Tag: Dlgs 196/2003

Posted on

Anche i defunti hanno la loro privacy.

Anche i defunti hanno la loro privacy.

Considerazioni sul trattamenti di dati di persone decedute, alla luce del GDPR e del nuovo Codice privacy.

Considerazioni generali.

Il GDPR, in alcuni ambiti, ha lasciato un certo margine di discrezionalità agli Stati membri, concedendo loro la possibilità di legiferare in alcuni ambiti molto specifici. Il legislatore italiano, perciò, ha ritenuto opportuno, anche nel segno di una certa continuità di pensiero e di approccio, mantenere quasi inalterato l’assetto normativo posto a tutela della privacy dei defunti.

Si è così passati dal vecchio art. 9, co. 3 (che prevedeva che i diritti riferiti a dati personali concernenti persone decedute potessero essere esercitati da chi avesse un interesse proprio, o agisse a tutela dell’interessato o per ragioni familiari meritevoli di protezione), al neo-introdotto dal Dlgs 101/2018 art. 2-terdecies (“Diritti riguardanti le persone decedute”), il quale inizia prevedendo che i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.

Oggigiorno, tuttavia, è divenuto necessario spingersi oltre. Per tale ragione, il legislatore nazionale ha evoluto e migliorato il precedente disposto normativo aggiungendo che l’esercizio di tali diritti non è ammesso nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della società dell’informazione (per esempio, quelli forniti tramite social network), l’interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata.

La volontà dell’interessato di vietare l’esercizio dei diritti deve risultare in modo non equivoco e deve essere specifica, libera e informata e può riguardare tutti o solo alcuni dei diritti in oggetto.

Chiaramente, l’interessato ha in ogni momento il diritto di revocare o modificare il suo divieto e, in ogni caso, tale divieto non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi.

Il caso pratico: la richiesta di accesso civico.

Il principio è stato confermato dalla nostra autorità di controllo attraverso un parere fornito a una Azienda sanitaria, nell’ambito del riesame di un provvedimento di rigetto, riguardante un accesso civico a dati sanitari di un soggetto, paziente, defunto. “La richiesta – si legge nella newsletter del Garante –, relativa ad un caso di presunta malasanità, era stata rivolta all’azienda sanitaria da una persona che attraverso il cosiddetto “Foia” intendeva avere accesso agli atti di audit clinico e agli approfondimenti condotti dal risk manager”. Tale tipo di documentazione, per sua natura, può contenere una pluralità d’informazioni di carattere particolare e oltremodo riservate.

Perciò, relativamente alla richiesta di accesso alla documentazione sanitaria, il Garante ha dichiarato che quel tipo d’informazioni “non sono accessibili con il Foia”. Il Dlgs 196/2003 novellato, infatti, vieta esplicitamente la diffusione di dati relativi alla salute, pertanto non è permesso darne “conoscenza a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”.

Il fatto, quindi, è incluso anche in una delle ipotesi per cui si esclude il diritto di accesso civico previste dalla normativa sulla trasparenza. Per tale ragione, il Garante ha giustamente riconosciuto la ragione del titolare del trattamento (l’Azienda sanitaria), il quale, pur con una motivazione sintetica, aveva correttamente respinto l’istanza di accesso.

Riflessioni sulle similitudini.

Il caso realmente accaduto ci offre alcuni spunti di riflessione per quanto potrebbe accadere negli Studi professionali di chi offre consulenza e servizi in materia amministrativa, fiscale, tributaria, di consulenza sul lavoro o similari.

È possibile (sta in capo al titolare determinarne la probabilità di accadimento) che qualcuno richieda di accedere a dati riferiti a clienti deceduti.

Il primo passo è senza dubbio quello di identificare il richiedente e circoscrivere le sue finalità: chi è? Cosa vuole? Perché sta chiedendo di accedere a quei dati? È chiaro che se costui ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione gli si deve concedere, altrimenti, no, fermo restando che ciò può essere vietato anche in presenza di specifici casi previsti dalla legge.

Un esempio concreto.

Una persona (A), parente di un defunto amministratore d’impresa (B), si presenta presso lo Studio e esercita il diritto di accesso ai dati personali (art. 15 del GDPR) , in particolare al fascicolo del cliente.

B, quale amministratore, era stato censito ai sensi della normativa antiriciclaggio e, nell’ambito delle attività quotidiane dello Studio, era stato segnalato alle autorità competenti, che avevano istruito un procedimento ispettivo nei suoi confronti e nei confronti dell’impresa che amministrava, poiché sospettato di riciclaggio e finanziamento del terrorismo.

In questo caso, il titolare dello Studio, dovrebbe rifiutare l’accesso ai dati e tale diniego sarebbe supportato dall’art. 23 del GDPR e dall’art. 39 del Dlgs 231/2007, il quale prevede, con il suo primo comma, che, sia vietato ai soggetti tenuti alla segnalazione di un’operazione sospetta e a chiunque ne sia comunque a conoscenza, di dare comunicazione al cliente interessato o a terzi dell’avvenuta segnalazione, dell’invio di ulteriori informazioni richieste dalla UIF o dell’esistenza ovvero della probabilità di indagini o approfondimenti in materia di riciclaggio o di finanziamento del terrorismo.

Fonte: Fiscal Focus
Posted on

Consenso e antiriciclaggio

Consenso e antiriciclaggio

I principii di liceità del trattamento in ambito antiriciclaggio alla luce del GDPR

Tra i punti più critici di un sistema di gestione della privacy negli studi dei professionisti soggetti agli obblighi antiriciclaggio vi è certamente l’assetto documentale composto dal mandato professionale, dall’informativa e dal modulo di raccolta del consenso.

Questi tre documenti devono essere coerenti tra loro e, nell’ambito delle attività canoniche svolte per adempiere agli obblighi antiriciclaggio, se il primo e il secondo devono essere presenti, il terzo può essere superfluo.

Questo principio era già espresso nel fu art. 24 del codice privacy, che permetteva il trattamento dei dati senza consenso quando fosse necessario per adempiere a un obbligo di legge o fosse necessario per l’adempimento di un contratto di cui l’interessato fosse una delle parti.

Oggi, il GDPR consolida questo assunto ribadendo questi due aspetti e inserendone un terzo: con il Regolamento, il trattamento (legato all’antiriciclaggio) è lecito nella misura in cui sia necessario per l’esecuzione di un compito d’interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

Il codice privacy, inoltre, interviene con il suo art. 2-octies, introdotto con l’ultima modifica apportata dal Dlgs 101/2018, andando a specificare direttamente quali siano le basi giuridiche applicabili per il trattamento lecito di dati personali relativi a condanne penali o reati e includendo esplicitamente l’adempimento degli obblighi previsti dalle normative vigenti in materia di prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo (tra l’altro, il successivo art. 2-undecies prevede che i diritti degli interessati siano sottoposti a limitazione a norma dell’art. 23 del GDPR, proprio per tutto ciò che è afferente all’antiriciclaggio).

Nell’ambito di un rapporto continuativo e professionale, svolto da un dottore commercialista o da un esperto contabile o da un professionista equiparabile, quindi, si osservano tutti e tre i criteri sopra citati:

  1. Il trattamento è contemplato nel mandato professionale o nel contratto di servizio e la prestazione resa è per definizione un trattamento di dati personali, oppure il trattamento ne è una parte estremamente rilevante (si pensi all’elaborazione della dichiarazione dei redditi o alla tenuta della contabilità di una ditta individuale).
  2. Il trattamento è richiesto ai soggetti obbligati dalla normativa antiriciclaggio, che non possono esimersi, con particolare riferimento al censimento e all’adeguata verifica della clientela attraverso l’approccio basato sul rischio che, talvolta, può comportare anche la profilazione o la segnalazione agli enti di controllo, su tutti la UIF o gli ordini professionali che possono fare da intermediari.
  3. Le attività richieste ai soggetti obbligati dal decreto antiriciclaggio sono, nello spirito della norma, compiti d’interesse pubblico nella misura in cui è richiesto di osservare le caratteristiche e i comportamenti della clientela e segnalare le operazioni sospettate di agevolare lo sfruttamento del sistema economico e finanziario per agevolare il riciclaggio e il terrorismo.

Ne consegue che, a ben vedere, i professionisti si trovano nella condizione piuttosto singolare di non dover acquisire il consenso al trattamento e, talvolta, poter ignorare l’esercizio dei diritti degli interessati se compiuto in contrasto con le norme antiriciclaggio e questo perché la base giuridica su cui si fonda il loro trattamento è costituita principalmente dal Dlgs 231/2007, dalle varie direttive antiriciclaggio, dai vari decreti attuativi e dagli altri atti normativi in materia, così come dalle procedure determinate dalla UIF o degli ordini professionali di riferimento, ugualmente applicabili e, in seconda battuta, dal già citato art. 2-octies, co. 3, lett. m) del Dlgs 196/2003.

Chiaramente, il presupposto irrinunciabile è che il mandato professionale sia scritto in modo adeguato, cosa che può portare vantaggi anche nel momento in cui è necessario assumere il ruolo di responsabile del trattamento dei dati, a norma dell’art. 28 del GDPR.

Altrettanto chiaro è che quanto espresso sinora non può e non deve essere applicato ai trattamenti effettuati al di fuori del perimetro tracciato dalle norme in materia di antiriciclaggio, ma afferisce a servizi o prestazioni offerte volontariamente e a discrezione del professionista.

Fonte: Fiscal Focus

Posted on

Protezione dei dati Vs Fisco. Quando si fanno i conti senza l’oste

Protezione dei dati Vs Fisco. Quando si fanno i conti senza l’oste

Il provvedimento contro l’Agenzia delle entrate sull’obbligo di fatturazione elettronica, del 15/11/2018, esplicita il ruolo del Garante Privacy e ci mostra che “la legge è uguale per tutti”

In questi giorni uno degli argomenti più discussi riguarda il provvedimento del Garante Privacy emesso contro l’Agenzia delle Entrate, relativo alla fatturazione elettronica, esercitando il suo potere di controllo preventivo e ponendosi come scudo a difesa dei cittadini. E facendo sì che sia tutto il sistema a guadagnarci.

Il provvedimento del 15 novembre arriva subito dopo l’ultimo atto del Direttore dell’Agenzia delle Entrate, del 5 novembre, che fa coppia con il precedente del 30 aprile. In entrambi i casi, l’agenzia ha adottato tali provvedimenti senza consultare il Garante, come previsto dalle norme.
Ulteriori criticità, poi, sono emerse in considerazione di altri elementi intrinsecamente legati alla fatturazione elettronica. Ecco i perché.

Obbligo di valutazione d’impatto

La fatturazione elettronica implica un trattamento sistematico di dati personali su larga scala, anche particolari, potenzialmente relativi ad ogni aspetto della vita quotidiana, e presenta un rischio elevato per i diritti e le libertà degli interessati. È chiaro che sussiste l’obbligo di valutazione d’impatto e, potenzialmente, di consultazione preventiva. Nulla di ciò è stato fatto.

Principio di proporzionalità ed eccedenza nel trattamento

L’Agenzia delle Entrate, oltre a rendere disponibile lo SDI per recapitare le fatture in qualità di “postino”, archivia sia i dati necessari ad assolvere gli obblighi fiscali (finalità legittima) che la fattura vera e propria in formato XML, che può contenere informazioni non necessarie a fini fiscali; detta presenza, pur contemplata nel provvedimento di aprile, non è tutelata da nessuna specifica misura volta ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza.

Altre criticità derivano dalla possibilità di accesso degli interessati a tutte le fatture elettroniche sul portale dell’Agenzia, nonostante il diritto di ottenerne una copia direttamente da chi l’ha emessa. In pratica si ha un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web.

Per tali motivi il Garante ritiene che siano violati i principi di protezione per impostazione predefinita e sin dalla progettazione del trattamento.

Il ruolo degli intermediari

Il Garante si è anche preoccupato della posizione, assai critica, degli intermediari, che ben poco possono fare, visto che l’intero trattamento deve essere eseguito nei modi e nei tempi decisi dall’Agenzia. Il pericolo maggiore è che, in caso di operatore economico persona fisica (professionista o ditta individuale), potrebbero essere consultate sia le fatture relative alla sfera professionale o imprenditoriale che quelle relative alla sfera privata. Ciò determinerebbe la concentrazione, soprattutto presso gli intermediari con maggior numero di clienti, di una mole enorme di informazioni che non si riscontrerebbe normalmente.

È facilmente intuibile che la presenza di simili banche dati sia un rischio elevato, il cui governo, da parte degli intermediari, potrebbe essere particolarmente oneroso, non solo in termini economici.

Altre criticità

Il Garante, inoltre, rileva che il protocollo FTP, base del sistema di comunicazione dello SDI, sia poco sicuro, e che nel trattamento gioca un ruolo fondamentale la PEC, che coinvolge implicitamente gli operatori di mercato che vendono il loro servizio di posta elettronica certificata: ciò significa che i dati personali contenuti delle fatture potrebbero (ragionevolmente) essere memorizzati sui server di gestione delle caselle PEC. Chi se ne assume la responsabilità?

Infine, il Garante ha criticato il servizio di conservazione messo gratuitamente a disposizione dalle Entrate, facendo notare che il contratto proposto prevede che “l’Agenzia non potrà essere ritenuta responsabile nei confronti del contribuente né nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione”. In pratica l’Agenzia non si ritiene responsabile per la mancata applicazione del principio di integrità e riservatezza.

Conclusioni

Per tali motivi, il Garante ha doverosamente agito in difesa dei cittadini e dei loro intermediari, facendo notare che l’Agenzia ha operato al di fuori delle norme di riferimento, senza consultarlo e progettando e imponendo al mercato un sistema che viola in più punti i principi fondamentali della protezione dei dati, peraltro senza nemmeno volersene assumere le responsabilità. E se i dati non fossero disponibili per un malfunzionamento del sistema, chi ne risponderebbe? Il Garante ha praticamente chiarito che spetta all’Agenzia.

Ciò che è successo nei giorni scorsi, quindi, è facilmente sintetizzabile così: il Garante ha ricordato all’Agenzia che non può fare quello che le pare e che è bene che prima di giocare, conosca le regole del gioco. Dura lex, sed lex.

Fonte: Fiscal Focus

Posted on

Molte idee molto confuse in vista del 25 maggio

Molte idee molto confuse in vista del 25 maggio

Attorno al GDPR sta montando un’attesa insana e giorno dopo giorno cresce la confusione, alimentata anche da chi dovrebbe fare ordine e chiarezza.

Avvicinandosi all’ormai famosa data del 25 maggio, giorno in cui il GDPR, il regolamento generale sulla protezione dei dati, entrato in vigore il 24 maggio 2016, ovvero circa due anni fa, tempo più che sufficiente per adeguare anche il più grande colosso internazionale alle nuove disposizioni, diventerà direttamente applicabile senza ulteriori passaggi di recepimento o ratificazione da parte di nessuno in nessun angolo del mondo conosciuto e civilizzato, sembra che si faccia a gara a chi è più esperto, più certificato, più competente, più…

Molte cose mi lasciano perplesso e, talvolta, mi fanno pensare che ci sia qualcosa di sbagliato nella situazione che sto percependo. Fortunatamente trovo conforto da alcuni clienti e da alcuni colleghi.

La prima cosa che mi disturba è l’aura di ignoranza che aleggia e che si irradia dalle associazioni di categoria e i più rilevanti ordini professionali nazionali. Partendo dall’indifferenza delle prime, arrivando ai comunicati più assurdi dei secondi. Giusto per citarne alcuni: una sede territoriale dell’Ordine dei Consulenti dal Lavoro che “consiglia caldamente di non firmare contratti di consulenza con nessuno perché la norma [il GDPR, ndr] non si sa ancora se entrerà in vigore”; il Consiglio Nazionale Forense che consiglia di utilizzare tabelle compilabili in Excel per tenere i registri dei trattamenti, che sono documenti che dovranno avere valore probatorio e legale e avere forma scritta, che nel linguaggio giuridico significa, più o meno, che la generazione del file dovrebbe seguire come minimo uno schema logico tracciabile (marcature temporali, log delle modifiche, firme digitali…), il tutto senza considerare che i file proposti sul sito non sono in lingua italiana, e quindi praticamente inutilizzabili e, se impiegati, altamente rischiosi; il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili, per ultimo, ha pubblicato un documento che, oltre a essere incoerente con la situazione normativa, non tiene conto nemmeno delle linee guida e delle raccomandazioni o delle opinioni degli organismi europei deputati alla privacy e arriva a dire che negli studi professionali (cito testualmente) “salvo casi particolari (ad esempio, ove lo Studio utilizzi telecamere a circuito chiuso o effettui tracciamento dell’ubicazione attraverso app su dispositivi mobili oppure utilizzi programmi di fidelizzazione o di pubblicità comportamentale), appare rara l’effettuazione, da parte del commercialista, di attività di monitoraggio sistematico e regolare”, come se rispettare le disposizioni antiriciclaggio, che partono da una prima valutazione del profilo del cliente da cui dipende solo l’inizio del rapporto professionale o l’obbligo di astensione, che prosegue con una profilazione attenta e costante nel tempo, spesso automatizzata, e che può produrre effetti giuridici anche rilevanti sulle persone fisiche (non solo l’interessato), non fosse un’attività di monitoraggio sistematico e regolare.

Secondariamente mi disturbano parecchio tutti i miei concorrenti che pretendono di vendere una soluzione onnicomprensiva e a basso costo. La protezione dei dati non si fa a basso costo, perché è standardizzabile il metodo di lavoro, non il risultato. Ci sono troppe variabili in causa, anche per il sito della nonna che vende torte, anche se “io faccio solo…”. Fai “solo” cosa? Di tutti i casi di videosorveglianza che ho trattato, non ve n’è uno identico agli altri, nemmeno nei presupposti! (Giusto per fare un esempio). Trattare i dati è la base dell’attività umana, sia sociale che economica. Lo è sempre stato e oggi è molto più percepibile; in futuro lo sarà probabilmente ancora di più. Se qualcuno vi proponesse di farvi un adeguamento al GDPR senza nemmeno avervi visto o intervistato, magari focalizzandosi su informative e consensi scritti perché “ora sono obbligatori”, sappiate che sta spudoratamente mentendo: primo perché lo erano anche prima, secondo perché non sono obbligatori (anche se la forma scritta è sicuramente la migliore, ma non è la sola, per dimostrare di aver informato e ottenuto il consenso, quando serve).

Tralascio poi il discorso sui software che promettono di fare tutto e di riparare da ogni rischio. Ne ho provati parecchi. Finora ho visto quasi sempre cose che fanno in bella veste ciò che un consulente serio e preparato riuscirebbe a fare anche senza, con un semplice PC con il pacchetto Open Office e senza nemmeno la connessione a Internet. Onestamente, l’unico che mi ha colpito in positivo per le sue caratteristiche tecniche “occulte” (conformità al CAD, al regolamento eIDAS, al GDPR, con misure di sicurezza by design e una serie di controlli sui dati inseriti attraverso le maschere, tanto per citarne alcune) è DPO Privacy Suite, sviluppato da Enterprise, il cui unico scopo è aiutare gli utenti a redigere, conservare e aggiornare i registri dei trattamenti dei dati personali, come richiesto dall’art. 30. Obbligo che ricade praticamente su chiunque; a distanza di anni, non ho ancora trovato un esempio su un caso in cui non sia obbligatorio, senza considerare la posizione del nostro Garante. Ecco, questo è (forse) l’unico consiglio di acquisto per mi sento di fare, perché è davvero uno strumento utile e ben fatto.

Questo è lo scenario, signore e signori: confusione. O, almeno, io la penso così.

Il giorno in cui vi domanderete a chi sia il caso di rivolgervi per avere anche solo un consulto, ricordatevi di chi questa materia la conosce bene e da anni cerca di mettervi in guardia e di assistervi.

Non vorrei farmi pubblicità, ma io sono uno di quelli. E non tollererò che la mia materia diventi quello schifo che molti (troppi) prima di me hanno fatto diventare la sicurezza sul lavoro. Sappiatelo.

Buona festa dei lavoratori a tutti!

Posted on

Privacy e reati. Siamo sicuri che spariranno gli illeciti penali col GDPR?

Privacy e Reati. Siamo sicuri che spariranno gli illeciti penali col GDPR?

A breve (pare) il Codice Privacy sarà abrogato, facendo morire con sé tutte le sanzioni penali che si portava dietro. Ma è davvero così?

Negli scorsi giorni, a partire dal tardo pomeriggio del 21 marzo, abbiamo assistito a un tamtam mediatico attorno alla questione relativa all’abrogazione del Codice Privacy (il Dlgs 196/2003), resa pubblica dall’ufficio stampa del Governo, attraverso un comunicato diffuso sul sito web istituzionale. I maggiori “ripetitori” di questa notizia sono stati, prima che la stampa, i consulenti in materia, direttamente interessati e colpiti dalla norma.

Nel periodo immediatamente successivo, poi, qualcuno è anche riuscito a procurarsi e scambiare in rete una copia della bozza (sottolineo BOZZA) dell’atto con cui si dispone l’abrogazione del Codice. Da quel momento in poi, ognuno ha avuto modo di dire la sua e molti hanno notato che le sanzioni penali, con il nuovo testo normativo, sono ridotte all’osso e limitate alla falsità nelle dichiarazioni rese al Garante in fase ispettiva o alla turbativa dei procedimenti o delle ispezioni della stessa Autorità.

A parte il fatto che, personalmente, avrei preferito usassero la locuzione “autorità di controllo”, così da includere anche quelle degli altri Paesi dell’Unione, e ricordandoci che è pur sempre una bozza, siamo davvero sicuri che le fattispecie di reato sanzionate penalmente cesseranno di esistere una volta abrogato il Codice?

Secondo me no. Vi spiego perché.

Perché si continua a sbagliare intendendo la privacy come una cosa (materiale o immateriale che sia), mentre il GDPR vorrebbe che si abbandonasse questa prospettiva di pensiero. Non si deve proteggere la privacy, si devono tutelare i diritti e le libertà delle persone fisiche. Non si deve proteggere la privacy, si devono adottare comportamenti responsabili e virtuosi. Il fulcro si sposta dal dato al trattamento e alla finalità per cui è realizzato.

Quello che voglio dire è che se adottassimo la filosofia secondo cui i dati e le informazioni sono patrimonio e che i trattamenti sono un mezzo con cui avvalorarlo o deteriorarlo, allora potremmo capire che, a ben vedere, non avremmo bisogno di un nuovo corpo normativo in materia di reati penali sull’argomento.

Nel nostro Codice Penale, per esempio, partendo dal presupposto che i reati si dividono in delitti e contravvenzioni (fondamentalmente sulla base della loro gravità, i primi sono ritenuti più importanti), si contano circa 650 fattispecie di reato, a cui sono assegnate le varie sanzioni, con le cause aggravanti o attenuanti o di esclusione dalla pena. Tutte sono contenute nel Libro II e nel Libro III del Codice Penale.

Se scendiamo nel dettaglio, scopriamo che:

  • I reati indicati sono 652 (561 delitti e 91 contravvenzioni).
  • Esistono 283 delitti che possono essere commessi realizzando uno o più trattamenti combinati tra loro.
  • Esistono 15 contravvenzioni che possono essere commesse realizzando uno o più trattamenti combinati tra loro.

Consideriamo, inoltre, che anche l’omissione di trattamento potrebbe generare un illecito.

Quello che voglio dire, in altre parole, è che non penso sia necessario continuare a punire il mero fatto del trattamento, visto che abbiamo a disposizione una codice normativo che va a punire ciò che con il trattamento può essere realizzato.

Per fornire qualche esempio, al di là di quelli facilmente intuibili relativi alla corrispondenza, al domicilio, all’intromissione nella vita privata o all’interferenza nelle comunicazioni, posso citare:

Art. 278.
Offese all’onore o al prestigio del presidente della Repubblica.
Chiunque offende l’onore o il prestigio del presidente della Repubblica, è punito con la reclusione da uno a cinque anni.

È ovvio che qui i dati personali siano il nome e il cognome del soggetto e il suo status politico e gerarchico, il diritto leso è quello all’onore o al prestigio, e il trattamento effettuato è l’offesa (magari a mezzo stampa, tramite diffusione su quotidiani o con trasmissioni radiotelevisive).

Un altro esempio:

Art. 337.
Resistenza a un pubblico ufficiale.
Chiunque usa violenza o minaccia per opporsi a un pubblico ufficiale, o ad un incaricato di un pubblico servizio, mentre compie un atto d’ufficio o di servizio, o a coloro che, richiesti, gli prestano assistenza, è punito con la reclusione da sei mesi a cinque anni.

Qui il trattamento potrebbe essere l’acquisizione, da parte del pubblico ufficiale o delle altre persone in elenco, di dati e informazioni. L’opposizione violenta o minacciosa lo metterebbe nella condizione di non poter effettuare un trattamento previsto per legge.

Secondo me, è inutile che continuiamo a fare finta di nulla: governare l’informazione e i dati ormai è fondamentale per quello che può conseguire dal loro trattamento. Per questo sarebbe (passatemi l’esagerazione) anacronistico continuare a punire i trattamenti.

E, comunque, a ben vedere gli illeciti penali continueranno a esserci…

Posted on

È iniziato il processo di cambiamento del Codice privacy

È iniziato il processo di cambiamento del Codice privacy.

Solo pochi giorni fa il Parlamento delegava il Governo a emanare atti normativi per modificare il nostro Codice privacy, al fine di allinearlo alle disposizioni del GDPR che, come ben sappiamo o dovremmo sapere, è già in vigore e diventerà applicabile tra meno di sei mesi.

Nel frattempo, lo stesso Parlamento si è dato da fare per apportare le prime modifiche attraverso una legge: lunedì 27 novembre, infatti, è stata pubblicata sulla Gazzetta Ufficiale la Legge n° 167, del 20 novembre u.s, recante disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2017 (GU Serie Generale n° 277 del 27/11/2017). La legge entrerà in vigore il prossimo 12 dicembre.

Tralasciando il fatto che mi sembra incomprensibile delegare il Governo e poi agire direttamente (cfr. L 163/2017, art. 13, in particolare il co. 3, lett. b)), andiamo a vedere cosa è effettivamente cambiato e proviamo a determinarne gli effetti concreti.

Al codice in materia di protezione dei dati personali sono state apportate due importanti modifiche.

All’articolo 29 (Responsabile del trattamento), dopo il comma 4 è stato inserito il 4-bis:

“Fermo restando quanto previsto ai commi 1, 2, 3 e 4, il titolare può avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualità di responsabili del trattamento, forniscano le garanzie di cui al comma 2. I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento; i predetti atti sono adottati in conformità a schemi tipo predisposti dal Garante”.

Sempre all’art. 29, il comma 5 è stato sostituito dal seguente:

“Il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma 4-bis e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle proprie istruzioni e di quanto stabilito negli atti di cui al comma 4-bis”.

Infine, dopo l’articolo 110 è stato aggiunto il 110-bis. (Riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici), che recita:

1. Nell’ambito delle finalità di ricerca scientifica ovvero per scopi statistici può essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati.

2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza”.

Dunque, quali sono gli effetti di queste prime modifiche al Codice? Vediamoli insieme.

Innanzi tutto possiamo dire che, soprattutto quando il responsabile del trattamento è esterno, il titolare deve stipulare con lui un contratto scritto, il cui contenuto è solo in parte vincolato dal nuovo Codice: al di là di quello che sarà la volontà delle parti, che si accorderanno come meglio riterranno, questo contratto deve contente almeno la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento. A ben vedere, è molto diverso dal testo del GDPR, che prevede che nel contratto siano indicati la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, oltre a tutti quegli elementi indicati dalle lettere da a) a h) del par. 3 dell’art. 28 del GDPR e dai paragrafi successivi.

Già qui ci sarebbe da criticare fortemente chi ha scritto il testo delle Legge. A parte che è inutile averlo fatto, avrebbe almeno potuto copiare bene.

Nella seguente tabella evidenzio le differenze.

Caratteristiche del contratto Nuovo Codice privacy modificato GDPR
Forma scritta  Sì
Materia disciplinata No
Natura del trattamento No  Sì
Finalità perseguita No  Sì
Tipologia di dati  Sì
Categorie di interessati No
Durata del trattamento  Sì
Obblighi e diritti del titolare del trattamento No  Sì
Obblighi e diritti del responsabile del trattamento  Sì
Modalità del trattamento  Sì
Altre specifiche No  Sì
Obbligo di conformarsi agli schemi proposti dal Garante  Sì

L’ultimo periodo dell’nuovo comma 4-bis obbliga implicitamente il Garante a predisporre degli “schemi tipo”, cosa che il GDPR gli riconosce come facoltativa.

Sostanzialmente, il nuovo comma 5 non apporta variazioni o innovazioni nel modo in cui i titolari devono vigilare sui propri responsabili.

Il nuovo art. 110-bis, invece, offre una nuova opportunità per i titolari, ovvero quella di trattare ulteriormente i dati già in loro possesso per finalità di ricerca scientifica o statistiche. In linea con il par. 4 dell’art. 9 del GDPR, il Parlamento ha posto due importanti vincoli: il primo è che deve essere ottenuta un’autorizzazione da parte del Garante (magari ci sarà spazio per delle autorizzazioni generali?), mentre il secondo è che, comunque, a prescindere dall’aver ottenuto l’autorizzazione o dalle misure di sicurezza adottate, non sarà lecito trattare per finalità di ricerca scientifica o statistiche i dati genetici. Mi viene da chiedermi come ci si dovrà comportare quando questo divieto contrasterà con finalità d’interesse pubblico rilevante, come la salvaguardia della vita o dell’incolumità fisica dell’interessato o di terzi (cfr. Dlgs 196/2003, art. 26, co. 4, lett. b) e GDPR, art. 6, per. 1, lett. d) e art. 9), con particolare riferimento ai casi in cui qualcuno si sottopone a terapie mediche sperimentali che, per loro stessa natura servono a salvaguardare la vita di qualcuno e sono ancora in fase di studio e, quindi, fortemente legate alla ricerca.

Ritengo che soprattutto su quest’ultimo punto si apriranno dibattiti interessanti nel prossimo periodo.

Posted on

La simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati

La simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati

Sono due adempimenti richiesti dal GDPR con peculiari caratteristiche che si realizzano attraverso la formazione di due documenti distinti, solamente se ricorrono i casi specificati. Ma a ben vedere, il loro legame è molto più profondo di quanto possa apparire e potrebbe essere utile considerarli “simbiotici”.

In biologia la simbiosi è un rapporto che s’instaura a livello intimo tra due soggetti e che tende a legarli in maniera forte e mutuale, con lo scopo ultimo di portare un vantaggio reciproco a entrambi nel corso del tempo e dell’evoluzione del contesto di riferimento.

È possibile, dunque, trovare questo tipo di connessione tra il registro del responsabile del trattamento e la valutazione d’impatto sulla protezione dei dati? E se è possibile, quanto sarebbe utile farlo?

Questa è la domanda con cui sono uscito dal seminario organizzato da AssoDPO a Milano lo scorso 26 ottobre, durante il quale si è ampiamente dibattuto sullo stato dell’applicazione del GDPR a circa 200 giorni dalla sua definitiva applicazione diretta su tutto il territorio dell’Unione. Molte informazioni utili e un importante spunto di riflessione, appunto.

Come mia abitudine, parto dal considerare i principali riferimenti normativi, per circoscrivere il discorso che altrimenti rischierebbe di divagare troppo. Vi invito, perciò, a considerare il secondo e quinto paragrafo dell’art. 30 e il primo dell’art. 35, avendo sempre in mente i precetti dell’art. 5.

Quando parlo di simbiosi intendo dire che esiste uno stretto rapporto che lega il registro del trattamento del responsabile alla valutazione d’impatto svolta dal titolare e viceversa e, in un’ottica complessiva di gestione del rischio, non trovo poi così assurdo ipotizzare che il contenuto del primo, dovrebbe essere considerato nella seconda, fermo restando che è anche dai risultati della valutazione d’impatto che deriva l’adozione del registro stesso.

Così, se è vero che un titolare che, a seguito della valutazione d’impatto, individuati rischi elevati per i diritti e le libertà degli interessati deve richiedere l’adozione di un registro da parte del suo responsabile anche se questo potrebbe applicare (al netto del rapporto con il titolare) la deroga prevista dal quinto paragrafo dell’art. 30, trovo altrettanto vero che, in un complessivo sistema di gestione dei rischi, il titolare abbia il legittimo interesse, per non dire il diritto, di consultare il registro del responsabile per venire a conoscenza di quali siano gli eventuali altri titolari con cui ha rapporti.

Questo perché oggi non è possibile non considerare anche gli “altri titolari” come una fonte di rischio. Così come in un condominio con locali a uso commerciale, quando si redigono i DVR per la sicurezza sul lavoro, non si possono non considerare anche le altre attività presenti per via delle conseguenze sull’affollamento complessivo in caso di evacuazione o con effetti diretti sulla valutazione di rischi derivanti dalla vicinanza con obiettivi “sensibili” per rischi di rapina o attacchi terroristici (pensiamo, per esempio, se nello stesso stabile ci fossero al piano terra una filiale di una banca o delle poste, e ai piani superiori un laboratorio di oreficeria e un’ambasciata o un consolato), analogamente si dovrebbero considerare gli altri titolari per via dalla loro “attitudine” a essere bersaglio di tentativi di violazioni di dati.

Proviamo a pensare al caso in cui un’azienda che si occupa di conservazione e archiviazione documentale. In pratica l’attività consiste nell’offrire uno spazio fisico in cui è possibile lasciare i propri documenti che saranno conservati e archiviati secondo logiche predefinite su scaffali all’interno di capannoni.

Bene, è chiaro che se oltre ai nostri, ci fossero anche documenti di altri titolari, penso ci sarebbe utile valutare il rischio che qualcuno che si introduce nell’archivio per danneggiare uno degli altri, possa accidentalmente danneggiare anche noi. E questa valutazione ritengo che possa essere utile per una protezione dei dati in senso lato, anche in caso di dati informatici e in caso di dati non personali in senso stretto (bilanci societari, brevetti, progetti di vario genere…).

E quindi lo chiedo di nuovo: esiste una simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati personali?

A mio modo di vedere, la risposta è affermativa: sì, perché se conosco il contesto di riferimento posso valutare e gestire il rischio.

A questo punto, quindi,  la questione si sposta sulla volontà del responsabile di rendere disponibile l’informazione. Gli strumenti contrattuali e tecnici per assistere il titolare nella sua valutazione senza necessariamente diffondere informazioni che il responsabile potrebbe voler o dover mantenere riservate esistono.

Posted on

Nuove regole per i compro oro

Nuove regole per i compro oro

Seguendo l’ormai consolidato filone di pensiero che vede preferire la responsabilizzazione agli elenchi di obblighi, il Governo ha emanato un nuovo decreto legislativo volto a regolare le attività di compro oro, in modo da uniformarla con le nuove disposizioni antiriciclaggio.

L’atto normativo in questione è il Dlgs 92/2017, del 25 maggio e pubblicato sulla Gazzetta Ufficiale il 20 giugno 2017, delegato dall’articolo 15, comma 2, lettera l), della legge 170/2016.

Anzitutto, il decreto fornisce le doverose definizioni, necessarie per inquadrare il contesto di riferimento e specificare i concetti, che potrebbero essere confusi con quelli usualmente utilizzati nel linguaggio comune o in altre norme. Tra le definizioni spuntano in particolare:

  • L’attività di compro oro, ossia l’attività commerciale consistente nel compimento di operazioni di compravendita sia all’ingrosso che al dettaglio o la permuta di oggetti preziosi usati (c.d. “operazioni di compro oro”), esercitata in via esclusiva ovvero in via secondaria rispetto all’attività prevalente;
  • L’oggetto prezioso usato, che è un oggetto in oro o in altri metalli preziosi nella forma del prodotto finito o di gioielleria, di rottame, cascame o avanzi di oro e materiale gemmologico;
  • Il cliente, cioè il privato che, anche sotto forma di permuta, acquista o cede oggetti preziosi usati ovvero l’operatore professionale in oro (disciplinato, quest’ultimo, dalla legge 7/2000) cui i medesimi oggetti sono ceduti;
  • L’operatore compro oro, che è il soggetto – anche diverso dall’operatore professionale in oro – che esercita l’attività di compro oro, previa iscrizione nel registro degli operatori compro oro;
  • Il registro degli operatori compro oro è il registro pubblico informatizzato, istituito presso l’OAM, in cui gli operatori compro oro sono tenuti ad iscriversi, al fine del lecito esercizio dell’attività di compro oro;
  • I dati identificativi del cliente, cioè il nome e il cognome, il luogo e la data di nascita, la residenza anagrafica e il domicilio, ove diverso dalla residenza, gli estremi del documento di identificazione e, ove assegnato, il codice fiscale o, nel caso di soggetti diversi da persona fisica, la denominazione, la sede legale e, ove assegnato, il codice fiscale;
  • L’operazione frazionata: un’operazione unitaria sotto il profilo del valore economico, di importo pari o superiore ai limiti stabiliti dal presente decreto, posta in essere attraverso più operazioni, singolarmente inferiori ai predetti limiti, effettuate in momenti diversi ed in un circoscritto periodo di tempo fissato in sette giorni, ferma restando la sussistenza dell’operazione frazionata quando ricorrano elementi per ritenerla tale.

Saltano subito all’occhio, dunque, alcuni aspetti che potrebbero sembrare secondari nel linguaggio comune:

  • La locuzione “compro oro” è fuorviante, poiché si riferisce non solo all’oro in sé, ma a tutti gli oggetti e i metalli preziosi elencati dal Dlgs 251/1999;
  • L’oggetto prezioso usato può essere sotto qualsiasi forma, anche rottame o scarto di lavorazione.

Da rilevare anche altri aspetti:

  • L’attività, per essere lecita, deve essere censita nell’apposito registro tenuto dall’OAM (lo stesso organismo che controlla gli agenti finanziari e i mediatori creditizi) ed è subordinata ai requisiti descritti dal TULPS (RD 773/1931);
  • I limiti dell’operazione frazionata – temine mutuato dal Dlgs 231/2007 – sono posti a 500 Euro (quindi una misura specificamente contestualizzata e diversa da quanto disposto nel decreto antiriciclaggio).

Come detto in apertura, il filo logico di fondo è quello di responsabilizzare gli operatori economici, esattamente come accade in ambito antiriciclaggio in senso ortodosso.

Dunque è chiaro che l’operatore compro oro dovrà, nei limiti della sua propria impresa, fare in modo di creare un modello organizzativo che possa dare una direzione strategica e monitorare e controllare in ogni momento la vita aziendale, rilevando tempestivamente ed eventualmente comunicando nei modi e nei tempi dovuti gli aspetti più rilevanti, oltre a quelli richiesti espressamente dal testo normativo.

Tra le comunicazioni da effettuare troviamo quelle verso l’OAM, per l’iscrizione iniziale nel registro e per le successive variazioni dei dati in esso contenuti (da effettuare entro dieci giorni), e quelle verso la UIF, per la segnalazione delle operazioni sospette.

Proprio questa seconda eventuale comunicazione comporta un lavoro “occulto” non indifferente, che richiede la conoscenza e l’applicazione delle disposizioni contenute negli attuali decreti legislativi 231/2007 (in tema di antiriciclaggio e recentemente aggiornato) e 196/2003 (in materia di privacy) e nel Regolamento UE 2016/679 (anch’esso in materia privacy).

L’applicazione di queste quattro disposizioni normative è giustificata dalla volontà del legislatore di tutelare sia il sistema economico che gli interessi collettivi di sicurezza in generale, richiedendo agli operatori compro oro di avere un comportamento non solo lecito, ma anche partecipativo e proattivo, che garantisca:

  • La tracciabilità delle operazioni effettuate;
  • L’accessibilità completa e tempestiva ai dati da parte delle autorità competenti;
  • L’integrità e la non alterabilità dei medesimi dati, successivamente alla loro acquisizione;
  • La completezza e la chiarezza dei dati e delle informazioni acquisiti;
  • Il mantenimento della storicità dei medesimi, in modo che, rispetto a ciascuna operazione, sia assicurato il collegamento tra i dati e le informazioni acquisite ai sensi del presente decreto.

Chiudiamo con una rapida occhiata alle sanzioni previste:

  • L’esercizio abusivo dell’attività (dovuta alla mancata iscrizione nel registro tenuto dall’OAM) è punito con la reclusione da sei mesi a quattro anni e con la multa da 2.000 a 10.000 Euro;
  • La mancata o tardiva comunicazione delle variazioni all’OAM è punita con una sanzione amministrativa pecuniaria che parte da 1.500 Euro;
  • La mancata identificazione del cliente, così come la mancata o la non adeguata conservazione dei dati, dei documenti e delle informazioni previste, è punita con la sanzione amministrativa pecuniaria da 1.000 a 10.000 Euro;
  • La mancata o tardiva segnalazione di operazione sospetta è punita con la sanzione amministrativa pecuniaria da 5.000 a 50.000 Euro.

A proposito delle sanzioni bisogna segnalare che nei casi di violazioni gravi o ripetute o sistematiche ovvero plurime, le sanzioni amministrative pecuniarie sono raddoppiate; tuttavia, per le violazioni delle disposizioni previste dal presente decreto, ritenute di minore gravità, la sanzione amministrativa pecuniaria può essere ridotta fino a un terzo.

Il tutto senza considerare le sanzioni previste dalle altre norme citate.

Posted on

Organizzarsi è prevenire

Organizzarsi è prevenire

OgranizzazioneSpesso il tempo impiegato per organizzare bene un’attività è visto come una perdita in questioni burocratiche. Fino a che non succede qualcosa…

Non neghiamolo: compliance, gestione del rischio e attività di controllo interne sono tutte cose che alla maggior parte degli imprenditori suonano come inutili perdite di tempo che producono scartoffie e burocrazia che non porta nessun vantaggio e nessun beneficio produttivo.

Questa credenza popolare spesso porta gli stessi soggetti a ritenere i consulenti come me e i miei colleghi soltanto degli artisti del documento, il cui unico compito è scrivere qualcosa che è dovuto per legge, solo perché così, con quel manufatto, si sentono al sicuro da eventuali sanzioni… Come se fosse un oggetto magico, insomma.

Quello che – ahimè – non capiscono, è che non è la carta ad avere il potere, ma il suo contenuto.

Un contenuto che è frutto di esperienza e lavoro, e che per essere efficace (e solo in secondo luogo efficiente) ha bisogno che si investa adeguatamente del tempo per fare in modo che abbia effetti sull’organizzazione aziendale.

Voglio offrirvi un esempio e mi limiterò a citare i fatti e a fare alcune considerazioni.

Un soggetto A, tempo fa mi contattò per richiedere assistenza in tema di protezione dei dati. La sua attività prevedeva (e prevede tutt’ora) tra le altre cose la raccolta e l’elaborazione di determinati dati personali.

In un’ottica di gestione del rischio e di prevenzione di eventuali reclami, suggerii di adottare una procedura per l’eventuale restituzione dei dati agli interessati, in modo che si potesse essere ragionevolmente sicuri di consegnarli soltanto a loro o a persone autorizzate.

All’epoca, il soggetto A mi disse che non era il caso, perché avrebbe portato via parecchio tempo e non sarebbe stato agevole per i suoi clienti.

Capita così che alcuni giorni fa un soggetto ignoto si presenti al soggetto A, identificandosi come un congiunto di un suo cliente, e facendosi consegnare le copie dei documenti di quest’ultimo. Il cliente, scoperto l’accaduto, si è – giustamente – arrabbiato parecchio.

Quanto è successo non è molto chiaro, però si possono fare due considerazioni:

  • C’è stata una sostituzione di persona, che ha indotto fraudolentemente il soggetto A ad agire come descritto.
  • C’è stata una violazione dei dati personali del cliente.

Sulla base di questo, si può certamente affermare che:

  • Se fosse stata adottata e applicata una procedura per la restituzione dei documenti, che prevedesse un’autorizzazione specifica e preventiva da parte dell’interessato o un altro sistema di delega da parte sua, questo tipo di violazione non si sarebbe verificato (o, almeno, non in questo modo).
  • La mancanza della procedura è stata, di fatto, una inadeguatezza delle misure organizzative di sicurezza. Fortunatamente si può escludere un risvolto penale (mi riferisco all’art. 167 del Codice, visto che si tratta di comunicazione o diffusione) perché la violazione non è stata commessa a vantaggio o nell’interesse del soggetto A, che dal suo punto di vista è stato raggirato.
  • Il soggetto A ha dovuto contattare il sottoscritto e altri specialisti per vedersi rassicurare e farsi consigliare al meglio su eventuali strategie difensive, preoccupato che potesse accadere qualcosa a livello legale.

Al di là di qualsiasi altra discussione, il messaggio che vorrei che passasse forte e chiaro è che i professionisti come me non servono a procurare alle imprese un prodotto cartaceo che serve (più o meno) in caso di emergenza. Il nostro scopo è consigliare la strategia migliore, considerato il contesto di riferimento, per applicare al meglio una disposizione di legge i cui effetti non sono discutibili, al contrario dei metodi per ottenerli.

Il metodo migliore è sempre lo stesso: organizzarsi.

Citando Machiavelli, il fine giustifica i mezzi. Ovviamente se non si investe sui mezzi (organizzazione adeguata), non ci si può aspettare di raggiungere il fine sperato (fare business in tranquillità).