Fatturazione elettronica e privacy

Fatturazione elettronica e privacy

/in , /da

Concepita con l’intento di combattere l’evasione e semplificare le verifiche fiscali, la fatturazione elettronica, per come è stata implementata, non ha avuto l’approvazione del Garante.
Il nuovo obbligo di fatturazione elettronica – esteso a partire dal 1 gennaio 2019 anche ai rapporti tra fornitori e tra fornitori e consumatori – presenta, secondo il Garante, «un rischio elevato per i diritti e le libertà degli interessati, comportando un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito».
Con il sistema adottato non saranno, infatti, archiviati solo i dati obbligatori ai fini fiscali, ma la fattura vera e propria, che contiene di per sé ulteriori informazioni di dettaglio sui beni e sui servizi acquistati, sulle abitudini e sulle tipologie di consumo – legate, ad esempio, alla fornitura di servizi energetici e di telecomunicazioni o addirittura la descrizione di prestazioni sanitarie o legali. Inoltre, le persone delegate per la trasmissione, la ricezione e la conservazione delle fatture avrebbero accesso a tutti i dati personali, mettendo a rischio la privacy degli utenti.
Pur riconoscendo l’interesse pubblico, il sistema è stato giudicato non proporzionato agli scopi richiesti, per cui il Garante ha esercitato, ed è la prima volta, il proprio potere correttivo di avvertimento.
Per questo motivo è stato richiesto all’Agenzia delle Entrate di far sapere con urgenza come intenderà rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica.
I tempi tuttavia sono piuttosto stretti, poiché la pronuncia del Garante giunge a poche settimane dalla pubblicazione delle linee guida che prevedono il decollo operativo del sistema adottato dall’Agenzia delle Entrate per la trasmissione e conservazione delle fatture elettroniche tra imprese e privati.
Ci si chiede a questo punto: è possibile quindi che si ricorra a un rinvio dell’obbligo di fatturazione elettronica o a un avvio del sistema a tappe?
Secondo quanto proposto nell’emendamento al DL n. 119/2018, dal primo gennaio 2019 spetterebbe l’obbligo di fatturazione elettronica solo alle società quotate in borsa e a quelle con più di 250 dipendenti, mentre per gli altri soggetti si prevede un avvio graduale del sistema.
D’altra parte, però, rinviare la misura costerebbe troppo allo Stato.
Si rimane dunque in attesa della decisione finale. Nel frattempo, l’Agenzia delle Entrate dovrà fare tesoro dei rilievi del Garante per la protezione dei dati personali e rendere l’infrastruttura tecnologica della fatturazione elettronica completamente conforme al GDPR.

Il nuovo decreto legislativo sulla protezione dei dati personali

Il nuovo decreto legislativo sulla protezione dei dati personali

/in , , /da

Il decreto legislativo n. 101 del 10 agosto 2018, che adegua la normativa nazionale in materia di privacy a quella europea contenuta nel GDPR (General Data Protection Regulation), è stato pubblicato nella Gazzetta Ufficiale lo scorso 4 settembre ed entrerà in vigore dal prossimo 19 settembre.

Nel nuovo provvedimento, che riscrive gran parte del Codice della privacy in vigore (D. Lgs. 196/2003), vi sono due positive novità: procedure semplificate per le piccole e medie imprese e otto mesi di tolleranza nell’applicazione delle sanzioni.

L’insieme delle nuove regole sulla privacy si rivela particolarmente complesso, tuttavia per venire incontro alle difficoltà che le piccole e medie imprese possono incontrare nella loro applicazione, il nuovo testo prende in particolare considerazione le esigenze di semplificazione avanzate da più parti, affidando al Garante per la protezione dei dati personali il compito di promuovere delle modalità semplificate di adempimento degli obblighi da parte del titolare del trattamento, sempre comunque nel rispetto delle linee guida riguardanti le misure organizzative e tecniche per l’attuazione dei principi del Regolamento GDPR.

Inoltre, le società che ricevono curriculum vitae finalizzati all’instaurazione di un rapporto di lavoro possono star tranquille: le informazioni di cui all’articolo 13 del GDPR, riguardanti le informazioni da fornire all’interessato sul corretto trattamento dei suoi dati, andranno fornite solo al momento del primo contatto utile successivo all’invio del curriculum.

Per quel che riguarda le sanzioni pecuniarie, il decreto non prevede nessuna sospensione; il Garante dovrà però tener conto delle difficoltà incontrate dalle aziende e dagli imprenditori nell’adeguamento alla nuova normativa, pertanto è probabile che per almeno i primi 8 mesi di efficacia del decreto legislativo, nei casi in cui la violazione non sia grave e non sia stato recato danno all’interessato, il Garante possa semplicemente adottare un provvedimento correttivo e non erogare sanzioni.

Altra importante novità riguarda il consenso sui social. È stata infatti diminuita a 14 anni l’età per poter esprimere il consenso al trattamento dei dati personali in relazione all’offerta di servizi delle società dell’informazione. Per i minori di 14 anni è necessaria l’autorizzazione di chi esercita la responsabilità genitoriale.

Merita poi di essere ricordata la norma che si occupa dei diritti delle persone decedute. Tale norma afferma che i diritti in materia di privacy riferiti ai dati personali di soggetti deceduti possono essere esercitati da chi ha un interesse proprio e agisce a tutela dell’interessato deceduto in qualità di suo mandatario o per ragioni familiari meritevoli di protezione.

Il rating di legalità

Il rating di legalità

/in , /da

Il rating di legalità è uno strumento pensato per le imprese italiane, volto alla promozione e all’introduzione di principi di comportamento etico in ambito aziendale, tramite l’assegnazione di un giudizio sul rispetto della legalità e della trasparenza da parte delle imprese che ne abbiano fatto richiesta.

L’obiettivo è quello di conferire alle imprese virtuose un titolo di riconoscimento collegabile a vantaggi in sede di concessione di finanziamenti pubblici e agevolazioni per l’accesso al credito bancario. La banca che non concedesse crediti ad una impresa con rating, sarà tenuta a motivare la scelta con apposita nota alla Banca d’Italia. L’ottenimento del rating comporta, inoltre, una riduzione dei tempi e soprattutto dei costi per la concessione del finanziamento.

Oltre a questi vantaggi, il rating di legalità permette alle aziende di avere maggiori possibilità di business, di contare su una maggiore visibilità sul mercato e una migliore immagine sul territorio, grazie alla presenza nell’elenco delle imprese titolari di rating, pubblicato nel sito dell’AGCM.

Modalità per ottenere il Rating

L’impresa che intende ottenere il rating deve presentare all’AGCM apposita domanda sottoscritta dal legale rappresentante e redatta mediante compilazione del formulario pubblicato sul sito dell’Autorità.

Il rating di legalità ha durata di due anni ed è rinnovabile su richiesta.

Requisiti per ottenere il Rating

Sono indicati nel Regolamento, approvato dall’AGCM (Autorità Garante della Concorrenza e del Mercato) con delibera n. 26166/2012, sostituita poi dalla delibera n. 27165/2018.

Secondo quanto stabilito dal suddetto Regolamento, possono richiedere l’attribuzione del rating le imprese, sia individuali che societarie, che soddisfano i seguenti quattro requisiti:

  1. sede operativa in Italia;
  2. fatturato minimo di due milioni di euro nell’esercizio chiuso l’anno precedente a quello della domanda;
  3. iscrizione al registro imprese da almeno due anni alla data della domanda;
  4. rispetto dei requisiti sostanziali richiesti dal Regolamento attuativo.

Attribuzione del Rating

In base alle dichiarazioni presentate dall’azienda, verificate mediante controlli incrociati, viene attribuito un punteggio, convenzionalmente misurato in stellette, che va da una a un massimo di tre stellette.

Per l’attribuzione del rating di legalità è necessario il rispetto di tutti i requisiti di cui all’articolo 2, commi 2 e 3 del Regolamento. In questa ipotesi l’impresa ha diritto all’attribuzione di un punteggio base pari a una stelletta.

Rispettando gli ulteriori requisiti del Regolamento possono essere ottenuti dei segni +. Tre segni + corrispondono ad una ulteriore stelletta, per un massimo di tre stellette.

Requisiti per incrementare il punteggio

Il punteggio base sarà incrementato da un ulteriore segno + quando l’azienda risponde a determinate condizioni previste dal Regolamento, dimostrando ad esempio di aver adottato modelli organizzativi di prevenzione e di contrasto della corruzione, di aver utilizzato sistemi di tracciabilità dei pagamenti anche per somme di importi inferiori rispetto a quelli fissati dalla legge, di aver aderito ai protocolli o alle intese di legalità finalizzati a prevenire e contrastare le infiltrazioni della criminalità organizzata nell’economia legale.

 

Tra gli obiettivi del rating di legalità vie è quindi anche quello di fermare la corruzione, poiché i comportamenti illegali e le interferenze con le organizzazioni criminali ostacolano il corretto funzionamento del mercato concorrenziale. Occorre però riconoscere che, pur essendo un valido strumento nella lotta alla corruzione, l’utilizzo del rating da parte delle aziende è ancora limitato, sia per i vincoli di fatturato e del periodo di iscrizione al registro delle imprese, sia per una sua insufficiente pubblicizzazione.

Differenza tra rating di legalità e rating di impresa

Il rating di legalità, di competenza dell’AGCM, non deve essere confuso con il rating di impresa, gestito dall’ANAC.

Il rating di Legalità è un istituto di applicazione generale, e quindi non limitato alla normativa appalti, volto a premiare e promuovere i principi di comportamento etico in ambito aziendale, traducendosi in una valutazione indicativa del rispetto della legalità e dal grado di attenzione riposto nella corretta gestione del business.

Al contrario, il rating di impresa, introdotto per la prima volta con il D.Lgs 50/2016, si applica al settore degli appalti pubblici.

Nuovo Regolamento UE 2016-679 sulla privacy facciamo il punto

Nuovo Regolamento UE 2016/679 sulla privacy: facciamo il punto

/in , /da

Il nuovo Regolamento (UE) 2016/679 sulla privacy, noto come GDPR (General Data Protection Regulation), è in vigore dal 25 maggio 2018, tuttavia il percorso di adeguamento della normativa italiana appare ancora lacunoso.
Facciamo un passo indietro.
Il 14 maggio 2018 il Governo ha trasmesso alle Camere lo schema di decreto legislativo, recante disposizioni per l’adeguamento della normativa nazionale al Regolamento (UE) 2016/679.

Il 22 maggio 2018 il Garante Privacy ha espresso il parere favorevole allo schema di decreto, con alcune precisazioni.
Il Garante ha posto, infatti, alcune obiezioni in merito a profili di particolare interesse quali, ad esempio, il tempo di conservazione dei dati di traffico telefonico e telematico, suggerendo che tali osservazioni siano valutate dagli addetti ai lavori.
Inoltre nel parere vengono affrontati dubbi interpretativi in relazione ai trattamenti dei dati, specie nei casi particolari riguardanti l’ambito pubblico, il consenso del minore ed il riutilizzo di dati a fini di ricerca scientifica o a fini statistici.

Alla luce di queste considerazioni, appare evidente che il Regolamento UE 2016/679 da un lato, non è chiaro nella sua formulazione, dall’altro necessita di un decreto di attuazione, che non è stato ancora pubblicato. Tutto questo rende quasi impossibile agire “a norma”.

La situazione è ulteriormente complicata dalla recente decisione di far slittare al prossimo 21 agosto il decreto attuativo per chiarire e adeguare la legislazione italiana al regolamento europeo. A questo punto, come orientarsi? È chiaro che il regolamento 679/2016 una volta entrato in vigore – cioè dal 25 maggio – è legge e sono legge tutti gli obblighi che comporta: adozione di misure idonee per il corretto trattamento dei dati, basato su principi di liceità, correttezza e trasparenza; revisione delle informative; registro dei trattamenti con revisione e aggiornamento dei dati di titolare e incaricati.
Chiunque subisca un danno materiale o immateriale causato da una violazione ha dunque il diritto di ottenere il risarcimento ai sensi del regolamento UE e non più del testo unico sulla privacy del 2003. Il Garante può dunque infliggere sanzioni pecuniarie che possono arrivare a un massimo di 20 milioni di euro o al 4% del fatturato delle imprese, secondo un principio di proporzionalità: più grave è la violazione maggiore sarà l’importo da pagare.
Tuttavia, in considerazione del ritardo nell’emanazione del decreto legislativo di adeguamento al nuovo regolamento sulla privacy, non sono ancora chiare quali multe saranno applicate. Il GDPR stabilisce, infatti, solo gli importi massimi e non chiarisce i parametri per la loro applicazione, riservando al Garante ampi margini di discrezionalità.
Lo slittamento crea dunque un clima di incertezza senza precedenti.
Si auspica che a breve si riesca a dare certezze ai cittadini e ai professionisti.

Il nuovo Regolamento Europeo sulla Privacy

Il nuovo Regolamento Europeo sulla Privacy

/in , /da

Nel maggio 2015 la Commissione Europea pubblicava un documento nel quale illustrava una strategia atta a creare un mercato unico europeo nella fornitura di merci e servizi a base digitale. Parte di questa strategia riguardava l’adozione di una serie di regole per facilitare l’accesso ai mercati on-line e rendere più sicure le reti digitali.

In tale contesto si inseriva il Nuovo Regolamento Europeo n. 679/2016 sulla protezione dei dati personali (GDPR “General Data Protection Regulation”), emanato per rispondere all’esigenza di unificare la normativa in materia. Non era più tollerabile, infatti, la frammentazione legislativa presente in Europa su un tema così fondamentale, soprattutto a seguito della rapida espansione dei servizi digitali.

Oggi qualsiasi attività economica non può prescindere dalla raccolta di informazioni e di dati personali e pertanto l’armonizzazione a livello europeo delle regole da adottare per garantirne la protezione rappresenta una significativa semplificazione.

Il Regolamento entrerà in vigore il 25 maggio prossimo in tutti gli Stati membri dell’Unione Europea così tutte le imprese dovranno adeguarsi alla nuova normativa per poter lecitamente trattare i dati personali dei cittadini europei.

A questo punto è lecito domandarsi cosa deve fare oggi un’impresa per essere conforme al GDPR.

I primi passi da compiere possono essere semplificati come segue:

  • avere un quadro preciso di ciò che viene trattato in azienda in termini di dati personali ed adottare gli accorgimenti necessari al fine di proteggere tali dati dai rischi di perdita, distruzione, furto, modifica, divulgazione non autorizzata etc.;
  • essere a conoscenza del fatto che prima di trattare un qualsiasi dato personale è necessario fornire all’interessato (ossia a colui il quale si riferiscono i dati) una informativa che deve essere conforme ai nuovi dettami del Regolamento Europeo;
  • ottenere il consenso al trattamento dei dati personali nei casi in cui ciò sia richiesto esplicitamente dalla normativa e richiederlo in modo conforme a quanto dalla stessa sancito;
  • formare il proprio personale dipendente che compie attività di trattamento per conto del titolare (cd “incaricati del trattamento”).

Questi sono sicuramente alcuni degli adempimenti primari da adottare. Va tenuto conto poi che ogni impresa è diversa dall’altra e per ognuna va compiuta una specifica valutazione. Il titolare infatti deve poter dimostrare di aver attuato tutte le misure e procedure interne necessarie al fine di rendere effettivi i principi di protezione dei dati – come sancisce appunto il principio dell’”Accountability” (responsabilizzazione), uno dei nuovi concetti giuridici presenti nel GDPR – in caso contrario l’impresa rischia di venire condannata al pagamento di pesanti sanzioni amministrative pecuniarie, oltre ad incorrere in responsabilità sia civili che penali.