ComplianceNet, gruppo LinkedIn: raggiunta quota 1.150 iscritti (31 gennaio 2016)

Privacy, Newsletter del Garante n. 411 del 4 febbraio 2016: sanità on line, tlc, rete di assistenza

160205-garante.jpg

Il Garante per la protezione dei dati personali ha pubblicato la Newsletter n. 411 del 4 febbraio 2016. Tre gli argomenti trattati:

  1. Sanità on line, attenzione ai dati degli assistiti
  2. Tlc, no alla pesca a strascico sul web per formare gli elenchi telefonici
  3. Ok condizionato del Garante al monitoraggio della rete di assistenza sanitaria

Sanità on line, attenzione ai dati degli assistiti

Intervento urgente del Garante privacy per bloccare eventuali accessi illeciti al portale di una Asl

Chiunque poteva consultare e modificare i dati degli assistiti che si erano registrati al portale di una Asl e il Garante della privacy interviene d'urgenza a bloccare [doc. web n. 4630534] la sezione del sito e fermare la violazione della riservatezza.
L'anomalia segnalata all'Autorità era stata scoperta per caso da un utente mentre utilizzava i servizi on-line  offerti dall'Azienda sanitaria. Non occorreva essere pirati informatici per accedere ai dati di altre persone: era sufficiente compilare a caso - anche inserendo parte di un nome o di un cognome - uno dei campi di ricerca presenti nella sezione dedicata agli assistiti per consultare tutte le schede anagrafiche trovate, nelle quali erano riportati l'indirizzo di residenza, il codice fiscale o il numero di telefono degli assistiti.
Non solo. Dai riscontri effettuati dal Garante, è emerso che qualunque utente, senza trovarsi di fronte ad alcun filtro,  poteva addirittura modificare questi dati o cancellare l'account delle persone che si erano registrate sul sito.
Nel provvedimento con il quale ha vietato l'ulteriore diffusione dei dati, il Garante ha ricordato che le pubbliche amministrazioni che offrono servizi in rete sono obbligate ad adottare misure di sicurezza per ridurre al minimo i rischi di accesso non autorizzato o di trattamenti di dati non consentiti. Sul sito della Asl, al contrario, non era presente neppure una procedura di identificazione informatica che consentisse l'individuazione del soggetto che richiedeva il servizio on line, in modo tale da limitare al solo interessato l'accesso ai dati personali che lo riguardano.

L'Autorità ha imposto alla Azienda sanitaria locale di intervenire entro 48 ore dalla ricezione del provvedimento per risolvere il problema.Prescrizione che la Asl ha prontamente adempiuto, bloccando l'accesso indiscriminato ai dati. Non sono però state ancora accertate le cause dell'errato funzionamento del portale sanitario,che potrebbero essere legate a errori di impostazione o di progettazione informatica del sistema, come pure ad attacchi hacker  dall'esterno.
L'Autorità si è riservata di approfondire il caso,  ma al contempo ha avviato un autonomo procedimento sanzionatorio contro la Asl per le violazioni riscontrate.

Tlc, no alla pesca a strascico sul web per formare gli elenchi telefonici

Il Garante blocca un sito che trattava in modo illecito i dati di oltre 12 milioni di persone

No ai software che "pescano" on line in maniera sistematica e indiscriminata dati e informazioni per realizzare elenchi telefonici. Le società che intendono costituire questo tipo di pubblicazione, cartacea o on line, devono utilizzare il data base unico (dbu), l'archivio elettronico che raccoglie  numeri di telefono e  altri dati dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile. In alternativa,  devono acquisire il consenso libero, informato, specifico per ogni finalità che si intende perseguire (come la consultazione on line dell'elenco o la "ricerca inversa" delle generalità di un abbonato attraverso il numero di telefono).
Questi principi sono stati ribaditi dal Garante privacy che ha dichiarato illecito e ha vietato ad una società la formazione e la diffusione on line di un elenco telefonico contenente dati di oltre 12.500.000 persone non raccolti dal dbu ma da altri siti web (mediante web scraping) senza il consenso degli utenti. I dati trattati in modo illecito dovranno essere cancellati dalla società.
Le numerose segnalazioni pervenute all'Autorità lamentavano la diffusione sul sito della società di un elenco telefonico on line contenente vari dati personali (nome e cognome, indirizzo, recapito telefonico, a volte anche utenze riservate, numero di cellulare o indirizzo email) raccolti senza consenso. Alcuni segnalanti, inoltre, associavano la ricezione di telefonate promozionali indesiderate alla messa a disposizione dei propri dati sul sito. Dagli accertamenti effettuati è emerso che la società gestiva un sito in cui aggregava e rendeva disponibili i numeri di telefonia fissa e altri dati personali raccolti in maniera automatica e sistematica attraverso script  lanciati direttamente sulle fonti web acquisendone i contenuti (web scraping). Gli script, come affermato dalla società, erano impostati in modo tale da raccogliere qualsiasi informazione pubblicata su fonti web accessibili a tutti, per poi metterla a disposizione degli utenti del sito della società.
Nel disporre il divieto il Garante ha riaffermato le regole sulla formazione degli elenchi telefonici  e ha ritenuto la pubblicazione on line di un elenco telefonico non tratto dal dbu e senza il consenso degli interessati un trattamento particolarmente invasivo per l'agevole reperibilità dei dati anche mediante i più comuni motori di ricerca e per la possibilità che essi possano essere utilizzati anche per ulteriori trattamenti (ad es. marketing indesiderato).
L'Autorità sta valutando l'applicazione di una sanzione amministrativa per gli illeciti commessi dalla società.

Ok condizionato del Garante al monitoraggio della rete di assistenza sanitaria

Parere favorevole [doc. web n. 4630606] del Garante privacy, seppure condizionato ad alcune modifiche e integrazioni, ad uno schema di decreto del Ministero della salute che riguarda l'istituzione del sistema informativo per il Monitoraggio della Rete di Assistenza (MRA), nell'ambito del Nuovo Sistema Informativo Sanitario (NSIS).
Il sistema MRA si prefigge di favorire il raggiungimento di obiettivi di governo da parte dei diversi livelli interessati (ministeriale, regionale e aziende sanitarie) anche al fine di razionalizzare la spesa, e di informare i cittadini sulla rete di assistenza sanitaria nel nostro paese.
Il sistema di monitoraggio opererà istituendo un'unica anagrafe di riferimento a livello nazionale di tutte le strutture della rete sanitaria (ASL, strutture di ricovero autorizzate, strutture territoriali accreditate, farmacie pubbliche e private convenzionate, strutture territoriali autorizzate e non accreditate, medici di medicina generale e pediatri di libera scelta convenzionati con il Sistema sanitario nazionale).
Il MRA consentirà la consultazione delle informazioni, in forma analitica e aggregata alle Regioni e alle Province autonome, al Ministero della salute, al Ministero dell'economia e delle finanze, all'Agenzia nazionale per i servizi sanitari regionali, all'ISTAT.
I dati del Sistema MRA potranno inoltre essere messi a disposizione di soggetti appositamente autorizzati dalla Direzione generale della digitalizzazione del Ministero della Salute, cui è affidata la realizzazione e la gestione del sistema e ai cittadini mediante il sito internet dello stesso Ministero. Esaminato lo schema, il Garante ha segnalato l'esigenza di apportare alcune mirate modifiche e integrazioni per conformare il testo alle garanzie in materia di protezione dei dati personali.
L'Autorità ha chiesto, ad esempio, di precisare quali dati personali saranno resi disponibili sul sito del Ministero, nel rispetto dei principi di pertinenza e non eccedenza. Potrebbe infatti non essere giustificata la pubblicazione on line del codice fiscale del medico, che comporterebbe il rischio di furto d'identità.
Il Garante ha chiesto inoltre di chiarire i ruoli e le responsabilità delle Regioni e Province autonome, da un lato, e del Ministero della salute, dall'altro, rispetto al flusso delle informazioni che riguardano i medici di medicina generale e i pediatri di libera scelta; di indicare i tempi di conservazione dei dati personali, trascorsi i quali i dati devono essere cancellati o resi anonimi; di individuare le informazioni contenute nei file di log con cui si registrano gli accessi; di precisarne i tempi di conservazione e di  proteggerli con idonee misure contro ogni uso improprio.

Ultime newsletter del Garante

Ultimi articoli su Privacy

ComplianceNet: 

Quaderni UIF: Anomalie nell’utilizzo del contante e riciclaggio nei comuni (30 gennaio 2016)

160129-uif.jpg

Quaderno UIF N. 5 - Anomalie nell’utilizzo del contante e riciclaggio: un’analisi econometrica a livello comunale, gennaio 2016

  • di Guerino Ardizzi, Pierpaolo De Franceschis e Michele Giammatteo

 Classificazione JEL: E26, E42, G28, K42

Lo studio propone un modello econometrico per identificare le anomalie nell’utilizzo di contante a livello comunale, potenzialmente riconducibili ad attività criminali; l’analisi ha riguardato 6.810 comuni italiani nel 2010 (ultimi dati disponibili per alcune fonti esterne).
L’utilizzo del contante è misurato dalla quota dei versamenti in contante rispetto al totale dei versamenti a livello comunale: tale variabile, in linea con la letteratura esistente, risulta correlata negativamente con il reddito medio pro-capite e con indicatori di educazione finanziaria e di spessore del settore finanziario; emerge, invece, una correlazione positiva con misure locali di criminalità.
Il modello, tenendo conto dei ‘fondamentali’ socio-economici e finanziari dell’uso del contante, consente di individuare i comuni con la maggiore incidenza di utilizzi anomali (non spiegati): sulla base dei risultati vengono calcolati indicatori comunali di esposizione al rischio di riciclaggio, anche con riferimento a specifiche categorie di reati.
Gli indicatori possono essere utili sia nell’orientare l’azione della UIF e delle altre autorità, sia nel supportare le valutazioni degli intermediari sulla rischiosità della propria attività.

Testo della pubblicazione

  • Anomalie nell’utilizzo del contante e riciclaggio: Un’analisi econometrica a livello comunale estratto non tecnico, in italiano (pdf, 550 K, 9 pp.)
  • Cash payment anomalies and money laundering: An econometric analysis of Italian municipalities  studio completo, in inglese (pdf, 3 M, 31 pp.)

Ultimi articoli su UIF

150716-uif.jpg

Ultimi articoli su "Antiriciclaggio"

443px-Money-laundering.svg.png

(image from http://commons.wikimedia.org/wiki/File:Money-laundering.svg)

730 precompilato: Garante privacy, diritto di scelta su spese mediche. Informare i cittadini (27 gennaio 2016)

160128-privacy-730.jpg

L'Autorità scrive a Ministero della salute, Regioni e associazioni di categoria

I contribuenti italiani devono poter scegliere se far inserire o meno dall'Agenzia delle entrate le proprie spese mediche nel 730 precompilato, al fine di detrarle con la dichiarazione dei redditi.
Per far sì che questa facoltà venga conosciuta da tutti, il Garante della privacy ha scritto al Ministero della salute, alle Regioni e Provincie autonome, al Tribunale del malato, alle principali associazioni operanti nel settore sanitario e a quelle dei consumatori per invitarli a informare i propri iscritti e gli assistiti sulle modalità con cui esercitare questo diritto.
Per la prima volta, infatti, il Sistema Tessera Sanitaria - TS, gestito dal Ministero dell'economia e delle finanze, mette a disposizione dell'Agenzia delle Entrate i dati relativi alle spese sanitarie e ai rimborsi effettuati nel periodo d'imposta precedente (in questo caso il 730 relativo al 2015), al fine di semplificare la dichiarazione dei redditi per i lavoratori e i pensionati.

I dati sulla salute delle persone però, ricorda il Garante, sono particolarmente delicati e non tutti gli assistiti, inclusi i familiari a carico, desiderano che siano inseriti - anche solo parzialmente - nella dichiarazione dei redditi.
Sono quindi state previste specifiche misure a tutela della riservatezza che tutti gli enti e le associazioni del settore devono contribuire a far conoscere.
Ecco in sintesi le principali tutele previste e le modalità per esercitare il diritto di opposizione all'inserimento delle spese mediche nel 730.

Opposizione alla trasmissione dei dati e cancellazione

Ogni assistito può decidere di non far inserire le spese mediche nel 730 precompilato.
Tale diritto può essere esercitato anche dalle persone, come il coniuge o i figli (maggiori di sedici anni), fiscalmente a carico.
Dovranno comunque essere cancellati tutti i dati sulle spese sanitarie riferiti a cittadini che non possono utilizzare la dichiarazione precompilata.

Modalità di opposizione

Per le spese sanitarie del 2015, chi desidera che i propri dati non siano acquisiti, anche se in forma aggregata, dall'Agenzia delle entrate può esercitare opposizione con le seguenti modalità: fino al 31 gennaio 2016 richiedendo all'Agenzia delle entrate la cancellazione di una o più macro tipologie di spesa dal Sistema TS; dal 10 febbraio 2016 al 9 marzo 2016 cancellando le singole spese che non desidera siano conteggiate accedendo direttamente all'apposita sezione del sito web del Sistema TS.
Per quanto riguarda le spese sanitarie del 2016, l'assistito, oltre ad esercitare analoghe modalità di cancellazione a quelle previste per l'anno 2015, può chiedere oralmente direttamente a chi eroga il servizio sanitario (ad esempio il medico, l'odontoiatra, il laboratorio di analisi) di non inviare affatto i dati sulla spesa affrontata al Sistema TS.
In farmacia, per non far trasmettere i dati sull'acquisto di un farmaco, sarà sufficiente non comunicare il proprio codice fiscale - presente sulla tessera sanitaria - al momento dell'emissione dello scontrino.

Solo dati aggregati

Il sistema è configurato in modo tale che l'Agenzia delle Entrate e gli intermediari abilitati (Caf e professionisti) non possano accedere al dettaglio delle singole spese sanitarie di ogni persona.
La consultazione in chiaro delle voci relative alle singole spese sanitarie sostenute, allo scopo di verificare i dati riportati nella dichiarazione precompilata, è consentita esclusivamente al contribuente sul sito Web del Sistema Tessera Sanitaria.

Ultimi articoli su Privacy

ComplianceNet: 

Rassegna web: antiriciclaggio, anticorruzione, Solvency II, compliance, cyber resilience (14 gennaio 2016)

160107-edicola.jpg

(immagine tratta da https://commons.wikimedia.org)

Indice

Antiriciclaggio, alert al bivio (Il Sole 24 Ore)

Via gli arresti ma rischio multe da 5 a 30mila euro per le violazioni. Atteso al Cdm di domani l’intervento nello schema di decreto delle mancate segnalazioni

La depenalizzazione delle sanzioni per la mancata segnalazione del rischio di riciclaggio potrebbe essere arrivata in porto, dopo una lunga gestazione. Il Consiglio dei ministri di domani dovrebbe aggregare la materia (articolo 55 del Dlgs 231/2007) allo schema di decreto legislativo recante «Disposizioni in materia di depenalizzazione» in esecuzione della legge 67/2014, in sostanza alla branca “amministrativa” del mini colpo di spugna che prevede anche un secondo versante “civilistico” (si veda Il Sole 24 Ore del 7 gennaio).
L’intervento ha preso forma all’esito di un incontro avvenuto martedì, presenti tra gli altri i tecnici del ministero, gli ordini professionali interessati e la Guardia di finanza. Intervento che, seppur semplice in linea di principio – si tratta in sostanza di estendere gli effetti dello schema di decreto all’articolo 55 della 231/2007 -, presenta qualche problema di coordinamento e, soprattutto, qualche punto di attrito sul merito.

(questa notizia continua)

Privacy email lavoro: Il datore di lavoro non può spiare le mail (Garante Privacy, 13 gennaio 2016)

160114-email.jpg

Intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali ("L'Huffington Post", 13 gennaio 2016)
Ma davvero, da oggi, i lavoratori europei potranno essere spiati dai loro datori di lavoro?
La sentenza del 12 dicembre della Corte europea dei diritti umani sancisce la fine della privacy in ambito lavorativo?
È bene chiarirlo: assolutamente no.
La sentenza di ieri decide il ricorso di un ingegnere romeno licenziato per inadempimento contrattuale, provato anche dall'utilizzo per fini personali, in orario di lavoro, della mail aziendale.
Con la pronuncia, la Corte si è limitata a ritenere non irragionevole il bilanciamento tra privacy dei dipendenti ed esigenze datoriali, affermato dalla giurisdizione romena.
E questo perché:

  • l'azienda aveva informato i dipendenti delle condizioni d'uso della mail aziendale, che non ne consentivano l'utilizzo per fini personali. Ragione, questa, che avrebbe quindi ridotto l'aspettativa di riservatezza riposta dai lavoratori rispetto alle loro comunicazioni via e-mail;
  • il monitoraggio delle mail è stato limitato nel tempo e nell'oggetto, nonché strettamente proporzionato allo scopo di provare l'inadempimento contrattuale del lavoratore (desunto da altri elementi), la cui scarsa produttività aveva determinato e legittimato il licenziamento;
  • l'accesso alle e-mail del lavoratore da parte datoriale è stato legittimo proprio perché fondato sul presupposto della natura professionale del contenuto delle comunicazioni (come da contratto avrebbe dovuto essere);
  • l'identità degli interlocutori del lavoratore non è stata rivelata in sede giurisdizionale;
  • l'azienda non ha avuto accesso ad altri documenti archiviati sul computer del lavoratore; il contenuto delle comunicazioni non è stato oggetto di sindacato da parte datoriale nel giudizio, ma soltanto il carattere personale delle mail inviate nell'orario di lavoro, con conseguente riduzione della produttività del dipendente;
  • il dipendente non ha motivato la ragione dell'utilizzo della mail aziendale per fini personali.

La Corte ha dunque riaffermato, nel caso concreto, che i controlli datoriali sull'attività lavorativa sono ammissibili soltanto nella misura in cui siano strettamente proporzionati e non eccedenti lo scopo di verifica dell'adempimento contrattuale.
Essi devono essere inoltre limitati nel tempo e nell'oggetto; mirati (dunque non massivi) e fondati su presupposti (quali in particolare l'inefficienza dell'attività lavorativa del dipendente) tali da legittimarne l'esecuzione.
Infine, devono essere già previsti dalla policy aziendale, di cui il dipendente deve essere adeguatamente edotto.
Questa valutazione è in linea con la Raccomandazione sulla protezione dei dati in ambito lavorativo, approvata il 1° aprile scorso dallo stesso Consiglio d'Europa, che in particolare auspica la minimizzazione dei controlli difensivi o comunque rivolti agli strumenti elettronici; l'assoluta residualità dei monitoraggi, con appositi sistemi informativi, sull'attività e il comportamento dei lavoratori in quanto tale.
Ed è in linea con la giurisprudenza italiana e con gli stessi principi affermati dal Garante, in particolare con le Linee guida del 2007.
Con questo provvedimento si è prescritto al datore di lavoro di informare i lavoratori delle condizioni di utilizzo della mail aziendale (e anche della stessa rete, in orario di lavoro o comunque con gli strumenti messi a disposizione dal datore), dei controlli che il datore di lavoro si riserva di effettuare per fini legittimi, nonché delle eventuali conseguenze disciplinari suscettibili di derivare dalla violazione di tali regole.
Principi che restano validi anche dopo la riforma dei controlli datoriali operata dal Jobs Act e anche rispetto agli strumenti di lavoro che, pur sottratti alla procedura concertativa, restano comunque soggetti alla disciplina del Codice privacy.
E, in particolare, ai principi di necessità, finalità, legittimità e correttezza, proporzionalità e non eccedenza del trattamento, nonché all'obbligo di previa informativa del lavoratore e al divieto di profilazione, ribaditi proprio dalla Corte europea dei diritti umani, con la sentenza di ieri.
Come abbiamo avuto modo di affermare in sede di audizione, dinanzi alle Commissioni parlamentari, sullo schema di decreto legislativo attuativo del Jobs Act in questa materia, sarà proprio il rispetto dei principi del Codice privacy il principale argine a un utilizzo pervasivo dei controlli sul lavoro.
E questo, anche in assenza delle modifiche che le Commissioni parlamentari, in conformità alle indicazioni da noi rese in audizione, avevano suggerito al Governo di apportare al testo del decreto per rafforzare le garanzie dei lavoratori, pur nel rispetto delle legittime esigenze datoriali.
Dunque, anche dopo il Jobs Act, i controlli datoriali devono comunque essere improntati a gradualità nell'ampiezza e nella tipologia con assoluta residualità dei controlli più invasivi, legittimati solo a fronte della rilevazione di specifiche anomalie e comunque all'esito dell'esperimento di misure preventive meno limitative dei diritti dei lavoratori.
E così, ad esempio, ove il datore di lavoro riscontrasse la presenza di virus sui pc aziendali, dovrebbe dotarli di sistemi di filtraggio/blocco dei siti a rischio e non procedere al monitoraggio dei siti visitati.
Del resto, come il Garante ha affermato in più occasioni, il datore di lavoro è tenuto all'individuazione preventiva della lista dei siti considerati correlati alla prestazione lavorativa, nonché dell'adozione di filtri per il blocco dell'accesso a determinati siti o del download di alcuni file.
E non sono comunque consentite al datore di lavoro la lettura e registrazione sistematica delle e-mail e delle pagine web visualizzate dal lavoratore, la lettura e registrazione dei caratteri inseriti tramite tastiere e dispositivi analoghi, nonché l'analisi occulta di computer portatili affidati in uso.
In questa prospettiva, assai utile può essere l'adozione di una soluzione di privacy-by-design, ovvero la progettazione degli stessi strumenti mediante i quali effettuare i controlli in modo da minimizzare, fino ad escludere, il rischio di controlli invasivi o comunque di incisive limitazioni della riservatezza di chi a quei controlli possa essere sottoposto.
Ed è significativo che tali soluzioni siano valorizzate dal nuovo Regolamento Ue sulla protezione dati, che delinea il nuovo quadro giuridico europeo in una materia, come questa, su cui si giocano le sfide più importanti per le nostre democrazie.

Ultimi articoli su Privacy

ComplianceNet: 

Ue: la Gazzetta europea "suggella" l’accordo firmato con la Svizzera (FiscoOggi.it, 12 gennaio 2016)

160113-ue-swiss.jpg

Pubblicato il 19 dicembre scorso il protocollo di modifica il cui obiettivo è applicare lo standard globale Ocse

  • di Fabrizio Ortu

L’accordo tra l'Unione europea e la Svizzera sulla tassazione dei redditi da risparmio cambia volto e si trasforma in una vera e propria intesa a tutto campo sul flusso di informazioni fiscali fra Stati.
Con l’intento di applicare lo standard globale dell'Ocse per lo scambio automatico di informazioni, infatti, le parti si stringono la mano e danno l'ok a un protocollo di modifica, pubblicato sulla Gazzetta ufficiale dell’Unione europea del 19 dicembre scorso.

Si parte nel 2017

Il primo gennaio 2017 è la data fissata come linea di partenza per l’applicazione dell'accordo.
Entro l'inizio del prossimo anno i requisiti previsti dalla Confederazione Svizzera e dall’Unione Europea per l’entrata in vigore degli accordi internazionali dovrebbero infatti essere soddisfatti.
A partire dal 2017 si dovrebbe quindi procedere alla raccolta delle informazioni, da trasmettere a partire dal 2018.

I contenuti dell’accordo

Le novità del  protocollo di intesa si concentrano su due punti chiave: lo scambio automatico di informazioni secondo lo standard Ocse e lo scambio di informazioni su richiesta, così come previsto dall’articolo 26 dello standard di convenzione della stessa organizzazione.
In questo specifico ambito, l’accordo registra anche la decisione-comunicazione elvetica di  non scambiare informazioni in merito a richieste basate su dati ottenuti illegalmente.

Il flusso di dati automatico, anno dopo anno

Il protocollo prevede che ogni anno la Svizzera scambi automaticamente le informazioni ottenute con gli stati membri dell’Unione Europea, e viceversa.
I dati da scambiare sono raccolti dagli istituti finanziari all’interno di un determinato paese e trasmessi alle autorità fiscali dello stesso stato.
Queste informazioni sono poi inviate alle autorità fiscali degli stati parte dell'accordo sullo scambio automatico di informazioni.
Facciamo un esempio: se un contribuente del paese X detiene un conto presso una banca del paese Y.
La banca del paese Y comunica i dati dei conti finanziari all’autorità del paese Y, che  quindi trasmette automaticamente le informazioni alle autorità del paese X.
Quali dati sono oggetto di scambio automatico?
Informazioni sui conti e sui redditi da capitale (interessi, dividendi, proventi da vendite e altri ricavi) come pure sulle identità delle persone beneficiarie.
Le informazioni relative al conto "oggetto di comunicazione" devono essere trasmesse con periodicità annuale, nel corso dell'anno solare successivo a quello a cui si riferiscono le informazioni.

Il dibattito in Svizzera

Lo scorso settembre il Consiglio nazionale elvetico dice sì all’introduzione dello scambio automatico di informazioni secondo lo standard Ocse, con l’obiettivo di fare della Svizzera “una piazza finanziaria svizzera competitiva, stabile, integra e dotata di condizioni quadro accettate a livello internazionale”.
Allo stesso tempo – invece – il Consiglio boccia (112 voti contrari e 60 favorevoli) la proposta del consigliere Marco Romano di sottoporre l’accordo a referendum obbligatorio.
Nelle istituzioni della Confederazione svizzera è quindi sempre più diffusa la consapevolezza che lo scambio automatico di informazioni in ambito fiscale si avvia a diventare una pratica condivisa a livello globale.
Tant’è che tutte le forze politiche, a eccezione dei democentristi dell’Udc, si esprimono a favore di questo passaggio per alcuni versi epocale.
Quest’ultima formazione, su posizioni nazionaliste, vede nell’applicazione dello scambio automatico di informazioni a fini fiscali una lesione della sfera di riservatezza dei cittadini da parte degli Stati.

Allegato

  • Gazzetta Ufficiale dell’Unione Europea, “Protocollo di modifica dell'accordo tra la Comunità europea e la Confederazione svizzera che stabilisce misure equivalenti a quelle definite nella direttiva 2003/48/CE del Consiglio in materia di tassazione dei redditi da risparmio sotto forma di pagamenti di interessi”, testo (italiano) in html, pdf e openoffice

Ultimi articoli su Fisco Oggi

ComplianceNet: 

Orrick: circolare ABI - autoriciclaggio e responsabilità degli enti (12 gennaio 2016)

160113-orrick.jpg

La newsletter “Orrick corporate law alert” di gennaio 2016 (qui in pdf , 101 K, 3 pp.) è dedicata alla “Circolare ABI” in Materia di autoriciclaggio e 231/01.
Nel seguito il testo completo della newsletter “Orrick corporate law alert” di gennaio 2016.

Circolare ABI - autoriciclaggio e responsabilità degli enti

A cura del Dipartimento italiano Corporate

Il presente documento è una nota di studio. Quanto nello stesso riportato non potrà pertanto essere utilizzato o interpretato quale parere legale né utilizzato a base di operazioni straordinarie né preso a riferimento da un qualsiasi soggetto o dai suoi consulenti legali per qualsiasi scopo che non sia un’analisi generale delle questioni in esso affrontate. La riproduzione del presente documento è consentita purché ne venga citato il titolo e la data accanto all’indicazione: Orrick, Herrington & Sutcliffe, Newsletter.

Introduzione

La Circolare ABI n. 6/2015 in tema di “Autoriciclaggio e responsabilità degli enti” (di seguito, la “Circolare ABI”) approfondisce le tematiche derivanti dall’introduzione del delitto di autoriciclaggio ex art. 648-ter 1 c.p. tra i cd. reati presupposto della responsabilità amministrativa da reato degli enti ai sensi del D.Lgs. 231/2001.

Il delitto di autoriciclaggio e la responsabilità degli enti

Il nuovo delitto di autoriciclaggio - ex art. 648-ter 1, comma 1 c.p. - punisce con la pena della reclusione da 2 a 8 anni e la multa da euro 5.000 a euro 25.000, “chiunque, avendo commesso o concorso a commettere un delitto non colposo, impiega, sostituisce, trasferisce, in attività economiche, finanziarie, imprenditoriali o speculative, il denaro, i beni o le altre utilità provenienti dalla commissione di tale delitto, in modo da ostacolare concretamente l'identificazione della loro provenienza delittuosa”. Secondo ABI, in particolare, perché si configuri la responsabilità dell’ente per reato di autoriciclaggio ai sensi del citato D.Lgs. 231/2001, si rende necessario che:

  1. un soggetto apicale o subordinato commetta o concorra a commettere un delitto non colposo produttivo di un provento, presumibilmente (ma non necessariamente) nell’interesse o vantaggio dell’ente;
  2. il medesimo soggetto impieghi, sostituisca o trasferisca in attività economiche, finanziarie o speculative quel provento (i.e. integrando la condotta tipica di autoriciclaggio), nell’interesse o vantaggio dell’ente, in modo da ostacolare concretamente l’identificazione della provenienza delittuosa del provento  medesimo. Sul punto ABI precisa che: “è comunque essenziale la funzione selettiva (…) svolta dal requisito del concreto ostacolo alla provenienza delittuosa: esso dovrà essere puntualmente riscontrato (…), sarà necessario accertare la sussistenza di condotte dissimulatorie ovvero anomale rispetto all’ordinaria attività mentre semplici operazioni «tracciabili», non avendo tali caratteristiche, non dovrebbero assumere rilevanza penale”.
  3. la condotta di autoriciclaggio sia successiva al perfezionamento del reato che ha dato origine ai proventi illeciti [nota 1], anche se compiuta dopo la sua estinzione (ad esempio, per prescrizione) o anche se l’autore del medesimo reato non sia imputabile o punibile, oppure manchi una condizione di procedibilità [nota 2].

ABI prosegue sottolineando che l’inserimento del delitto di autoriciclaggio all’interno del catalogo dei reati presupposto della responsabilità degli enti di cui al D.Lgs. 231/2001 – mediante il richiamo dell’art. 648-ter 1 c.p. nell’art. 25-octies del D.Lgs. 231/2001 (“Ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita, nonché autoriciclaggio”) operato dalla L. n. 186 del 2014 – impone la necessità di determinare il perimetro della responsabilità da reato degli enti “posto che ogni «delitto non colposo» produttivo di un provento può costituire il reato-presupposto del delitto di autoriciclaggio, la teorica espansione della responsabilità da reato dell’ente, ricorrendone ovviamente tutte le altre condizioni previste dal D.Lgs. 231/2001, deve essere temperata dall’applicazione rigorosa dei principi di legalità e tassatività”.
In proposito, ABI evidenziato che “è dubbio peraltro che l’art. 25 octies possa essere interpretato nel senso di escludere la rilevanza, ai fini della configurabilità dell’illecito amministrativo dell’ente, di condotte che abbiano a oggetto proventi di reati non previsti nell’elenco dei reati presupposto” (si pensi, innanzitutto, ai reati fiscali e alla conseguente permanenza nel patrimonio dell’ente, quale provento illecito, delle somme corrispondenti all’importo delle tasse evase) assumendo così una posizione più prudente rispetto quella proposta da Confindustria nella Circolare n. 19867 del 12 giugno 2015 (“Il reato di autoriciclaggio e la responsabilità ex Decreto 231”), secondo la quale: “l’interpretazione estensiva sembra violare le fondamentali garanzie di tutela previste dal Decreto 231. Infatti, in attuazione del principio di legalità in esso previsto «l’ente non può essere ritenuto responsabile per un fatto costituente reato se la sua responsabilità amministrativa in relazione a quel reato e le relative sanzioni non sono espressamente previste da una legge entrata in vigore prima della commissione del fatto» (art. 2). Pertanto, alla luce del richiamo a tali garanzie - che l’ordinamento appresta per la responsabilità di natura penalistica - l’autoriciclaggio dovrebbe rilevare ai fini dell’eventuale responsabilità dell’ente soltanto se il reato-base rientra tra quelli presupposto previsti in via tassativa dal Decreto 231. In caso contrario, infatti, si finirebbe per integrare in modo del tutto indefinito il catalogo dei reati presupposto, attraverso l’implicito rinvio a una serie di fattispecie di reato non colpose non espressamente indicate”.

Aggiornamento del modello organizzativo

Alla luce delle considerazioni della Circolare ABI sopra riportate, nella medesima Circolare si è proceduto a delineare alcune indicazioni con riferimento all’aggiornamento dei modelli organizzativi con particolare riguardo al settore bancario. Nello specifico, in relazione ai proventi illeciti formatisi all’interno delle banche si è proposta una distinzione tra proventi derivanti da reati inseriti nel catalogo dei reati presupposto ex D.Lgs. 231/2001 e reati non rientranti nel catalogo. Con riguardo al primo caso, si è affermato che “le procedure e i principi di comportamento già adottati per prevenire il rischio di commissione degli altri reati inseriti nell’elenco di quelli presupposto della responsabilità degli enti, possono risultare efficaci anche per la prevenzione «a monte» dell’autoriciclaggio dei relativi proventi illeciti”. Quanto al secondo caso, invece, l’ABI ha suggerito di strutturare i modelli organizzativi focalizzando la prevenzione “non tanto sul controllo circa la provenienza del denaro, quanto sulle modalità di utilizzo dello stesso, in modo da far emergere eventuali anomalie o elementi non ordinari e impedendo il ricorso a tecniche idonee ad ostacolare in concreto l’individuazione della provenienza illecita dei beni”. Particolare attenzione andrà posta, dunque, sulla segmentazione dei flussi decisionali interni dell’ente, ove siano opportune più fasi di approvazione e verifica per operazioni complesse.

Note al testo

  1. Si segnala, sul reato di autoriciclaggio, una recente pronuncia della Corte di Appello di Milano, sentenza n. 4920 del 2015.
  2. Questo principio è stato ribadito da ultimo anche da Cass. pen., Sez. I, 2 settembre 2015, n. 35818.

Leggi anche:

Articoli collegati su Orrick

140402-orrick.png

Ultimi articoli su "Antiriciclaggio"

443px-Money-laundering.svg.png

(image from http://commons.wikimedia.org/wiki/File:Money-laundering.svg)

ComplianceNet: 

Rassegna web: antiriciclaggio e nuovi limiti per i pagamenti in contanti (11 gennaio 2016)

160111-sole-contante.jpg
Sulla rassegna stampa dell’Agenzia delle Entrate i testi integrali in pdf degli articoli del Sole 24 Ore dedicati alle nuove soglie per i pagamenti in contanti.

Pagamenti in contante con più flessibilità (Il Sole 24 Ore, 11 gennaio 2015)

In vigore dal 1° gennaio la soglia a 3mila euro - Italia ancora indietro nell' uso dei mezzi di pagamento elettronici

  • di Cristiano Dell'Oste e Giovanni Parente

Un orologio di lusso con cassa in ceramica e brillanti (prezzo: 1.980 euro).
Una vacanza di 14 giorni sulla Riviera Maya in Messico per due persone (2.529 euro).
Un mobile made in Italy per il bagno, completo di specchio e lampada a led (1.492 euro).
Che cosa hanno in comune tutte queste cose?
Sono alcuni dei beni e servizi che dallo scorso 1° gennaio - per chi vuole - possono essere pagati anche in contanti.
Lo prevede la legge di Stabilità 2016 (comma 898), che ha alzato da mille a 3mila euro la cifra a partire dalla quale è obbligatorio usare mezzi tracciabili (bonifici, assegni, bancomat, carte di credito).
Dopo tre riduzioni consecutive - che avevano portato la soglia dai 12.500 euro del 2008 ai mille della manovra Monti - gli italiani stanno sperimentando in questi giorni il primo allentamento dei limiti all' utilizzo di contanti, titoli al portatore e libretti di deposito, sempre al portatore.
Un allentamento accompagnato da diverse polemiche sulle possibili ricadute negative in termini di contrasto all' evasione, ma i cui effetti non appaiono scontati.

  • continua a leggere in pdf  su rassegna stampa dell’Agenzia delle Entrate (4 pp.)

Saldo dei libretti al portatore: resta il limite di mille euro (Il Sole 24 Ore, 11 gennaio 2015)

  • di Nicola Forte

Uso del denaro contante più libero, ma non in ogni caso. Il vecchio limite di mille euro continua a rimanere in vigore per l' emissione di assegni bancari, circolari, postali e per i money transfer.
Inoltre anche il saldo dei libretti di deposito al portatore resta invariato e non potrà superare il precedente limite.
Il limite generale La modifica introdotta dalla legge di Stabilità 2016 riguarda esclusivamente l' articolo 49 del Dlgs 231/2007. La novità vieta il trasferimento di denaro contante o di libretti di deposito bancari o postali o di titoli al portatore, indipendentemente dalla causa, quando l' importo del trasferimento è complessivamente pari o superiore a 3mila euro (e non più, come accadeva fino al 31 dicembre, mille euro).

  • continua a leggere in pdf  su rassegna stampa dell’Agenzia delle Entrate

Ultimi articoli su "Antiriciclaggio"

443px-Money-laundering.svg.png

(image from http://commons.wikimedia.org/wiki/File:Money-laundering.svg)

Ultimi articoli su "Rassegna Web"

151231-wiki-news-2

(immagine tratta da Wiki Commons)

 

 

Pagine