Responsabilità solidale negli appalti non solo nel settore dell’edilizia (Fisco Oggi, 1° marzo 2013)

logo-fisco-oggi

di Marco Denaro
Sono esclusi, invece, quelli di fornitura di beni, nonché quelli di opere e servizi, di trasporto, di subfornitura e le prestazioni rese nell’ambito del rapporto consortile

L’Agenzia delle Entrate, a integrazione dei chiarimenti forniti con la circolare n. 40/2012, torna a occuparsi dell’esatta interpretazione delle disposizioni contenute nell’articolo 13-ter del Dl n. 83/2012 (“decreto crescita”), che hanno modificato, a decorrere dal 12 agosto 2012, la disciplina in materia di responsabilità fiscale nell’ambito dei contratti d’appalto e subappalto di opere e servizi (circolare n. 2/E dell'1 marzo). qui in pdf.
Innanzitutto, nel documento di prassi, si precisa che l’articolo 13-ter, stante la sua natura di norma finalizzata a contrastare l’evasione fiscale, trova applicazione nei contratti di appalto intesi nella loro generalità, quindi non limitatamente a quelli stipulati nell’ambito del settore edilizio, mentre ne restano esclusi, per espressa previsione normativa:

  • le persone fisiche non soggetti Iva, ai sensi degli articoli 4 e 5 del Dpr 633/1972
  • le stazioni appaltanti di cui all’articolo 3, comma 33, del Dlgs 163/2006
  • il “condominio”, in quanto tale figura non è compresa fra i soggetti individuati agli articoli 73 e 74 del Tuir.

La norma trova applicazione sia nell’ipotesi in cui vi sia un contratto di subappalto, che presuppone la coesistenza di almeno tre soggetti economici distinti (committente, appaltatore e subappaltatore), sia nella ipotesi in cui l’appaltatore provveda direttamente alla realizzazione dell’opera affidatagli dal committente.

Si precisa, inoltre, che l’eventuale rinnovo del contratto deve ritenersi equivalente a una nuova stipula; pertanto, per i contratti rinnovati successivamente al 12 agosto 2012 (data di entrata in vigore della disposizione), è applicabile, a partire dalla data di rinnovo, la disciplina in esame.

Un altro importante chiarimento, poi, riguarda i contratti interessati all’applicazione dell’articolo 13-ter. Al riguardo, il documento di prassi precisa che la norma in esame, sulla base di una interpretazione letterale, sia riferita alle sole fattispecie riconducibili ai contratti di appalto, così come definiti dall’articolo 1655 del codice civile, con la conseguenza che devono ritenersi esclusi i contratti di appalto di forniture.
Allo stesso modo, devono ritenersi escluse dalla norma in commento le tipologie contrattuali diverse dal contratto di appalto di opere e servizi, quali, ad esempio, il contratto d’opera (articolo 2222 cc), il contratto di trasporto (articoli 1678 e seguenti cc), il contratto di subfornitura (legge n. 192/1998), nonché le prestazioni rese nell’ambito del rapporto consortile.

La circolare, inoltre, precisa che, in caso di più contratti intercorrenti tra le medesime parti, la certificazione può essere rilasciata in modo unitario e anche con cadenza periodica, fermo restando che, al momento del pagamento, deve essere attestata la regolarità di tutti i versamenti relativi alle ritenute e all’Iva scaduti a tale data, che non siano stati oggetto di precedente attestazione.

Con riferimento ai pagamenti effettuati mediante bonifico bancario o altri strumenti che non consentono al beneficiario l’immediata disponibilità della somma versata a suo favore, viene puntualizzato cha l’attestazione di regolarità deve riferirsi ai versamenti fiscali scaduti al momento in cui il committente o l’appaltatore effettuano la disposizione bancaria e non anche a quelli scaduti al momento del successivo accreditamento delle somme al beneficiario.

Infine, per i casi in cui l’appaltatore o il subappaltatore cedano il proprio credito a terzi, la circolare chiarisce che - sulla base delle precisazioni fornite dalla Ragioneria generale dello Stato con riferimento alle ipotesi di cessione del credito nell’ambito della disciplina sui pagamenti delle pubbliche Amministrazioni, di cui all’articolo 48-bis del Dpr 602/1973 (circolare n. 29/2009) - la regolarità fiscale relativa ai rapporti riferibili al credito oggetto di cessione possa essere attestata nel momento in cui il cedente (appaltatore o subappaltore) dà notizia della cessione al debitore ceduto (committente o appaltatore).

pubblicato Venerdì 1 Marzo 2013

Allegato

  • Agenzie delle entrate, Comunicato stampa: Responsabilità solidale negli appalti. I nuovi chiarimenti delle Entrate, 1° marzo 2013, (pdf)
  • Agenzia delle entrate, CIRCOLARE N. 2/E, Articolo 13-ter del DL n. 83 del 2012 - Disposizioni in materia di responsabilità solidale dell’appaltatore - Circolare n. 40/E dell’8 ottobre 2012 - Problematiche interpretative, 1° marzo 2013 (pdf)

ComplianceNet: 

DIA: "Infiltrazioni criminali nell'economia legale, parte seconda: usura ", 1° relazione semestrale 2012 (21 febbraio 2013)

logo dia

Documenti collegati:

  • il capitolo "Corruzione" della relazione DIA del secondo semestre 2011 è disponibile qui (21 agosto 2012);
  • il capitolo "Usura" della relazione DIA del secondo semestre 2011 è disponibile qui (15 agosto 2012);
  • il capitolo "Appalti" della relazione DIA del secondo semestre 2011 è disponibile qui (5 agosto 2012);
  • il capitolo "Antiriciclaggio" della relazione DIA del secondo semestre 2011 è disponibile qui (25 luglio 2012).

La Direzione Investigativa Antimafia, DIA, ha pubblicato sul proprio sito web la "Relazione del Ministro dell'Interno al Parlamento sull'attività svolta e sui risultati conseguiti dalla Direzione Investigativa Antimafia (DIA)" periodo gennaio – giugno 2012, 1° semestre 2012 (qui il testo ufficiale in formato pdf; attenzione: si tratta di un documento di 372 pagine dal “peso” di 170 mega in formato pdf immagine difficile da scaricare, stampare e gestire e non conforme agli standard di accessibilità). Il quarto capitolo della relazione è dedicato alle "Infiltrazioni criminali nell'economia legale"; il terzo paragrafo del quarto capitolo, di seguito integralmente riprodotto, è dedicato all'estorsione e usura e riporta un'analisi approfondita dei relativi dati statistici.

In sintesi:

  • Il ricorso a pratiche usurarie e la pressione estorsiva costituiscono modalità tipiche del potere mafioso di controllo, soprattutto nei confronti di imprenditori e commercianti, e sono, inoltre, da ritenersi fenomeni strettamente correlati ad un'altra condotta delittuosa tipica delle organizzazioni criminali, quella del riciclaggio di denaro
  • In un contesto di recessione economica, le imprese gestite con capitali di provenienza illecita, a differenza delle aziende che operano legalmente, sono in grado di offrire beni e servizi anche a costi inferiori a quelli di mercato, proprio perché possono usufruire di liquidità fresca ed illimitata, riveniente da attività criminose
  • Le iniziative di contrasto volte a frenare la diffusione dei siffatti fenomeni criminali e l'adozione di strumenti normativi di supporto alle piccole e medie imprese, specialmente nell'attuale contesto di crisi finanziaria, costituiscono momento fondamentale sia per proteggere gli operatori economici dal rischio di essere ineludibilmente condizionati dalla pressione mafiosa, sia per ricondurre il mercato nell'alveo delle normali regole di concorrenza economica.
  • Nel semestre in esame, si denota una diminuzione delle segnalazioni per usura in Basilicata, Calabria, Campania, Lazio, Molise, Puglia, parallela ad un aumento per le regioni Emilia Romagna, Friuli Venezia Giulia, Liguria, Lombardia, Sardegna, Sicilia, Toscana e Umbria ed una sostanziale tenuta del dato nelle restanti regioni.
  • La crisi finanziaria e la recessione fanno sì che le imprese siano pericolosamente attratte nel circuito dell'economia illegale. noltre, il progressivo indebolimento dei principi di legalità favorisce l'espandersi di condotte illecite come l'evasione fiscale e contributiva, che rendono necessaria, anche a imprenditori inizialmente lontani da ogni contatto con la criminalità organizzata, la ricerca di strumenti di riciclaggio dei proventi in nero nonché l'adozione di forme di contabilità opache, creando un terreno di incontro e di contiguità tra l'economia integra e quella sommersa e criminale 

 

ComplianceNet: 

DIA: "Infiltrazioni criminali nell'economia legale, parte prima:antiriciclaggio", 1° relazione semestrale 2012 (20 febb. 2013)

logo dia

  • Testo disponibile nelle versioni: mobi , epub, pdf, xhtml, doc, odt
  • Le tabelle (tavole) sono disponibili in formato xls e ods (testi e tabelle a cura di ComplianceNet)

Documenti collegati:

  • il capitolo "Corruzione" della relazione DIA del secondo semestre 2011 è disponibile qui (21 agosto 2012);
  • il capitolo "Usura" della relazione DIA del secondo semestre 2011 è disponibile qui (15 agosto 2012);
  • il capitolo "Appalti" della relazione DIA del secondo semestre 2011 è disponibile qui (5 agosto 2012);
  • il capitolo "Antiriciclaggio" della relazione DIA del secondo semestre 2011 è disponibile qui (25 luglio 2012).

La Direzione Investigativa Antimafia, DIA, ha pubblicato sul proprio sito web la "Relazione del Ministro dell'Interno al Parlamento sull'attività svolta e sui risultati conseguiti dalla Direzione Investigativa Antimafia (DIA)" periodo gennaio – giugno 2012, 1° semestre 2012 (qui il testo ufficiale in formato pdf; attenzione: si tratta di un documento di 372 pagine dal “peso” di 170 mega in formato pdf immagine difficile da scaricare, stampare e gestire e non conforme agli standard di accessibilità). Il quarto capitolo della relazione è dedicato alle "Infiltrazioni criminali nell'economia legale"; il primo paragrafo del quarto capitolo, di seguito integralmente riprodotto, è dedicato all'antiriciclaggio e riporta un'analisi approfondita dei dati statistici relativi alle segnalazioni di operazioni sospette per il 1° semestre 2012.

In sintesi:

  • Nel 1° semestre 2012, il numero di segnalazioni di operazioni sospette ricevute dall'U.I.F. (Unità di Informazione Finanziaria) è stato pari a 10.773, facendo registrare una diminuzione di 3.346 unità rispetto al semestre precedente, nel corso del quale ne erano pervenute 14.119, con una flessione pari a - 31,06%.
  • É aumentato, invece, il numero delle segnalazioni “trattenute” che, per il periodo in esame, è stato di 194, superiore alle 167 del precedente semestre, le quali sono state inviate alle articolazioni periferiche della D.I.A. per l'esecuzione degli approfondimenti volti all’eventuale avvio di indagini di polizia giudiziaria o di procedimenti a carattere preventivo.
  • Nel periodo in esame, emerge che la gran parte delle segnalazioni proviene dalla macroarea relativa alle regioni settentrionali (41,89%), confermando una consistente partecipazione da parte dei soggetti finanziari tenuti alla cooperazione attiva; segue, come nel passato, la macroarea relativa alle regioni centrali (29,96%) ed infine quella delle regioni meridionali e delle isole (28,14%).
  • Con riferimento alla distribuzione territoriale dei segnalanti, dall'esame del prospetto non emergono variazioni significative rispetto ai periodi precedenti, ad eccezione del fatto che la Lombardia è stata sopravanzata, seppur di poco, dal Lazio per quanto attiene al numero di segnalazioni inviate (rispettivamente 1755 contro 1767). Il numero delle segnalazioni "trattenute" è, tuttavia, nettamente maggiore per la Lombardia (59, mentre erano 41 nel precedente semestre) rispetto a quelle riferibili al Lazio (8, mentre erano 13 nel semestre decorso).
  • L’analisi dei dati conferma che il fattore chiave dell'intero sistema non risiede nel criterio della mera numerosità delle segnalazioni, ma nella loro qualità informativa, determinata dai profili di pertinenza sotto l'aspetto investigativo.
  • Anche per questo semestre, si evidenzia come le segnalazioni trasmesse dagli enti creditizi, dagli intermediari finanziari e dalla pubblica amministrazione costituiscano le fonti, pressoché uniche, della collaborazione attiva, alimentando quasi tutto l'intero sistema.
  • L’apporto carente da parte dei professionisti al sistema di contrasto al riciclaggio rappresenta un elemento su cui riflettere, considerato il ruolo particolare che essi svolgono nel contesto socio-economico di riferimento.
  • Sono, infine, da evidenziare le 36 segnalazioni da parte di case da gioco, rispetto alle 19 del semestre precedente

Testo completo del paragrafo "4.a Antiriciclaggio", 1° semestre 2012

Segnalazioni di operazioni sospette

Nel 1° semestre 2012, il numero di segnalazioni di operazioni sospette ricevute dall'U.I.F. (Unità di Informazione Finanziaria) è stato pari a 10.773, facendo registrare una diminuzione di 3.346 unità rispetto al semestre precedente, nel corso del quale ne erano pervenute 14.119, con una flessione pari a - 31,06%.
É aumentato, invece, il numero delle segnalazioni “trattenute” che, per il periodo in esame, è stato di 194, superiore alle 167 del precedente semestre, le quali sono state inviate alle articolazioni periferiche della D.I.A. per l'esecuzione degli approfondimenti volti all’eventuale avvio di indagini di polizia giudiziaria o di procedimenti a carattere preventivo.

ComplianceNet: 

Wi-FI: gli obblighi privacy dei gestori (Pmi.it, 15 febbraio 2013)

pmi-logo.jpg

Le risposte del Garante della Privacy in merito agli obblighi dei gestori dei locali che offrono l'accesso gratuito al Wi-Fi.

Wi-Fi: nessuna responsabilità per i gestori sui siti visitati dagli utenti
Nessuna responsabilità da parte dei gestori di locali o pubblici esercizi che consentano la navigazione Internet tramite Wi-Fi gratuita in merito ai siti visitati dagli utenti. A chiarirlo è il Garante Privacy in risposta ad un quesito posto da Fipe (Federazione italiana pubblici esercizi aderente a Confcommercio) sugli obblighi in materia di privacy da parte dei gestori.
I siti visitati e l’’utilizzo del Wi-Fi nei locali pubblici ma anche quello dei terminali, come i pc, messi a disposizione dei clienti è responsabilità di questi ultimi, mentre i gestori dei locali ne sono sollevati.
Il dubbio del Fipe riguardava l’interpretazione del decreto Milleproroghe del 2010 che sollevava i gestori da ogni responsabilità in merito alla navigazione tramite Wi-Fi offerta gratuitamente, obbligandoli però a far firmare al cliente una autorizzazione al trattamento dei dati personali nel caso in cui si fossero volute informazioni più dettagliate.
I dubbi erano sorti più in particolare in relazione ai provider che forniscono programmi di archiviazione i quali avevano interpretato la norma sostenendo che “su gestori di bar e ristoranti incombeva l’obbligo di registrazione dei dati da parte degli utenti, così come dovevano essere anche ritenuti corresponsabili dei siti visitati dai loro clienti in caso di connessione alla rete con l’accesso telematico fornito dal locale”.
Ma il Garante della Privacy ribadisce quanto stabilito dal Milleproroghe che ha abrogato il decreto Pisanu, nel quale si chiedeva ai gestori di fotocopiare e conservare i documenti degli utenti che accedevano alla Wi-Fi.
Il Garante conferma quindi l’interpretazione del Fipe: “gli esercenti che ancora dispongono di strumenti per il monitoraggio e l’archiviazione dei dati possono eliminarli, senza il rischio di alcuna responsabilità, rendendo così realmente libero il servizio di Wi-Fi offerto. Altrimenti, se vogliono continuare ad utilizzare tali sistemi in maniera legittima, sono tenuti a rendere informati i propri avventori dell’utilizzo che viene fatto dei dati monitorati, attraverso la sottoscrizione da parte loro del consenso al trattamento degli stessi”. 

Articoli collegati

ComplianceNet: 

IVASS: "Comunicazione al mercato del 14 febbraio 2013"

logoivass 

  • Fonte: Comunicazione IVASS (pdf)

Il 1° gennaio 2013 l'Ivass -Istituto per la Vigilanza sulle Assicurazioni -è succeduto in tutti i poteri, funzioni e competenze dell'ISVAP.
In relazione a ciò è stato avviato un processo di revisione dell’organizzazione e delle procedure interne dell’Istituto orientato ad una sempre più stretta integrazione dell’attività di vigilanza assicurativa con quella del settore bancario.
In tale ambito, sono state emanate linee guida per il processo ispettivo di vigilanza, in considerazione del ruolo che l’attività ispettiva riveste nel concorrere al perseguimento degli obiettivi assegnati dall’ordinamento all’IVASS (sana e prudente gestione delle imprese di assicurazione e di riassicurazione nonché trasparenza e correttezza dei comportamenti). Si tratta del primo intervento di un processo di revisione della regolamentazione volto a individuare le metodologie di esame dei rischi e a definire le procedure operative a supporto dell’attività di vigilanza a distanza e ispettiva.
Le richiamate linee guida delineano criteri di orientamento per lo svolgimento degli accertamenti e i diversi passaggi che contraddistinguono le varie fasi del processo ispettivo.
Sono articolate in principi di conduzione delle ispezioni e profili amministrativi. Questi ultimi scandiscono gli adempimenti previsti nelle diverse fasi dell’accertamento (preliminare, di conduzione e di rappresentazione dei risultati), definendo i contenuti del rapporto ispettivo e del connesso processo di revisione.
In questa fase iniziale, le suddette indicazioni saranno applicate agli accertamenti presso le imprese di assicurazione e riassicurazione, i soggetti che svolgono funzioni parzialmente comprese nel ciclo operativo delle imprese medesime, nonché i soggetti nei confronti dei quali l’IVASS esercita il potere di vigilanza ispettiva previsto dagli artt. 86 e 214 del D. Lgs. n.209/2005.
I principi posti alla base delle linee guida sono la focalizzazione sui rischi, la proporzionalità e oggettività degli interventi -sia nella fase di pianificazione che di conduzione degli accertamenti -l’efficienza e la flessibilità dell’azione, oltre che la necessaria integrazione dell’attività ispettiva con quella a distanza svolta dai Servizi di Vigilanza.
I principali aspetti disciplinati riguardano:

  • la possibilità di effettuare diverse tipologie di accertamenti (a spettro esteso, mirati e di follow-up);
  • la definizione di indicazioni procedurali per la pianificazione ispettiva, l’individuazione del mandato e del gruppo ispettivo e l’interlocuzione fra Ispettore e Servizi di Vigilanza;
  • l’attribuzione al Capo del gruppo ispettivo della responsabilità di conduzione degli accertamenti e di firma del rapporto;
  • la redazione di un rapporto ispettivo, con l’indicazione delle risultanze delle indagini e delle criticità emerse nel corso degli accertamenti;
  • la comunicazione dei risultati al soggetto ispezionato attraverso la consegna del rapporto al legale rappresentante da parte dell’Ispettore, di norma nel corso di un’apposita riunione alla presenza dell’Organo amministrativo, di quello con funzioni di controllo e del Direttore Generale;
  • la previsione che la notifica dell’eventuale atto di contestazione, che dà avvio al procedimento sanzionatorio, avvenga contestualmente alla consegna del rapporto ispettivo. Il procedimento in parola si svolge nel rispetto dei principi volti a garantire separatezza fra funzioni istruttorie e decisorie e l’effettivo contradditorio fra le parti.

Articoli collegati

    ComplianceNet: 

    Privacy: Newsletter del Garante n. 369 del 14 febbraio 2013: ispezioni, patente, controlli PC, UE

    130124-newsletter-garante-privacy.jpg

    Il Garante per la protezione dei dati personali ha pubblicato la newsletter n. 369 del 14 febbraio 2013.
    Quattro gli argomenti trattati:

    1. L'attività ispettiva del Garante privacy   
    2. Patente a punti più trasparente
    3. Controlli sui pc aziendali sì, ma nel rispetto di precise regole
    4. A piccoli passi verso la nuova normativa Ue sulla privacy

    L'attività ispettiva del Garante privacy

    395 ispezioni, circa 3milioni e 800mila euro di sanzioni. Varato anche il piano ispettivo per il primo semestre 2013
    395 ispezioni, circa 3 milioni e 800 mila euro le somme riscosse a seguito di sanzioni. Un bilancio significativo quello riguardante l'attività ispettiva svolta dal Garante privacy nel 2012.
    Gli accertamenti, effettuati anche mediante il contributo delle Unità Speciali della Guardia di finanza - Nucleo speciale privacy, hanno riguardato il telemarketing, l'uso dei sistemi di localizzazione (gps)  nell'ambito del rapporto di lavoro, i nuovi strumenti di pagamento gestiti dalle compagnie telefoniche (mobile payment),  il credito al consumo e le "centrali rischi", le banche dati del fisco, l'attività di profilazione dei clienti da parte delle aziende.
    Per quanto riguarda le sanzioni amministrative, sono stati avviati 578 procedimenti (con un incremento del 61% rispetto al 2011) che hanno riguardato, in larga parte, la omessa informativa, il trattamento illecito dei dati, il mancato rispetto delle norme in materia di telemarketing, la conservazione eccessiva dei dati di traffico telefonico e telematico, la mancata adozione di misure di sicurezza, l'omessa o mancata notificazione al Garante, l'inosservanza dei provvedimenti dell'Autorità. L'incremento è dovuto, in particolare, all'attività di contrasto delle violazioni nel settore del telemarketing.
    56 sono state le segnalazioni all'autorità giudiziaria (con un incremento del 51% rispetto al 2011), in particolare per violazioni connesse al controllo a distanza dei lavoratori, all'accesso abusivo a banche dati, alle misure di sicurezza, alla falsità nelle dichiarazioni al Garante. Per quanto riguarda le misure di sicurezza sono state impartite 18 prescrizioni nei confronti di diversi soggetti, pubblici e privati.
    Le somme riscosse dall'erario a seguito di sanzioni sono state 3.769.217 di euro, con un aumento rispetto all'anno precedente del 22%.
    Il piano ispettivo del primo semestre 2013
    Il piano ispettivo varato per il primo semestre 2013 punta su settori di particolare rilevanza: le banche dati pubbliche in particolare di enti previdenziali e dell'amministrazione finanziaria, l'attività di telemarketing da parte dei call center operanti all'estero, il trattamento dei dati per il fascicolo sanitario elettronico, i nuovi strumenti di pagamento gestiti dalle compagnie telefoniche (mobile payment), le "centrali rischi".
    200 gli accertamenti ispettivi programmati che verranno effettuati anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza. A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati e le altre verifiche per accertare il rispetto dei principali adempimenti previsti dalla normativa quali: le informative da fornire ai cittadini sull'uso dei loro dati personali, la corretta acquisizione del consenso da richiedere nei casi previsti dalla legge, l'adozione delle misure di sicurezza, il rispetto dell'obbligo di notificazione al Garante.

    Patente a punti più trasparente

    L'automobilista deve poter conoscere nel dettaglio tutte le variazioni relative ai punti della sua patente. Negli estratti cronologici inviati agli automobilisti il Ministero delle infrastrutture e dei trasporti  dovrà indicare tutte le attribuzioni o decurtazioni di punteggio, anche quelle effettuate in modo automatico,  compresa  l'attribuzione di  quei punti che in un secondo momento vengono tolti perché assegnati illegittimamente. Il Ministero inoltre, dovrà garantire all'automobilista che lo richiede la conoscibilità, nel dettaglio e cronologicamente, di tutte la variazioni riferite agli eventi passati.
    Lo ha stabilito il Garante privacy definendo il reclamo [doc. web n. 2256617] di  un automobilista, in cui si lamentava che nell'anagrafe nazionale degli abilitati alla guida non vengono registrate tutte le annotazioni relative alla variazione del punteggio della patente di ciascun conducente, ma solo il risultato complessivo.
    Dagli accertamenti svolti è emerso che, in effetti, sia le comunicazioni trasmesse dal Ministero al reclamate sia le informazioni consultabili on line non riportano tutte le operazioni effettuate nel tempo. Così facendo il Ministero ha operato in modo non conforme al Codice della privacy laddove prevede che i dati personali siano trattati secondo correttezza, esatti, se necessario aggiornati e che anche la gestione di banche dati pubbliche da parte della Pa avvenga nel rispetto degli stessi principi.
    Il Ministero, al quale sono stati concessi sei mesi di tempo per mettersi in regola dovrà assicurare, infine, informazioni complete e dettagliate anche nella consultazione on line attraverso il cosiddetto "portale dell'automobilista".

    Controlli sui pc aziendali sì, ma nel rispetto di precise regole

    Una società non può controllare il contenuto del pc di un dipendente senza averlo prima informato di questa possibilità e senza il pieno rispetto della libertà e della dignità del lavoratore. Questa la decisione del Garante sul ricorso [doc. web n. 2149222] presentato da un dipendente che era stato licenziato senza preavviso dalla propria azienda. L'uomo si era rivolto sia alla magistratura ordinaria, per contestare la stessa fondatezza dell'accusa e il relativo licenziamento, sia al Garante per opporsi alle modalità con cui la società avrebbe acquisito e trattato i suoi dati.
    Dai riscontri dell'Autorità è emerso che una serie di documenti, sulla base dei quali il datore di lavoro aveva fondato la sua decisione, erano contenuti in una cartella personale del pc portatile assegnato al lavoratore. La società vi aveva avuto accesso quando il dipendente aveva riportato il computer in sede per la periodica operazione di salvataggio dei dati (back up) aziendali. Contrariamente a quando affermato dall'impresa, non risulta però che l'uomo fosse stato informato sui limiti di utilizzo del bene aziendale, né sulla possibilità che potessero essere avviate così penetranti operazioni di analisi e verifica sulle informazioni contenute nel pc stesso.
    Il Garante ha ribadito che il datore di lavoro può effettuare controlli mirati al fine di verificare l'effettivo e corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro.
    Tale attività, però, può essere svolta solo nel rispetto della libertà e della dignità dei lavoratori e della normativa sulla protezione dei dati personali che prevede, tra l'altro che alla persona interessata debba essere sempre fornita un'idonea informativa sul possibile trattamento dei suoi dati connesso all'attività di verifica e controllo. Il Garante ha quindi vietato alla società ogni ulteriore utilizzo dei dati personali così acquisiti. Sarà invece l'autorità giudiziaria a valutare l'utilizzabilità nel procedimento civile già in corso della documentazione acquisita agli atti.

    Imprese e trasferimento dei dati all'estero

    A oltre un anno dalla presentazione delle proposte della Commissione europea di un nuovo quadro giuridico europeo in materia di protezione dei dati, la situazione complessiva risulta ancora poco definita. Il "pacchetto", presentato il 25 gennaio 2012,  comprende un Regolamento che andrà a sostituire la direttiva 95/46/CE, e  una Direttiva che dovrà disciplinare i trattamenti per finalità di giustizia e di polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE). Il "pacchetto protezione dati" dovrà essere adottato attraverso la procedura di co-legislazione, che vede il contributo paritario del Parlamento europeo e del Consiglio dell'Unione europea. Entrambe le istituzioni stanno per terminare quella che viene definita "prima lettura" dei due testi e sono sul punto di  presentare le rispettive proposte emendative.
    I due relatori per il Parlamento europeo (Jan Philipp Albrecht per la proposta di Regolamento, Dimitrios Droutsas per la proposta di Direttiva) hanno segnalato la necessità di introdurre numerosi aggiustamenti. Per quanto riguarda il  Regolamento, si riaffermano le direttrici fondamentali,  a partire dal principio dell'applicazione del diritto Ue anche alle imprese che operano fuori dell'Unione Europea se i trattamenti di dati personali riguardano i cittadini europei. Ma si rilevano anche carenze e si avanzano ipotesi di modifica. Albrecht propone, ad esempio,  di limitare il potere che la Commissione si è riservato di adottare atti delegati o di esecuzione per precisare alcune disposizioni della proposta, e di rafforzare invece alcuni principi innovativi, quali il diritto alla portabilità dei dati (indispensabile per mantenere il controllo delle proprie informazioni nel cloud, ad esempio) o il diritto all'oblio (inteso in particolare come diritto alla cancellazione, fatta salva la libertà di espressione anche su Internet).Viene inoltre richiesto di non intaccare l'indipendenza delle Autorità di protezione dati pur  salvaguardando il principio dello "sportello unico" (one-stop-shop), cioè la possibilità per i cittadini europei di rivolgersi ad una sola di esse in caso di violazioni da parte di imprese multinazionali.
    Più marcate le critiche mosse al progetto di Direttiva: il relatore Droutsas ritiene, in particolare, che la proposta di direttiva non soddisfi, sotto molti punti di vista, i requisiti di un livello elevato di protezione dei dati, descritto dalla Commissione come "essenziale", e che non sia giuridicamente in linea con le disposizioni della proposta di Regolamento.
    Il Consiglio Ue, da parte sua, ha affidato ad un Comitato denominato Dapix (Protezione dati e scambio di informazioni) il compito di condurre la prima lettura del documento. L'esame da parte del Comitato ha avuto inizio durante la presidenza danese, nel primo semestre 2012, è proseguito sotto la presidenza cipriota  e continua  durante l'attuale presidenza irlandese dell'Ue.  Un primo bilancio tracciato dalla presidenza cipriota a fine 2012 ha individuato una serie di questioni: la necessità di individuare disposizioni che tengano maggiormente conto delle specificità dei soggetti pubblici; la valutazione più attenta degli oneri amministrativi derivanti dalle proposte; l'introduzione di un approccio basato sul rischio del trattamento quale criterio generale per modulare gli obblighi di titolari e responsabili. Queste ed altre problematiche dovranno essere affrontate e risolte nei prossimi mesi.
    Oltre al lavoro che sta svolgendo il Parlamento europeo  e  il Consiglio Ue, nel dibattito non manca naturalmente il contributo delle Autorità di protezione dati, che sono fra i principali interlocutori in questa vicenda. Il Gruppo dei Garanti europei (Wp art. 29) ha pubblicato ben tre documenti contenenti input e  suggerimenti per la Commissione europea e per tutti gli altri attori istituzionali, nonché numerose critiche ai due testi nel pacchetto, e lo stesso ha fatto il Garante europeo della protezione dati che ha pubblicato un ponderoso parere sul pacchetto di riforma. Le Autorità garanti sono particolarmente preoccupate da una serie di aspetti: in particolare, oltre ai poteri eccessivi della Commissione europea, dalla scarsa chiarezza di alcune disposizioni contenute nelle due proposte, che non fissano principi univoci e talora rischiano di introdurre garanzie meno forti di quelle oggi in vigore, e dalla rigidità del sistema sanzionatorio previsto nella proposta di Regolamento, che obbliga all'imposizione di sanzioni pecuniarie, lasciando pochi margini di flessibilità per sanzioni egualmente dissuasive ed efficaci ma non di natura pecuniaria ( ad esempio, misure interdittive o di blocco del trattamento). I prossimi mesi saranno decisivi per  capire se l'ambizioso progetto della Commissione europea vedrà la luce sostanzialmente immutato nelle linee generali e, soprattutto, se sarà raccolta la sfida di una protezione dati che sia all'altezza degli sviluppi tecnologici e del nuovo quadro di diritti fondamentali introdotto nell'Ue con il Trattato di Lisbona.

    L'attività del Garante - per chi vuole saperne di piú

    Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità 

    • Giornata europea della privacy: riflettori puntati sul cyberbullismo  (Comunicato del 22 gennaio 2013)
    • Skype migliorerà le procedure per la chiusura degli account (Comunicato del 6 febbraio 2013)
    • Trasparenza Pa: Garante privacy, servono più garanzie a tutela delle persone  (Comunicato dell'8 febbraio 2013)

    Le altre Newsletter del Garante Privacy

    ComplianceNet: 

    Banca d'Italia: Consultazione pubblica raccomandazioni sulla sicurezza servizi Internet del SecurePay Forum (14 febbraio 2013)

    logo.jpg

    Consultazione pubblica sul rapporto “Raccomandazioni per i servizi di accesso ai conti di pagamento” del SecurePay Forum (dal 31/1/2013 al 12/4/2013)

    Lo European Forum on the Security of Retail Payments (SecuRe Pay) – organismo al quale partecipano le autorità di Vigilanza bancaria e di Sorveglianza sui sistemi di pagamento dell’Unione Europea - ha posto in consultazione pubblica una raccolta di raccomandazioni sulla sicurezza dei servizi Internet forniti da soggetti che consentono al cliente di effettuare pagamenti accedendo al conto che il cliente stesso detiene presso una banca o altro prestatore di servizi di pagamento (servizi di accesso ai conti). Il documento "Recommendations for “Payment Account Access” Services – draft document for public consultation" (qui in pdf, 279K, 18 pp.) considera, in particolare, il caso di servizi integrati nel settore dell’ecommerce che consentono di effettuare pagamenti direttamente dal sito internet convenzionato accedendo al conto on-line del cliente con le sue credenziali (ad es. username e password).
    Le nuove disposizioni si rivolgono a tutti i soggetti che forniscono servizi di accesso ai conti via internet nonché, in parte, alle banche e agli altri prestatori di servizi di pagamento che gestiscono conti on-line.
    I soggetti interessati possono inviare commenti fino al 12 aprile 2013, secondo le modalità indicate sul sito della Banca Centrale Europea.
    La Banca d’Italia svolge il ruolo di punto di contatto nazionale per eventuali chiarimenti sul documento e sul processo di consultazione. Le richieste potranno essere inoltrate all’indirizzo di posta elettronica nei modi indicati qui (pdf)

    ComplianceNet: 

    Banca d’Italia: le sanzioni amministrative, principi generali, procedura e tempi (9 febbraio 2013)

    logo.jpg

    Il 9 febbraio 2013 la Banca d’Italia ha pubblicato il documento “Le sanzioni amministrative della Banca d’Italia: principi generali, procedura e tempi” (qui in pdf, 23 K, 3 pp.).
    Di seguito il testo completo.

    Le sanzioni amministrative della Banca d’Italia: principi generali, procedura e tempi

    Principi generali
    La regolazione e la supervisione prudenziale nei confronti delle banche e degli altri intermediari finanziari è un’azione di natura pubblicistica, che presuppone poteri autoritativi per la Vigilanza della Banca d’Italia a cui è nel nostro paese demandata. Essa è perciò strettamente regolata dai principi fondamentali che delimitano i pubblici poteri negli ordinamenti democratici, principi da tempo consolidati in Europa e in Italia.

    Principio di tassatività dei poteri. La Vigilanza può assumere solo le misure amministrative previste per legge; qualora si trovi di fronte a ipotesi di irregolarità di competenza di altre autorità o a ipotesi di illeciti penali trasmette le informazioni alle altre autorità o alla magistratura inquirente. Presta ovviamente a queste ultime le propria collaborazione per le questioni di sua competenza.

    Principio di trasparenza e sue limitazioni. In linea generale l’attività amministrativa deve essere pienamente trasparente nei confronti dei soggetti interessati. È quindi consentito l’accesso agli atti amministrativi ai soggetti portatori di legittimi interessi tutelati, destinatari dell’azione di vigilanza, ma la legge limita l’accesso di terze parti, a tutela delle informazioni sensibili relative alle attività economiche sottoposte alla funzione di vigilanza.
    L’ordinamento prevede inoltre il segreto d’ufficio, che può essere superato, in caso di indagini penali, solo nell’ambito della collaborazione fra la Vigilanza e la magistratura.

    Principio di proporzionalità
    . Gli interventi di vigilanza, incluse le sanzioni, devono essere dosati in funzione delle diverse situazioni in cui si trovano gli intermediari sottoposti a supervisione. La Vigilanza è perciò tenuta ad assumere misure di intensità e portata proporzionali alla gravità dei casi. I contenuti dei provvedimenti amministrativi vanno adeguatamente esposti e il relativo livello di incisività deve trovare adeguata motivazione nel rispetto del generale principio di motivazione degli atti amministrativi.

    Principio del contraddittorio. I provvedimenti di vigilanza limitano le libere azioni economiche di soggetti privati, possono imporre misure di contenuto patrimoniale anche molto significativo e irrogare sanzioni pecuniarie. Pertanto, l’ordinamento ha progressivamente rafforzato le regole che tutelano il diritto dei destinatari dei provvedimenti di far valere le proprie ragioni, non solo con l’accesso agli atti (cfr. il principio di trasparenza), ma anche con note scritte o personalmente con apposite audizioni. I procedimenti di vigilanza tendono oggi a somigliare a quelli che si svolgono di fronte alla magistratura giudicante.

    Principio della separazione dell’istruttoria dalla decisione. Ulteriore garanzia per i destinatari dell’azione amministrativa è la netta separazione fra la fase in cui le strutture della Vigilanza valutano la situazione dell’intermediario, tengono conto delle sue ragioni e propongono di adottare provvedimenti (fase istruttoria) e quella in cui si decidono le misure da assumere (fase decisoria). Tale separazione si realizza non solo fra le persone fisiche responsabili delle due fasi, ma soprattutto nelle procedure interne, e assicura ai destinatari che l’organo chiamato a decidere sia in posizione di piena terzietà rispetto alle proposte formulate in esito all’istruttoria, permettendo così una decisione serena ed equilibrata.

    Principio del controllo giurisdizionale. Per regola costituzionale tutti gli atti della pubblica amministrazione, inclusi quindi i provvedimenti della Vigilanza, sono sottoposti al vaglio del giudice su ricorso di chi ne ha interesse. Competente è il giudice amministrativo; per i provvedimenti sanzionatori si è in attesa di una decisione della Corte Costituzionale sulla competenza.

    Procedura e tempi delle sanzioni

    Una sanzione amministrativa implica per chi la subisce il pagamento di una somma di denaro che può anche essere consistente e, soprattutto, una perdita di reputazione. Pertanto, il procedimento che porta alla irrogazione di una sanzione deve ubbidire a regole stringenti fissate dall’ordinamento a garanzia dei soggetti interessati. Tali regole impongono tempi cadenzati e non brevi, tali da consentire un ampio contraddittorio fra la Vigilanza e i soggetti suscettibili di essere sanzionati.

    Le sanzioni nascono normalmente, anche se non esclusivamente, da accertamenti ispettivi, uno strumento che l’ordinamento mette a disposizione della Banca d’Italia per raccogliere in loco informazioni e dati sulla situazione e sull’andamento della gestione degli intermediari.

    I rapporti compilati dagli ispettori al termine di una di queste indagini contengono rilievi e osservazioni che vengono resi noti ai vertici della banca ispezionata entro 90 giorni dalla fine dell’indagine. Da quel momento la banca ha a disposizione 30 giorni per formulare le proprie osservazioni e illustrare gli interventi che intende adottare a fronte dei rilievi critici degli ispettori.

    Entro 90 giorni va anche notificato alle persone interessate l’apertura eventuale di un procedimento di accertamento della presenza di illeciti amministrativi sanzionabili. La decisione relativa all’apertura di tale procedimento può coinvolgere, nei casi di maggior rilievo, un organo collegiale interno della Banca d’Italia, il Gruppo per l’esame delle irregolarità. Il termine di legge per la notifica dell’accertamento (90 giorni) è considerato dalla giurisprudenza come inderogabile ed è posto come limite di decadenza della pubblica amministrazione dal potere di esercizio dell’azione punitiva.

    Sino al 1° febbraio scorso i 90 giorni per la notifica decorrevano per la Banca d’Italia dalla chiusura dell’ispezione. Per effetto di nuove disposizioni della Vigilanza oggi il termine decorre dalla data di chiusura della fase preliminare di valutazione del rapporto ispettivo (termine mobile), certificata dal visto del Direttore centrale della Vigilanza; tale data è comunicata nella lettera di contestazione.

    Dopo la contestazione formale inizia l’istruttoria. Dalla data della contestazione i destinatari hanno 30 giorni per presentare le loro deduzioni, termine che può essere prorogato a domanda per un periodo varabile da 15 a 30 giorni. Per prassi vengono tuttavia prese in considerazione, per quanto ragionevolmente possibile, anche le deduzioni presentate fuori termine. In questa fase gli interessati possono chiedere l’accesso agli atti o un’audizione personale, in piena attuazione delle regole di trasparenza e contraddittorio.

    Una recente revisione delle procedure interne snellisce alcuni passaggi al fine di una maggiore celerità. Non può essere tuttavia ridotto oltre certi limiti il tempo necessario per l’esame delle argomentazioni degli interessati, che possono essere voluminose e tecnicamente complesse e riguardare molteplici posizioni individuali, senza comprimere indebitamente il diritto alla difesa.

    Valutate le controdeduzioni difensive la Vigilanza chiude l’istruttoria e formula una proposta al Direttorio della Banca d’Italia, nel rispetto della distinzione fra fasi istruttoria e decisoria. Per i casi di maggior rilievo la proposta è munita del preventivo parere di un altro organo collegiale: la Commissione per l’esame delle irregolarità.

    Il Direttorio può accogliere la proposta irrogando le sanzioni, può discostarsene motivando, può chiedere integrazioni dell’istruttoria.

    La durata della fase che inizia dalla notifica dell’accertamento e si chiude con la decisione del Direttorio è stata fissata dalla Banca d’Italia, con un proprio provvedimento, in un massimo di 240 giorni, in aggiunta ai 90 entro cui va effettuata la notifica.

    ComplianceNet: 

    Trasparenza Pa: Garante privacy, servono più garanzie a tutela delle persone (8 febbraio 2013)

    garante-privacy

    Sì al controllo diffuso sull'attività della Pa, ma non a forme sproporzionate di diffusione dei dati
    Sì condizionato del Garante per la privacy allo schema di decreto legislativo del Ministro per la pubblica amministrazione e la semplificazione relativo agli obblighi di trasparenza della Pa. Nel dare il suo parere favorevole [doc. web n. 2243168], il Garante ha infatti posto una serie di "paletti" chiedendo che alcune norme vengano modificate, introducendo maggiori garanzie a tutela delle persone. La necessità di realizzare un controllo diffuso sull'attività della Pubblica amministrazione non deve condurre a forme sproporzionate di diffusione di informazioni che possono finire per ledere i diritti dei cittadini, specialmente di quelli in condizioni più disagiate.
    L'Authority condivide le ragioni sottese al provvedimento e l'obiettivo di garantire la trasparenza nell'attività della Pa, ma ritiene che un tale valore debba essere comunque bilanciato con un diritto di pari rango costituzionale come quello della riservatezza e della protezione dei dati che trova la sua matrice nella normativa europea.
    Per questi motivi valuta con preoccupazione i possibili rischi che alcune disposizioni contenute nel provvedimento potrebbero determinare. Rischi ancora più forti se si tiene conto della particolare delicatezza  di alcune  informazioni che verrebbero messe on line e della loro facile reperibilità e riutilizzabilità incontrollata grazie ai motori di ricerca. Si pensi soltanto ai dati sensibili o in grado di rivelare condizioni di disagio economico e sociale di anziani, disabili o altri soggetti deboli che beneficiano di sussidi (es. social card), la cui diffusione potrebbe comportare irreversibili danni per la dignità degli interessati, anche considerate le difficoltà oggettive di cancellare tali informazioni una volta in rete.
    Sono già numerosi, in questo senso, i casi sottoposti in questi ultimi anni all'Autorità.
    Nell'esprimere il suo parere, l'Autorità ha anche tenuto conto di quanto previsto dalla normativa europea, di quanto stabilito dalla stessa Corte di Giustizia e del fatto che nella stragrande maggioranza dei Paesi europei non esistono forme di diffusione paragonabili a quelle che si intendono realizzare nel nostro.
    Queste le richieste avanzate dal Garante.

    Dati personali

    Sui siti web della Pa non dovranno mai essere diffusi dati sulla salute e sulla vita sessuale.
    Vanno esclusi dalla pubblicazione i dati identificativi dei destinatari dei provvedimenti dai quali si possano ricavare dati sullo stato di salute o di uno stato economico-sociale degli interessati: si pensi al riconoscimento di agevolazioni economiche, alla fruizione di prestazioni sociali collegate al reddito, come l'esenzione dal contributo per le refezione scolastica o dal ticket sanitario, i benefici per portatori di handicap, il riconoscimento di sussidi ad anziani non autosufficienti, i contributi erogati per la cura di particolari malattie o per le vittime di violenza sessuale.
    Così come non appare giustificata la diffusione di dati non pertinenti rispetto alle finalità perseguite, quali ad esempio l'indirizzo di casa, il codice fiscale, le coordinate bancarie, la ripartizione degli assegnatari secondo le fasce ISEE, informazioni sulle condizioni di indigenza.
    Più in generale, le pubbliche amministrazioni nel pubblicare atti o documenti dovranno rendere inintelligibili i dati personali non pertinenti o, se sensibili e giudiziari,  non indispensabili rispetto alle finalità di trasparenza che si intendono perseguire nel caso concreto. Potranno inoltre pubblicare sui propri siti web informazioni e documenti per i quali non vi è l'obbligo di pubblicazione, ma solo una volta che avranno reso anonimi i dati personali in essi contenuti.

    Motori di ricerca

    I documenti pubblicati dovranno essere rintracciabili solo mediante i motori di ricerca interna al sito del soggetto pubblico e non attraverso i comuni motori di ricerca generalisti, garantendo così la conoscibilità dei dati senza che essi vengano estrapolati dal contesto nei quali sono inseriti.

    Durata della pubblicazione

    Dovranno essere stabiliti periodi differenziati di permanenza on line dei documenti, e si dovrà prevedere una accessibilità selettiva una volta scaduto il termine di pubblicazione.

    Dipendenti pubblici

    Per quanto riguarda i dipendenti pubblici, lo schema di decreto legislativo dovrà essere modificato circoscrivendo la pubblicazione dei dati ad un ambito più ristretto di informazioni personali, strettamente pertinenti, sia riguardo ai curricula sia ai compensi corrisposti, individuando anche modalità di diffusione meno invasive di quelle previste.

    Incarichi politici e cariche elettive

    Per quanto riguarda gli obblighi di trasparenza relativi ai titolari di incarichi politici o di  carattere elettivo il Garante ha richiamato l'attenzione del Governo sull'opportunità di una riflessione generale sull'impianto della disciplina, richiedendo una graduazione degli obblighi di pubblicazione sia sotto il profilo della platea dei soggetti coinvolti che del contenuto degli atti da pubblicare.
    In particolare, occorre circoscrivere il contenuto delle dichiarazioni dei redditi da pubblicare alle sole notizie risultanti dal quadro riepilogativo della dichiarazioni stesse, allo scopo di evitare la diffusione di dati anche sensibili (come la scelta del contribuente sulla destinazione del "5 per mille"). Lo stesso vale per soggetti estranei all'incarico pubblico, come coniugi, figli, parenti, ai quali è comunque necessario chiedere il consenso alla pubblicazione dei dati. Tale consenso dovrà essere libero e non condizionato e non dovranno comunque essere resi noti i nomi degli interessati che non intendessero fornirlo.

    ComplianceNet: 

    Pagine