioni e integrazioni sul trattamento dei dati personali

Riepilogando brevemente alcuni dei punti più rilevanti prima facie6, si può aiutare la complessa lettura con un’elencazione analitica, quasi “radiografica”: il testo è ricco di ben 135 considerando e 91 articoli7, disegnando un sistema complesso8 e dotato di un’organicità ancora da verificare e che sarà terreno fertile per autorevoli commentatori. Trattando anzitutto delle fonti, si deve tenere conto quale premessa che con l’entrata in vigore del Regolamento:

  1. (art. 88) si abroga l’attuale Direttiva 95/46/CE alla predetta entrata in vigore; gli effetti possono includere, pertanto, l’abrogazione anche delle normative nazionali emanate in applicazione di tale Direttiva, come il D.Lgs. 196/20039, almeno nelle parti di diretta trasposizione di tale Direttiva;

  2. (art. 89) resta invece vigente la Direttiva 2002/58/CE sulla privacy nelle comunicazioni elettroniche, recepita nel nostro ordinamento con specifiche disposizioni collocate sempre nel corpo del D.Lgs. 196/200310 – si prospetta pertanto, in linea con quanto visto sopra, un intervento normativo nazionale che chiarisca quali disposizioni del D.Lgs. 196/2003 subiranno l’abrogazione e quali no, oppure si potrà varare un provvedimento nazionale che ex novo recepisca la Direttiva 2002/58/CE11 quanto ai vari profili integrativi-esecutivi;

  3. (art. 89b) gli accordi internazionali tra UE e Stati extra-UE per il rispetto delle tutele nel trattamento, stipulati prima dell’entrata in vigore del Regolamento, restano immutati12; si badi che all’art. 41.5b si prevede la possibilità che le autorizzazioni già rilasciate dagli Stati o Autorità nazionali in passato possano essere integrate, sostituite o abrogate dalla mera Autorità nazionale;

  4. si menziona una futura Direttiva13 che dovrà disciplinare l’uso giudiziario e investigativo dei dati personali, sostituendo la decisione quadro del Consiglio UE sulla protezione dei dati e risalente al 2008.

3 – Le facoltà degli Stati membri

L’impianto deciso in sede comunitaria fa emergere una realtà in cui gli Stati comunitari potranno adottare specifici provvedimenti normativi nazionali (generando potenziali differenze a macchia di leopardo nel territorio comunitario, giocoforza) quanto a svariati profili, riassumibili come segue:

  • (considerando 6a) viene concesso il potere agli Stati membri di specificare o restringere l’applicazione del Regolamento innestando parti dello stesso all’interno di norme nazionali, per quanto necessario all’uniformità applicativa comunitaria e per rendere la normativa comprensibile ai destinatari del singolo Stato membro (come si può prevedere nell’utilizzo di istituti giuridici che possono avere diverse sfaccettature da Paese a Paese o addirittura essere assenti in alcune normative locali);

  • (considerando 23aa) il Regolamento non si applica al trattamento dei dati di defunti, potenzialmente disciplinabile dallo Stato se ritenuto opportuno;

  • (art. 6.2.a) si potranno adottare provvedimenti specifici di adattamento nazionale del Regolamento in occasione (art. 6.1.c) dell’adempimento di obblighi legali (es. contrattuali) del titolare o (art. 6.1.e) di esecuzione di compiti di interesse pubblico o da parte di organi della P.A.;

  • (art. 8) quanto all’età minima per la quale è richiesto il consenso da parte dell’esercente la patria potestà, di base il limite è di 16 anni (pari all’età minima per l’Italia tale da consentire l’emancipazione del minore14 e altre limitate attività, come quelle lavorative o per il pieno esercizio dei propri diritti d’autore15), la riduzione nazionale potrà però abbassare il limite fino a 13 anni; sarà interessante vedere il riscontro italiano e se e come verrà motivato un eventuale abbassamento dell’età minima;

  • (art. 9.5) vi potranno essere provvedimenti specifici, anche limitativi, circa il trattamento di dati sanitari, biometrici o genetici nel territorio nazionale;

  • (art. 17.1.e) la cancellazione di dati (in ottemperanza al diritto all’oblio, ora riconosciuto normativamente16) dovrà avvenire nei casi eventualmente previsti come obbligatori anche da norme locali;

  • (art. 17a) il blocco del trattamento dei dati, richiesto dall’interessato, può non essere rispettato – tra l’altro – per motivi non ben precisati di “pubblico interesse” sanciti dallo Stato membro17;

  • (art. 20) è derogabile il divieto di utilizzare decisioni (e dunque le profilazioni alla loro base) ricavate da processi automatizzati, qualora abbiano effetti legali e sempre che lo Stato membro lo preveda per legge; contestualmente lo Stato dovrà stabilire le misure di salvaguardia dei diritti, delle libertà e dei legittimi interessi dell’interessato;

  • (art. 21) ogni Stato potrà limitare per legge l’ambito di applicazione di numerosi articoli del Regolamento18 concernenti i diritti dell’interessato e il loro esercizio, qualora – pur nel rispetto dei diritti e delle libertà fondamentali e sempre in maniera proporzionata a quanto necessario in una società democratica – lo Stato ravvisi un interesse preminente tra quelli elencati nel medesimo art. 21, tra cui troviamo: la difesa e sicurezza nazionale, le indagini giudiziarie, importanti scopi di generale pubblico interesse (soprattutto economico, finanziario, fiscale, di salute pubblica o previdenza sociale), l’indipendenza giudiziaria, il rispetto dell’etica professionale per le professioni regolamentate, ecc.;

  • (art .24.1) nel caso di titolari congiunti19, la legge statale può prevedere la ripartizione delle rispettive responsabilità tra i molteplici titolari; in mancanza, dovrà sussistere un contratto tra le parti per stabilire tale suddivisione;

  • (art. 26.2.a) il responsabile potrà trattare i dati solo in base a istruzioni documentabili (quindi in forma scritta o loro equivalente, inteso in chiave probatoria) ricevute dal titolare, salvo che una legge statale non preveda l’operazione di trattamento come obbligatoria a prescindere; in tale ultimo caso, il titolare dovrà segnalare previamente al responsabile questo requisito legale, salvo che la legge non disponga diversamente per ragioni di pubblico interesse;

  • (art. 26.2.g) nuovamente riguardo alla figura del responsabile, questi dovrà procedere alla cancellazione dei dati su richiesta del titolare, salvo che non vi sia una legge che prescriva, al contrario, il mantenimento dei dati; si pensi ad es. al caso nazionale del mantenimento obbligatorio dei dati di fatturazione a fini fiscali per 5 anni a carico degli imprenditori;

  • (art. 27) il responsabile e altri soggetti deputati al trattamento potranno effettuare il trattamento anche in mancanza di apposite istruzioni del titolare ma solo se così consentito da norme comunitarie o statali;

  • (art. 34.7a) potrebbe stabilirsi come obbligatoria una preventiva procedura di consultazione dell’Autorità nazionale, qualora il titolare compia trattamenti nel pubblico interesse (ad es. per ragioni attinenti alla previdenza sociale o alla salute pubblica);

  • (art. 35.4) la nomina20 del data protection officer (“responsabile della protezione dei dati”) – nuova figura professionale di tutela dei dati personali21 che dovrà essere competente non solo del rispetto della normativa privacy ma anche della protezione in sé dei dati (personali o meno) – potrà essere imposta in capo al titolare, oltre che nei casi già previsti dal Regolamento all’art. 35.1, anche in nuove fattispecie dettate da norme comunitarie o nazionali; oltretutto sarà soggetto alle normative nazionali e comunitarie circa il rispetto del segreto professionale nell’espletazione della sua attività;

  • (art .38) si potrà incoraggiare a livello nazionale la stesura di codici di condotta rivolti ai titolari per l’attuazione del Regolamento, tenuto conto di vari interessi come le esigenze delle PMI locali;

  • (art. 39) analogamente, analoghi incentivi si potranno dedicare alle procedure di certificazione e “bollini” di compliance privacy ai sensi del Regolamento, sottolineando che il livello comunitario – per una maggiore uniformità applicativa – dovrà essere quello dedicato con particolare attenzione a tali attività; gli organismi di certificazione saranno comunque (art. 39a) oggetto di verifica statale quanto alla rispondenza ai parametri nazionali;

  • (art. 44.5a) per importanti ragioni di interesse pubblico, si potranno stabilire limiti nazionali al trasferimento di determinate categorie di dati personali in Paesi terzi o a organizzazioni internazionali;

  • (art. 53.4) si possono assegnare ulteriori poteri in capo all’Autorità Garante nazionale, oltre a quelli già previsti dal Regolamento a mente dell’art. 54;

  • (art. 76) è facoltativa l’attribuzione a organismi associativi, o comunque enti no profit, del diritto di agire (giudizialmente o amministrativamente) avverso violazioni della normativa in parola, sia in rappresentanza di un singolo soggetto leso che per tutela di un interesse generale al rispetto della normativa in discussione (in quanto rientrante tra gli scopi dell’ente esponenziale);

  • (art. 79.3b) può stabilirsi se e in che misura le sanzioni amministrative (nei casi più gravi, potranno arrivare a 20 milioni di euro o al 4% del fatturato del titolare, a seconda di quale risulti la sanzione più elevata) possono essere applicate alla Pubblica Amministrazione; qualora non si voglia applicarle a livello nazionale, sarà comunque opportuno un meccanismo che in qualche modo incentivi la P.A. al rispetto della normativa;

  • (art. 79.5, v. anche considerando 119) se non sono previste sanzioni amministrative nazionali in conseguenza della violazione del Regolamento (incluso il sequestro dei profitti realizzati grazie alla violazione), si potrà applicare l’impianto sanzionatorio dell’art. 79 del Regolamento mediante un riparto analogo a quello già esistente in Italia, ovvero con un’Autorità nazionale competente come il Garante italiano che in prima battuta eroga la sanzione e successiva possibilità di intervento giudiziario (con relativo potere coercitivo) per l’esecuzione;

  • (art. 80b) si possono stabilire specifiche condizioni locali di trattamento di codici identificativi nazionali o di generale applicazione (ad es. del codice fiscale o partita IVA);

  • (art. 82) per legge o tramite contratto collettivo (anche aziendale o di prossimità, pare, visto che non viene precisato che debba essere nazionale) si possono stabilire ulteriori e più specifiche regole per il trattamento dei dati nell’ambito del rapporto di lavoro, ad es. quanto all’assunzione, all’esecuzione del rapporto, salute e sicurezza, ecc.; in tal caso si dovranno sempre prevedere misure adeguate al rispetto della dignità umana e dei diritti fondamentali, oltre ai casi di trasferimento dei dati fra gruppi societari e alla sorveglianza dei luoghi di lavoro;

  • (art. 83) deroghe e salvaguardie analoghe al caso precedente potranno essere adottate da norme nazionali in materia di trattamento per scopi di interesse pubblico, scientifico, storico o statistico;

  • (art. 84, v. anche considerando 127) si potrà adottare una specifica normativa quanto al rispetto del segreto (professionale e non) da parte dell’Autorità preposta (come il Garante italiano e la delegata Guardia di Finanza22) ad accedere ai dati e ai locali del Titolare23 per le verifiche ispettive di legge24.

4 – Gli obblighi degli Stati membri

Quanto sopra non va confuso con diverse previsioni del testo comunitario di taluni obblighi in capo agli Stati membri UE, quali requisiti di esecuzione di svariate disposizioni del Regolamento. Le distinguiamo in ordine:

  • (art .34) vi sarà consultazione preventiva obbligatoria dell’Autorità nazionale da parte dello Stato in sede di redazione legislativa (o regolamentare) nazionale in merito al trattamento di dati personali;

  • (art. 46) è prevista l’istituzione di una o anche più Autorità per la tutela dei dati (resta da vedere se si possono integrare attribuzioni a enti già esistenti, ad es. si potrebbe attribuire all’AGCM, Autorità competente per la tutela dei consumatori, anche il campo della tutela dei dati personali degli stessi consumatori; come già in passato, le Autorità dovranno essere di effettiva indipendenza (art. 48) e con l’assegnazione di un budget annuale pubblico; in Italia permarrà il Garante della privacy, come ovvio, a fronte di alcune possibili revisioni; peculiare risulta la previsione ex art. 85 del Regolamento, onde per cui lo Stato potrebbe designare un’Autorità specificamente competente a controllare il rispetto della normativa da parte di chiese ed enti religiosi;

  • (art. 79b) si dovranno determinare sanzioni penali applicabili a livello nazionale, soprattutto quanto alle fattispecie non coperte da sanzioni amministrative, garantendo che le sanzioni siano effettivamente implementate e che siano effettive, proporzionate e dissuasive; si tratta di un’integrazione prevedibile e giustificata dal sistema stesso dell’Unione Europea, posto che sul piano comunitario non è possibile predeterminare sanzioni di tipo penale bensì sono riservate alla competenza nazionale: vedremo se verrà confermato l’impianto sanzionatorio già dettato nel D.Lgs. 196/2003, discutibile in più punti, oppure se si deciderà di inasprirlo o ampliarlo;

  • (art .80) si dovrà conciliare la tutela della privacy con il trattamento dei dati per scopi di libera manifestazione del pensiero, di informazione, accademici e di espressione artistica o letteraria; lo strumento dovrà essere quello di norme nazionali in deroga alla disciplina del Regolamento, se necessarie per garantire l’equilibrio tra la protezione dei dati e il diritto di libera espressione e informazione25; principio analogo è sancito all’art. 80a quanto all’equilibrio tra interessi contrapposti nel caso di un diritto di accesso agli atti amministrativi da parte della P.A.

5 – Conclusioni

Alla luce di quanto sopra, cosa ci si deve attendere dal futuro a disegnare le istruzioni per l’uso dei dati personali: il Regolamento e un profluvio di norme locali integrative? Oppure innumerevoli provvedimenti del Garante nazionale, degli enti sovranazionali e degli organismi di coordinamento, atti spesso di incerta collocazione quanto al sistema delle fonti26? Insomma, si arriverà sotto questo profilo a un’Unione Europea comune nelle premesse e poi attaccata ai propri localismi in sede attuativa? Viene da chiedersi come potrà essere raggiunta l’uniformità applicativa del Regolamento, il quale tuttavia fornisce uno strumento precipuo: agli artt. 57 ss. si prescrivono adempimenti in ambito di cooperazione tra istituzioni comunitarie e nazionali (ovvero ciò che negli ultimi anni non ha dato miglior prova di sé nell’attuazione del disegno comunitario generale). Oltretutto, quando gli Stati derogheranno al Regolamento avranno l’onere di darne notizia alla Commissione Europea (la quale, dunque, dovrà monitorare le svariate applicazioni nazionali) e in ogni caso le Autorità nazionali competenti (come il Garante italiano) dovranno (art. 46.1a) contribuire all’applicazione uniforme di tutto l’impianto del Regolamento. È un rinnovato ruolo per il nostro Garante, chiamato a fungere sia da guardiano locale del Regolamento sovranazionale che delle norme nazionali collegate, ricordandosi che sarà anzitutto l’autorità giudiziaria il soggetto tenuto a dover sempre ritenere la fonte comunitaria prevalente sulla legislazione nazionale contrastante, in forza dell’art. 11 Cost., oltre a dover attuare un’interpretazione conforme, cioè il più possibile aderente al diritto comunitario27.

Altro strumento di uniformità potrà essere, in aggiunta, la certificazione (prevista agli artt. 39-39a del Regolamento) che permetterà ai titolari di ottenere attestati di compliance privacy validi in tutta Europa28, una volta che si sarà provveduto a stabilire procedure uniformi di certificazione volontaria29.

Sia chiaro, l’occasione di avere un ombrello unico a livello comunitario non era scontata, come evidenzia la lotta che ha portato a questo risultato: visibilmente aspra, politicamente parlando30, giunta infine a un traguardo comunque significativo. Toccherà alle varie Autorità garanti nazionali, alla Commissione europea ma soprattutto al nascente Comitato31 Europeo per la Protezione dei Dati32, inaugurare un inedito coordinamento che possa in concreto portare a regole condivise33 e affidabili in tutta Europa, senza che si generi una Babele di provvedimenti integrativi, nazionali e non34. Come detto supra, un ruolo preminente l’avranno gli stessi Stati nazionali in sede legislativa, chiamati a emanare provvedimenti e a effettuare valutazioni integrative di non poco conto. Auspicando che si arrivi a semplificare, invece di complicare, un settore che necessita, ancora più di altri ambiti, di un’opera di revisione continua che rincorra gli incessanti mutamenti tecnologici, aventi notevoli ricadute circa il trattamento dei dati personali35. È prevedibile, infatti, che una stratificazione normativa troppo complessa risulti lesiva degli interessi – oltre che degli Stati – anche dei medesimi destinatari dei provvedimenti, se si pensa ad es. a un’azienda che debba tenere il passo con quanto prescritto e che per farlo debba immergersi in un mare magnum di provvedimenti e fonti36, senza una bussola chiarificatrice, condivisa e il più possibile schematica. Il mercato comunitario e nazionale se ne gioverebbe, oltre a garantire un maggiore rispetto dei dati personali dei cittadini stessi37.

1 Reperibile al seguente URL: http://www.statewatch.org/news/2015/dec/eu-council-dp-reg-draft-final-compromise-15039-15.pdf. I presenti riferimenti ai numeri dei considerando e degli articoli probabilmente muteranno, in alcuni casi, alla pubblicazione del testo definitivo in Gazzetta Ufficiale UE.

2 Come noto, il mezzo regolamentare è previsto dall’art. 288 TFUE con portata generale per tutti gli Stati membri e di diretta applicabilità verso Stati, persone e istituzioni destinatarie, salva – come nel caso in parola – la necessaria integrazione locale che renda possibile l’esecuzione concreta di parte del provvedimento comunitario se necessita di integrazione attuativa.

3 V. l’art. 91.d del Regolamento. Salva l’apposizione di un termine particolare come questo, di norma i Regolamenti entrano in vigore previa vacatio legis di 20 giorni dalla pubblicazione in Gazzetta Ufficiale UE: si vuole dare tempo a Stati e imprese, soprattutto, di approntare quanto necessario alla complessa nuova gestione dei dati, tra procedure di privacy assessment e provvedimenti di riordino legislativo.

4 Si pensi alle diverse interpretazioni rese tuttora da autorità e diversi organi nazionali, chiamati a pronunciarsi in materia di dati personali o comunque in ambiti che vi si intersecano, come il Garante della Privacy e la Cassazione: ad es. la seconda, con sentenza n. 22611 dell’11 giugno 2012, ha ammesso la possibilità di adottare sistemi di videosorveglianza dei lavoratori in mancanza delle preventive procedure di accordo sindacale o con la DTL, qualora vi sia comunque un assenso contrattuale di tutti i lavoratori aziendali, ai sensi del previgente art. 4 l. 300/1970; il Garante italiano è più volte intervenuto in casi analoghi, d’altro canto, ribadendo la non ammissibilità di una procedura siffatta in deroga a quella di accordo sindacale o amministrativo, cfr. il provvedimento generale del Garante del 29 aprile 2004 (doc. web 1003482) e quello dell’8 aprile 2010 (doc. web 1712680).

5 Il paradosso si è confermato con la recente innovazione del Codice del Consumo (D.Lgs. 206/2005) a opera del D.Lgs. 21/2014, generando un testo di difficile lettura e coordinamento anche per i professionisti.

6 Si propone qui una traduzione ad hoc di vari termini ed espressioni, non essendo ancora disponibile un testo ufficiale in lingua italiana. Per i termini già adottati nella precedente Direttiva si è sfruttata la traduzione impiegata nel recepimento confluito nel D.Lgs. 196/2003.

7 Di seguito, salvo diversa indicazione, si farà sempre riferimento ad articoli del Regolamento.

8 Ricordiamo che la Direttiva precedente di disciplina generale del trattamento dei dati personali, la 95/46/CE, era di soli 34 articoli.

9 Vale a dire il nostro Codice per il trattamento dei dati personali, detto di prassi “Codice della Privacy”, che aveva sostituito la prima legge organica in materia ovvero la l. 675/1996.

10 Non è di poco conto tale sopravvivenza, considerato che la Direttiva armonizza la disciplina di realtà in evoluzione come i cookies, le reti di comunicazione elettronica e non, le comunicazioni pubblicitarie indesiderate, ecc. Si è, evidentemente, ritenuta tuttora valida e sufficientemente aggiornata questa disciplina, pur a fronte di vari riferimenti in tale Direttiva a quella precedente del 1995 (ad es. all’art. 1 si stabilisce che la Direttiva del 2002 precisa e integra la Direttiva del 1995, all’art. 2 si rimanda alle definizioni della medesima, ecc.). La giustificazione potrebbe rinvenirsi nel dato per cui la Direttiva del 2002 risulta emendata di recente, con l’importante Direttiva 2009/136/CE (indicata spesso come “cookie law”) e recepita in Italia nel 2012 mediante integrazione nel testo del D.Lgs. 196/2003.

11 Tale ultima strada sarebbe quella più chiara per disegnare una nuova disciplina, soprattutto se si includerà nello stesso atto normativo nazionale quanto andrà ad attuare facoltà od obblighi regolamentari comunitari.

12 Non certo, quindi, la già invalidata autorizzazione comunitaria intercorsa con gli Stati Uniti e denominata “Safe Harbour” del 2000, a opera della Corte di Giustizia UE nella causa n. C-362/14 Maximillian Schrems/Data Protection Commissioner.

13 Con relativo recepimento nella normativa nazionale: sarebbe utile che accadesse con lo stesso provvedimento nazionale di integrazione del Regolamento.

14 V. art .84 c.c.

15 Cfr. art. 108 l. 633/1941.

16 In precedenza ammesso dalla Corte di Giustizia UE con la discussa sentenza del 13 maggio 2014, n. C-131/12.C-131/12 Mario Costeja Gonzalese e AEPD contro Google Spain e Google Inc.

17 Gli altri casi di eccezione comprendono: il consenso dell’interessato, l’instaurazione o esercizio o difesa di propri diritti, la protezione dei diritti di terzi.

18 In particolare, quanto previsto agli artt. 5, 12-20, 32 del Regolamento in esame.

19 Si tratta di più titolari che decidono congiuntamente scopi e mezzi del trattamento, con relative responsabilità.

20 Ex art. 35.1 si apprende che la nomina può avvenire non solo da parte del titolare ma anche del responsabile; si possono avere dei dubbi perché l’articolo in parola recita che titolare “e” responsabile dovranno procedere alla designazione, dunque non è chiaro se la nomina debba avvenire con atto congiunto o se sia possibile anche disgiuntamente (come sembra avvalorato dall’art. 35.4 ove troviamo la congiunzione “o” in merito ai soggetti designanti).

21 Disciplinato agli artt. 35-37 del Regolamento, si tratta di un esperto nel trattamento dei dati di un titolare, che sia un interno o un esterno all’organizzazione dello stesso; di fatto si potrà incaricare un dipendente o un professionista a contratto. È una figura difforme da quella del responsabile ex art. 29 D.Lgs. 196/2003 e che, pare, non può cumularsi nella stessa persona del responsabile. Particolarmente importanti sono i casi in cui la nomina è obbligatoria (art. 35.1), ovvero: a) trattamento dei dati da parte della Pubblica Amministrazione; b) quando le attività principali del titolare o del responsabile comportino un regolare e sistematico monitoraggio degli interessati, su larga scala; c) qualora le attività principali del Titolare o del Responsabile comportino su larga scala il trattamento di dati sensibili e giudiziari. Sarà tutto da vedere quale uniformità interpretativa si potrà imporre circa il significato di “larga scala”: le bozze precedenti del Regolamento presentavano parametri oggettivi numerici (es. numero minimo di interessati), questo risultato pare un compromesso dall’incerto futuro.

22 Ovvero il Garante italiano per la tutela dei dati personali, http://www.garanteprivacy.it, disciplinato dal D.Lgs. 196/2003; forse il Garante dovrà trovare una nuove fonte nazionale di disciplina, alla luce di quanto detto supra.

23 Utilizziamo qui la convenzionale traduzione di “titolare” al posto di “controller” e di “responsabile” al posto di “processor”, come attuato nel D.Lgs. 196/2003 in ottemperanza alla Direttiva 95/46/CE.

24 Si pensi ad es. ai problemi analoghi, in sede di accertamento tributario, che hanno portato alla l. 413/1991 poi riversata nell’art. 52 DPR 633/1972, senza tuttavia che si sia considerato risolto il profilo di tutela del segreto in sede ispettiva.

25 Auspichiamo che tale importante presidio trovi una migliore espressione rispetto all’attuale norma nazionale, ovvero l’art. 136 del D.Lgs. 196/2003, di incerta interpretazione e applicazione soprattutto quanto al comma 1 lett. c).

26 Nel tempo si è ravvisato criticabile che il Garante, da autorità amministrativa indipendente, possa pubblicare provvedimenti in Gazzetta Ufficiale con forza di legge ai sensi dell’art. 154 comma 1 lett. c) e d) D.Lgs. 196/2003.

27 Si tratta di un principio interpretativo riconosciuto dalla Corte Costituzionale ex art. 117 Cost.

28 Almeno auspichiamo sia così perché in effetti l’art. 39.1 sancisce che sarà “in particolare” a livello comunitario il piano in cui si dovranno incoraggiare i meccanismi di certificazione, lasciano aperta la possibilità per ognuno dei soggetti coinvolti – singoli Stati membri e Autorità nazionali incluse – di provvedere in proprio.

29 Come già accade con le norme internazionali e linee guida ISO, in particolare per la certificazione qualità di imprese e professionisti.

30 Un confronto tra le numerose versioni precedenti della bozza di Regolamento era, di per sé, già eloquente di quali interessi fossero in gioco, si pensi proprio ai casi in cui era obbligatoria l’implementazione del data protection officer.

31 Oppure “Consiglio” o “Commissione”, a seconda della traduzione che verrà preferita in sede comunitaria alla pubblicazione in italiano.

32 Ovvero lo European Data Protection Board che nel testo del Regolamento, in più punti (es. art. 58 del Regolamento, considerando 113 poi rispecchiato all’art. 66 del Regolamento, ecc.), assume il ruolo di guida, arbitro e fonte di fondamentali linee guida, raccomandazioni e best practices del settore. La disciplina istitutiva si trova agli artt. 64 ss. del Regolamento.

33 Non solo: ad es. l’art. 56 del Regolamento chiarisce che molto potrebbe cambiare sul piano applicativo, ove un’Autorità nazionale ne incarichi un’altra estera per effettuare accertamenti sovranazionali di proprio interesse o competenza, realizzando davvero un ombrello comunitario di pari ed effettiva tutela dei dati personali. Ricordando che se nel caso concreto entreranno in gioco difformi concezioni locali del trattamento, sarà difficile capire quale potrà prevalere.

34 Resta il dubbio che non si sia voluto osare un approccio di maggior rottura quanto al sistema comunitario di tutela dei dati personali varato in precedenza, in particolare quanto alle nuove tecnologie: si pensi ad es. al perdurante iter imposto ai Titolari del trattamento e ancorato alla sequenza informativa-consenso-trattamento verso gli interessati, defatigante se calato in un contesto tecnologico di svariati accessi giornalieri alle svariate fonti informatiche di trattamento (si pensi alle molteplici app in uso negli smartphone odierni, ai siti web di e-commerce, alla messa a disposizione al pubblico di user generated content tramite i social network, per esempio). Anche la frequente irritazione per l’onnipresente banner informativo circa il trattamento web dei cookies testimonia lo stridente contrasto tra ragionamento normativo e realtà degli utenti ma soprattutto degli interessati stessi!

35 Basti pensare alle obsolete misure minime di sicurezza, dettate nell’Allegato B del D.Lgs. 196/2003, oppure all’emergente problema del trattamento dei big data, non ancora all’orizzonte all’epoca della precedente Direttiva 95/46/EC.

36 Non è insolito il disorientamento che spesso sovviene a chi si avvicini ex novo alla materia e che approcci il profluvio di provvedimenti presenti sul portale del Garante italiano, per fare un esempio.

37 È sotto gli occhi di tutti la quasi inefficacia del sistema del Registro Pubblico delle opposizioni gestito dalla Fondazione Bordoni (http://www.registrodelleopposizioni.it) e che avrebbe dovuto contenere il fenomeno delle chiamate commerciali indesiderate. La riforma regolamentare è l’occasione giusta per rivedere meccanismi farraginosi e inconcludenti come questo.

AL VIA IL PATENT BOX: UN INCENTIVO FISCALE A VANTAGGIO DELLA PROPRIETÀ INTELLETTUALE

Siete imprenditori titolari di beni immateriali come marchi, brevetti e software? È il momento giusto allora per usufruire di un particolare vantaggio fiscale, battezzato “Patent Box”, in vigore con l. 190/2014 (Legge di Stabilità 2015).  Vista la scarsità di simili opportunità nel nostro Paese, l’occasione è cruciale.

Di seguito schematizziamo i punti chiave della disciplina, al fine di fornire informazioni di massima e poter comprendere se si può applicare alla propria realtà. Vista l’applicazione “tecnico-fiscale” del Patent Box, è comunque fondamentale rivolgersi a un tributarista o commercialista il più possibile esperto del settore, così da applicare correttamente lo strumento di legge e valutare se, comunque, il regime opzionato sia di effettivo beneficio per la propria realtà d’impresa (es. mediante stima del valore dei beni, possibili combinazioni delle attività d’impresa, opportunità del Ruling, fattibilità di un efficiente tracking, ecc.).

 

COS’È

    1. Si tratta di un regime di tassazione agevolata sui redditi d’impresa (IRES e IRAP) da sfruttamento dei beni intangibili che va espressamente opzionato presso l’Agenzia delle Entrate, rispettando le procedure previste. È dunque un incentivo di detassazione per chi investe in ricerca e sviluppo di tali beni e fa crescere gli investimenti innovativi (volendo anche evitare il trasferimento dei beni IP a società estere dalla tassazione agevolata).
    2. Si può sommare ad altri incentivi fiscali (ad es. start-up).

 

DA QUANDO 

    1. Decorrenza per i periodi d’imposta successivi al 31 dicembre 2014. Di fatto, dal 2015.

 

SOGGETTI

1.  Possono usufruirne imprese commerciali/industriali (anche individuali):

– residenti
– non residenti con stabile organizzazione nel territorio dello Stato (purchè residenti in Paesi convenzionati per la doppia imposizione fiscale; non Paesi black-list)
– oggetto di operazioni straordinarie (fusione, scissione, conferimento d’azienda), con subentro del dante causa al regime d’opzione

Anche se al momento dell’opzione l’impresa non sa ancora valutare se ricorrono tutti i presupposti necessari.

Non possono fruirne: società semplici, enti non commerciali, associazioni (anche professionali), imprese soggette a procedure concorsuali.

2. L’impresa deve – in aggiunta – svolgere attività di ricerca e sviluppo (R&S) volta alla crescita, mantenimento e accrescimento di valore degli stessi beni immateriali (vi rientrano: le attività di presentazione e promozione; di anticontraffazione e di consulenza per la tutela in materia, come quella ottenibile da professionisti legali, commercialisti, consulenti IP, ecc.).

 

OGGETTO

  1. I beni intangibili non possono essere di qualsivoglia tipologia, devono rientrare rigorosamente tra i seguenti:
·         Software protetto dal diritto d’autore (v. art. 2 n. 8 l. 633/1941)
·         Brevetti industriali concessi/in corso di concessione (v. artt. 45 ss. D.Lgs. 30/2005)
·         Marchi registrati/in corso di registrazione (v. artt. 7 ss. D.Lgs. 30/2005), in particolare di prodotto
·         Disegni e modelli registrati/in corso di registrazione (v. artt. 31 ss. D.Lgs. 30/2005, art. 2 n. 10 l. 633/1941)
·         Know-how (informazioni aziendali segrete, anche commerciali o scientifiche, v. artt. 98-99 D.Lgs. 30/2005), in particolare oggetto di accordi di riservatezza o policy aziendale

Tali beni possono essere utilizzati direttamente dall’impresa o concessi in licenza d’uso a terzi.

Oltretutto marchi e brevetti rientrano nella disciplina anche se allo stato di mera domanda presso gli uffici di registrazione.

2. Circa invece al reddito derivante (es. royalties o quanto determinato in sede di Ruling), si dovrà scomputare dal reddito d’impresa complessivo quello concernente lo sfruttamento dei soli beni immateriali ammessi (più facile in caso di ramo d’azienda ad hoc). Qualora si accerti una perdita in merito allo sfruttamento dei beni immateriali, si rinvieranno gli effetti dell’opzione agli esercizi successivi (se positivi), mediante computo delle perdite a riduzione del reddito agevolabile.

In caso di licenze di sfruttamento a terzi, il reddito è dato dai canoni di licenza, al netto dei costi fiscalmente rilevanti diretti e indiretti di competenza del periodo d’imposta.

3. Può essere esercitata solo per alcuni dei beni immateriali detenuti, a scelta del contribuente, non per forza tutti quelli presenti in portafoglio IP.

 

EFFETTI – DURATA

    1. La durata dell’opzione, una volta esercita, è di 5 esercizi d’imposta.
    2. Non è revocabile. È rinnovabile.
    3. Figura inoltre una detassazione delle plusvalenze da vendita dei beni pari al 90%, purchè quanto incassato venga reinvestito in R&S di beni immateriali entro il secondo periodo di imposta successivo.
    4. Si ottiene l’esclusione dalla tassazione di una quota del reddito derivante dall’utilizzo dei beni ammessi. Tale quota ammonta al 50% (per il 2015 però corrisponde al 30%, per il 2016 al 40%).

CAUTELE  

    1. Sarà obbligatorio presentare istanza di Ruling internazionale (ovvero domanda preventiva per determinare il reddito agevolabile, ex art. 8 D. L. 269/2003) all’Agenzia delle Entrate in caso di utilizzo diretto dei beni immateriali, ad es. mediante riferimenti al transfer pricing o a sfruttamenti affini pregressi; è invece facoltativa in caso di uso indiretto degli stessi (es. licenze a terzi) o di plusvalenze da cessione dei beni. Per le PMI (cioè con fatturato inferiore ai 50 milioni di euro) sarà prevista una modalità semplificata di Ruling.
    2. Va adottato preferibilmente un controllo di gestione (cd. sistema di tracking) che palesi – per ogni bene – il riferimento chiaro, diretto e univoco tra costi di R&S (accuratamente contrattualizzati), i beni prodotti e i relativi redditi di sfruttamento. Secondo alcuni, è possibile anche una valutazione unitaria dei beni che siano strettamente interconnessi tra loro, così da semplificare le procedure (ad es. valutando i beni sulla base del settore di attività o merceologico).

 

PROVVEDIMENTI E SITI DA CONSULTARE

Per agire correttamente, si visioni con attenzione quanto segue:

1.  Legge n. 190/2014 (Art. 1, commi 37-45)
2.  Pagina web dedicata dell’Agenzia delle Entrate
3.  Software di compilazione della comunicazione
4.  Circolare Agenzia Entrate n. 36/E, 1/12/2015
5.  Provvedimento Agenzia delle Entrate 1/12/2015
6.  Modello di opzione per il Patent Box
7. Decreto attuativo del Ministero dello Sviluppo Economico

 

Il presente articolo è disponibile anche in una più pratica versione .pdf, liberamente scaricabile qui: PATENT BOX.

2 dicembre 2015

 

 

Scaricabili le slide (con aggiornamenti) dell’incontro “Impresa e cultura”

Si è deciso di rendere liberamente disponibili (con opportuni aggiornamenti del 2015) le slide dell’incontro “Associazioni e imprese: a ciascuno il suo?”, tenutosi a Faenza nell’ottobre 2014 nell’ambito del Cultura Impresa Festival in collaborazione con Rena.

Le slide vogliono essere un breve promemoria/vademecum delle possibilità giuridiche disponibili oggi per fare impresa anche nel settore culturale, rimandando ad altra sede gli ovvi approfondimenti che ogni tema toccato meriterebbe.

Le tematiche affrontate nelle slide sono:

SI PUO’ FARE CULTURA CON I MODELLI GIURIDICI A DISPOSIZIONE? IL QUADRO NORMATIVO

1 – Società per fare cultura? (ditta individuale, società di persone, Srl, Srls, start-up innovative, PMI innovative, impresa sociale)

2 – Cooperative per fare cultura?

3 – Associazioni per fare cultura? (associazioni non riconosciute, APS, profili fiscali)

4 – Odv/Onlus per fare cultura? (organizzazioni di volontariato, organizzazione non lucrative di utilità sociale)

5 – Altri aspetti giuridici da considerare? (avvio attività, contratti, diritti di privativa intellettuale, privacy, antiriciclaggio, 231/2001, fisco, diritto del lavoro).

Le slide sono liberamente scaricabili qui: slide cultura impresa

TAX CREDIT PER LA MUSICA: COME RICHIEDERLO

Entro il 30 giugno 2015 sarà possibile per i produttori inoltrare apposita domanda al Ministero dei Beni Culturali e del Turismo, come previsto dal Decreto Cultura (art. 7, comma 6, del D.L. 91/2013)  per richiedere sgravi fiscali quanto alle produzioni discografiche e audiovisive di giovani artisti alla prima o seconda opera. Si tratta di un’importante possibilità, per agevolare gli interessati mettiamo a disposizione una breve guida alla compilazione, in forma di semplici domande & risposte, di seguito elencate:

DI CHE SI TRATTA?

QUALI SONO I REQUISITI?

DI QUALI CIFRE PARLIAMO?

COME PROCEDERE?

SI POSSONO INOLTRARE PIÙ DOMANDE?

COME COMPILARE LA DOMANDA?

DOVE INVIARE LA DOMANDA?

Qui è possibile scaricare la nostra guida: FAQ TAX CREDIT

Qui è possibile scaricare il modulo ministeriale di domanda: TCM_Istanza.10

DAL 2 GIUGNO 2015 TUTTI I SITI WEB IN REGOLA CON LA PRIVACY DEI COOKIES: COME FARE IN 10 FAQ

Il 2 giugno 2015 è scaduto il termine fissato dal Garante della Privacy per mettere in regola tutti i siti web quanto ai cookies, aventi evidenti risvolti di trattamento dei dati personali. Per aiutare chi ancora lo debba fare, pubblichiamo una breve guida che illustra come procedere in 10 semplici domande & risposte. Abbiamo provveduto a integrare la nostra guida con le precisazioni del Garante datate 5 giugno 2015.

Le varie FAQ sono le seguenti:

  1. DA DOVE PROVENGONO QUESTI NUOVI OBBLIGHI SUI COOKIES?
  2. COSA SONO I COOKIES?
  3. QUALI SONO GLI ADEMPIMENTI DA RISPETTARE (E CHI LI DEVE RISPETTARE)?
  4. COME DEVE ESSERE L’INFORMATIVA?
  5. COME DEVE ESSERE ACQUISITO IL CONSENSO (NEL CASO DI COOKIES DI PROFILAZIONE)?
  6. IN CASO DI SUCCESSIVI ACCESSI AL SITO DEL MEDESIMO UTENTE, VA NUOVAMENTE RIPROPOSTA L’INFORMATIVA BREVE E ACQUISITO NUOVAMENTE IL CONSENSO?
  7. DEVO NOTIFICARE PREVENTIVAMENTE QUALCOSA AL GARANTE DELLA PRIVACY?
  8. QUINDI SE IL MIO SITO USA SOLO COOKIES TECNICI O ANALYTICS COSA DEVO FARE ESATTAMENTE?
  9. SE UTILIZZO COOKIES DI TERZE PARTI, CHE COSA DEVO FARE?
  10. CHE SUCCEDE SE IL SITO NON È IN REGOLA?

Qui è possibile scaricare la guida completa e aggiornata in formato .pdf: FAQ COOKIES 4.

10 BUONI MOTIVI PER (RI)PENSARE POSITIVAMENTE ALLA PRIVACY IN AZIENDA: NON SOLO DOVERI MA ANCHE OPPORTUNITÀ E VANTAGGI

Parlando schiettamente, uno dei motivi per cui molte aziende e professionisti sottovalutano gli adempimenti in materia di dati personali (ai sensi del Codice in materia, il D.Lgs. 196/2003) è senz’altro quello di avere una visione riduttiva: si tende, infatti, a considerare la privacy solo come onere, come trafila burocratica, come spesa ingiustificata e via declinando il fastidio dell’ennesima sfilza di regole opprimenti… Atteggiamento auto-riduttivo, a ben considerare, perché la materia offre piuttosto risvolti di valore, tutt’altro che trascurabili per un’azienda. Più i vantaggi che gli svantaggi, se vogliamo metterla su un piano di costi-benefici.

Premesso che – sempre e comunque – il rispetto della normativa privacy è anzitutto rispetto degli altri e dei diritti a loro spettanti (e quindi del valore sociale, prima ancora che giuridico, rivestito dalla tutela dei diritti altrui), gioverebbe (ri)pensare la privacy sotto un’ottica di benefici e vantaggi di impresa. Di seguito vediamo alcuni buoni motivi per cui la giusta attenzione a queste tematiche può rivelarsi sorprendente e, perché no, proficua per un’impresa.

1) Privacy come libertà

Un pensiero piuttosto diffuso oggi è che attorno ai dati personali, a voler ottemperare a tutta la normativa, ruotino solo divieti e ostacoli. Insomma, che non si possa fare quasi nulla, per cui tanto vale non fare nulla in partenza… Mito da sfatare: è vero, piuttosto, che rispettando la normativa e le indicazioni del Garante un’azienda può svolgere i più svariati trattamenti. Magari non tutto quanto si desidera, però i margini di movimento sono molto più ampi di quanto comunemente si ipotizzi (si pensi ad es. a una conoscenza superficiale del Codice della Privacy, ove si impone la notifica al Garante del trattamento di dati sensibili in azienda, come quelli dei lavoratori: solo dalla lettura dell’Autorizzazione generale del Garante in ambito lavorativo sappiamo essere non dovuta tale notifica).

2) Privacy come valore e bene commerciale

Ovvio: se i dati personali sono utilizzati dall’azienda anche come bene con un valore commerciale di scambio (oggetto di cessione, licenza oppure per supportare altre attività economiche), allora si può addirittura costruire un’attività commerciale di trattamento dei dati personali. È sotto gli occhi di tutti come i dati personali siano davvero il “petrolio” della new economy e come vengano sfruttati dalle più avanzate società di IT per fare profitti e sviluppare un mercato.

Attenzione però: l’uso di dati a livello commerciale, ad es. effettuando profilazioni degli interessati (quindi aumentando il valore di mercato dei dati trattati, non più grezzi bensì “raffinati” e processati) oppure cedendo le proprie liste clienti a terzi, deve essere attentamente pianificato fin dall’inizio per poter essere lecitamente realizzato. Vanno rispettati diversi adempimenti preventivi (ad es. corretta informativa e acquisizione del consenso, notificazione al Garante del trattamento, ecc.), potrebbe essere problematico o impossibile regolarizzarli in seguito.

3) Privacy come reputazione e professionalità

Oggi conta come mai prima (anche in ragione della maggior “viralità” dell’informazione, della rapida e pervasiva diffusione su social network e blog di news e commenti) avere una reputazione aziendale di tutto rispetto. Una macchia circa l’aver ricevuto sanzioni o comunque compiuto irregolarità in ambito di trattamento dei dati personali può – in varia misura a seconda dell’attività svolta dall’azienda – recare danni d’immagine e ripercussioni professionali quanto mai gravi, forse irreversibili. Non da ultimo perché il Garante potrebbe comminare come sanzione da violazioni la pubblicazione di un’ordinanza-ingiunzione su giornali (art. 165 del Codice Privacy). Meglio, dunque, evitare tale rischio pesando di più e meglio l’importanza degli adempimenti privacy, così da poter provare in ogni momento di essere assolutamente in regola.

Quanto alla professionalità, quale può essere la diversa stima con cui si valuta sul mercato un’azienda che – per quanto visibile al pubblico – sfoggia documenti e politiche aziendali in materia privacy di assoluto livello, comprovando un’attenzione non comune per temi di grande attualità, ad es. pubblicando sul suo sito web non solo informative ben redatte bensì anche documenti non soggetti a pubblicazione per legge, come il Documento Programmatico sulla Sicurezza, oppure la policy aziendale di gestione delle risorse, ecc.?

 

4) Privacy come difesa verso responsabilità civili e penali

Si pensi ad es. alla possibilità che amministratori o sindaci subiscano un’azione di responsabilità da parte di un’azionista che ravvisi una grave omissione nella corretta gestione e tutela aziendale nella mancanza di adempimenti circa i dati personali. Implementando, invece, le corrette procedure, ritagliate anche sulle dimensioni ed esigenze del caso specifico (determinati adempimenti facoltativi possono essere troppo gravosi e di fatto inutili in piccole realtà, come ad es. la redazione del Documento Programmatico sulla Sicurezza, oggi depennato dalle misure minime di sicurezza, mentre possono dirsi a dir poco opportuni, per non dire imprescindibili, in realtà maggiormente strutturate o con trattamenti complessi dei dati personali), nessuno potrà contestare una la correttezza nella gestione dell’attività.

5) Privacy come tutela dell’attività aziendale

Avere dipendenti, procedure e organizzazione interne tali da rispettare le misure (minime e idonee) di sicurezza imposte per la privacy – soprattutto dopo un adeguato percorso formativo – comporta una maggior tutela dei beni aziendali, riducendo di molto gli altrimenti elevati rischi di negligenza ed errori, dimenticanze e atti dolosi. La maggior professionalità e consapevolezza dei lavoratori non può che portare a una dinamica, nei rapporti aziendali, più attenta agli effetti di ciò che si fa in azienda e per l’azienda (pensiamo a procedure tanto semplici quanto disattese nella prassi, come la corretta custodia delle password, l’uso non improprio di Internet, ecc.). Oltretutto ciò si riverbera positivamente in altri campi: se dobbiamo tutelare un segreto aziendale (come richiesto dall’art. 98 D.Lgs.30/2005), provare che siano adottate misure adeguate a mantenere l’informazione segreta (come richiesto per avere tutela) sarà senz’altro più semplice e senza grandi sorprese per chi avrà dedicato tempo e impegno alla corretta implementazione delle misure di sicurezza.

E maggiore tranquillità potrà avere l’azienda che ha correttamente disciplinato l’uso degli strumenti aziendali, così da evitare ad es. che il dipendente in fase di licenziamento cancelli dati e informazioni vitali presenti nei dispositivi informatici d’azienda che deve restituire.

6) Privacy come risparmio di spesa

Prevenire, come si sa, è meglio che curare. Il costo di una consulenza privacy oggi, con relativo impiego di risorse e tempo, è inferiore alle possibili sanzioni amministrative irrogabili dal Garante (ad es. una banalità come un’informativa privacy inidonea può comportare sanzioni pecuniarie da 6.000 a 20.000 euro, per limitarci a uno dei casi minori) oltre che da costi, tempi e risorse più ingenti che si dovranno mettere in campo per attuare adempimenti da realizzare fin dall’inizio dell’attività. Se anche le ipotesi di sanzioni sul trattamento dei dati possono sembrare remote, ricordiamo che basta un ex-dipendente vendicativo oppure un concorrente aggressivo al corrente di una falla nel sistema privacy per avviare le procedure di accertamento presso il Garante e ricevere, così, una temuta ispezione della Guardia di Finanza.

7) Privacy come tassello della miglior compliance aziendale

All’interno dell’azienda numerose sono le normative (e non solo) a cui ottemperare: disciplina dell’igiene e della sicurezza sul lavoro, responsabilità penale d’impresa, norme ambientali, vari standard ISO, data protection, ecc. La disciplina privacy si interseca inevitabilmente con alcune di queste (in particolare, con la normativa giuslavoristica) e il giusto coordinamento tra le varie istanze permette di avere effetti positivi in tutti gli ambiti lambiti dalla tematica, oramai onnipervadente.

Oltretutto, proprio come accade con le procedure per la Certificazione Qualità (ISO e affini), mettersi in regola comporta sì uno sforzo, un apprendimento iniziale che però viene ripagato dalla successiva miglior organizzazione aziendale. Difatti l’acquisizione e attuazione di un know-how privacy permette di ridurre, in tutti gli altri ambiti tangenti, tempi e costi di gestione dell’insieme, dall’altro lato la corretta applicazione delle altre normative e regole migliorerà il trattamento dei dati personali: in sede di ispezione sul trattamento dei dati, il titolare ad es. fornirà presto e meglio documenti redatti e gestiti rispettando le prescrizioni ISO/IEC 27001.

 

8) Privacy come mezzo di controllo della produttività

L’uso attento e consapevole di dati personali in azienda può fornire strumenti di valutazione interna assolutamente di pregio circa le attività aziendali e il loro andamento. Il tutto nel rigoroso rispetto delle procedure: senza nemmeno tirare in ballo le ipotesi particolari di controllo dei lavoratori, implementare in azienda regolamenti interni di trattamento dei dati (comprensivi di scelta e uso di password, uso degli strumenti informatici, ecc.) con relativo controllo del loro rispetto garantisce di per sé la miglior difesa contro eventuali reati dei dipendenti (diffusissimi sono ad es. i reati informatici, pure reati-presupposto ai sensi del D.Lgs. 231/2001), potendo fornire – nei periodici monitoraggi e verifiche – eventi-sentinella che fanno intuire che qualcosa non va (pensiamo ad es. all’inusuale backup di massicce quantità di dati praticato da un dipendente al di fuori delle sue usuali mansioni e competenze).

9) Privacy come futuro

Non dimentichiamo che prima o poi (pare entro il 2016) verrà approvato e poi entrerà in vigore il Regolamento Europeo sulla privacy: farsi trovare in quel momento già allineati con la normativa pregressa (comunque base fondamentale di moltissimi degli adempimenti che torneranno nel Regolamento) comporterà certamente un lavoro minore di compliance rispetto al partire da zero o quasi. Inoltre sembra realistico che le fattispecie attinenti alla tutela della privacy possano essere introdotte nella lista dei reati-presupposto del D.Lgs. 231/2001 sulla responsabilità penale d’impresa (stava per capitare già nel 2013, solo all’ultimo si è fatta marcia indietro): di nuovo, meglio farsi trovare pronti e vigili sul tema.

Altro risvolto sul futuro di un’azienda: un domani l’azienda potrebbe essere oggetto di una due diligence per arrivare a una sua cessione o acquisizione. Ebbene, il peso degli adempimenti circa i dati personali è rilevante, potrebbe essere una falla nel sistema tale da far persino sfumare l’occasione di vendita. Specie se pensiamo alle tempistiche per regolarizzare un’impresa sotto il profilo qui trattato: potrebbe volerci molto tempo e con un impiego di risorse già impegnate in altre occorrenze cogenti.

10) Privacy perché ce lo chiede l’Europa

A vanvera si nominano, in vari ambiti, presunti impegni dettati all’Italia dall’Unione Europea. In materia privacy si tratta di verità: vi sono diverse direttive (menzioniamo la principale, la 95/46/CE) che impongono al nostro Paese gli adempimenti, poi “reinterpretati” nel Codice della Privacy, nostro recepimento delle direttive in una legge del 2003. Diciamo che per un’azienda che tratta con l’estero (sia import che export) essere in regola con le norme comunitarie fa certamente risaltare la maggior professionalità e competenza. E vale quanto già menzionato: arriverà presto il nuovo regolamento comunitario della Privacy, con norme valide per tutto il territorio europeo, per cui sarà ancor più importante lavorare con l’estero e all’estero rispettando le regole condivise. Insomma, l’Unione Europea considera con assoluta serietà e consapevolezza il tema dei dati personali: fare la propri parte nel rispetto di libertà fondamentali come quelle coinvolte nella privacy non potrà che spiccare nel mercato comune.

Auspichiamo in definitiva che la privacy sia sempre più un fiore all’occhiello piuttosto che oggetto di scandalo, ripensando a quanto affermava in altro ambito Gandhi: “i diritti aumentano automaticamente per chi compie debitamente i propri doveri”. Non fa eccezione il trattamento dei dati personali.

Privacy per le imprese: non basta l’informativa al trattamento dei dati personali

di Avv. Andrea Michinelli

Nella realtà delle attività d’impresa, quasi tutti sanno che si dovrebbe essere in regola con la privacy, o meglio con il trattamento dei dati personali ai sensi del D.Lgs. 196/2003 (di seguito Codice dei Dati Personali – “CDP”). E molti pensano sia sufficiente redigere e fornire l’informativa al trattamento agli interessati, come richiesto dall’art. 13 CDP, acquisendo il consenso se necessario. Tuttavia tale fondamentale adempimento non esaurisce affatto gli obblighi di legge: rischi piuttosto pesanti si presentano in caso di “falle” negli adempimenti.

Se quanto sotto può sembrare, a una prima lettura, eccessivo per le PMI e professionisti, in realtà risponde a esigenze di tutela garantite a favore di tutti nei confronti di tutti. E può “costare” parecchio, un domani, quanto a sanzioni ragionando sul piano prettamente economico, ben più elevate dei costi necessari per mettersi in regola. Basta una segnalazione al Garante da parte di un ex-dipendente vendicativo o di un concorrente per aprire una pratica, oppure un’ispezione della Guardia di Finanza, con un esito sanzionatorio certo se non si è rispettata la normativa. E se venisse comminata anche la sanzione accessoria della pubblicazione del provvedimento sanzionatorio del Garante (art. 165 CDP), a spese dei contravventori, si avrebbe anche un effetto negativo verso la propria reputazione d’impresa.

Facciamo degli esempi: un’impresa invia comunicazioni pubblicitarie via e-mail a vari professionisti, promuovendo le proprie attività, avendo fornito l’informativa ai destinatari già suoi clienti, in passato. Però l’informativa resa riguardava solo i servizi richiesti a suo tempo, i clienti non avevano dato l’assenso specifico per comunicazioni commerciali ulteriori e relative a servizi non richiesti, diversi da quelli passati. Si tratta di mancanza di consenso e informativa specifica al trattamento per fini di marketing, punita sia con sanzione penale (ex art. 167 CDP) della reclusione che con sanzione amministrativa (ingiunta dal Garante Privacy), con somme a partire da 10.000 euro.

Un’altra azienda, invece, subisce un attacco informatico: alcuni hacker riescono a entrare nel sistema dell’azienda, scarsamente difeso, e diffondono nel web i dati personali lì custoditi e afferenti a numerosi interessati (cioè i titolari dei dati personali). Dalle indagini successive, a seguito del ricorso al Garante della Privacy da parte degli interessati, si scopre che il titolare del trattamento (l’azienda) non aveva adottato le misure minime di sicurezza per la protezione dei dati, prescritte all’art. 33 CDP. La sanzione amministrativa all’azienda? Ben 10.000 euro come minimo, fino ad un massimo di 120.000 euro, comminati dal Garante (senza nemmeno passare dall’autorità giudiziaria, si badi) ex art. 162 c. 2-bis CDP. La sanzione penale che va a sommarsi? Ex art. 169 CDP c’è l’arresto fino a 2 anni, in sede di giudizio penale.

Oppure ancora: un’azienda di servizi tratta dati sanitari di pazienti che crede di rendere anonimi con procedure informatiche, invece tali dati risultano facilmente ricostruibili con banali accorgimenti, così da permettere la facile identificazione dell’interessato. Uno dei pazienti-interessati si accorge della realtà e segnala/reclama al Garante Privacy la violazione. Il quale accerta che si è configurato il trattamento di dati personali sensibili senza provvedere alla dovuta notificazione al Garante del trattamento (imposta ex art. 37 CDP), oltre che per omessa informativa, ecc. Bene, limitandoci alla sanzione amministrativa per l’omessa notificazione, l’azienda dovrà pagare non meno di 20.000 euro, fino a un massimale di 120.000 euro. Oltretutto, in caso di molteplici violazioni del CDP si potrà applicare l’art. 164bis che comporta, nei casi più gravi, il raddoppio delle sanzioni, oppure un aumento fino al quadruplo se sono inefficaci rispetto alle condizioni economiche del contravventore; o ancora la sanzione da 50.000 euro a 300.000 euro in caso di violazioni plurime verso banche dati di particolare rilevanza o dimensioni.

Esempi di adempimenti spesso disattesi e che comportano conseguenze gravi, sia sotto il profilo di ciò che accade ai dati personali che delle responsabilità. Come visto, essere in regola con l’informativa al trattamento non copre gli altri obblighi di legge. È così difficile mettersi in regola? Basterebbe leggere con attenzione il CDP, anzitutto, per capire che:

  1. in ogni caso, il titolare al trattamento dei dati personali deve sempre adottare delle misure minime di sicurezza al trattamento dei dati, elencate in Allegato B) (cd. “Disciplinare tecnico”) al CDP;
  2. bisogna effettuare tutti gli adempimenti imposti chiaramente per legge, senza tralasciare la scansione dei vari passaggi o rimandare adempimenti dovuti per legge nel momento in cui si effettuano o prima: ad es. effettuare le notificazioni al Garante del trattamento di dati sensibili prima del loro trattamento; richiedere una verifica preliminare al Garante circa il trattamento di dati con rischi specifici (art. 17 CDP); in caso di videosorveglianza, installare l’impianto solo quando si siano acquisite le autorizzazioni necessarie e mai prima, ecc.;
  3. bisogna aggiornarsi sui provvedimenti del Garante della Privacy, autorità che può imporre (tramite linee guida, delibere, ecc.) una serie di adempimenti ulteriori rispetto a quanto previsto dal testo del CDP (in forza dei compiti spettanti al Garante ex art. 154 c. 1 lett. c CDP); come minimo dunque si dovrebbe consultare periodicamente il sito Internet del Garante della Privacy, leggere la relativa newsletter  e avvalersi di consulenti specializzati; in particolare, ci si può avvalere spesso delle semplificazioni indicate nei provvedimenti del Garante, tra cui le Autorizzazioni Generali del Garante per i trattamenti di dati sensibili e giudiziari, annualmente aggiornate, che però vanno correttamente interpretate e applicate; una corretta applicazione risparmia i tempi e i costi di notificazioni e interpelli preventivi al Garante, magari inutili;
  4. si deve implementare una efficace procedura di accesso/opposizione da parte degli interessati ai dati personali, come garantito ex artt. 7-10 CDP; il che significa predisporre perlomeno un indirizzo e-mail ove destinare specificamente le richieste in merito, che andrà monitorato e gestito da chi sappia se e come replicare alle richieste (ad es. il responsabile interno del trattamento), fornendo celermente i dati richiesti nella misura necessaria e non oltre;
  5. si devono adottare i codici di deontologia e buona condotta, verificati dal Garante e pubblicati in Gazzetta Ufficiale, se applicabili al proprio settore; mano a mano sono ricompresi nell’Allegato A) CDP, aggiornato dal Garante;
  6. si devono effettuare verifiche periodiche e, perché no, audit esterni: il miglior sistema predisposto che venga abbandonato a sé stesso o non riceva un controllo periodico esterno ed imparziale, facilmente diventerà obsoleto e inutile.

Di quanto detto, concentriamoci  brevemente sulle misure di sicurezza, molto spesso oggetto di equivoci. Oltre che di trascuratezza nella loro implementazione, se non addirittura mai adottate…

Come già detto, le misure di sicurezza minime dell’art. 33 CDP ed elencate nell’Allegato B) CDP non sono misure facoltative: sono obbligatorie per tutti i trattamenti di dati personali, indipendentemente dalla complessità e durata dei trattamenti. Mirano a prevenire i rischi connessi agli obblighi di sicurezza (distruzione, perdita, accesso non autorizzato ai dati) e oggi paiono facilmente implementabili da chiunque abbia un minimo di competenze informatiche (es. effettuazione di back-up informatici, scansioni con software anti-virus, aggiornamento e verifica password informatiche, cifratura di contenuti, ecc.).

Non vanno confuse con le misure di sicurezza idonee, prescritte invece dall’art. 31 CDP, una categoria ben più ampia: oltre alle misure minime, comprendono anche tutte le altre che siano – allo stato del progresso tecnico – adeguate a evitare i rischi suddetti, secondo il caso concreto. Quindi si potrebbero avere delle situazioni di trattamento dei dati che rendono ad es. necessario utilizzare il cambiamento di password o l’aggiornamento degli antivirus a cadenza più frequente rispetto ai 6 mesi prescritti dall’Allegato B) CDP (misura minima di sicurezza, peraltro piuttosto discutibile, visto lo stato attuale delle debolezze informatiche, in cui nuovi virus maligni vengono sfornati quasi quotidianamente e si scoprono continuamente falle in protocolli di sicurezza e server di largo utilizzo).

L’adozione delle misure di sicurezza si lega poi alla nomina degli incaricati al trattamento (per non parlare del responsabile del trattamento, figura però facoltativa e che qui tralasciamo) e degli amministratori di sistema (qualità particolare di incaricato, assente dal CDP ma integrata normativamente tramite Delibera 27/11/2008 del Garante). Alla luce di un adeguato mansionario che tracci un intellegibile schema dei trattamenti in essere, saranno necessari incarichi scritti dei soggetti indicati, ove inserire – di prassi, in allegato o tramite un richiamo ad altri documenti, ad es. affissi in bacheca aziendale – il comportamento da adottare nel trattamento dei dati (procedure, cautele, quali misure di sicurezza adottare e come, ecc. – v. art. 30 CDP). Tutto qui?

Non basta: quanto detto è quasi privo di valore se manca la formazione di incaricati, amministratori di sistema nonchè (eventuali) responsabili al trattamento: difatti nessuna misura di sicurezza è del tutto automatica, nessun procedura, per quanto precisa e curata, può adempiersi correttamente nell’ignoranza di quanto si sta facendo. Bisogna assicurarsi che chi tratta i dati sappia: come funziona la misura di sicurezza (es. procedura di back-up) e quindi cosa stia facendo, cosa non debba assolutamente fare, quali accorgimenti deve adottare in varie situazioni, a chi rivolgersi per dubbi e operazioni straordinarie, ecc. Proprio la formazione si rivela uno degli aspetti più disattesi a livello aziendale, quando invece si tratta di una misura di sicurezza non più minima (era infatti prevista espressamente solo in relazione al Documento Programmatico sulla Sicurezza, oggi abrogato) ma certamente idonea in tutti i trattamenti, soprattutto se comportano l’adozione di tecnologie informatiche e flussi consistenti, continuativi di dati personali. Mancare un aspetto tanto rilevante può comportare di certo negligenza e colpa grave, come minimo, con relative responsabilità per la loro mancata adozione. Il che rileva anche civilmente, quanto al risarcimento dei danni, visto che il trattamento dati personali è ricondotto per legge alla responsabilità per cose pericolose a mente dell’art. 2050 c.c.: ci si può liberare solo provando di aver adottato tutte le misure idonee a evitare il danno.

Armandosi di buona volontà e paziente organizzazione, anche gli adempimenti privacy visti sopra potranno diventare “normale routine” d’impresa, al pari di quanto avviene oggi in altri Paesi d’Europa.

Nuovo Codice del Consumo e siti web: tutti in regola?

di Avv. Andrea Michinelli

Dal 14 giugno 2014 (data di entrata in vigore delle nuove modifiche agli artt. 45-67 del Codice Del Consumo, CDC, D.Lgs. 206/2005) basta poco, al titolare di un sito web che fornisce contenuti digitali o servizi online ai consumatori (intendendo come tali tutti gli utenti non professionisti) per rischiare una sanzione economicamente corposa: abbiamo dimenticato di inserire tutte le informazioni considerate obbligatorie secondo il CDC? Abbiamo omesso i riferimenti al diritto di recesso oppure non ne abbiamo rispettato precisamente la disciplina del CDC? Potrebbero essere ritenute violazioni del CDC (quali pratiche commerciali scorrette, pare di intendere ai sensi del nuovo art. 66 CDC) e quindi sanzionate – tra l’altro – con somme non inferiori a € 5.000, fino a un massimo di € 5.000.000. Non forniamo le informazioni richieste in sede di verifica da parte dell’Autorità preposta? Si rischia la sanzione da € 2.000 a € 20.000. Mentre in caso di informazioni false l’ammontare va da € 4.000 a € 40.000 (essendo un falso in scrittura privata potranno anche essere trasmessi gli atti alla Procura per il reato di falso ex art. 485 c.p., crediamo). Più grave ancora l’inottemperanza agli impegni assunti o agli ordini di rimozione o inibitoria disposti dall’Autorità: da € 10.000 fino a € 5.000.000 da pagare, arrivando – in caso di reiterata inottemperanza a quanto richiesto dall’AGCM – fino alla sospensione dell’attività d’impresa.

Quanto sopra può essere erogato come sanzione da parte dell’AGCM (Autorità Garante della Concorrenza e del Mercato, nota anche come Antitrust, v. http://www.agcm.it – si vedano anche le pagine informative: http://www.agcm.it/component/content/article/6858.html) senza nemmeno passare dall’autorità giudiziaria, tramite l’espletamento delle procedure indicate nel CDC (in particolare all’art. 27). Pertanto, un notevole vantaggio per un consumatore che voglia farsi rispettare e non possa o voglia transitare attraverso le vie giudiziali (sempre più lunghe e costose, nonostante il processo telematico) ma che voglia farsi giustizia semplicemente con una segnalazione all’AGCM (http://www.agcm.it/consumatore/5616-come-segnalare.html).

E non c’è nemmeno bisogno dell’istanza del consumatore: difatti l’AGCM può, sulla carta, procedere persino d’ufficio, a seguito di propri monitoraggi e verifiche. Non sappiamo quanto saranno corpose tali iniziative autonome dell’Autorità, tuttavia in un immediato futuro ciò potrebbe avvenire su base regolare (analogamente a quanto svolge da tempo il Garante della Privacy con le ispezioni programmate semestrali). In materia possono sempre intervenire le associazioni di consumatori, in rappresentanza dei propri iscritti.

Può far riflettere che l’AGCM possa avvalersi, in sede di indagine, anche della Guardia di Finanza: i controlli ai sensi del CDC potrebbero essere disposti in sede di ispezione fiscale. Ricordiamo en passant altre due importanti competenze, qui pertinenti e applicabili all’e-commerce: la prima, che l’AGCM risponde anche alle richieste di verifica di vessatorietà delle clausole generali di contratto proposte ai consumatori (http://www.agcm.it/consumatore/clausole-vessatorie.html); la seconda, che sempre la Guardia di Finanza può effettuare accertamenti persino sul rispetto della normativa privacy (D.Lgs. 196/2003 – http://www.gdf.gov.it/GdF/it/Chi_siamo/Organizzazione/Compiti_istituzionali/info-1800945640.html).

Le novità legislative, nella loro tortuosità e complessità, criticate da numerosi studiosi del diritto, vogliono rendere più stringente l’applicazione di una normativa che tuteli più efficacemente il consumatore, fino ad oggi non molto rispettato nel nostro Paese, specie nei casi di micro-violazioni dal valore di importo modesto che non trovano modo di essere difese con onerose azioni giudiziali. La linea adottata (in sede comunitaria anzitutto, visto che le modifiche rispondono al recepimento della direttiva 2011/83/UE – http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2011:304:0064:0088:it:PDF) vuole dunque porre un freno a tali violazioni, offrendo uno strumento di enforcement più agile, economico e rapido delle consuete vie giudiziarie e designando le cd. Autorità indipendenti quali vigili tutori e sanzionatori diretti. Analogamente a quanto sta accadendo in materia di diritti d’autore e connessi, vedi i compiti dell’AGCOM circa le violazioni commesse online (http://www.agcom.it/tutela-del-diritto-d-autore).

Orbene, che fare per mettersi in regola? Non è facile riassumere in poche righe una disciplina fortemente innovativa e assai complessa, tutt’altro che di facile lettura e comprensione (quando invece la tutela del consumatore dovrebbe fregiarsi di chiarezza e semplicità…). Ci limitiamo qui a segnalare le maggiori novità, tuttavia è chiaro che sarebbe necessario far rivedere il proprio sito e le condizioni di contratto a un consulente specializzato, un vero e proprio screening che attesti lo stato giuridico del sito web (scoprire le patologie) e cosa fare per mettersi in regola (le cure). Così la propria attività potrà essere in regola con il CDC e si potrà procedere con tranquillità, senza temere sanzioni o procedimenti dell’AGCM.

In breve notiamo che:

– resta inalterata l’applicazione del D.Lgs. 70/2003 sul commercio elettronico (http://www.parlamento.it/parlam/leggi/deleghe/03070dl.htm), la cui disciplina si somma a quella del CDC;

– i contratti conclusi online rientrano tra i “contratti conclusi a distanza” indicati nell’applicazione del CDC;

– tutti i documenti annessi al contratto come i moduli, formulari, note d’ordine, la pubblicità e le comunicazioni online debbono contenere un “riferimento” al Capo I titolo III parte III del CDC: potrebbe bastare la semplice menzione dunque della disciplina applicabile e applicata;

– va informato comprensibilmente e chiaramente il consumatore, prima della stipula del contratto, elencandogli vari elementi come ad es. le caratteristiche principali dei beni o servizi, l’identità del professionista e i suoi contatti, i costi e le spese, garanzie applicabili, modalità e informazioni sul recesso, ecc.;

– è previsto dal nuovo CDC un modello per l’esercizio del recesso del consumatore (oggi, generalmente, esercitabile entro 14 giorni), non obbligatorio come redatto in sé ma che si può adattare alle proprie esigenze; si può proporlo sul proprio sito al consumatore, permettendogli di compilarlo e inviarlo online o invece di permetterne la stampa per la compilazione e invio postale; sul recesso va fatta un’attenta valutazione caso per caso, visto che si potrebbe avere una situazione che esclude il diritto di recesso;

– se si tratta di vendita di “contenuti digitaliconsegnati online (es. file fonografici, audiovisivi, ebook, ecc.), si deve indicare l’interoperabilità software e hardware che sia nota o che sia ragionevole attendersi, quindi di fatto vanno indicati i requisiti richiesti all’utente per poter fruire dei contenuti; inoltre ne vanno indicate le funzionalità e le misure di protezione tecnica (pensiamo ad es. ai DRM applicati alla protezione degli ebook);

– andando contro una prassi diffusa che vede le condizioni liberamente modificabili unilateralmente dal titolare del sito web, si chiarisce che ogni modifica va effettuata rigorosamente con accordo tra le parti; potrà bastare una proposta di modifica delle condizioni di contratto come attualmente devono fornire le banche ai correntisti?

– se l’utente deve pagare il servizio o il bene online, deve esservi icona o link ove effettuare il click di accettazione che riporti “Ordine con obbligo di pagare” o simile dicitura, proprio per segnalare al consumatore l’importante effetto di quel semplice click;

le informazioni contenute sul sito web – anche se non riportate direttamente nel contratto – ne fanno comunque parte; novità dirompente che fa divenire testo contrattuale tutto quanto si trovi sul sito in merito; le informazioni, dunque, dovranno formare un insieme coerente con il contratto, facendo nascere dubbi sugli effetti giuridici di eventuali contrasti tra informazioni rese sul sito e il contratto vero e proprio.

Come visto, non sono poche le novità e i loro effetti, ancora non del tutto chiari (la formulazione normativa non è davvero esemplare). Vedremo col tempo quanto di ciò sarà effettivamente recepito nella prassi e quale portata avrà l’intervento dell’AGCM. Possiamo comunque consigliare, fin d’ora, di non prendere a esempio – come sovente accade – siti web esteri che vendono online anche in Italia, pur in lingua italiana: spesso non hanno sedi in Italia e pertanto non ritengono di applicare le nostre normative (tantomeno quelle comunitarie), alleggerendo parecchio i propri siti da tutti gli obblighi visti sopra e altri ancora. Non si faccia però lo stesso errore, da italiani: le conseguenze potrebbero pesare parecchio sulla propria attività.