CNDCEC: nuove regole tecniche antiriciclaggio per i professionisti

CNDCEC: nuove regole tecniche antiriciclaggio per i professionisti

Il Consiglio nazionale dei dottori commercialisti e degli esperti contabili interviene con tre regole tecniche sulla prevenzione al riciclaggio e al finanziamento del terrorismo.

Le regole tecniche.

Il 23 gennaio 2019, con l’informativa n° 8/2019, il CNDCEC ha diramato le regole tecniche emanate ai sensi del Dlgs 231/2007, art. 11, co. 2.

Il Consiglio, in qualità di organismo di autoregolamentazione, ha predisposto tali regole rivolgendole a tutti gli iscritti all’Albo. Esse trattano specificamente tre dei principali obblighi in materia di antiriciclaggio:

  • L’autovalutazione del rischio;
  • L’adeguata verifica della clientela;
  • La conservazione dei documenti.

Le regole tecniche sono contenute nel documento intitolato “Obblighi di valutazione del rischio, adeguata verifica della clientela, conservazione dei documenti, dei dati e delle informazioni: regole tecniche ai sensi dell’art. 11, co. 2, del d.lgs. 231/2007 come modificato dal d.lgs. 25 maggio 2017, n. 90”.

Al fine di consentire agli iscritti l’apprendimento e la corretta applicazione delle presenti regole tecniche, il CNDCEC promuoverà specifiche attività di formazione nei prossimi sei mesi. Decorso tale periodo le regole tecniche saranno considerate vincolanti per gli iscritti.

L’autovalutazione del rischio.

L’autovalutazione del rischio consiste nella presa di coscienza delle criticità e degli aspetti di forza dell’organizzazione di ogni singolo professionista o studio professionale. È, perciò, intimamente legata ad aspetti propri di ciascun’organizzazione, quali:

  • Tipologia di clientela;
  • Area geografica di operatività;
  • Canali distributivi (riferito alla modalità di esplicazione della prestazione professionale, anche tramite collaborazioni esterne, corrispondenze, canali di pagamento, ecc.);
  • Servizi offerti;
  • Formazione propria e dei collaboratori;
  • Organizzazione degli adempimenti di adeguata verifica della clientela;
  • Organizzazione degli adempimenti relativi alla conservazione dei documenti, dati e informazioni;
  • Organizzazione in materia di segnalazione di operazioni sospette e comunicazione delle violazioni alle norme sull’uso del contante.

Particolarmente significativa è l’indicazione di istituire la funzione antiriciclaggio e/o quella di revisione indipendente:

  • Per 2 o più professionisti nello stesso studio (una sede o più), occorre introdurre la funzione antiriciclaggio e nominare il relativo responsabile;
  • Per più di 30 professionisti e più di 30 collaboratori nello stesso studio (una sede o più), occorre introdurre la funzione antiriciclaggio, nominare il responsabile antiriciclaggio e introdurre una funzione di revisione indipendente per la verifica dei presidi di controllo.

L’adeguata verifica della clientela.

Riprendendo un modus operandi già consolidato nel tempo, sin dalla prima versione del decreto del 2007, il CNDCEC pone grande importanza sulle attività di adeguata verifica della clientela.

Per agevolare i soggetti obbligati, sulla base di studi effettuati nel tempo, ha raggruppato in due distinte e specifiche tabelle le prestazioni ritenute a rischio non significativo e quelle ritenute a rischio poco significativo, abbastanza significativo e molto significativo.

La valutazione del rischio inerente la clientela muove dai due elenchi di cui sopra e si completa con l’ormai classica compilazione delle tabelle A e B che aiutano il professionista a determinare i libelli di rischio specifico connesso al cliente e alla prestazione professionale.

A seconda del risultato ottenuto, la regola tecnica n° 2 definisce le misure di adeguata verifica, che possono consistere nella semplice applicazione di regole di condotta o nelle misure semplificate, ordinarie o rafforzate di verifica.

La conservazione dei dati e delle informazioni.

La conservazione ha come obiettivo quello di impedire la perdita o la distruzione dei documenti e di mantenere nel tempo le loro caratteristiche di integrità, leggibilità e reperibilità. Può essere cartacea, informatica o una combinazione delle due, purché i sistemi adottati garantiscano il rispetto della normativa in materia di protezione dei dati personali e il loro trattamento esclusivamente per le finalità di cui al Dlgs 231/2007.

Nell’ambito di tali possibilità di conservazione, i professionisti possono continuare ad alimentare gli archivi cartacei o informatici quali il registro cartaceo o l’archivio informatico, integrando secondo quanto previsto dalle nuove disposizioni i dati relativi al titolare effettivo e alle informazioni sullo scopo e la natura del rapporto ed elidendo i dati non più obbligatori.

Qualunque sia il sistema di conservazione prescelto, occorrerà individuare i profili di autorizzazione dei vari componenti l’organizzazione e collaboratori e individuare uno o più responsabili della conservazione ai fini del rispetto della normativa in materia di protezione dei dati personali. Il sistema di conservazione prescelto deve garantire l’accesso ai documenti, alle informazioni e ai dati cartacei per il periodo prescritto dalla norma.

Aspetti legati al GDPR e criticità.

Quanto emerge dalla lettura delle regole tecniche mette in evidenza, ancora una volta, le norme in materia di protezione dei dati (il GDPR e il Codice privacy su tutte) siano da intendersi come foriere di indicazioni operative che permeano trasversalmente gli assetti organizzativi di qualunque soggetto, siano essi singoli professionisti o grandi studi associati.

Gli esiti delle valutazioni dei rischi non possono prescindere dalla bontà complessiva dei dati e delle informazioni su cui si basano; se non fossero rispettati i principii legati ai trattamenti dei dati, se i dati non fossero “buoni”, commettere errori che possono portare a segnalazioni non dovute o all’omissione di segnalazioni dovute, per esempio, può diventare estremamente probabile.

Un assetto organizzativo adeguato, quindi, è fondamentale; e rispettare quanto disposto dal CNDCEC può offrire una difesa in caso di controllo da parte del Garante o della Guardia di Finanza, in quanto assimilabili a codici di condotta.

Particolarmente rilevante diviene l’affidabilità di chi fornisce prestazioni o servizi esterni, sia per la ripartizione delle responsabilità, sia per quanto riguarda le misure di privacy by design e di privacy by default legate a strumenti informatici quali server, cloud, piattaforme varie, registri e quant’altro.

Infine, sorge un dubbio sul reale significato della locuzione “responsabili della conservazione” e “sistema di conservazione”: sono da intendere nelle accezioni definite dalla normativa in materia di conservazione a norma, in particolare dall’articolo 7, co. 1 del DPCM del 3 dicembre 2013 relativo alle regole tecniche in materia di sistemi di conservazione, o è un semplice caso di omonimia?


Fonte: Fiscal Focus

I registri delle attività di trattamento

I registri delle attività di trattamento.

Introdotto dal GDPR, sono strumenti fondamentali e irrinunciabili per gestire i trattamenti compiuti in un’organizzazione e aiutare il titolare o il responsabile del trattamento a mantenere i livelli adeguati di sicurezza.

L’8 ottobre 2018 il Garante Privacy ha pubblicato le istruzioni sul registro delle attività di trattamento, che s’inseriscono all’interno del quadro normativo come strumenti utili per sciogliere eventuali dubbi sull’obbligatorietà o meno della tenuta del registro, andando a spiegare con un linguaggio più semplice di quello usato nella norma europea ciò che deve essere fatto dai titolari e dai responsabili dei trattamenti.

Fonte normativa.

Il registro delle attività di trattamento è disciplinato dall’art. 30 del Regolamento (UE) 2016/679, anche conosciuto come GDPR, che ne descrive i contenuti, la forma e i casi in cui è obbligatorio. Ne esistono due tipi: quello del titolare e quello del responsabile del trattamento.

Il primo indica i dati del titolare stesso, elenca le finalità perseguite con ogni trattamento effettuato (giova ricordare, in questo momento, che per “trattamento” intendiamo qualsiasi attività o processo in cui siano coinvolti dati personali), descrive le categorie di interessati e di dati personali (per esempio: clienti e loro dati anagrafici, lavoratori dipendenti e loro dati relativi alle presenze, passanti e loro immagini riprese dalle telecamere di videosorveglianza…), indica le categorie di destinatari a cui vengono comunicati i dati personali, elenca i trasferimenti verso Paesi extra-UE od organizzazioni internazionali e le garanzie che sono poste in essere per tutelare il diritto delle persone alla protezione dei dati, indica i termini di conservazione e descrive le misure di sicurezza tecniche e organizzative adottate.

Il registro del responsabile del trattamento risulta più semplice, poiché è richiesto che indichi i dati del responsabile, le categorie di trattamento effettuate per conto di ogni titolare, elenca i trasferimenti verso Paesi extra-UE o organizzazioni internazionali e le garanzie che sono attuate per tutelare i diritti delle persone alla protezione dei dati e descrive le misure di sicurezza tecniche e organizzative adottate.

In ogni caso, i registri devono avere forma scritta e possono avere anche formato elettronico e devono essere esibiti agli organi di vigilanza qualora ne sia fatta richiesta.

Per quanto riguarda l’obbligatorietà, è stabilito che lo sia quando:

  • Si effettua almeno un trattamento che può presentare rischi per diritti o libertà degli interessati; o
  • Si effettua almeno un trattamento con continuità e sistematicità (anche periodicamente); o
  • Si effettua almeno un trattamento che prevede dati particolari (ovvero quelli riferiti alla salute, all’appartenenza a sindacati, al credo religioso, alle caratteristiche biometriche…) o riferiti a condanne penali o reati.

In ogni caso, se questi tre criteri fossero tutti inapplicabili nell’ambito che stiamo osservando, i registri sono obbligatori se il titolare o il responsabile hanno più di 250 dipendenti.

Criticità.

La tenuta dei registri, però, si accompagna ad alcune criticità che si dovrebbero considerare bene.

Anzitutto, bisogna individuare quale ruolo si ricopre: talvolta si è solo titolari del trattamento, talaltra solo responsabili. Molto spesso, quando si è responsabili del trattamento che ci è stato affidato da un titolare, si è nella condizione di essere i titolari dei trattamenti su cui abbiamo il completo potere di determinazione delle finalità e dei mezzi di realizzazione. È questo il caso tipico dei commercialisti, degli esperti contabili o dei consulenti del lavoro. Questi soggetti devono predisporre entrambi i registri.

La seconda criticità è data dalla forma del registro – che ovviamente deve essere privo di abrasioni e cancellazioni, con i fogli rilegati e non asportabili – che deve necessariamente essere “scritta”. Nel linguaggio giuridico, semplificando, un documento “in forma scritta” è quello su cui è apposta la firma di chi esercita la legale rappresentanza.

La terza risiede nell’eventuale forma elettronica: in Italia, perché un documento elettronico abbia validità legale, deve avere anche le caratteristiche previste dal Codice dell’Amministrazione Digitale, dal regolamento eIDAS, e dal DPCM 13 Novembre 2014 sulla formazione del documento informatico. È chiaro che non sono considerati validi, né opponibili in giudizio, documenti formati solo con programmi di uso comune per la videoscrittura.

La quarta è che il registro deve essere scritto e mantenuto aggiornato, dando prova delle varie versioni che si susseguono e dimostrazione della loro presenza a una certa data.

La quinta, infine, è rappresentata dal fatto che, qualora indicassimo informazioni non veritiere nei registri, nel momento in cui il Garante o la Guardia di Finanza ne volessero prendere visione, incorreremmo nel reato di falsa dichiarazione, perseguito penalmente.

Vantaggi.

I registri, tuttavia, sono anche forieri di vantaggi che si riflettono in modo concreto sull’intera organizzazione: come sottolinea lo stesso Garante, infatti, i registri sono documenti di censimento e analisi dei trattamenti effettuati. Si tratta di strumenti fondamentali non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. Proprio per questi motivi, il Garante ne raccomanda la redazione e l’aggiornamento poiché, secondo la sua opinione, questi non costituiscono solo un mero adempimento formale, bensì sono parte integrante di un sistema di corretta gestione dei dati personali; su queste considerazioni, quindi, esorta i titolari e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a dotarsi di tale registro, prevedendo anche la possibilità, secondo le volontà del titolare o del responsabile, d’inserire ulteriori informazioni se lo si ritiene opportuno nell’ottica della complessiva valutazione di impatto dei trattamenti svolti.

In definitiva, i registri dei trattamenti sono obbligatori e necessari per tutti e, se adeguatamente curati nel tempo, sono uno strumento potentissimo per governare l’organizzazione e per difenderla in caso di ispezione o contenzioso, essendo la trasposizione documentale di tutto ciò che è stato fatto per aderire al principio di responsabilizzazione che fa da sfondo all’intero GDPR.


Fonte: Fiscal Focus

Software per valutazione SLC

Samuel De Fazio

Valutazione SLC: disponibile il mio software programmato in Excel

È ora disponibile il file Excel programmato per la valutazione SLC (stress lavoro-correlato) secondo le linee guida pubblicate dall’INAIL a ottobre 2017, aggiornando quelle del 2011.

Il mio file, scaricabile dal portale iCLHUB, si propone come alternativa alla piattaforma online messa a disposizione dall’INAIL, a cui si può accedere solo previa autenticazione.

Oltre a essere funzionante offline, ha il pregio di poter essere modificato a piacimento dall’utilizzatore, così che possa essere adattato alle sue esigenze.

Si invitano coloro che vorranno scaricarlo a considerare che:

  • La responsabilità della valutazione dei rischi – qualunque essi siano, quindi anche l’SLC – grava sul datore di lavoro.
  • Per ottenere il miglior risultato possibile, la valutazione SLC e la base di dati elaborati dal software devono essere costantemente aggiornate, almeno una volta l’anno.

È iniziato il processo di cambiamento del Codice privacy

È iniziato il processo di cambiamento del Codice privacy.

Solo pochi giorni fa il Parlamento delegava il Governo a emanare atti normativi per modificare il nostro Codice privacy, al fine di allinearlo alle disposizioni del GDPR che, come ben sappiamo o dovremmo sapere, è già in vigore e diventerà applicabile tra meno di sei mesi.

Nel frattempo, lo stesso Parlamento si è dato da fare per apportare le prime modifiche attraverso una legge: lunedì 27 novembre, infatti, è stata pubblicata sulla Gazzetta Ufficiale la Legge n° 167, del 20 novembre u.s, recante disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2017 (GU Serie Generale n° 277 del 27/11/2017). La legge entrerà in vigore il prossimo 12 dicembre.

Tralasciando il fatto che mi sembra incomprensibile delegare il Governo e poi agire direttamente (cfr. L 163/2017, art. 13, in particolare il co. 3, lett. b)), andiamo a vedere cosa è effettivamente cambiato e proviamo a determinarne gli effetti concreti.

Al codice in materia di protezione dei dati personali sono state apportate due importanti modifiche.

All’articolo 29 (Responsabile del trattamento), dopo il comma 4 è stato inserito il 4-bis:

“Fermo restando quanto previsto ai commi 1, 2, 3 e 4, il titolare può avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualità di responsabili del trattamento, forniscano le garanzie di cui al comma 2. I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento; i predetti atti sono adottati in conformità a schemi tipo predisposti dal Garante”.

Sempre all’art. 29, il comma 5 è stato sostituito dal seguente:

“Il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma 4-bis e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle proprie istruzioni e di quanto stabilito negli atti di cui al comma 4-bis”.

Infine, dopo l’articolo 110 è stato aggiunto il 110-bis. (Riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici), che recita:

1. Nell’ambito delle finalità di ricerca scientifica ovvero per scopi statistici può essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati.

2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza”.

Dunque, quali sono gli effetti di queste prime modifiche al Codice? Vediamoli insieme.

Innanzi tutto possiamo dire che, soprattutto quando il responsabile del trattamento è esterno, il titolare deve stipulare con lui un contratto scritto, il cui contenuto è solo in parte vincolato dal nuovo Codice: al di là di quello che sarà la volontà delle parti, che si accorderanno come meglio riterranno, questo contratto deve contente almeno la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento. A ben vedere, è molto diverso dal testo del GDPR, che prevede che nel contratto siano indicati la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, oltre a tutti quegli elementi indicati dalle lettere da a) a h) del par. 3 dell’art. 28 del GDPR e dai paragrafi successivi.

Già qui ci sarebbe da criticare fortemente chi ha scritto il testo delle Legge. A parte che è inutile averlo fatto, avrebbe almeno potuto copiare bene.

Nella seguente tabella evidenzio le differenze.

Caratteristiche del contratto Nuovo Codice privacy modificato GDPR
Forma scritta  Sì
Materia disciplinata No
Natura del trattamento No  Sì
Finalità perseguita No  Sì
Tipologia di dati  Sì
Categorie di interessati No
Durata del trattamento  Sì
Obblighi e diritti del titolare del trattamento No  Sì
Obblighi e diritti del responsabile del trattamento  Sì
Modalità del trattamento  Sì
Altre specifiche No  Sì
Obbligo di conformarsi agli schemi proposti dal Garante  Sì

L’ultimo periodo dell’nuovo comma 4-bis obbliga implicitamente il Garante a predisporre degli “schemi tipo”, cosa che il GDPR gli riconosce come facoltativa.

Sostanzialmente, il nuovo comma 5 non apporta variazioni o innovazioni nel modo in cui i titolari devono vigilare sui propri responsabili.

Il nuovo art. 110-bis, invece, offre una nuova opportunità per i titolari, ovvero quella di trattare ulteriormente i dati già in loro possesso per finalità di ricerca scientifica o statistiche. In linea con il par. 4 dell’art. 9 del GDPR, il Parlamento ha posto due importanti vincoli: il primo è che deve essere ottenuta un’autorizzazione da parte del Garante (magari ci sarà spazio per delle autorizzazioni generali?), mentre il secondo è che, comunque, a prescindere dall’aver ottenuto l’autorizzazione o dalle misure di sicurezza adottate, non sarà lecito trattare per finalità di ricerca scientifica o statistiche i dati genetici. Mi viene da chiedermi come ci si dovrà comportare quando questo divieto contrasterà con finalità d’interesse pubblico rilevante, come la salvaguardia della vita o dell’incolumità fisica dell’interessato o di terzi (cfr. Dlgs 196/2003, art. 26, co. 4, lett. b) e GDPR, art. 6, per. 1, lett. d) e art. 9), con particolare riferimento ai casi in cui qualcuno si sottopone a terapie mediche sperimentali che, per loro stessa natura servono a salvaguardare la vita di qualcuno e sono ancora in fase di studio e, quindi, fortemente legate alla ricerca.

Ritengo che soprattutto su quest’ultimo punto si apriranno dibattiti interessanti nel prossimo periodo.

La simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati

La simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati

Sono due adempimenti richiesti dal GDPR con peculiari caratteristiche che si realizzano attraverso la formazione di due documenti distinti, solamente se ricorrono i casi specificati. Ma a ben vedere, il loro legame è molto più profondo di quanto possa apparire e potrebbe essere utile considerarli “simbiotici”.

In biologia la simbiosi è un rapporto che s’instaura a livello intimo tra due soggetti e che tende a legarli in maniera forte e mutuale, con lo scopo ultimo di portare un vantaggio reciproco a entrambi nel corso del tempo e dell’evoluzione del contesto di riferimento.

È possibile, dunque, trovare questo tipo di connessione tra il registro del responsabile del trattamento e la valutazione d’impatto sulla protezione dei dati? E se è possibile, quanto sarebbe utile farlo?

Questa è la domanda con cui sono uscito dal seminario organizzato da AssoDPO a Milano lo scorso 26 ottobre, durante il quale si è ampiamente dibattuto sullo stato dell’applicazione del GDPR a circa 200 giorni dalla sua definitiva applicazione diretta su tutto il territorio dell’Unione. Molte informazioni utili e un importante spunto di riflessione, appunto.

Come mia abitudine, parto dal considerare i principali riferimenti normativi, per circoscrivere il discorso che altrimenti rischierebbe di divagare troppo. Vi invito, perciò, a considerare il secondo e quinto paragrafo dell’art. 30 e il primo dell’art. 35, avendo sempre in mente i precetti dell’art. 5.

Quando parlo di simbiosi intendo dire che esiste uno stretto rapporto che lega il registro del trattamento del responsabile alla valutazione d’impatto svolta dal titolare e viceversa e, in un’ottica complessiva di gestione del rischio, non trovo poi così assurdo ipotizzare che il contenuto del primo, dovrebbe essere considerato nella seconda, fermo restando che è anche dai risultati della valutazione d’impatto che deriva l’adozione del registro stesso.

Così, se è vero che un titolare che, a seguito della valutazione d’impatto, individuati rischi elevati per i diritti e le libertà degli interessati deve richiedere l’adozione di un registro da parte del suo responsabile anche se questo potrebbe applicare (al netto del rapporto con il titolare) la deroga prevista dal quinto paragrafo dell’art. 30, trovo altrettanto vero che, in un complessivo sistema di gestione dei rischi, il titolare abbia il legittimo interesse, per non dire il diritto, di consultare il registro del responsabile per venire a conoscenza di quali siano gli eventuali altri titolari con cui ha rapporti.

Questo perché oggi non è possibile non considerare anche gli “altri titolari” come una fonte di rischio. Così come in un condominio con locali a uso commerciale, quando si redigono i DVR per la sicurezza sul lavoro, non si possono non considerare anche le altre attività presenti per via delle conseguenze sull’affollamento complessivo in caso di evacuazione o con effetti diretti sulla valutazione di rischi derivanti dalla vicinanza con obiettivi “sensibili” per rischi di rapina o attacchi terroristici (pensiamo, per esempio, se nello stesso stabile ci fossero al piano terra una filiale di una banca o delle poste, e ai piani superiori un laboratorio di oreficeria e un’ambasciata o un consolato), analogamente si dovrebbero considerare gli altri titolari per via dalla loro “attitudine” a essere bersaglio di tentativi di violazioni di dati.

Proviamo a pensare al caso in cui un’azienda che si occupa di conservazione e archiviazione documentale. In pratica l’attività consiste nell’offrire uno spazio fisico in cui è possibile lasciare i propri documenti che saranno conservati e archiviati secondo logiche predefinite su scaffali all’interno di capannoni.

Bene, è chiaro che se oltre ai nostri, ci fossero anche documenti di altri titolari, penso ci sarebbe utile valutare il rischio che qualcuno che si introduce nell’archivio per danneggiare uno degli altri, possa accidentalmente danneggiare anche noi. E questa valutazione ritengo che possa essere utile per una protezione dei dati in senso lato, anche in caso di dati informatici e in caso di dati non personali in senso stretto (bilanci societari, brevetti, progetti di vario genere…).

E quindi lo chiedo di nuovo: esiste una simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati personali?

A mio modo di vedere, la risposta è affermativa: sì, perché se conosco il contesto di riferimento posso valutare e gestire il rischio.

A questo punto, quindi,  la questione si sposta sulla volontà del responsabile di rendere disponibile l’informazione. Gli strumenti contrattuali e tecnici per assistere il titolare nella sua valutazione senza necessariamente diffondere informazioni che il responsabile potrebbe voler o dover mantenere riservate esistono.

Sui costi della non sicurezza

Sui costi della non sicurezza.

Un recente comunicato stampa dell’OSHA (l’Agenzia europea per la salute e la sicurezza sul lavoro), ripreso poi dalle principali testate specializzate sull’argomento, racconta come il costo, per l’Unione Europea, della non sicurezza sia arrivato, nel 2017, alla cifra di 476 miliardi di Euro. 476.000.000.000. Quattrocentosettantaseimiliardi. Causati da infortuni o malattie professionali. Di questa cifra, circa il 25% è dovuto ai tumori professionali.

La cifra legata alla non sicurezza è importante e, se confrontata con il PIL dell’UE del 2016, varrebbe circa il 3%. Detto molto malamente, è come se ogni 100 € fatturati, ognuno di noi ne pagasse 3 per pagare infortuni o malattie professionali.

Il fatto, però, è che in questi termini è davvero detto “molto malamente”. Perché i costi della non sicurezza, non possono essere solamente calcolati sulla spesa pubblica che serve a coprire gli infortuni e le malattie professionali.

Provo a spiegarmi meglio: i costi sostenuti dagli enti pubblici di previdenza e di assistenza (di cui possiamo avere un consuntivo con cadenza annuale) sono solo una parte dei costi economici che effettivamente derivano dalla non sicurezza.

Quali sono, dunque, le altre voci di costo?

Per rispondere a questa domanda non basta di sicuro un breve articolo, poiché la risposta va ricercata anzitutto a livello globale e sul piano dell’organizzazione e della strategia.

Facciamo un esempio concreto, con un semplice ragionamento per assurdo.

Un’impresa privata, che paga un lavoratore dipendente (chiamiamolo Tizio) 10 Euro l’ora, in condizioni di sicurezza vedrà remunerato l’investimento fatto su tale risorsa, perché questa produrrà valore e ricavi. Diciamo che ogni ora di lavoro, ciò che viene prodotto ha un valore di 100 Euro.

Immaginiamo che Tizio si debba fermare e non possa lavorare per un giorno, perché infortunato. L’impresa dovrà comunque pagare il suo stipendio, quindi avrà comunque un esborso di 80 Euro (calcolato sulle canoniche 8 ore lavorative), ma se Tizio era l’unico lavoratore impiegato, significa che per l’intera giornata l’azienda non avrà prodotto nulla, il che significa che avrà perso 800 Euro. Il che, di fatto, è come dover sostenere un costo di uguale importo.

Immaginiamo poi che Tizio dovesse produrre qualcosa di estremamente importante per un cliente, il quale, non ricevendo in tempo l’ordine perché l’impresa è stata improduttiva per un giorno, decide di rescindere il contratto di fornitura, mettendo a repentaglio il fatturato di mesi di lavoro futuro.

Chiaramente, l’imprenditore non gradisce che si prospetti una situazione simile, quindi assume una nuova risorsa specializzata (che nella migliore delle ipotesi costerà anch’essa 10 Euro l’ora), oppure ne impiega una dal livello professionale inferiore rispetto a Tizio (chiamiamola Caio), per fronteggiare una situazione momentanea. Questa soluzione, tuttavia, sebbene comporti un minor costo del lavoro, potrebbe comportare anche una minore redditività dello stesso (sia essa intesa in termini quantitativi o qualitativi).

Volendo mantenere lo stesso livello di quantità e di qualità, Caio dovrà necessariamente essere formato in modo specifico per fagli acquisire le stesse capacità e conoscenze di Tizio. Altra voce di costo da sostenere. A cui comunque si aggiunge quello della mancata produzione per il periodo in cui Caio è in aula e non in produzione.

Si può andare avanti all’infinito, anche considerando che, alla fine dell’anno, gli enti assicurativi probabilmente aumenteranno il premio richiesto, sulla base della variazione della classe di rischio che è derivata dall’infortunio.

Dio non voglia che Tizio, a seguito dell’infortunio, riceva un’invalidità permanente che non gli permetterà più di lavorare: questo significherebbe dover erogare una pensione d’invalidità che sarebbe finanziata con le nostre tasse e le imposte. Se aumenta il numero delle persone a cui pagare una pensione, probabilmente lo Stato farà in modo di aumentare il gettito.

Poi potremmo discutere su tutti quei costi occulti necessari per difendersi in tribunale (avvocati, spese processuali, periti di parte…) o per pagare le sanzioni amministrative o penali comminate, o per risarcire il danno procurato a livello civile. E, di conseguenza, i costi per valutare nuovamente i rischi, progettare realizzare e mantenere efficace un modello organizzativo e di controllo che sia idoneo, adeguato e che possa garantire la dovuta conformità alle disposizioni di legge e, magare, anche alle norme tecniche e agli standard internazionali.

Tutto questo, e molto di più, sono i costi della non sicurezza.

Ipotizziamo che Tizio si sia infortunato battendo la testa contro una sporgenza, perché sprovvisto di caschetto (DPI) che avrebbe dovuto essere consegnato, ma non è mai stato acquistato, per risparmiare una decina di Euro (e sto arrotondando per eccesso).

Bene. Vi sembra logico dover pagare tutto quello che abbiamo visto, e molto di più, solo per aver “risparmiato” 10 Euro? Se la vostra risposta è affermativa, signori, avete grossi problemi e il primo è quello di non saper valutare adeguatamente gli investimenti. Forse, fareste cosa migliore se smetteste di fare i datori di lavoro.

Nuove regole per i compro oro

Nuove regole per i compro oro

Seguendo l’ormai consolidato filone di pensiero che vede preferire la responsabilizzazione agli elenchi di obblighi, il Governo ha emanato un nuovo decreto legislativo volto a regolare le attività di compro oro, in modo da uniformarla con le nuove disposizioni antiriciclaggio.

L’atto normativo in questione è il Dlgs 92/2017, del 25 maggio e pubblicato sulla Gazzetta Ufficiale il 20 giugno 2017, delegato dall’articolo 15, comma 2, lettera l), della legge 170/2016.

Anzitutto, il decreto fornisce le doverose definizioni, necessarie per inquadrare il contesto di riferimento e specificare i concetti, che potrebbero essere confusi con quelli usualmente utilizzati nel linguaggio comune o in altre norme. Tra le definizioni spuntano in particolare:

  • L’attività di compro oro, ossia l’attività commerciale consistente nel compimento di operazioni di compravendita sia all’ingrosso che al dettaglio o la permuta di oggetti preziosi usati (c.d. “operazioni di compro oro”), esercitata in via esclusiva ovvero in via secondaria rispetto all’attività prevalente;
  • L’oggetto prezioso usato, che è un oggetto in oro o in altri metalli preziosi nella forma del prodotto finito o di gioielleria, di rottame, cascame o avanzi di oro e materiale gemmologico;
  • Il cliente, cioè il privato che, anche sotto forma di permuta, acquista o cede oggetti preziosi usati ovvero l’operatore professionale in oro (disciplinato, quest’ultimo, dalla legge 7/2000) cui i medesimi oggetti sono ceduti;
  • L’operatore compro oro, che è il soggetto – anche diverso dall’operatore professionale in oro – che esercita l’attività di compro oro, previa iscrizione nel registro degli operatori compro oro;
  • Il registro degli operatori compro oro è il registro pubblico informatizzato, istituito presso l’OAM, in cui gli operatori compro oro sono tenuti ad iscriversi, al fine del lecito esercizio dell’attività di compro oro;
  • I dati identificativi del cliente, cioè il nome e il cognome, il luogo e la data di nascita, la residenza anagrafica e il domicilio, ove diverso dalla residenza, gli estremi del documento di identificazione e, ove assegnato, il codice fiscale o, nel caso di soggetti diversi da persona fisica, la denominazione, la sede legale e, ove assegnato, il codice fiscale;
  • L’operazione frazionata: un’operazione unitaria sotto il profilo del valore economico, di importo pari o superiore ai limiti stabiliti dal presente decreto, posta in essere attraverso più operazioni, singolarmente inferiori ai predetti limiti, effettuate in momenti diversi ed in un circoscritto periodo di tempo fissato in sette giorni, ferma restando la sussistenza dell’operazione frazionata quando ricorrano elementi per ritenerla tale.

Saltano subito all’occhio, dunque, alcuni aspetti che potrebbero sembrare secondari nel linguaggio comune:

  • La locuzione “compro oro” è fuorviante, poiché si riferisce non solo all’oro in sé, ma a tutti gli oggetti e i metalli preziosi elencati dal Dlgs 251/1999;
  • L’oggetto prezioso usato può essere sotto qualsiasi forma, anche rottame o scarto di lavorazione.

Da rilevare anche altri aspetti:

  • L’attività, per essere lecita, deve essere censita nell’apposito registro tenuto dall’OAM (lo stesso organismo che controlla gli agenti finanziari e i mediatori creditizi) ed è subordinata ai requisiti descritti dal TULPS (RD 773/1931);
  • I limiti dell’operazione frazionata – temine mutuato dal Dlgs 231/2007 – sono posti a 500 Euro (quindi una misura specificamente contestualizzata e diversa da quanto disposto nel decreto antiriciclaggio).

Come detto in apertura, il filo logico di fondo è quello di responsabilizzare gli operatori economici, esattamente come accade in ambito antiriciclaggio in senso ortodosso.

Dunque è chiaro che l’operatore compro oro dovrà, nei limiti della sua propria impresa, fare in modo di creare un modello organizzativo che possa dare una direzione strategica e monitorare e controllare in ogni momento la vita aziendale, rilevando tempestivamente ed eventualmente comunicando nei modi e nei tempi dovuti gli aspetti più rilevanti, oltre a quelli richiesti espressamente dal testo normativo.

Tra le comunicazioni da effettuare troviamo quelle verso l’OAM, per l’iscrizione iniziale nel registro e per le successive variazioni dei dati in esso contenuti (da effettuare entro dieci giorni), e quelle verso la UIF, per la segnalazione delle operazioni sospette.

Proprio questa seconda eventuale comunicazione comporta un lavoro “occulto” non indifferente, che richiede la conoscenza e l’applicazione delle disposizioni contenute negli attuali decreti legislativi 231/2007 (in tema di antiriciclaggio e recentemente aggiornato) e 196/2003 (in materia di privacy) e nel Regolamento UE 2016/679 (anch’esso in materia privacy).

L’applicazione di queste quattro disposizioni normative è giustificata dalla volontà del legislatore di tutelare sia il sistema economico che gli interessi collettivi di sicurezza in generale, richiedendo agli operatori compro oro di avere un comportamento non solo lecito, ma anche partecipativo e proattivo, che garantisca:

  • La tracciabilità delle operazioni effettuate;
  • L’accessibilità completa e tempestiva ai dati da parte delle autorità competenti;
  • L’integrità e la non alterabilità dei medesimi dati, successivamente alla loro acquisizione;
  • La completezza e la chiarezza dei dati e delle informazioni acquisiti;
  • Il mantenimento della storicità dei medesimi, in modo che, rispetto a ciascuna operazione, sia assicurato il collegamento tra i dati e le informazioni acquisite ai sensi del presente decreto.

Chiudiamo con una rapida occhiata alle sanzioni previste:

  • L’esercizio abusivo dell’attività (dovuta alla mancata iscrizione nel registro tenuto dall’OAM) è punito con la reclusione da sei mesi a quattro anni e con la multa da 2.000 a 10.000 Euro;
  • La mancata o tardiva comunicazione delle variazioni all’OAM è punita con una sanzione amministrativa pecuniaria che parte da 1.500 Euro;
  • La mancata identificazione del cliente, così come la mancata o la non adeguata conservazione dei dati, dei documenti e delle informazioni previste, è punita con la sanzione amministrativa pecuniaria da 1.000 a 10.000 Euro;
  • La mancata o tardiva segnalazione di operazione sospetta è punita con la sanzione amministrativa pecuniaria da 5.000 a 50.000 Euro.

A proposito delle sanzioni bisogna segnalare che nei casi di violazioni gravi o ripetute o sistematiche ovvero plurime, le sanzioni amministrative pecuniarie sono raddoppiate; tuttavia, per le violazioni delle disposizioni previste dal presente decreto, ritenute di minore gravità, la sanzione amministrativa pecuniaria può essere ridotta fino a un terzo.

Il tutto senza considerare le sanzioni previste dalle altre norme citate.

Organizzarsi è prevenire

Organizzarsi è prevenire

OgranizzazioneSpesso il tempo impiegato per organizzare bene un’attività è visto come una perdita in questioni burocratiche. Fino a che non succede qualcosa…

Non neghiamolo: compliance, gestione del rischio e attività di controllo interne sono tutte cose che alla maggior parte degli imprenditori suonano come inutili perdite di tempo che producono scartoffie e burocrazia che non porta nessun vantaggio e nessun beneficio produttivo.

Questa credenza popolare spesso porta gli stessi soggetti a ritenere i consulenti come me e i miei colleghi soltanto degli artisti del documento, il cui unico compito è scrivere qualcosa che è dovuto per legge, solo perché così, con quel manufatto, si sentono al sicuro da eventuali sanzioni… Come se fosse un oggetto magico, insomma.

Quello che – ahimè – non capiscono, è che non è la carta ad avere il potere, ma il suo contenuto.

Un contenuto che è frutto di esperienza e lavoro, e che per essere efficace (e solo in secondo luogo efficiente) ha bisogno che si investa adeguatamente del tempo per fare in modo che abbia effetti sull’organizzazione aziendale.

Voglio offrirvi un esempio e mi limiterò a citare i fatti e a fare alcune considerazioni.

Un soggetto A, tempo fa mi contattò per richiedere assistenza in tema di protezione dei dati. La sua attività prevedeva (e prevede tutt’ora) tra le altre cose la raccolta e l’elaborazione di determinati dati personali.

In un’ottica di gestione del rischio e di prevenzione di eventuali reclami, suggerii di adottare una procedura per l’eventuale restituzione dei dati agli interessati, in modo che si potesse essere ragionevolmente sicuri di consegnarli soltanto a loro o a persone autorizzate.

All’epoca, il soggetto A mi disse che non era il caso, perché avrebbe portato via parecchio tempo e non sarebbe stato agevole per i suoi clienti.

Capita così che alcuni giorni fa un soggetto ignoto si presenti al soggetto A, identificandosi come un congiunto di un suo cliente, e facendosi consegnare le copie dei documenti di quest’ultimo. Il cliente, scoperto l’accaduto, si è – giustamente – arrabbiato parecchio.

Quanto è successo non è molto chiaro, però si possono fare due considerazioni:

  • C’è stata una sostituzione di persona, che ha indotto fraudolentemente il soggetto A ad agire come descritto.
  • C’è stata una violazione dei dati personali del cliente.

Sulla base di questo, si può certamente affermare che:

  • Se fosse stata adottata e applicata una procedura per la restituzione dei documenti, che prevedesse un’autorizzazione specifica e preventiva da parte dell’interessato o un altro sistema di delega da parte sua, questo tipo di violazione non si sarebbe verificato (o, almeno, non in questo modo).
  • La mancanza della procedura è stata, di fatto, una inadeguatezza delle misure organizzative di sicurezza. Fortunatamente si può escludere un risvolto penale (mi riferisco all’art. 167 del Codice, visto che si tratta di comunicazione o diffusione) perché la violazione non è stata commessa a vantaggio o nell’interesse del soggetto A, che dal suo punto di vista è stato raggirato.
  • Il soggetto A ha dovuto contattare il sottoscritto e altri specialisti per vedersi rassicurare e farsi consigliare al meglio su eventuali strategie difensive, preoccupato che potesse accadere qualcosa a livello legale.

Al di là di qualsiasi altra discussione, il messaggio che vorrei che passasse forte e chiaro è che i professionisti come me non servono a procurare alle imprese un prodotto cartaceo che serve (più o meno) in caso di emergenza. Il nostro scopo è consigliare la strategia migliore, considerato il contesto di riferimento, per applicare al meglio una disposizione di legge i cui effetti non sono discutibili, al contrario dei metodi per ottenerli.

Il metodo migliore è sempre lo stesso: organizzarsi.

Citando Machiavelli, il fine giustifica i mezzi. Ovviamente se non si investe sui mezzi (organizzazione adeguata), non ci si può aspettare di raggiungere il fine sperato (fare business in tranquillità).

Diritti dell’interessato o interessi del titolare?

Diritti dell’interessato o interessi del titolare?

Nell’era dell’economia digitale, dell’industria 4.0, dell’IoT, dei prodotti e dei servizi personalizzati e della società dell’informazione, possiamo ancora pensare che questi due concetti siano entità distinte?

La nuova norma europea sulla protezione dei dati personali (c.d. GDPR) rappresenta indubbiamente un passo in avanti verso la tutela dei diritti fondamentali e assoluti di tutti i cittadini. In una società civile e moderna, questo aspetto non dovrebbe essere sottovalutato e atti legislativi come questo dovrebbero essere visti e applicati da tutti, in un’ottica di rispetto reciproco, di correttezza, di trasparenza e di responsabilità verso gli altri.

Purtroppo, però, sappiamo bene che, soprattutto nel mondo delle imprese, si lotta per sopravvivere e non sempre c’è molto spazio per gli scrupoli, prediligendo la politica della massimizzazione del profitto a discapito di altri aspetti che, ognuno a vario titolo, sono o potrebbero essere addirittura più rilevanti.

E così, tutti quei precetti normativi che trattano specificamente dei diritti degli interessati, rischiano di vedersi oscurare da atteggiamenti egoistici da parte delle aziende, che verosimilmente continueranno a vedere la privacy come un fastidioso adempimento burocratico inefficiente dal punto di vista economico (nel senso che genera più costi che ricavi).

L’errore di fondo delle imprese è proprio quello di non considerare l’argomento da diverse prospettive. Certo, anche il testo normativo non aiuta, visto che è farcito di obblighi e che, ammettiamolo, le cose obbligate ci infastidiscono parecchio. Se poi consideriamo anche che ancora troppo spesso si parla di “privacy” e non di “protezione dei dati (personali)”, capiamo bene perché il rischio di aver scritto l’ennesima norma che, pur scritta bene, è generalmente non applicata è decisamente concreto.

Ma se provassimo a osservare la questione da un altro punto di vista? Se ci soffermassimo a riflettere sul fatto che oggi, il più grande patrimonio di cui un’azienda possa disporre è composto da dati da strutturare in informazioni? Se si capisse e si diffondesse la linea di pensiero che, senza informazioni non si può determinare una strategia di mercato, né una di miglioramento delle risorse umane, né nessun altro tipo di attività che risulti efficace sul medio e lungo periodo?

Se si iniziasse a pensare non più ai diritti degli interessati, ma agli interessi del titolare, lo stesso testo normativo perderebbe il suo spirito coercitivo in luogo di uno persuasivo, ottenendo probabilmente risultati migliori e più diffusi. Siamo obiettivi, a chi non piacerebbe:

  • Avere il controllo totale delle informazioni con cui realizza la propria attività, conoscendone l’intero ciclo di vita e a chi sono affidate (alias “diritto di accesso”)?
  • Avere i dati sempre aggiornati (alias “diritto di rettifica”) sulla base dei quali modificare le proprie scelte e politiche?
  • Evitare di conservare dati inutili, inesatti, obsoleti o il cui trattamento espone al rischio di essere sanzionati (alias “diritto alla cancellazione”), con la diretta conseguenza di limitare i costi legati all’infrastruttura di conservazione (meno dati significa meno spazio di archiviazione)?
  • Poter trasmettere interi database con il minimo sforzo (alias “diritto alla portabilità”)?
  • Avere la ragionevole certezza di poter fare quello che si vuole, perché sicuri di essere nella piena legalità e nel pieno diritto di poterlo fare, senza che altri possano opporsi?

Oggi parlare di “privacy” è anacronistico. Oggi si deve parlare di “protezione dei dati personali”, per difendere diritti, libertà e dignità delle persone, per contribuire attivamente agli interessi della società in cui viviamo e per tutelare i legittimi interessi dei titolari (tra cui anche quelli economici), all’interno di un sistema che è sempre più interdipendente [1].

In questi termini, la norma acquista le sembianze di una “linea guida” e ne si apprezza appieno il valore aggiunto.


[1] In proposito, si veda anche il mio precedente articolo su argomento simile.