Istituto ISR - Istituto di Studi sulla Responsabilità amministrativa degi Enti

Pubblicato il 2017-09-10

Privacy - GDPR

Il General Data Protection Regulation (GDPR), ovvero il Regolamento UE n. 679/2016 sulla protezione dei dati personali (o Regolamento sulla privacy), è entrato in vigore Il 24 maggio 2016, per divenire pienamente applicabile dal 25 maggio 2018, abrogando la Direttiva 95/46/CE.
Il testo affronta anche il tema dell'esportazione di dati personali al di fuori dell'UE e obbliga tutti i Titolari del trattamento dei dati (anche con sede legale fuori dall'Unione Europea) che trattano dati di residenti nell'unione europea ad osservare ed adempiere agli obblighi previsti. Gli obiettivi principali della Commissione europea nel GDPR sono quelli di restituire ai cittadini il controllo dei propri dati personali e di semplificare il contesto normativo che riguarda gli affari internazionali unificando e rendendo omogenea la normativa privacy dentro l'UE.[1] Dal 25 maggio 2018, il GDPR andrà a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC)[2] istituita nel 1995, abrogherà le norme del Codice per la protezione dei dati personali (dlgs.n. 196/2003) che risulteranno con esso incompatibili. Ciò potrà generare confusione per alcuni ma si attende una normativa italiana "di raccordo" che metta ordine e inserisca le norme del Codice privacy non incompatibili all'interno dell'impianto normativo del Regolamento. Con Direttiva UE 2016/680, in aggiunta a questo nuovo regolamento sarà applicata una disciplina speciale e in parte derogatrice per i trattamenti dei dati da parte dell'Autorità Giudiziaria e di tutte le forze di polizia; in ragione della caratteristica dell'istituto della direttiva europea tali trattamenti dei dati (Autorita' Giudiziaria e forze di polizia) continueranno ad essere differenti da Stato a Stato ed oggetto di una legislazione separata nazionale
Alcune novità del GDPR impongono un’attenta pianificazione fin da subito, potendo comportare modifiche organizzative significative e investimenti di natura tecnologica. Inoltre il GDPR rovescia completamente la prospettiva della disciplina di riferimento, istituendo un quadro normativo tutto incentrato sui doveri e la responsabilizzazione del Titolare del trattamento (principio di “accountability”). La nuova disciplina impone a tale soggetto di garantire il rispetto dei principi in essa contenuti, ma anche di essere in grado di comprovarlo, adottando una serie di strumenti che lo stesso GDPR indica.
In primis, il registro delle attività di trattamento, che deve contenere una serie di informazioni, tra cui le finalità del trattamento, la descrizione delle categorie di interessati e di dati personali che vengono trattati, oltre che l’indicazione delle misure di sicurezza adottate. La tenuta del registro costituisce un adempimento di fondamentale importanza nell’ottica del principio di accountability, in quanto permette di monitorare in maniera approfondita le operazioni di trattamento all’interno dell'organizzazione. Esso costituisce dunque sia uno strumento operativo di lavoro con cui censire in maniera ordinata le banche dati e gli altri elementi rilevanti per assicurare un sano “ciclo di gestione” dei dati personali, sia un vero e proprio documento di carattere probatorio mediante il quale il Titolare del trattamento può dimostrare di aver adempiuto alle prescrizioni del Regolamento.
A tal fine, può risultare utile indicare nel registro una serie di elementi non espressamente imposti dall’art. 30 del GDPR, ma comunque importanti per tener traccia delle operazioni di trattamento effettuate. Tra questi, ad esempio, la base giuridica del trattamento (ricompresa tra gli elementi che devono essere contenuti nell’informativa da consegnare all’interessato), o gli applicativi e/o database utilizzati, la cui elencazione può risultare necessaria per mappare con esattezza le misure di sicurezza implementate/da implementare, oltre che per condurre efficacemente la valutazione dei rischi.
Quest’ultima assume carattere imprescindibile per poter stabilire quali misure tecniche e organizzative adottare in azienda per garantire un livello di sicurezza appropriato al rischio stesso. La nuova normativa, infatti, abbandona il concetto di “misure minime” del Codice Privacy, sostituendolo con quello di “misure adeguate”. Tale maggiore discrezionalità, tuttavia, è accompagnata, come sopra precisato, dall’onere in capo al Titolare del trattamento di poter dimostrare le ragioni che hanno portato a una determinata decisione.
Titolare del trattamento che potrà nominare un Data Protection Officer (DPO), ovvero una figura specialistica e altamente qualificata che supporti l’applicazione degli obblighi della nuova normativa, e funga da punto di contatto con le Autorità di controllo e gli interessati. La designazione del DPO è obbligatoria solo in alcuni casi (trattamenti effettuati su larga scala, posti in essere da un’Autorità pubblica/organismo pubblico, o che ricomprendono categorie particolari di dati personali). Tuttavia costituisce una buona prassi anche per le aziende che sarebbero esenti da tale adempimento.
In sostanza, l’ampio spettro di novità introdotte dal GDPR impone di definire un piano di adeguamento alla nuova normativa, coinvolgendo le diverse funzioni aziendali coinvolte in operazioni di trattamento di dati personali. È fondamentale sfruttare appieno il periodo transitorio a disposizione, per garantire la conformità alle nuove disposizioni entro il 25 maggio 2018.

Inserito da: Avv. Pietro Domenichini

Pubblicato il 2014-10-16

Una comparazione fra la normativa inglese anticorruzione, il Bribery Act del 2010, e quella italiana

Un argomento di sicuro interesse per le società italiane che aprono una sede in Regno Unito, o che acquisiscono una partecipazione o vengono partecipate: l'importanza del modello organizzativo si accresce, me viene reso di fatto possibile dalle similitudini con la normativa italiana.

La materia dei modelli organizzativi è regolata in Italia dal D.lgs. 231/2001, che ha innovato il diritto penale italiano introducendo la nuova forma della responsabilità penale per le persone giuridiche e per gli enti. Ciò ha scatenato un intenso dibattito in dottrina sulla qualificabilità penale della nuova forma di responsabilità.
Nei Paesi anglosassoni la questione della configurabilità di una responsabilità penale delle persone giuridiche è del tutto ininfluente. Quando il legislatore, nel 2002 in USA e nel 2010 in UK, ha introdotto sanzioni penali per gli enti, nessuno si è meravigliato. Ciò detto, vale la pena di notare che la legislazione italiana è stata veramente tempestiva e piuttosto azzeccata, dal momento che molti istituti del “sistema 231” si ritrovano nella legislazione anglosassone, e non solo.
Della Sarbanes-Oxley Act statunitense del 2002 abbiamo già parlato in numerose pubblicazioni di questo Istituto. Giova ora concentrarsi sulla legislazione inglese, che mostra alcuni interessanti punti di contatto con la struttura del modello organizzativo italiano.

SCARICA L'ARTICOLO COMPLETO

Documenti
1 - Prevenzione_dei_reati_d_impresa_in_UK.pdf

Inserito da: Avv. Pietro Domenichini

Pubblicato il 2014-04-16

Istituto ISR pubblica un paper sul sistema Cloudgovernance

Il sistema Cloudgovernance di misurazione del rischio e prevenzione dei reati presupposto, diventa oggetto di un importante paper pubblicato sul International Journal on Auditing Technologies, e scritto a cura dei ricercatori del Dipartimento di Economia Aziendale dell'Università di Verona e di Istituto ISR

Documenti
1 - IJAUDIT103-0404.pdf

Inserito da: Avv. Pietro Domenichini

Pubblicato il 2014-09-03

Introdotto il rating di legalità per le aziende

Da quest'anno le aziende possono avvalersi di un nuovo strumento di verifica e attestazione della propria compliance, immediatamente spendibile nei confronti della pubblica amministrazione e del sistema bancario. Nel testo, tutte le utili indicazioni sulle modalità di ottenimento dell'attestazione

Con il Decreto Legge n. 1 del 24/01/2012, art. 5-ter, viene introdotto il concetto di RATING di LEGALITA’ per le imprese.
Detto rating (punteggio) viene assegnato dall’AGCM (Autorità Garante della Concorrenza e del Mercato) alle imprese che ne fanno richiesta e che soddisfano dei requisiti minimi in tema di legalità.
Il rating, qualora assegnato, andrà da un minimo di 1 ad un massimo di 3 “stellette”.
La richiesta e la successiva attribuzione del rating risulta particolarmente importante in quanto con il recente Decreto interministeriale del 20 febbraio 2014, n. 57 sia la concessione di finanziamenti da parte delle pubbliche amministrazioni sia l’accesso al credito bancario vengono vincolate proprio all’ottenimento, da parte dell’impresa, di detto rating di legalità.
Nello specifico, per quanto attiene la concessione di contributi/finanziamenti pubblici, i soggetti gestori dei fondi sono obbligati a prevedere almeno uno dei seguenti sistemi di premialità per le imprese in possesso del rating di legalità:
a) preferenza in graduatoria;
b) attribuzione di punteggio aggiuntivo;
c) riserva di quota delle risorse finanziarie allocate.
In tal senso il nuovo bando del Ministero dello Sviluppo Economico per la valorizzazione di disegni e modelli pubblicato sulla G.U. del 08/08/2014, già riserva una percentuale di fondi disponibili alle imprese in possesso del rating di legalità.
Per quanto riguarda l’accesso al credito bancario, la normativa impone che le banche tengano conto della presenza del rating di legalità attribuito all’impresa nel processo di istruttoria ai fini di una riduzione dei tempi e dei costi per la concessione di finanziamenti.
Non si esclude che in un prossimo futuro il possesso del rating di legalità, annualmente aggiornato, venga richiesto anche in altri ambiti, a partire dalla partecipazione a procedure ad evidenza pubblica per l’ottenimento di appalti o la fornitura di beni/servizi nei confronti della Pubblica Amministrazione.
Ad oggi, pertanto, l’ottenimento ed il successivo mantenimento del rating di legalità non è un obbligo, ma si traduce in un vantaggio che le imprese hanno già l’opportunità di spendere, soprattutto in tema di agevolazioni pubbliche.
Potranno richiedere l’attribuzione del rating di legalità le imprese, operative in Italia, che:
- abbiano raggiunto un fatturato minimo di due milioni di euro nell’esercizio chiuso l’anno precedente alla richiesta di rating, riferito alla singola impresa o al gruppo di appartenenza,
- siano iscritte al registro delle imprese da almeno due anni.
Ad oggi la richiesta di attribuzione del rating di legalità si basa su di un’autocertificazione resa dall’impresa attestante il possesso dei requisiti previsti che deve essere inoltrata all’AGCM in via esclusivamente telematica (con uso della firma digitale). Per la corretta compilazione di detto documento è utile il supporto di un professionista esperto in tema di diritto penale (Avvocato penalista).
A titolo di puro esempio il rating non sarà ottenibile qualora:
nei confronti dei titolari/amministratori/soci di maggioranza/direttori, è stata iniziata l’azione
penale ai sensi dell’articolo 405 del codice di procedura penale;
nei confronti dei titolari/amministratori/soci di maggioranza/direttori, per reati di cui al D. Lgs.
231/2001 e per reati tributari, sono state adottate misure cautelari personali e/o patrimoniali
ovvero se sono state pronunciate sentenze di condanna;
nei confronti dell’impresa, per reati di cui al D. Lgs. 231/2001, sono state adottate misure
cautelari, ovvero se sono state pronunciate sentenze di condanna.

Inserito da: Dott. Giuliano Zusi

NEWS

Tuesday 19 November 2024

Germania, l'esercito prepara le imprese a eventualità guerra

L'esercito tedesco dà lezioni alle imprese, in Germania, per prepararle in caso...

Privacy - GDPR

Una comparazione fra la normativa inglese anticorruzione, il Bribery Act del 2010, e quella italiana

Istituto ISR pubblica un paper sul sistema Cloudgovernance

Introdotto il rating di legalità per le aziende

NEWS

Links

Reports

FAQ

Contact