Autore: scannistra

Ci siamo! Il 25 maggio si avvicina, solo tre mesi ci separano ormai dalla piena applicazione del Regolamento Europeo per la protezione dei dati personali, archiviando definitivamente il Codice della Privacy 196/03 che ha regolato finora il settore.

In effetti, il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, in quanto Regolamento, è entrato immediatamente in vigore alla data della sua pubblicazione in GUCE ma ha consentito, per questi due anni ormai a scadenza, la coesistenza con la normativa nazionale D.lgs. 30 giugno 2003, n. 196 – Codice in materia di protezione dei dati personali, abrogandola però di fatto e di diritto a far data dal fatidico prossimo 25 maggio.

Per non creare confusione, occorre menzionare l’esistenza di una altra disposizione della UE in materia dati: la Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali. Questa, in quanto Direttiva, necessita però del recepimento nazionale da parte degli Stati Membri ed, essendo finalizzata al trattamento di dati connessi con le attività investigative anticrimine, investe tutt’altra questione.

Poi purtroppo, come nostro mantra italico, siamo sempre un po’ restii a cogliere l’opportunità dell’innovazione; reagiamo sempre con forte ritardo, il nostro motto pare proprio che sia il contrario della proattività: come posso evitare di adeguarmi!

L’innovazione legislativa è sempre vissuta come rischio e mai come opportunità! Invece mai come in questa circostanza l’applicazione operativa del GDPR si presenta come una grande opportunità di sviluppo e di miglioramento organizzativo per coloro che, a qualunque titolo gestiscono dati personali e anche di crescita democratica e culturale per chiunque che, come cittadino  e persona fisica, ogni giorno affida, più o meno consapevolmente,  parte della sua sfera privata (privacy)  al titolare del trattamento e quindi ovviamente è  interessato che i propri dati personali siano trattati – a termine di legge – in modo lecito, necessario e proporzionato allo scopo.

Ma, considerando che il GDPR è composto da undici capitoli per un totale di centottantasette  pagine come possiamo re-agire per evitare di esserne  sopraffatti, cercando di salvaguardare ove possibile quanto già reso operativo nel Codice della Privacy  e non in contrasto con il Regolamento? Come salvare gli investimenti già messi in campo?

Cercando di evitare un approccio tecnico-operativo, sovradimensionato per questo intervento, mi limiterei ad una semplice (!) distinzione tra diritti e doveri: diritti dell’individuo vs. doveri d’impresa: quali sono i nostri diritti di cittadini in una società democratica e quali i nostri doveri di impresa, intesa come persona fisica o giuridica che, indipendentemente dalla forma giuridica rivestita, eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica.

In una ventina di pagine del GDPR, nell’omologo Capo III composto da 5 sezioni,  dall’articolo 12 all’articolo 23, sono   trattati  i diritti dell’interessato  non molto diversamente da quanto già sappiamo dal DLvo 196/2003: da notare che,  per quanto riguarda l’informativa, i contenuti, più ampi, sono elencati in modo tassativo così come i diritti all’accesso dei propri dati personali.

Le innovazioni più rilevanti nei diritti riguardano invece:

· il diritto alla cancellazione, ormai più noto come “diritto all’oblio”,

· il diritto alla portabilità dei dati,

· il diritto all’opposizione a processi decisionali automatizzati compresa la cosiddetta “profilazione”: quando con immediatezza, non appena chiediamo una qualche semplice informazione sul WEB, il nostro schermo è invaso da concrete offerte commerciali intese a soddisfare la nostra curiosità, inviti da cogliere al volo che sembravano lì ad aspettare solo noi.

Altra cosa riguarda i doveri delle imprese in special modo  per quanto riguarda le responsabilità. Per efficace analogia voglio fare riferimento al diritto alla sicurezza e salute sui luoghi di lavoro, ben più noto in Italia con la ancorchè abrogata 626/94 oggi sostituita dal 81/08, in cui la responsabilità principale ricade sul Datore di Lavoro che, con la propria organizzazione, attenua se non riesce ad eliminarlo del tutto il rischio di infortunio o di malattia professionale di lavoratori. La vera e dirimente differenza tra il Responsabile della Protezione dei Dati (DPO) richiamato nel GDPR e il RSPP del 81/08 è che il primo non fornisce solo consulenza, ma assume responsabilità operative del sistema di tutele, dovendo infatti verificarne anche la corretta attuazione (art. 39).

A parte ciò, il Regolamento introduce in modo del tutto analogo il concetto di rischio, attribuendo al Titolare del Trattamento la responsabilità di tutelare i dati personali a lui affidati, valutando appunto il rischio di perdita dei dati (data leak) in ogni fase del trattamento affidatogli, progettando ed implementando la propria struttura organizzativa secondo le best practice e i migliori standard di gestione del rischio, come già ampiamenti trattati dalle norme tecniche di riferimento, tra tutte le ISO 9000 per i sistemi qualità, le ISO 31000 per la gestione del rischio, IEC/ISO 27000 per la ICT.

Mi sembra opportuno ricordare che, come in ogni sistema di gestione del rischio, dopo la fase di assessment sarà necessario attivare le fasi di prevenzione (Data Loss Prevention) e di protezione in caso violazioni e divulgazione dei dati personali (Data Breach Protection). L’approccio proattivo del GDPR si fonda sulla responsabilizzazione (accountability) dei titolari che, tenuto conto della natura, del settore di applicazione, del contesto e delle finalità del trattamento dei dati, nonché dei rischi per i diritti e le libertà delle persone fisiche, rende operative le misure tecniche e organizzative più adeguate– non solo – per garantirne la compliance  ma anche di renderla documentata per eventuali audit esterni.

Con le consolidate metodologie dei sistemi qualità, ogni titolare decide autonomamente (art.5 c.1 EX ANTE – analogie con il DVR) al momento di determinare gli strumenti del trattamento e renderle evidenti in una serie di attività specifiche e dimostrabili (art.5 c.2 EX POST – formalizzazioni e deleghe)

Con poca attenzione alla prevenzione che non paga subito, normalmente vista come una spesa superflua su cui poter fare economie, il management italiano sembra più orientato al sistema di protezione affidandolo normalmente a studi legali che, al più, cercano di attenuare le sanzioni visto che nel GDPR risultano molto pesanti (fino al 4% del fatturato annuale o 20 milioni di euro se è maggiore).

Chiedetevi quindi il perché i corsi di formazione  sul GDPR, proposti dal mercato in quantità sempre maggiori con l’avvicinarsi della scadenza di maggio, offrono quasi sempre un panel di docenze  di estrazione giuridica, in cui la matrice professionale di security ISO 31000 risulta assai poco rappresentata o il perchè, visti  i tentativi di monopolizzare il mercato da parte dei professionisti dell’ICT con la recentissima UNINFO EN 11697 o l’ingresso sul mercato di schemi proprietari di certificazione, il Garante Privacy con Accredia abbia rinviato alla definizione di criteri e requisiti comuni per la conformità delle certificazioni al Regolamento UE 2016/679, evidenziando altresì che ad oggi non è previsto né l’obbligo di attestazione delle competenze né tantomeno nessun albo professionale dei DPO.

Forse è il caso finalmente di comprendere ed accettare che il GDPR è aggredibile con efficacia solo in un complesso sistema di competenze, non monopolizzabili da nessuno per motivi commerciali, che necessitano invece di un’etica professionale in cui la crescita di competenze multidisciplinari trovi la sua piena applicazione per quanto auspicato nel Regolamento: l’adozione di Codici di Condotta elaborati da associazioni o da altri organismi rappresentanti le categorie di Titolari e Responsabili.

Per quanto riguarda infine nello specifico le associazioni del CoLAP, queste necessitano del titolare del trattamento solo quando la tipologia dei dati trattati è  personale e non riferita ad imprese, solo quando evidentemente gli interessati (art. 4) sono persone fisiche con le ovvie deroghe dell’art. 10 (condanne penali e reati). Sono previste alcune semplificazioni per le comunicazioni elettroniche agli abbonati/soci con finalità di marketing (4-5 mila contatti), ricordando inoltre che l’informativa è sempre preventiva del trattamento e deve essere aggiornata al cambiare delle regole e/o delle finalità e, in caso di marketing, occorre anche esplicito consenso.

Iniziamo dalle scadenze della prossima campagna fiscale: entro il 3 aprile il datore di lavoro dovrà consegnare la Certificazione ai propri dipendenti. L’INPS invece ormai da anni non invia la CU in modalità cartacea per posta e i pensionati o i disoccupati che hanno l’INPS come sostituto d’imposta possono scaricare il modello dal sito INPS con le proprie credenziali o rivolgendosi al Caf.

Scadenze: più tempo per presentare il 730 anche per i contribuenti che si avvalgono dell’assistenza fiscale prestata dai Caf e dai professionisti abilitati, che possono presentare il modello 730/2018 entro il 23 luglio 2018; la scadenza del 7 luglio rimane solo per la presentazione al sostituto d’imposta.

La seconda data rimodulata è quella di presentazione del modello Redditi: confermato anche per il 2018 il termine del 31 ottobre.  Per il modello 770 la scadenza per la presentazione, che tradizionalmente è fissata al 31 luglio, passa al 31 ottobre.

La principale novità del 730 2018 è l’esordio della cedolare al 21%  sugli affitti brevi. Dal primo giugno 2017 opera il nuovo regime di tassazione per la locazione turistica, prevista sia per coloro che ricevono proventi a fronte di locazioni o affitti di brevi periodi sia per coloro che li ricevono in qualità di intermediari (ad esempio Airbnb) o altri portali on line o agenzie immobiliari. Il 730 di quest’anno recepisce quindi le novità introdotte: i redditi dei contratti di locazione non superiori a 30 giorni, , stipulati dalle persone fisiche al di fuori dell’esercizio di attività d’impresa ,sono assoggettati ad una ritenuta del 21% se il pagamento avviene tramite piattaforme on line o agenzie immobiliari, sono loro ad agire come sostituiti d’imposta e a versare l’imposta.

I ritocchi alle detrazioni.

Sul fronte delle detrazioni d’imposta si alza il limite per le spese d’istruzione che passa da 564 a 717 euro massimo per alunno per la frequenza di scuole dell’infanzia, del primo ciclo di istruzione e della scuola secondaria di secondo grado del sistema nazionale d’istruzione.

Per gli studenti universitari, è stato ridotto a 50 chilometri il requisito della distanza dalla sede universitaria che consente di usufruire della detrazione del 19% dei canoni di locazione per i soli studenti residenti in zone montane o disagiate. Attenzione però, la norma prevede che a regime, la detrazione spetti agli studenti iscritti a un corso di laurea presso una università localizzata in un comune distante da quello di residenza almeno 100 Km e, comunque, in una provincia diversa, per unità immobiliari situate nello stesso comune in cui ha sede l’università o in comuni limitrofi, per un importo non superiore a 2.633 euro.  La novità introdotta dal Dl 148/2017, invece, viene limitata ai periodi d’imposta 2017 e 2018, per i quali il requisito della distanza (100 Km), necessario per fruire dell’agevolazione, si intende rispettato anche all’interno della stessa provincia ed è ridotto a 50 km per gli studenti residenti in zone montane o disagiate. In tal modo, viene stabilito il carattere temporaneo della disposizione di favore.

Tra le spese sanitarie, invece, il nuovo 730 dà spazio alla detrazione del 19% per l’acquisto di alimenti a fini medici speciali (inseriti nella sezione A1 del registro nazionale), con esclusione degli alimenti destinati ai lattanti.

Premi di risultato e welfare aziendale è stato innalzato da 2.000 euro a 3.000 euro il limite dei premi di risultato da assoggettare a tassazione agevolata. Il limite è innalzato a 4.000 euro se l’azienda coinvolge pariteticamente i lavoratori nell’organizzazione del lavoro e se i contratti collettivi aziendali o territoriali sono stati stipulati entro il  24 aprile 2017;

Sisma-bonus: detrazioni più ampie per le spese sostenute per gli interventi antisismici effettuati su parti comuni di edifici condominiali e per gli interventi che comportano una riduzione della classe di rischio sismico;

Art-bonus: dal 27 dicembre 2017 è possibile fruire del credito d’imposta per le erogazioni cultura anche per le erogazioni liberali effettuate nei confronti delle istituzioni concertistico-orchestrali, dei teatri nazionali, dei teatri di rilevante interesse culturale, dei festival, delle imprese e dei centri di produzione teatrale e di danza, nonché dei circuiti di distribuzione;

5 per mille: da quest’anno è possibile destinare una quota pari al cinque per mille della propria imposta sul reddito a sostegno degli enti gestori delle aree protette.

Vi ricordiamo che sul sito www.cafcisl.it trovate tutte le informazioni sulla dichiarazione 2018, l’elenco dei documenti da scaricare e i recapiti della sede più vicina a voi. Il numero verde gratuito 800800730 è a vostra disposizione per fissare l’appuntamento.

Il 25 Maggio 2018 entra in vigore il regolamento UE 2016/679 General Data Protection Regulation (cosiddetto GDPR) che sostituisce la precedente Direttiva Europea 95/46/CE e abroga nelle parti incompatibili il dlgs.196/03 «Codice in materia di Protezione dei Dati  Personali» (Codice Privacy attualmente in vigore in Italia). Il regolamento ha lo scopo di rafforzare e rendere omogenea la protezione dei dati personali dei cittadini e dei residenti dell’UE.

Sono tenute a rispettare questa nuova normativa tutte le società, aziende imprese ed enti con sede legale nell’Unione Europea o fuori dall’Unione Europea qualora trattino Dati Personali [1]riguardanti persone fisiche dell’Unione Europea.

Il nuovo Regolamento Europeo impone infatti ai soggetti interessati di porre massima attenzione ai processi volti a garantire la sicurezza dei dati personali di cui siano in possesso nel normale esercizio della propria professione/attività e all’opportunità di tutelarsi da possibili attacchi cibernetici  ai sistemi che possano comportare la perdita o la violazione dei dati stessi.

Rispetto alla precedente normativa (Codice Privacy) al fianco delle figure del “Titolare “ (colui che determina finalità e mezzi del trattamento) e del “Responsabile del trattamento” ( colui che tratta i dati per conto del titolare), si identifica il “Responsabile per la protezione dei dati (DPO)” (una figura con particolari competenze tecniche che effettua un costante e regolare monitoraggio del rispetto del regolamento). Questa nuova figura professionale è chiamata  a mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio che garantiscono che chiunque acceda ai dati lo faccia nel rispetto dei propri poteri e dopo idonea istruzione

La nuova normativa  si sofferma sul cosiddetto Data Breach (violazione ma non necessariamente sottrazione di dati) imponendo al   titolare la notifica all’autorità di controllo senza ingiustificato ritardo e ove possibile entro 72 ore. Se il termine non viene rispettato debbono essere giustificati i motivi del ritardo.

La normativa prevede al riguardo  un regime sanzionatorio che si affianca alla potenziale esposizione di richiesta danni da parte degli individui che hanno subito la violazione o sottrazione dei dati  in possesso del titolare.

Le soluzioni assicurative: Aon è disponibile alla valutazione di coperture che tutelino il titolare del trattamento e i soggetti responsabili di tutto il processo qualora la violazione dei dati sia dipesa da errori omissioni  del titolare stesso ma anche qualora sia dipesa da  comportamenti criminosi di terzi (cyber risk) al fine di risarcire i terzi del danno patito ma anche di rifondere il titolare delle spese sostenute a fronte della violazione ai dati subita dall’esterno.

Hanno tempo fino al 4 aprile 2018, gli operatori della telefonia fissa e mobile e delle paytv per abbandonare la fatturazione a 28 giorni e ritornare alla fatturazione su base mensile o su multipli mensili, pena il pagamento di un indennizzo forfettario di 50 euro ad ogni consumatore, maggiorato di 1 euro per ogni giorno di ritardo.

Come molti avranno potuto constatare, il ritorno alla fatturazione mensile sta comportando, purtroppo, in molti casi, un aggravio di costi per i consumatori. Infatti, gli operatori, non essendo riportata alcuna indicazione in merito nella legge 172/2017, stanno ritornando sì alla fatturazione mensile, ma cambiando le condizioni contrattuali ed in particolare il rapporto costi/servizi e, neanche a dirlo, a svantaggio degli utenti.

Unica arma in possesso dei consumatori contro un eventuale peggioramento delle condizioni del proprio contratto con l’operatore della telefonia fissa o mobile o della paytv sta nell’esercitare il diritto di recesso.

Dal ricevimento della comunicazione del cambio delle condizioni contrattuali, c’è 1 mese di tempo per esercitarlo, senza il pagamento di penali, senza il pagamento di costi di disattivazione e senza la restituzione di importi relativi a promozioni già godute.

Purtroppo, si tratta di un’arma “spuntata”, in quanto risulta difficile trovare un’offerta davvero conveniente. Su questa difficoltà sta indagando l’Autorità Garante della Concorrenza e del Mercato (AGCM) che sospetta l’esistenza di un “cartello” tra gli operatori a scapito dei consumatori, tanto che ha inviato la Guardia di Finanza ad effettuare delle ispezioni nelle sedi degli operatori e di Asstel, l’associazione di categoria delle imprese telefoniche.

Intanto, per la telefonia fissa, dopo la bocciatura, da parte del Tar, del ricorso presentato dalle compagnie telefoniche contro la Delibera 121/2017 dell’Autorità per le garanzie nelle comunicazioni elettroniche (Agcom) che intimava loro di ritornare alla fatturazione con cadenza mensile, anche se il Tribunale ha sospeso in via cautelare, fino al 31 ottobre 2018, la parte del provvedimento dell’Autorità che intimava alle aziende Tim, Vodafone, Wind Tre e Fastweb, di rimborsare ai consumatori le somme ingiustamente pagate dal 23 giugno 2017, stornandole dalla prima bolletta mensile. Insomma, non ci resta che attendere.

Per Adiconsum, per scongiurare eventuali nuove criticità nella telefonia fissa, mobile e paytv, occorre procedere alla modifica dell’art. 70 del Codice delle Comunicazioni elettroniche che permette agli operatori la variazione unilaterale delle condizioni contrattuali, concedendo agli utenti solo la possibilità di esercitare il diritto di recesso, che, però, può ben poco nel caso di eventuali intese siglate tra gli operatori stessi, come, infatti, sta cercando di appurare l’Agcm.

IMPORTANTE: Vi ricordiamo che, in caso di problemi col vostro operatore telefonico, potete segnalarlo sia sulla nostra pagina Facebook dedicata Come ci succhiano i soldi dal telefonino sia alle nostre sedi territoriali (indirizzi e numeri li trovate qui).

A cura di Ufficio Stampa Adiconsum