Domande più frequenti su GDPR , Antiriciclaggio, 231.
FAQ GDPR
Cos'è il GDPR?
Si tratta del nuovo Regolamento Generale per la Protezione dei Dati personali EU 2016/679, è una legge europea e pertanto prevale sulle normative nazionali che divengono così solo dei raccordi e non possono sostenere nulla di contrario al Regolamento. È una norma che non pone tanto al centro la privacy, quanto la data protection, quindi quel complesso di misure tecniche e organizzative volte ad assicurare la messa in opera si misure adeguate a proteggere i dati, quindi un grosso salto di qualità rispetto al vecchio Codice Privacy che nell’allegato B parlava di misure minime di sicurezza, oggi non più sufficienti ad essere aderenti alla nuova norma. Questa introduce anche alcuni nuovi concetti il più rivoluzionario dei quali è la responsabilizzazione dei soggetti che trattano i dati personali, in sostanza decido io che tratto i dati quali misure adottare e posso anche correre dei rischi più o meno calcolati, ma se qualcosa va storto ne rispondo direttamente davanti all’autorità Garante Italiana. Altre significative novità sono il diritto all’oblio e l’obbligo di notifica all’autorità di controllo in caso di acclarato databreach.
Ma il GDPR mi riguarda? Ho una Partita Iva
Al rispetto del GDPR sono tenute tutte le persone, fisiche e giuridiche, che trattano dati personali riferiti a persone fisiche come, ad esempio, le pubbliche amministrazioni, le imprese anche individuali, i professionisti che sono, secondo il Regolamento europeo, titolari del trattamento. Il GDPR riguarda, inoltre, anche i responsabili del trattamento da individuarsi nei soggetti che trattano dati personali per conto dei titolari. Molta attenzione va prestata alla figura del responsabile che può essere ad esempio lo studio paghe o l’azienda che fa la manutenzione informatica di server e client o chi sviluppa il nostro sito web.
SezioneGDPR, entrata in vigore, proroghe, grace period
Essendo entrato in vigore nell’aprile 2016, ci sono stati due anni concessi dall’Unione Europea per adeguarsi. L’effettiva completa e piena applicabilità del GDPR si è verificata il 25 maggio 2018. In Italia abbiamo avuto un percorso più accidentato in quanto si era in attesa della formulazione di una legge di raccordo con le varie discipline nazionali, dapprima si era pensato a una completa riscrittura della vecchia legge Privacy la 196/2003, dopo la scrittura di una prima bozza si è optato per novellare il vecchio Codice e così ad agosto 2018 (in ritardo rispetto al resto d’Europa) il governo ha dato vita al decreto legislativo 101/2018 che novella il vecchio Codice abrogando una quantità di articoli ormai incompatibili con la nuova normativa e inserendone molti di nuovi. Pertanto nessuna proroga è stata concessa, certamente l’assenza di una legge nazionale ha ritardato di circa un anno l’inizio di controlli mirati da parte del Garante. Questi ha anche asserito che avrebbe atteso circa otto mesi dall’entrata in vigore del decreto 101 prima di iniziare a fare controlli più massivi, questa sorta di periodo ulteriore per aggiornarsi scade a metà maggio 2019.
GDPR quali obblighi?
A differenza del Codice Privacy il GDPR non fa un elenco delle cose da fare, ma in ossequio al concetto di responsabilizzazione del titolare dei trattamenti lascia a lui il compito e l’onere di stabilire quali siano effettivamente le misure da mettere in atto per proteggere i dati. Il GDPR all’articolo 32 menziona tra dette misure solo la cifrature dei dati e la loro pseudonimizzazione senza dire che queste sono obbligatorie, ma citandole puramente come esempio. Quanto ad altri obblighi vi è la tenuta del registro dei trattamenti per titolari e responsabili del trattamento dei dati, su questo punto dell’articolo 30 si è scatenato un ampio dibattito su chi fosse realmente tenuto ad averlo. L’articolo in questione parole di aziende con più di 250 dipendenti, ma le autorità europee hanno posto in evidenza con una dichiarazione di due pagine che sono tenuti a compilare il registro tutti colori per i quali i trattamenti non siano occasionali, di fatti tutti. Vi è infine l’obbligo della DPIA (valutazione d’impatto del trattamenti dei dati) in particolari situazioni specificate dal Garante con apposito provvedimento di fine dicembre 2018. Non tutti hanno tuttavia questo specifico obbligo.
Chi deve fare la DPIA e cos’è?
La Data Protection Impact Assessment o DPIA è una particolare analisi di rischio del trattamento che va posta in atto in particolari situazioni che presentano un elevato rischio per la sicurezza dei dati (e quindi per le libertà e i diritti dei soggetti interessati, cioè i coloro i cui dati sono trattati). Ciascun Garante Europeo ha rilasciato una lista di situazioni in cui la DPIA è imprescindibile, il Garante per la Protezione dei Dati italiano ha emesso un apposito provvedimento che elenca i trattamenti soggetti a DPIA. Se ne può trova copia a questo link.
DPO chi è? Devo nominarlo?
Data Protection Officer, una nuova figura assai importante introdotta dal Regolamento, in italiano è stato tradotto con Responsabile per la Protezione dei Dati, è una sorta di controllore simile all’Organismo di Vigilanza o all’RSPP che verifica l’effettivo ruolo di Garante interno a un’azienda o a una pubblica amministrazione. Vigila sull’effettiva applicazione del regolamento, viene consultato in caso di nuovi trattamenti da porre in essere, viene coinvolto nelle riunioni del management, offre supporto e consigli, fa da trait d’union con il Garante per la Protezione dei Dati e le aziende o tra gli interessati e le medesime, presenzia ad eventuali controlli posti in atto dall’autorità Garante. Non tutte le aziende ne hanno l’obbligo normativo, definito (sebbene in alcuni punti in modo piuttosto vago) nell’articolo 37 del GDPR. Tuttavia l’Unione caldamente suggerisce di aderire spontaneamente anche laddove un DPO non sia strettamente obbligatorio. Diciamo che oggi come oggi nel caso in cui si ricada nell’ampia zona grigia del “non si capisce se debba o meno averlo” specie se si trattano dati particolari conviene aderire.
FAQ ANTIRICICLAGGIO
Qual è il limite di utilizzo del denaro contante e come se ne determina il frazionamento?
La Legge di Bilancio 2020 è intervenuta con una serie di misure finalizzate ad incentivare i pagamenti attraverso l’uso della moneta elettronica. Contestualmente, sia pure dal 1° luglio, è stata prevista la diminuzione del limite di utilizzo del denaro contante da 3.000 a 2.000 euro. Tale limite diminuirà ancora dal 1° gennaio 2022 a 1.000 euro. Si pone ancora una volta la necessità di valutare la legittimità dei pagamenti effettuati in più rate, tutte al di sotto della nuova soglia, ma di importo complessivo superiore. L’art. 49 del D.Lgs. n. 231/2007 considera irregolari i trasferimenti “frazionati” di denaro contante effettuati al solo fine di eludere il predetto limite.
Il legislatore vieta i trasferimenti di denaro contante o di titoli al portatore, per un importo superiore alla soglia di legge, effettuati a qualsiasi titolo tra soggetti diversi; qual è il significato dell’espressione “tra soggetti diversi”?
Con le parole “soggetti diversi” il legislatore vuol far riferimento ad entità giuridiche distinte. Si pensi, a titolo esemplificativo, a quei trasferimenti intercorsi tra due società, o tra il socio e la società di cui questi fa parte, o tra società controllata e società controllante, o tra legale rappresentante e socio o tra due società aventi lo stesso amministratore, o ancora tra una ditta individuale ed una società, nelle quali le figure del titolare e del rappresentante legale coincidono, per acquisti o vendite, per prestazioni di servizi, per acquisti a titolo di conferimento di capitale, o di pagamento dei dividendi. Inoltre, nella violazione sono coinvolti entrambi i soggetti che hanno effettuato il trasferimento. Non solo, quindi, il soggetto che effettua la dazione di denaro ma anche quello che lo riceve, detto altrimenti anche colui che “subisce l’azione”, in quanto con il suo comportamento ha contribuito ad eludere e vanificare il fine della legge.
Per l’individuazione del titolare effettivo di società di persone possono essere utilizzati i criteri di cui all’articolo 20 del d.lgs. 21 novembre 2007, n.231, come modificato dal d.lgs. 25 maggio 2017, n.90, relativo alle sole società di capitale?
L’articolo 20 è una norma specifica introdotta dal legislatore per dare soluzione ai dubbi sollevati nella pratica in merito alla identificazione del titolare effettivo di un soggetto di diritto giuridicamente e patrimonialmente distinto dalle persone fisiche che agiscono tramite esso. Il problema non si pone evidentemente per le società di persone, laddove vi è una sovrapposizione sostanziale e giuridica della proprietà legale ed effettiva, attesa l’imputabilità degli effetti degli atti, posti in essere attraverso il veicolo societario, in capo al legale rappresentante.
Per le società di persone e, più in generale, per i soggetti privi di personalità giuridica, in sostanza, il cliente è una persona fisica rispetto a cui, eventualmente, potrebbe porsi un problema di interposizione fittizia, la cui individuazione, impossibile da ricostruire attraverso criteri legali, dovrebbe emergere dal corretto adempimento degli obblighi di adeguata verifica del cliente. Si rammenta inoltre che il decreto ha introdotto l’estensione delle misure di adeguata verifica anche all’esecutore (cfr. articolo 1, comma 2, lettera p) e articolo 18, comma 1, lettera a)) rispetto a cui i soggetti obbligati sono tenuti a riscontrare l’ampiezza del potere di rappresentanza, in forza del quale egli opera in nome e per conto del cliente.