Intermediari Entratel: al via i controlli Privacy

Il Settore Compliance Audit dell’Agenzia delle Entrate comunica a tutti gli Intermediari Entratel nuovi e articolati controlli previsti per il secondo semestre del 2011 sul rispetto del Codice Privacy

Nel secondo semestre del 2011, l’Agenzia delle entrate avvierà nuovi e più articolati controlli sul rispetto degli obblighi di riservatezza cui sono tenuti gli incaricati della trasmissione delle dichiarazioni.

I controlli saranno effettuati nel corso degli ordinari interventi di vigilanza, svolti dalle strutture di audit regionali presso CAF e altri intermediari adibiti al canale Entratel.

Oggetto dell’attività di verifica

Le operazioni di verifica saranno volte a controllare che gli intermediari abbiano adottato le cautele necessarie a proteggere i dati personali e sensibili di cui vengono a conoscenza ai fini dello svolgimento della propria attività, secondo quanto previsto da:

Esito dei controlli

Secondo quanto previsto dall’art.8 del Decreto 31 Luglio 1998, il mancato rispetto degli obblighi di riservatezza costituisce causa di revoca dell’abilitazione al canale Entratel.

Pertanto, in caso di accertameno del mancato rispetto degli obblighi privacy, l’Intermediario potrà essere soggetto a:

  • sanzioni amministrative comprese tra  € 8000 e € 1.200.000
  • sanzioni penali (reclusione fino a 3 anni)
  • revoca dell’abilitazione all’invio telematico.

 

Scarica il Comunicato dell’Agenzia delle Entrate.

Privacy: Nuove Semplificazione per le Imprese

Nuove misure di semplificazione in arrivo col Decreto Legge n. 138  (Decreto Sviluppo) approvato dal  Consiglio dei Ministri il 5 maggio scorso ed ora in attesa di pubblicazione sulla  Gazzetta Ufficiale.

Vediamo che cosa cambia nel panorama degli adempimenti privacy, riservandoci nei prossimi Post  di approfondire dettagli e conseguenze delle modifiche al dettato del DLgs 196/2003 (Codice  Privacy)

Estensione dell’esonero dalla redazione del DPS

Viene estesa la possibilità di ricorrere all’Autocertificazione al posto del DPS anche ai Titolari che trattano dati sensibili tout court dei propri dipendenti e relativi coniugi e parenti (anche, quindi, dati relativi allo stato di salute o malattia con indicazione della relativa diagnosi):

“Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B) (…)”

Rapporti tra Imprese

All’Art. 5 DLgs 196/2003 è aggiunto il seguente comma:


“3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice.”

Il Nuovo comma 1-ter dell’Art. 34 DLgs 196/2003, definisce i trattamenti effettuati per finalità amministrativo – contabili come quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro”;

Viene, di fatto, ridimensionato l’ambito di applicazione del Codice Privacy (DLgs 196/2003) stabilendo che “in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”.

Diretta conseguenza della modifica normativa è, ad esempio, il venire meno dell’obbligo di informative e/o richieste di consenso nei rapporti tra persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili.

Gruppi di Imprese e Società controllate o collegate

Permane l’obbligo di Informativa all’Interessato ma viene esclusa la necessità del consenso in caso di “comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13.”;


Gestione dei Curricula

Nel caso di invio spontaneo di CV:

  • viene esclusa la necessità del consenso al trattamento (anche per eventuali dati sensibili) da parte dell’Interessato
  • il Titolare ricevente può fornire l’Informativa al momento del primo contatto con il Candidato all’assunzione, anche oralmente.

All’Art. 13, è infatti aggiunto il comma 5-bis: “L’informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f).”;


Marketing

Una delle più rilevanti novità contenute nel Decreto Sviluppo in materia di privacy, concerne, proprio, la nuova disciplina sul marketing “cartaceo” utilizzando gli indirizzi degli abbonati presenti in elenchi pubblici sia  cartacei o elettronici.

La modifica del comma 3-bis dell’Art. 130 DLgs 196/2003 estende, infatti, anche agli indirizzi postali il regime dell’opt-out di recente introdotto nel nostro ordinamento in materia di trattamento dei numeri telefonici degli abbonati per l’esercizio di marketing telefonico.

Pertanto: gli operatori di marketing diretto potranno utilizzare anche gli indirizzi postali degli abbonati contenuti nell’elenco telefonico per finalità promozionali senza bisogno di chiedere il consenso alla sola condizione che questi ultimi non abbiano richiesto l’iscrizione del proprio numero telefonico e del proprio indirizzo presso il registro delle opposizioni di recente istituito e gestito dalla Fondazione Ugo Bordoni.


DPS e Relazione Accompagnatoria al Bilancio d’esercizio: il Nostro Facsimile

Passato il 31 marzo, approfondiamo in questo post una misura minima di sicurezza privacy strettamente correlata al DPS: l’obbligo di riferire nella relazione accompagnatoria al bilancio di esercizio dell’avvenuta redazione/aggiornamento del DPS.

Il Punto 26 dell’All.B al Dlgs196/2003, dispone  l’obbligo di adozione di una Misura minima  di  sicurezza e così recita:

Il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.


A quale comunicazione sociale si riferisce?

E’ escluso che si riferisca alla Nota integrativa in quanto:

  • il Punto 26 adotta l’inciso “se dovuta”, mentre la nota integrativa va adottata in ogni caso,
  • la Nota integrativa contiene unicamente indicazioni di tipo contabile.

Sembra pertanto corretto fare riferimento alla Relazione sulla gestione ed escludere altri documenti previsti dal codice civile.

 

Quando adempiere?

Al momento del deposito del bilancio, pertanto, gli amministratori delle società tenuti a redigere una Relazione sulla gestione ai sensi dell’art. 2428 c.c. dovranno menzionare al suo interno la circostanza dell’avvenuta adozione/aggiornamento del DPS.

 

Contenuto della menzione

Nessun obbligo di allegare il DPS alla relazione, ne’ di descriverne il contenuto, va solo riferito dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza (Scarica il Nostro Facsimile)

 

A quale DPS fare riferimento?

Quanto al periodo di riferimento sarà necessario guardare all’esercizio in corso, e non a quello cui il bilancio fa riferimento (si dovrà pertanto, menzionare nella relazione sulla gestione dell’avvenuta adozione o aggiornamento del DPS per l’anno solare in corso).

 

Sanzioni

La mancata menzione dell’adozione/aggiornamento del DPS integra la mancata adozione di una misura minima di sicurezza per la quale è prevista una sanzione da 8.000 € a 960.000 €.

 

Scarica il Nostro Facsimile da inserire nella relazione accompagnatoria del bilancio d’esercizio.


Privacy e 31 marzo: ultima chiamata

Col 31 marzo oramai alle porte e l’esponenziale interesse verso le scadenze privacy indissolubilmente legate all’inizio della primavera, qua di seguito pubblichiamo un rapido reminder di quello che va fatto, delle Misure di sicurezza necessarie da tenere d’occhio (e troppo spesso dimenticate dalle Aziende) e, perché no, ricordiamo qualche numero relativo alle sanzioni previste dall’ordinamento.

 

Cosa va fatto entro il 31 marzo

Entro il 31 marzo ogni Titolare di trattamento (Azienda, Libero Professionista, Ente, Associazione, etc.) deve realizzare i seguenti adempimenti:
  • Aggiornamento del DPS (scarica il nostro modello di DPS 2011 Semplificato)
  • Redazione nota di avvenuto aggiornamento del DPS per l’anno in corso da inserire nella relazione accompagnatoria al bilancio d’esercizio
  • Verifica adeguamento aziendale alla normativa privacy
  • Verifica delle attività 
degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, ad un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti;
  • Verifica della sussistenza delle condizioni per la conservazione dei profili di autorizzazione
  • Aggiornamento del Mansionario Privacy e delle attività svolte in outsourcing (Incaricati e Responsabili trattamento)
  • Programmazione  degli interventi formativi.

 

Alcune Misure necessarie di Sicurezza

Ricordiamo qui di seguito alcune tra le più recenti Misure di Sicurezza Necessarie introdotte da Provvedimenti del Garante:

 

Sanzioni Privacy e Rischio Sostenibile

Tralasciando l’argomento in più occasioni  affrontato, ovvero il rischio d’impresa come  occasione per realizzare un vantaggio  competitivo in termini di efficienza e  fidelizzazione dei Clienti, vogliamo qua di seguito fare un elenco nudo e crudo di alcune sanzioni previste dal Dlgs 196/2003, lasciando a voi le debite conclusioni:
  • Informativa: sanzioni amministrative da un minimo di 2.000 € sino a 1.200.000 € per mancanza di rilascio dell’informativa o rilascio di informativa inidonea
  • Misure Minime di Sicurezza: la mancata adozione delle misure minime di sicurezza prevede una sanzione da 8.000 € a 960.000 €
  • Disciplinare Interno sull’uso di Internet e Posta elettronica: la mancata adozione di tale disciplinare interno, provvisto di procedure per effettuare controlli su email e navigazione dei dipendenti, prevede sanzioni amministrative da 12.000 € a 1.440.000 €
  • DPS (Documento Programmatico sulla Sicurezza): la mancata adozione del DPS prevede una sanzione da 8.000 € a 960.000 €

 

Per chiarimenti o altro:  studio@mazzolari.eu

 

A tutti una serena Primavera

 

 

 

 

 

 

 

 

 

Amministratori di sistema: alleggerimenti per i Titolari e nuovi adempimenti per gli Outsourcer

Con l’intervento di proroga al 15 dicembre 2009 dell’adozione delle nuove misure necessarie di sicurezza relative agli amministratori di sistema, il Garante ha introdotto importanti novità affinché gli adempimenti connessi all’individuazione degli amministratori di sistema ed alla tenuta dei relativi elenchi possano essere soddisfatti, oltre che dal titolare, anche dagli outsourcer nominati responsabili del trattamento attraverso l’integrazione del loro atto di nomina formale oppure attraverso clausole contrattuali ad hoc (v. il nuovo Punto 3-bis del Proivvedimento 25 giugno 2009).

Vediamo qua di seguito le parti del provvedimento del Garante interessate alle modifiche (le aggiunte sono in grassetto):

4.3 Elenco degli amministratori di sistema:

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

Al terzo capoverso del punto 4.3:

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve o il responsabile del trattamento devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

4.4 Verifica delle attività:

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

Punto 2 lett. c):

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini o tramite procedure formalizzate a istanza del lavoratore). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell’ordinamento che disciplinino uno specifico settore.

Punto 2 lett. d:)

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

Punto 2 lett. e):

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

Nuovo punto 3-bis:

“dispone che l’eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lett. d) ed e), avvenga nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali”.

A tutti buon lavoro e, sempre, l’augurio di aude aliquid dignum.

Modello di Autocertificazione al posto del DPS

Col Provvedimento di semplificazione del 27/11/2008, il Garante ha dispensato una buona fetta di Titolari del trattamento dall’obbligo di redazione del DPS.

Più precisamente, possono redigere un’autocertificazione in luogo del DPS le amministrazioni pubbliche e le società private che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano, come unici dati sensibili dei dipendenti e collaboratori anche a progetto, quelli relativi allo stato di salute senza indicazione della relativa diagnosi o all’adesione a organizzazioni sindacali.

Qua di seguito pubblichiamo il Modello di autocertificazione da conservare in Azienda o Studio all’interno del Fascicolo Privacy.

Facsimile Autocertificazione sostitutiva DPS – Word

Facsimile Autocertificazione sostitutiva DPS – PDF

Prorogate al 15 dicembre 2009 le nuove misure per gli Amministratori di sistema

Con Provvedimento 25 giugno 2009, a parziale modifica e integrazione del Provvedimento del 27 novembre 2008, il Garante ha prorogato al 15 dicembre 2009 i termini per l’adozione delle nuove misure necessarie di sicurezza per gli amministratori di sistema.

Nei prossimi giorni approfondiremo la portata del nuovo intervento e, soprattutto, dei cambiamenti introdotti.