In data 26 Ottobre u.s. AssoOro ha organizzato un Convegno a Milano interamente dedicato alle maggiori novità normative per gli Operatori Professionali in Oro e i Compro Oro. A tale evento, ha partecipato in qualità di relatore l’Avv. Cristiana Cipriani (Vice-Presidente AssoOro), per approfondire e analizzare le disposizioni più recenti in materia di Antiriciclaggio e Privacy. Nello specifico, è stata esaminata la corretta procedura ai fini dell’adeguata verifica della clientela e dell’identificazione del cliente e del soggetto esecutore, del titolare effettivo; la fase della valutazione del rischio di riciclaggio e finanziamento del terrorismo; i limiti al contante e le operazioni frazionate; l’identificazione a distanza e vendite on line in base alle attuali norme; i documenti privacy da consegnare alla clientela, ai fornitori, ai dipendenti; e la documentazione privacy necessaria ai fini della valutazione dei rischi e il materiale base indispensabile per gli operatori del settore aurifero. Nell’occasione, sono intervenuti anche Funzionari dell’Agenzia delle Entrate e dell’OAM (Organismo degli Agenti e dei Mediatori) per chiarire e meglio definire le recenti novità normative in merito all’Anagrafe Rapporti in base all’art. 1, comma 45, L. 205/2017, e al nuovo D.Lgs. 90/2017 ed eliminazione esenzione ex art. 25 D.Lgs. 231/2007; alla possibilità per gli O.P.O., in relazione a vendita di oro a soggetti extracomunitari, di operare in contanti fino a 15.000 euro e all’eventuale estensione degli obblighi di invio dati all’Agenzia delle Entrate ai compro oro iscritti all’OAM; e alle novità per il settore oro e l’avvio dell’elenco dei soggetti presso l’OAM in base al DM 14/05/2018, G.U. n. 151 del 02/07/2018.
Privacy, due vie per gli studi (da “ItaliaOggi” del 27/09/2018)
Professionisti titolari o responsabili del trattamento dati. Il 26 settembre u.s. si è svolta a Milano la giornata conclusiva del Forum nazionale dei commercialisti ed esperti contabili. In tale occasione, la tavola rotonda dedicata agi adempimenti "privacy" ha fornito importanti risposte allo stato dell'arte, che potranno riguardare anche il mondo delle professioni. In particolare, è emersa per il professionista la possibilità di essere, nel rapporto con il cliente, un titolare del trattamento oppure un responsabile del trattamento. Si rammenta, a tal proposito, che i più importanti temi riguardanti l'attività svolta dai professionisti contabili sono tre: se, nei confronti dei loro clienti, sono titolari o responsabili del trattamento; se devono nominare un responsabile della protezione dei dati dai loro clienti; se possono essere nominati responsabili della protezione dai loro clienti. Nell'occasione, è intervenuta Giovanna Bianchi Clerici, componente del garante per la protezione dei dati personali, che ha delineato due possibilità: il professionista contabile è titolare del trattamento nei rapporti con un cliente persona fisica, mentre è responsabile esterno se il cliente è una persona giuridica. Gli esperti sull'applicazione del regolamento Gdpr per i lavoratori autonomi hanno poi delineato due ipotesi: se il commercialista svolge attività per conto del cliente (titolare) e non ha autonoma capacità decisionale sulle informazioni trasmesse (ad esempio gestione libri paga), deve essere nominato responsabile ai sensi dell'articolo 28 del Regolamento (UE) 2016/679. Diversamente, se il professionista ha, in relazione alle attività concretamente da svolgere, ampio margine di manovra all'utilizzo dei dati personali (come, per esempio, quando deve difendere un cliente innanzi alla Commissione tributaria) non può essere nominato, poiché agisce come autonomo titolare. Trattasi di una linea interpretativa che risale alle linee guida dei Garanti europei (WP29) n. 1/2010, che mantiene la sua validità. In ottemperanza all'articolo 30 del Gdpr, la nomina a responsabile implica necessariamente la sottoscrizione di un apposito contratto e la stesura, da parte del professionista, del registro del trattamento del responsabile esterno. Quanto invece all'obbligo di nomina di un Dpo (responsabile della protezione dei dati), il garante della privacy ha dato un'indicazione di massima per cui lo studio singolo non deve nominare il Dpo. Più precisamente, è il dato dimensionale a fungere da criterio distintivo: se lo studio professionale lavora con persone giuridiche, non deve essere nominato un Dpo; al contrario, se lo studio lavora con persone fisiche, allora bisogna valutare la necessità di nominare un Dpo.
LA PRIVACY CONDONA LE SANZIONI “VECCHIE” ENTRO IL 18 DICEMBRE (DA “IL SOLE 24 ORE” DEL 17 SETTEMBRE 2018)
Il 19 settembre entra in vigore il D.Lgs. n. 101/2018 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale dei dati)”. A partire da tale data, tutti gli operatori pubblici e privati avranno a disposizione gli elementi necessari ai fini del corretto adempimento agli obblighi di cui al Regolamento Privacy già pienamente efficace dal 25 maggio 2018. In particolare, in ambito sanzionatorio, il termine per usufruire del “condono” - ovvero per effettuare il pagamento in misura ridotta (due quinti del minimo edittale) delle sanzioni che, al 25 maggio 2018 (data di operatività del Gdpr), non erano state ancora definite con ordinanza-ingiunzione - è fissato per il 18 dicembre p.v.. Diversamente, per effettuare il pagamento nel caso non si sia aderito al “condono”, ci sarà tempo fino al 16 febbraio 2019. Il termine del 18 dicembre 2018 è fissato anche per l’autorità giudiziaria al fine di trasmettere a quella amministrativa competente, gli atti dei procedimenti penali relativi ai reati trasformati in illeciti amministrativi. Nei prossimi mesi e sempre entro la data sopra citata, infine, il Garante verificherà la compatibilità con il Gdpr delle autorizzazioni generali ed eventualmente le aggiornerà, per poi sottoporle a consultazione pubblica. Tali autorizzazioni dovranno essere adottate entro 60 giorni dalla chiusura della consultazione e pubblicate sulla Gazzetta Ufficiale; da quel momento cesseranno di produrre effetti le vecchie autorizzazioni generali.
APPROVATO IL TESTO DEFINITIVO DEL DECRETO DI ADEGUAMENTO DELLA NORMATIVA NAZIONALE AL REGOLAMENTO PRIVACY (UE) 2016/679
L’8 agosto u.s. il Consiglio dei Ministri, su proposta del Ministro per gli affari europei, Paolo Savona, e dei ministri competenti, sotto la presidenza del Presidente Giuseppe Conte, nell’esercizio della delega conferita al Governo dell’art. 13 della L. 25 ottobre 2017 n. 163 (legge di delegazione europea 2016/2017, ha approvato il testo definitivo del decreto di armonizzazione dell’ordinamento italiano al Regolamento (UE) 2016/679 (in vigore dal 25 maggio 2018), recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/56/CE”, ora in attesa di pubblicazione in Gazzetta Ufficiale. Sebbene il Regolamento cit. abbia di fatto modificato la prospettiva di tutela delle persone fisiche con riguardo al trattamento dei dati personali, e l’approccio stesso alla materia sia oggi dominata dal principio dell’accountability, il Cdm, di seguito all’esame di una commissione appositamente costituita, ha operato una riformulazione non formale ma sostanziale del D.Lgs. 196/2003 a garanzia della continuità, novellando il codice della privacy esistente e facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, nonché i Codici deontologici vigenti, che saranno oggetto di successivo riesame. In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, il decreto attuativo approvato prevede che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento. Sulla base del testo licenziato dalla Camera, per i primi otto mesi dalla data di entrata in vigore del decreto, il Garante per la protezione dei dati personali terrà conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie. Benché, molte disposizioni del previgente codice non siano espressamente richiamate, in quanto assorbite dalle norme del GDPR, il decreto attuativo approvato l’8 agosto 2018, definisce uno dei tasselli sinora mancanti del quadro normativo in materia di protezione dei dati personali, che dovrebbe completarsi per la fine del 2018 o agli inizi del 2019.
Intervento Avv. Cristiana Cipriani al Convengo Privacy AFin 23 maggio u.s.
AFin, l’Associazione Finanziarie Italiane, ha invitato l’Avv. Cristiana Cipriani a presenziare al convegno specialistico in materia di privacy, in qualità di esperta del settore, tenutosi in data 23 maggio u.s. a Bologna. In primo piano gli step dell’intervento legale: privacy by design e predisposizione di tutta la documentazione per un corretto trattamento dei dati personali. L’Avv. Cipriani ha evidenziato nella sua disamina la necessità di una prima fase di intervento legale che parta dal recepimento di tutte le informazioni sulla struttura e sull’operatività del titolare del trattamento, in particolare un’analisi strutturale per evidenziare il funzionigramma più opportuno a fini privacy. In questo ambito il Professionista dovrà assistere il Titolare del Trattamento nell'individuazione e nella nomina scritta del Responsabile del Trattamento, dell’eventuale DPO, nonché di tutti gli altri soggetti autorizzati al trattamento dati sotto la diretta autorità del Titolare e del Responsabile. La fase successiva dell’auspicando intervento legale è quella delegata ad un’analisi di tipo funzionale, al fine di evidenziare in seno all'attività svolta dal Titolare tutti i possibili rapporti con i soggetti “interessati”, a norma del regolamento UE, i cui dati personali potrebbero essere trattati. Conseguenzialmente individuare i contenuti scritti obbligatori per tutte le informative. Particolare attenzione è stata poi prestata alle interazioni tra le varie figure della Privacy previste dal Regolamento (UE) 2016/679, e alle nuove FAQ del Garante della Privacy del 26/03/2018 sul Responsabile della Protezione dei Dati (RPD) in ambito privato: requisiti, designazione, nomina all’interno di un gruppo imprenditoriale, nomina di un soggetto interno o esterno alla società, ruolo del Responsabile della Protezione Dati e compatibilità con altri incarichi.
NUOVA PRIVACY: IL FUTURO E’ GIA’ QUI
Il 21 marzo u. s. il Consiglio dei Ministri, su proposta del Presidente Paolo Gentiloni e del Ministro della giustizia Andrea Orlando, ha approvato, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016/2017 (L. n. 163/2017), introduce disposizioni per l’allineamento della normativa nazionale alle disposizioni contenute nel Regolamento Privacy (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati). A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dati personali (D.Lgs. n. 196/2003), sarà abrogato; la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del Regolamento (UE) 2016/679 immediatamente applicabili, e da quelle recate dallo schema di decreto in commento, volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.
“FAVOR REI” PER L’ANTIRICICLAGGIO (Da “Il Sole 24 Ore” dell’8 dicembre 2017)
L’articolo in commento delinea il nuovo quadro sanzionatorio in materia di antiriciclaggio alla luce del recepimento da parte del Comando Generale della Guardia di Finanza, della recente direttiva del Ministero dell’Economia delle Finanze – Dipartimento del Tesoro - n. 1/2018 del 27/11/2017, in relazione ala disciplina applicabile in caso di accertamento delle violazioni di cui al D.Lgs. n. 231/2007, così come modificato dal D.Lgs. n. 90/2017. In particolare, la circolare in commento pone l’accento sull'importanza di ricostruire “i comportamenti illeciti sui quali si fondono le irregolarità accertate, nonché gli elementi di fatto a supporto della configurazione della condotta sanzionata nell'ipotesi di “base” ovvero in quella “qualificata” o anche, limitatamente ai casi di inosservanza degli obblighi di adeguata verifica e conservazione di “minor gravità”. Il documento del Tesoro (prot. n. 54071) accluso nella Circolare, evidenzia tre diverse fattispecie di reato: l’omessa segnalazione di operazione sospette, l’inadempimento degli obblighi di adeguata verifica (per le quali è prevista l’applicazione del principio del “favor rei” se le violazioni risalgono a prima dell’entrata in vigore del D.Lgs. n. 90/2017), e l’inadempimento degli obblighi di conservazione (reato introdotto con il D.Lgs. n. 90/2017 e quindi soggetto solo alla nuova disciplina). D’altro canto, la Guardia di Finanza precisa che per le violazioni poste in essere prima del 4 luglio 2017, data dell’entrata in vigore del D.Lgs. n. 90/2017, sarà comunque l’amministrazione “procedente” a determinare, nel caso concreto, la disciplina applicabile in “ossequio al principio” del “più favorevole”, tendendo conto del regime sanzionatorio previsto prima e dopo l’introduzione della nuova normativa. Per l’inadempimento degli obblighi commessi, invece, successivamente all'entrata in vigore del Decreto sopra menzionato, troveranno applicazione solo le nuove disposizioni sanzionatorie.
VALIDI I TASSI DIVENTATI USURARI ( Da Il Sole 24 Ore del 22/10/17)
Con la sentenza del 19 ottobre 2017, n. 24675, le Sezioni Unite della Cassazione si sono espresse in merito al delicato tema dell’usura sopravvenuta. Tale meccanismo si realizza quando il tasso di interesse previsto dal contratto di finanziamento o di mutuo al momento della stipula, supera in un periodo successivo il tasso soglia di usura così come definito dalla legge n. 108/1996. Sul punto si erano sinora delineate due indirizzi giurisprudenziali differenti: il primo, a cui si era unito in un secondo momento anche l’ABF con soluzioni estranee alla tradizione, stabiliva la nullità delle clausole contrattuali e conseguente sostituzione del tasso usurario con il tasso soglia ovvero, seppure in sporadici casi, l’azzeramento del tasso da applicare; il secondo, riteneva in caso di superamento del tasso-soglia nel corso del finanziamento, non configurabile l’usura sopravvenuta per i contratti conclusi in data anteriore a quella dell’entrata in vigore della L. 108/96. Ed è proprio in quest’ultimo senso, che le Sezioni Unite intervenute a risolvere suddetto contrasto, hanno enucleato il principio in base al quale “allorché il tasso dell’interesse concordato tra mutuante e mutuatario superi, durante lo svolgimento del rapporto, il limite dell’usura come definito dalla legge n. 108/1996, non si verifica la nullità o l’inefficacia della clausola contrattuale di determinazione del tasso degli interessi stipulata anteriormente all'entrata in vigore della predetta legge, o della clausola stipulata successivamente per un tasso non eccedente tale soglia, quale risultante al momento della stipula; né la pretesa del mutuante di riscuotere gli interessi secondo il tasso validamente concordato può essere qualificata, per il solo fatto del sopraggiunto superamento di tale soglia, contraria al dovere di buona fede nell'esecuzione del contatto”. Pertanto, sebbene il presente orientamento delle Sezioni Unite non escluda la possibilità che la questione possa essere sottoposta nuovamente alla Consulta sotto il profilo della legittimità costituzionale, ad oggi il mutuante non potrà pretendere dall'intermediario la restituzione delle somme versate in eccedenza.
LA COMPRAVENDITA DI IMMOBILI E L’OBBLIGO DEL NOTAIO DI APRIRE UN CONTO CORRENTE DEDICATO
Con la legge sulla concorrenza n. 124/2017 è stata introdotta una nuova forma di tutela per chi acquista un immobile. In particolare, l’art. 1, co. 142-143 dispone l’obbligo per il notaio di accendere un conto corrente di deposito vincolato per la somma pattuita dalle parti contraenti. In tale ambito, ai clienti è data la facoltà di richiedere il deposito della somma di denaro pattuita al notaio rogante, fino alla trascrizione del contratto di compravendita. L’intento del legislatore è volto ad assicurare all’acquirente maggiore garanzia contro possibili trascrizione di altro atto di acquisto del medesimo immobile, o di formalità pregiudizievoli, come sequestro, ipoteca, domanda giudiziale ecc. . La normativa vigente dettaglia le somme di denaro che il notaio rogante è tenuto a versare sul conto dedicato, ove richiesto dai clienti: gli importi dovuti a titolo di tributi per i quali il medesimo sia sostituto o responsabile d’imposta, e comunque le spese anticipate in relazione agli atti a repertorio dallo stesso ricevuti o autenticati e soggetti a pubblicità immobiliare o commerciale (che non concorrono a formare la base imponibile, e cioè le somme dovute a titolo di rimborso delle anticipazioni fatte in nome e per conto della controparte, purché regolarmente documentate); ogni altra somma affidatagli e soggetta ad obbligo di annotazione nel registro delle somme e dei valori ci cui alla legge n. 64/1934; l’intero prezzo o corrispettivo, ovvero il saldo degli stessi, se determinato in materia denaro, oltre alle somme destinate ad estinzione di gravami o spese non pagate o di altri oneri dovuti in occasione del ricevimento o dell’autenticazione di atti di trasferimento della proprietà o di trasferimento, costituzione o estinzione di altro diritto reale su immobili o aziende, se in tal senso richiesto da almeno una delle parti e conformemente all'incarico espressamente conferito. Nel caso di specie, il notaio deve ricusare il suo ministero se le parti non depositano, antecedentemente o contestualmente alla sottoscrizione dell’atto, l’importo dei tributi, degli onorari e delle altre spese dell’atto, salvo che si tratti di persone ammesse al beneficio del gratuito patrocinio. Infine, è disposto che le somme depositate nel conto corrente di cui al presente articolo, costituiscano patrimonio separato. In particolare, dette somme sono escluse dalla successione del notaio o altro pubblico ufficiale e dal suo regime patrimoniale della famiglia, sono impignorabili a richiesta di chiunque ed impignorabile è anche il credito al pagamento o alla restituzione delle stesse. Se nell'atto le parti hanno previsto che il prezzo o corrispettivo sia pagato solo dopo l’avveramento di un determinato evento o l’adempimento di una determinata prestazione, il notaio o altro pubblico ufficiale svincola il prezzo o corrispettivo depositato quando gli viene data la prova, risultante da atto pubblico o scrittura privata autenticata, ovvero secondo le diverse modalità probatorie concordate tra le parti, che l’evento dedotto in condizione si sia avverato o che la prestazione sia stata adempiuta.
LA TUTELA DELLA PRIVACY CON SISTEMI SU MISURA
Da "Il Sole 24 Ore del 10 Agosto 2017". Dal 25 maggio 2018 sarà efficace in tutti i Paesi UE il Regolamento europeo sulla protezione dei dati: REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Il Provvedimento in esame costituisce un rafforzamento dei principi contenuti nell'attuale legge italiana sulla privacy (L. n. 196/2003) e del vigente apparato sanzionatorio, e detta nuove norme in tema di trattamento dei dati. Tra le maggiori novità, l’istituzione del DPO (Data Protection Officer), quale Responsabile della protezione dati con funzioni di controllo del trattamento alla luce della natura, dell’ambito dei applicazione, del contesto e delle finalità (obbligatoria per determinati soggetti e trattamenti); il diritto all'oblio informatico, limitato soltanto in taluni specifici casi, come ad esempio per garantire l’esercizio della libertà di espressione o il diritto di difesa in sede giudiziaria o, per tutelare un interesse generale come ad esempio la salute pubblica; l’obbligo di notificare all'autorità garante entro un termine di 72 ore ogni fuga di dati o violazione di sistema (c.d. data breach). Quanto alle aziende, diventa obbligatorio per le imprese con più di 250 dipendenti, l’istituzione di un registro delle attività di trattamento, da aggiornare costantemente e conservare, per poter dare prova di aver considerato ogni aspetto in caso di contenziosi o semplici richieste. Pertanto, tali società dovranno adottare procedure atte a garantire la massima chiarezza circa le finalità del trattamento, non solo avendo riguardo al possibile esercizio dei diritti da parte dei soggetti interessati che hanno affidato loro i dati, ma anche alle autorità garanti dei diversi Paesi UE che nel nuovo assetto normativo, diventano soggetti centrali nel vigilare sul rispetto della disciplina.