Comportamenti suggeriti entro il primo luglio 2018

• Attivare l’identificazione per l’accesso ai servizi di fisconline, anche tramite il canale SPID.
• Comunicare l’indirizzo telematico per la ricezione delle fatture
• Se ritenuto utile, conferire allo Studio, dal portale fisconline/deleghe, delega per uno o più dei servizi delegabili.
• Optare, lo può fare solo il contribuente dall’interno del portale “fatture e corrispettivi” per delegare la conservazione delle fatture all’Agenzia delle Entrate, anche nel caso di conservazione sostitutiva effettuata in proprio o tramite servizi di conservazione esterni.

Di seguito un maggior dettaglio.

I servizi attivati dall’Agenzia delle Entrate
I comportamenti di cui sopra sono suggeriti anche in base ai comunicati stampa e provvedimenti dell’Agenzia delle Entrate, in particolare:

• 13.06.2018 – Fisco, in un provvedimento le regole per delegare gli intermediari ai servizi della fatturazione elettronica
• 14.06.2018 – E-fattura, al via pre-registrazione e QR-Code: ecco come utilizzare i servizi gratuiti dell’Agenzia delle Entrate

I comunicati sono stati preceduti dal provvedimento n. 11769 del 13 giugno 2018

Il riferimento è ai servizi fondamentali per la ricezione delle fatture elettroniche (FEB2B) il cui obbligo, per acquisti di carburanti e per la filiera dei subappalti verso la Pubblica Amministrazione, scatta dal 01.07.2018, alcuni dei quali possono essere delegati al nostro Studio, in quanto intermediario ex art. 3, D.P.R. n. 322/1998.
I servizi ai quali si può accedere dal portale “Fatture e Corrispettivi” del sito dell’Agenzia delle Entrate per i quali è possibile attivare la delega sono i seguenti:

• “Consultazione e acquisizione delle fatture elettroniche o dei loro duplicati informatici”
• “Registrazione dell’indirizzo telematico”

Delega
Oltre ai servizi trasmissione e la ricezione delle fatture elettroniche, che possono essere delegati dai soggetti passivi anche a intermediari “non abilitati”, vi sono funzioni, di maggior rilievo e delicatezza, come la consultazione e acquisizione dei documenti, che possono essere svolte esclusivamente dai soggetti individuati dall’art. 3 comma. 3 del DPR 322/98. (c.d. intermediari “abilitati”, di seguito, il nostro Studio rientra tra questi.)
L’incarico che può essere conferito al nostro Studio, come disciplianto dal provvedimento n.117689 citato in precedenza, può essere molto ampio, consentendoci, di fatto, di intervenire ad assisterVi in tutte le fasi del processo di fatturazione elettronica.
Le deleghe che possono esserci conferite, anche separatamente, riguardano i servizi di:

• consultazione e acquisizione delle fatture elettroniche o dei loro duplicati informatici
• di registrazione dell’indirizzo telematico indicato dal cessionario o committente per la ricezione delle fatture.

Servizi delegabili

(1) Persona fisica senza particolare qualifica Delegato on-line al servizio“fattura elettronica” e “censimento corrispettivi”
FEPA = Fattura elettronica verso la pubblica amministrazione
FEB2B = Fattura elettronica verso altri soggetti IVA,
FEB2C = Fattura elettronica verso consumatori.

Registrazione dell’indirizzo telematico
Proprio con riferimento all’indirizzo telematico, un’altra importante delega potrà riguardare la possibilità, per l’intermediario, di “censire” il soggetto da cui ha ricevuto l’incarico.

Fra le altre funzioni che possono essere delegate al nostro Studio è compresa la possibilità di indicare la PEC o il canale prescelto per la ricezione dei file fattura.

Lo Studio, infatti, può ricevere delega anche per accedere al servizio di registrazione mediante il quale direttamente o tramite noi, indicare al Sistema di Interscambio l’indirizzo di posta elettronica certificata o il “codice destinatario” (che identifica un canale di ricezione web-service o FTP messo a disposizione, ad esempio, dalle software house) al quale intende ricevere le fatture.

Generazione del “QR-CODE”
Lo Studio potrà, quindi, assistervi o utilizzare il servizio di generazione del “QR-code”, acccessibile dal portale “Fatture e Corrispettivi”, con il quale potranno essere acquisite automaticamente dal cedente o prestatore le informazioni anagrafiche IVA del soggetto delegante e il suo “indirizzo telematico.

Attribuzione della delega
Le deleghe ci può essere attribuita attraverso le funzionalità rese disponibili agli utenti Entratel o Fisconline o fisicamente presentando un apposito modulo (attualmente non disponibile9 presso qualsiasi Ufficio territoriale dell’Agenzia delle Entrate.

Durata della delega
La delega non può avere durata superiore a quattro anni e può essere revocata in qualsiasi momento con le medesime modalità con le quali è stata attribuita.

IPER AMMORTAMENTO: CHIARITI DAL MISE ALCUNI ASPETTI RELATIVI ALLE
TIPOLOGIE DI BENI AGEVOLABILI E ALL’INTERCONNESSIONE

Lo scorso 23 maggio con propria circolare il Ministero dello sviluppo economico (Mise) ha fornito alcuni chiarimenti relativamente alla disciplina dell’iper ammortamento, in merito alle tipologie di beni agevolabili e al requisito dell’interconnessione.
Circa le tipologie di beni agevolabili si ripercorrono di seguito in forma tabellare i chiarimenti forniti.

In merito al requisito dell’interconnessione il Mise ha chiarito che:

• il requisito dell’interconnessione dovrà essere presente anche nei periodi d’imposta successivi a quello in cui il bene viene interconnesso ed è necessario sia per i beni di cui all’allegato A (iper ammortamento) che B (super ammortamento),
• al fine della verifica del requisito è necessario che il bene:

• con riferimento ai beni di cui al primo gruppo dell’allegato A – “Beni strumentali il cui funzionamento è controllato da sistemi computerizzati o gestito tramite opportuni sensori e azionamenti” il requisito viene ampliato dovendo tali beni soddisfare anche il requisito della “integrazione automatizzata con il sistema logistico della fabbrica o con la rete di fornitura e/o con altre macchine del ciclo produttivo”.

L’integrazione automatizzata è:

Il Mise chiarisce infatti che all’interno di tale catena logistica sono individuabili due principali e distinti flussi:

Il requisito di integrazione di tipo informativo con il sistema logistico può essere soddisfatto attraverso l’impiego di beni immateriali tra quelli citati dall’allegato B (software, sistemi e system integration, piattaforme e applicazioni) e anche con l’impiego di più sistemi operanti in modo concorrente e complementare (ad esempio: inoltro di istruzioni e/o part-program da sistema CAD/CAM, rilievo dati e generazione indice di efficacia totale di un impianto OEE da sistema MES).

IN SCADENZA IL DIRITTO ANNUALE CCIAA 2018

Soggetti obbligati
Sono obbligati al pagamento del diritto annuale:

• imprese individuali iscritte o annotate nella sezione ordinaria e speciale;
• società semplici agricole;
• società semplici non agricole;
• società di persone;
• società di capitali;
• società cooperative e consorzi;
• enti economici pubblici e privati;
• aziende speciali e consorzi previsti dalla L. 267/2000;
• Geie – Gruppo europeo di interesse economico;
• società tra avvocati;
• società tra professionisti (Stp);
• imprese estere con unità locali in Italia;
• società consortili a responsabilità limitata per azioni.

Le start up innovative (e gli incubatori certificati) che possiedono i requisiti previsti dal D.L. 179/2012 e che hanno ottenuto l’iscrizione nell’apposita sezione speciale del Registro Imprese hanno diritto all’esenzione del pagamento del diritto annuale per un periodo da 2 a 4 anni. Le piccole e medie imprese innovative (pmi innovative) sono, invece, tenute al versamento del diritto annuale.

Soggetti esclusi
Sono escluse dal pagamento del diritto annuale:

• le imprese nei confronti delle quali sia stato adottato un provvedimento di fallimento o di liquidazione coatta amministrativa nell’anno 2017 (salvo l’esercizio provvisorio dell’attività);
• le imprese individuali che abbiano cessato l’attività nell’anno 2017 e abbiano presentato la domanda di cancellazione dal Registro Imprese entro il 30 gennaio 2018;
• le società ed altri enti collettivi che abbiano approvato il bilancio finale di liquidazione nell’anno 2017 e abbiano presentato la domanda di cancellazione al Registro Imprese entro il 30 gennaio 2018;
• le cooperative nei confronti delle quali l’Autorità governativa abbia adottato un provvedimento di scioglimento (come prevede l’articolo 2545-septiesdecies, cod. civ.) nell’anno 2017.

Il calcolo del diritto annuale
La nota n. 26505 del 16 gennaio 2018 del Ministero dello sviluppo economico ha reso note le misure del diritto annuale dovuto per l’anno 2018, confermando gli stessi importi dovuti per l’anno 2017.

Per i soggetti individuati nella seguente tabella, dal 1° gennaio 2018 gli importi del diritto annuale sono fissi (da arrotondare all’unità di euro nella compilazione del modello F24 per difetto se la prima cifra dopo la virgola è inferiore a 5 o per eccesso se la prima cifra dopo la virgola è uguale o superiore a 5):

• L’importo relativo alle unità locali è calcolato nella misura del 20% del diritto dovuto per la sede principale, fino ad un massimo di 200 euro per ognuna di esse, ad eccezione dei soggetti iscritti solo al REA che pagano solo il diritto fisso di 18 euro.

Tutte le altre imprese iscritte nella sezione ordinaria del Registro Imprese, anche se annotate nella sezione speciale, versano un importo del diritto annuale commisurato al fatturato complessivo realizzato nell’anno precedente. Il diritto da versare si determina sommando gli importi dovuti per ciascuno scaglione, considerando la misura fissa e le aliquote per tutti i successivi scaglioni fino a quello nel quale rientra il fatturato complessivo realizzato dall’impresa nel 2017: sul totale così determinato va applicata una riduzione del 50%.

Differenze rispetto all’esempio di calcolo esposto si riscontrano per 9 Camere di Commercio: il decreto del Ministero dello sviluppo economico del 2 marzo 2018 ha autorizzato per le Camere di Commercio di Arezzo, Lucca, Maremma e Tirreno, Massa Carrara, Palermo Enna, Pisa, Pistoia, Prato e Siena per gli anni 2018 e 2019 l’incremento della misura del diritto annuale fino ad un massimo del 20%, con eventuale versamento del conguaglio dovuto per coloro che hanno già versato da effettuarsi entro il 30 novembre 2018.

Unità locali
Le imprese che esercitano l’attività economica anche attraverso unità locali devono versare, per ogni unità e alla Camera di Commercio nel cui territorio ha sede l’unità locale, un diritto pari al 20% di quello dovuto per la sede principale fino ad un massimo di 200 euro per ciascuna unità locale (l’arrotondamento all’unità di euro deve essere applicato una sola volta al termine del calcolo dopo aver sommato quanto dovuto per la sede e le unità locali, in tutti i calcoli intermedi sia per la sede che per le unità locali vanno invece mantenuti cinque decimali). Se sono dovuti diritti a diverse Camere di Commercio, va compilato sul modello F24 un rigo per ognuna di esse indicando distintamente gli importi dovuti a ciascuna Camera di Commercio, la relativa sigla provincia, l’anno di riferimento 2018 e il codice tributo 3850. Le unità locali e le sedi secondarie di imprese con sede principale all’estero devono versare per ciascuna di esse in favore della Camera di Commercio nel cui territorio competente sono ubicate, un diritto annuale pari a 66 euro.

Conseguenze del mancato pagamento
Il pagamento del diritto annuale è condizione, dal 1° gennaio dell’anno successivo (articolo 24, comma 35, L. 449/1997), per il rilascio delle certificazioni da parte dell’ufficio del Registro Imprese. Il sistema informatico nazionale delle Camere di Commercio, quindi, non permette l’emissione di certificati relativi ad imprese non in regola con il pagamento. Spesso l’impresa si accorge di non essere in regola con il pagamento del diritto annuale soltanto in occasione della richiesta di un certificato, scoprendo così che non può essere rilasciato a causa del debito per il diritto annuale.

CREDITO D’IMPOSTA R&S: NUOVO INTERVENTO DI PRASSI DELL’AGENZIA

Il credito in R&S è stato introdotto nel nostro ordinamento dall’articolo 3, D.L. 145/2013, il relativo contenuto è stato poi oggetto di modifica ad opera dell’articolo 1, comma 35, della Legge di Stabilità 2015 e successivamente dell’articolo 1, comma 15, della Legge di Bilancio 2017.
Nella attuale formulazione è riconosciuto un credito d’imposta:

• per gli investimenti effettuati a decorrere dal periodo d’imposta successivo a quello in corso al 31 dicembre 2014 e fino a quello in corso al 31 dicembre 2020;
• commisurato, per ciascuno dei periodi d’imposta agevolato, all’eccedenza degli investimenti effettuati rispetto alla media degli investimenti realizzati nel periodo d’imposta in corso al 31 dicembre 2014 e nei due precedenti;
• in misura pari al 50% dell’eccedenza riferibile ai costi per:
  • personale impiegato nell’attività di ricerca e sviluppo;
  • quote di ammortamento dei costi di acquisizione o utilizzazione di strumenti e attrezzature di laboratorio;
  • spese per contratti di ricerca c.d. extra-muros, stipulati con Università, enti di ricerca e altre imprese;
  • costi di acquisizione di competenze tecniche e privative industriali relative a un’invenzione industriale o biotecnologica, a una topografia di prodotto a semiconduttori o a una nuova varietà vegetale.

Ai fini dell’ottenimento dell’agevolazione è tuttavia necessario che nel periodo d’imposta in cui si intende beneficiare dell’agevolazione siano sostenute spese di importo almeno pari a 30.000 euro con un massimo annuale di 20 milioni di euro.
Recentemente con circolare n. 10 dello scorso 16 maggio l’Agenzia delle entrate è tornata sul tema del credito in Ricerca & Sviluppo affrontando, nuovamente, una serie di problematiche applicative nei casi in cui i soggetti beneficiari siano interessati da operazioni di riorganizzazione aziendale quali:

• fusioni;
• scissioni;
• conferimenti di azienda o rami aziendali.

In realtà l’applicazione delle norme in ambito R&S al caso delle operazioni straordinarie, dicono le Entrate, era già stata affrontata in precedenti interventi, vedasi circolare n. 5/E/2016 e risoluzione n. 121/E/2017.
Tali interventi non hanno completamente fugato i dubbi interpretativi dei contribuenti, ne consegue che la circolare in commento deve essere intesa come integrativa delle precedenti espressioni dell’Amministrazione finanziaria la quale, a conferma di tale previsione, specifica che la correzione di comportamenti difformi tenuti per errata interpretazione della normativa potrà essere esercitata con diverse metodologie a seconda che ne sia derivato un maggior o minor credito:

• nel primo caso, senza applicazione di sanzioni, si potrà provvedere alla presentazione di una dichiarazione integrativa con successivo versamento del maggior credito utilizzato (resta fermo l’obbligo di versamento degli interessi);
• nel secondo caso sarà sufficiente presentare la sola dichiarazione integrativa a favore determinando il corretto credito vantato.

NUOVI CHIARIMENTI IN TEMA DI SPLIT PAYMENT

Con la circolare n. 9/E del 7 maggio 2018 l’Agenzia delle entrate ha fornito alcune indicazioni operative circa il funzionamento della disciplina dello split payment.
L’articolo 17-ter, D.P.R. 633/1972 dispone che, per le cessioni di beni e le prestazioni di servizi eseguite nei confronti della P.A., relative società controllate, nonché nei confronti delle quotate, l’Iva venga in ogni caso versata dai cessionari o committenti.
Pertanto, i fornitori di beni e servizi nei confronti di tali soggetti, incasseranno l’importo del corrispettivo al netto dell’Iva, la quale verrà direttamente versata all’Erario dalla P.A./società stessa. È evidente che il cedente/prestatore, non incassando l’imposta, non dovrà farla concorrere alla relativa liquidazione dell’Iva.

Ampliamento soggettivo
Come noto, dal 1° gennaio scorso lo split payment ha ampliato il proprio raggio di azione e, pertanto, risulta applicabile con riferimento alle operazioni rese nei confronti di enti pubblici economici, regionali e locali, comprese le aziende speciali e le aziende pubbliche di servizi alla persona, delle fondazioni partecipate da qualsiasi tipo di P.A., nonché delle società controllate direttamente o indirettamente da qualsiasi tipo di P.A., ente o società soggetta allo split payment e delle società partecipate, per una quota non inferiore al 70%, da qualsiasi tipo di P.A., ente e società già assoggettata allo split payment.
Tali ipotesi si applicano in aggiunta a quelle già precedentemente previste.
Per l’esatta individuazione dei nuovi soggetti interessati occorre rifarsi agli elenchi pubblicati dal Ministero dell’economia e delle finanze sul relativo sito. Riguardo al valore da attribuire ai predetti elenchi, l’Agenzia delle entrate ribadisce che l’inclusione determina un effetto costitutivo e la disciplina dello split payment ha effetto dalla data di effettiva inclusione del soggetto nell’elenco e della pubblicazione dell’elenco sul sito del Dipartimento delle finanze.
In caso di aggiornamento degli elenchi, deve ritenersi corretto il comportamento del contribuente che, nelle more di aggiornamento, si sia comportato coerentemente agli elenchi medesimi.
In relazione a tali nuove fattispecie nella circolare n. 9/E/2018 l’Agenzia delle entrate precisa inoltre quanto segue.

Per l’individuazione delle P.A. destinatarie della disciplina della scissione dei pagamenti non sono previsti degli elenchi, ma occorre far riferimento all’Indice delle P.A. (www.indicepa.gov.it).
In particolare, l’articolo 5-bis del modificato DM 23.1.2015 dispone che lo split payment si applichi alle pubbliche amministrazioni destinatarie delle norme in materia di fatturazione elettronica obbligatoria.

Fiduciarie
L’Agenzia delle entrate tratta anche il caso delle società le cui partecipazioni sono intestate fiduciariamente a soggetto diverso dal socio effettivo.
Tenuto conto delle finalità che presiedono all’intestazione fiduciaria di partecipazioni, la valutazione circa l’applicazione della disciplina della scissione dei pagamenti alle società, le cui quote sono detenute da una società fiduciaria, debba essere effettuata con riferimento alla natura del soggetto a cui le quote stesse debbono essere ricondotte, verificando se lo stesso rientri o meno nell’ambito dello split payment (a nulla rilevando l’intestazione formale delle quote azionarie).

CTU
Viene affrontata l’ipotesi della liquidazione dei compensi ed oneri accessori dovuti ai consulenti tecnici d’ufficio (CTU), che operano su incarico e come ausiliari dell’Autorità giudiziaria.
In particolare, in tali casi occorre valutare se per l’obbligato al pagamento del compenso liquidato dal giudice a favore del CTU possa trovare applicazione la disciplina della scissione dei pagamenti.
Al riguardo, l’Agenzia delle entrate afferma come il titolare passivo del rapporto di debito sia la parte esposta all’obbligo di sopportare l’onere economico: tale soggetto è tenuto, in base al provvedimento del giudice al pagamento del compenso per prestazioni professionali rese a favore dell’Amministrazione della giustizia, committente non esecutrice del pagamento.
Ne consegue che il CTU deve ritenersi obbligato a emettere fattura nei confronti dell’Amministrazione della giustizia, in cui si evidenzi, tuttavia, che il pagamento avviene con denaro fornito dalla/e parte/i individuata/e dal provvedimento del giudice.
In tali fattispecie, la P.A. (Amministrazione della giustizia), pur essendo riconducibile nell’ambito soggettivo di applicazione della scissione dei pagamenti, non effettua alcun pagamento del corrispettivo nei confronti del CTU e, per tali motivi, si deve escludere l’applicabilità della disciplina della scissione dei pagamenti.

Dal 1° luglio stop alla retribuzione in contanti

La Legge di Bilancio 2018 (articolo 1, commi da 910 a 914, L. 205/2017) ha previsto, a tutela dei lavoratori, che a decorrere dal 1° luglio 2018 i datori di lavoro o committenti non possono più corrispondere la retribuzione per mezzo di denaro contante direttamente al lavoratore, qualunque sia la tipologia del rapporto di lavoro instaurato.

In particolare i rapporti di lavoro coinvolti sono i seguenti:

• rapporti di lavoro subordinato di cui all’articolo 2094 cod. civ.,indipendentemente dalle modalità di svolgimento della prestazione e dalla durata del rapporto: apprendistato, lavoro a chiamata, a tempo determinato, full time, part time, ecc., sono tutti ricompresi nel divieto;
• rapporti di lavoro originati da contratti di collaborazione coordinata e continuativa. Nell’ambito del divieto vanno considerati anche i compensi corrisposti agli amministratori quando assimilati, ai fini fiscali, al compenso da lavoro dipendente, ovvero certificati da una busta paga;
• contratti di lavoro instaurati in qualsiasi forma dalle cooperative con i propri soci ai sensi della 142/2001.

Dal 1° luglio 2018, pertanto, il pagamento della retribuzione dovrà obbligatoriamente avvenire con i seguenti strumenti di pagamento:

• bonifico sul conto identificato dal codice Iban indicato dal lavoratore;
• strumenti di pagamento elettronico;
• pagamento in contanti presso lo sportello bancario o postale dove il datore di lavoro abbia aperto un conto corrente di tesoreria con mandato di pagamento;
• emissione di un assegno consegnato direttamente al lavoratore o, in caso di suo comprovato impedimento, a un suo delegato. Si precisa che l’impedimento s’intende comprovato quando il delegato a ricevere il pagamento è il coniuge, il convivente o un familiare, in linea retta o collaterale, del lavoratore, purché di età non inferiore a sedici anni.

Anche gli acconti di stipendio, seppure di modesta entità, devono sottostare alla nuova normativa.

Restano espressamente esclusi dal predetto obbligo:

• i rapporti di lavoro instaurati con le pubbliche amministrazioni di cui all’articolo 1, comma 2,D.Lgs. 165/2001;
• i rapporti rientranti nell’ambito di applicazione dei contratti collettivi nazionali per gli addetti a servizi familiari e domestici.

Devono altresì ritenersi esclusi, in quanto non richiamati espressamente dalla norma, i compensi derivanti da borse di studio, tirocini, rapporti di lavoro autonomo di natura occasionale.

Per quanto riguarda le sanzioni, al datore di lavoro o committente che viola l’obbligo di pagamento delle retribuzioni con gli strumenti previsti, si applica la sanzione amministrativa pecuniaria consistente nel pagamento di una somma da 1.000 euro a 5.000 euro. Si precisa, sul punto, che la firma della busta paga non costituisce prova dell’avvenuto pagamento della retribuzione.

L’Ispettorato del lavoro ha inoltre chiarito (nota prot. 4538/2018) che, in considerazione del tenore letterale e della ratio della norma, si deve ritenere che “la violazione in oggetto risulti integrata:

a) quando la corresponsione delle somme avvenga con modalità diverse da quelle indicate dal legislatore;

b) nel caso in cui, nonostante l’utilizzo dei predetti sistemi di pagamento, il versamento delle somme dovute non sia realmente effettuato, ad esempio, nel caso in cui il bonifico bancario in favore del lavoratore venga successivamente revocato ovvero l’assegno emesso venga annullato prima dell’incasso; circostanze che evidenziano uno scopo elusivo del datore di lavoro che mina la stessa ratio della disposizione.

Del resto, la finalità antielusiva della norma risulta avvalorata anche dalla previsione dell’ultimo periodo del comma 912 a mente del quale la firma apposta dal lavoratore sulla busta paga non costituisce prova dell’avvenuto pagamento della retribuzione.

Ne consegue che, ai fini della contestazione si ritiene sia necessario verificare non soltanto che il datore di lavoro abbia disposto il pagamento utilizzando gli strumenti previsti ex lege ma che lo stesso sia andato a buon fine”.

L’avvicinarsi del 1° luglio 2018, data a partire dalla quale entra in vigore l’obbligo di emissione della fattura elettronica per le cessioni di carburanti per autotrazione nonché per le prestazioni di subappalto nell’ambito degli appalti pubblici, porta con sé l’inevitabile produzione di chiarimenti nonché di provvedimenti attuativi necessari alla corretta applicazione del nuovo obbligo normativo.
Dopo la pubblicazione della circolare n. 8/E dello 30 aprile 2018, già commentata nella informativa presente nel numero dello scorso mese di maggio, la stessa agenzia delle entrate è intervenuta nuovamente in occasione del recente Videoforum organizzato da Il Sole 24Ore il 24 maggio 2018 per fornire ulteriori chiarimenti applicativi.
Riportiamo di seguito le precisazioni fornite dall’Agenzia delle entrate.

ENTRA IN VIGORE LA NUOVA NORMATIVA SULLA PRIVACY

Il Regolamento UE 2016/679 da oggi 25 maggio porta con se nuovi adempimenti per professionisti e imprese che dovranno porre misure idonee e adeguate per il corretto trattamento dei dati personali dei propri clienti.

Introduzione
Il Regolamento UE 2016/679 (di seguito GDPR) del 27 aprile 2016, pubblicato sulla Gazzetta Ufficiale UE del 4 maggio 2016, sarà pienamente esecutivo da oggi 25 maggio 2018, abrogando la Direttiva del ‘95 sulla protezione dei dati personali che è stata recepita dalla normativa nazionale attuale.
Pur essendo il GDPR direttamente applicabile e vincolante per gli Stati membri, il Legislatore italiano con l’articolo 13, L. 163/2017 (c.d. “Legge di delegazione europea 2016-2017”) ha delegato il Governo ad adottare uno o più decreti legislativi, entro il 21 maggio 2018, al fine di adeguare il quadro normativo nazionale alle disposizioni ivi contenute prevedendo:

• l’espressa abrogazione delle disposizioni del codice incompatibili con quelle contenute nel Regolamento;
• la modifica del codice stesso limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel Regolamento;
• il coordinamento delle disposizioni vigenti in materia di protezione dei dati personali con quelle recate dal Regolamento (UE) 2016/679.

In tale prospettiva il Consiglio dei Ministri ha approvato, in esame preliminare, un decreto legislativo che introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del citato Regolamento europeo. Ne deriva che a far data da oggi 25 maggio 2018 il vigente codice in materia di protezione dei dai personali sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.
In questo contesto il Cndcec, con il recente documento di aprile 2018, ha emanato le checklist di base per gli studi professionali atte a verificare che l’impianto di regole e documenti adottato sia sufficiente ad adempiere agli obblighi del GDPR in tema di dati trattati, di diritti degli interessati, di modalità di trattamento, di finalità di trattamento, di tempi di conservazione e di cancellazione, di sistemi di sicurezza, di requisiti di trasparenza.

Le novità del GDPR
La principale novità del GDPR riguarda il principio di accountability del titolare posto alla base della nuova normativa, cioè la responsabilizzazione del titolare rispetto alle misure, organizzative e tecniche, poste in essere per conformarsi al GDPR. In base a questo principio, al titolare è riconosciuto un certo livello di discrezionalità nel processo di adeguamento a fronte del quale è posto, però, l’obbligo di documentare le scelte fatte e le ragioni che le hanno motivate nell’ottica dell’adeguamento alla norma.
Vi sono poi alcune importanti misure che innovano la materia, le più importanti delle quali sono rispettivamente:

• nuovi diritti riconosciuti agli interessati e una particolare attenzione alla tutela dei minori;
• redazione e aggiornamento del Registro dei trattamenti, cioè dell’elenco delle operazioni (trattamenti) effettuate dal titolare che prevedono l’utilizzo di dati personali;
• obbligo di definire a priori i termini di conservazione dei dati personali trattati e di dichiarare tale termine nell’informativa comunicata all’interessato;
• nuovi obblighi posti in capo al titolare, tra cui:

• obbligo di notifica al Garante delle violazioni di sicurezza relative a dati personali e comunicazione della violazione agli interessati, se necessario;
• obbligo di tenere conto della data protection fin dalla progettazione, in caso di sviluppo di nuovi servizi o per la revisione di quelli esistenti;
• obbligo di procedere a una analisi approfondita dell’impatto sui diritti e le libertà degli interessati quando l’innovazione comporti rischi particolari anche in virtù delle tecnologie innovative utilizzate;

• riaffermazione della necessità di basare le misure di sicurezza su un’attenta analisi dei rischi;
• ridisegno dei rapporti fra il titolare e i fornitori di servizi che trattano dati personali per conto del titolare stesso, con la previsione, a determinate condizioni, della responsabilità solidale dei 2 soggetti per i danni eventualmente provocati;
• nuova figura del data protection officer finalizzata a facilitare la corretta applicazione del GDPR da parte del titolare.

Limiti di applicazione del GDPR
Il presupposto fondamentale per l’applicazione del Regolamento è che l’impresa o il professionista debba trattare dati personali. Più precisamente l’articolo 4 del GDPR qualifica come dato personale ”qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Del pari, l’articolo 2 del GDPR stabilisce che il Regolamento si applica al trattamento “interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali [che siano] contenuti in un archivio o destinati a figurarvi”. Peraltro, lo stesso considerando 14 precisa come sia “opportuno che la protezione prevista dal presente Regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali”.
Sul punto giova osservare come detti obblighi non sussistano quando:

• il trattamento riguarda dati che non sono personali bensì anonimi (ad esempio, dati aggregati o statistici);
• il trattamento riguarda i dati di enti/persone giuridiche.

Peraltro, è lo stesso considerando 14 a precisare che il Regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare quelli delle imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto.
Ne deriva che saranno escluse dal perimetro di applicazione del GDPR le persone giuridiche quali società di capitali, fondazioni o consorzi: in questo contesto i dati dei bilanci, della sede o i dati di contatto non saranno ricompresi negli adempimenti del Regolamento.
Si ricorda che nella vigenza del codice della privacy il trattamento dei dati relativi a persone giuridiche, enti e associazioni ha dovuto tener conto della parziale abrogazione, di cui all’articolo 40, comma 2, D.L. 201/2011, convertito con L. 214/2011, di alcune delle disposizioni contenute nella parte prima del D.Lgs. 196/2003. Infatti, a seguito delle richiamate abrogazioni, per dato personale si è dovuto intendere "qualunque informazione relativa a persona fisica” e per interessato esclusivamente "la persona fisica cui si riferiscono i dati personali" (cfr. rispettivamente l’articolo 4, comma 1, lettere b) e i) del codice della privacy); in altri termini, la portata applicativa di tutte le disposizioni del codice che riguardano gli interessati ovvero il trattamento di dati personali è stata limitata in via esclusiva alle persone fisiche ed ai trattamenti di informazioni personali che vi si riferiscono, con esclusione di persone giuridiche, enti e associazioni.
Pur tuttavia, le disposizioni del GDPR potrebbero trovare applicazione con riferimento al trattamento dei dati personali del rappresentante legale delle imprese ovvero delle persone che vi lavorano.
Per vero sono da ricomprendersi tra i dati personali le informazioni personali di contatto quali nome, indirizzo di casa, telefono di casa o numero di cellulare, numero di fax, indirizzo email e password; informazioni riguardanti la famiglia, lo stile di vita e le circostanze sociali tra cui età, data di nascita, stato civile; particolarità riguardanti l’occupazione, lo stipendio e altri benefici, prestazione di lavoro, formazione/qualificazione, numeri di identificazione, ID univoco raccolto da dispositivi mobili, vettori di rete o provider di dati, indirizzi IP e dati sul comportamento e sugli interessi online.
Sul punto giova osservare come per arrivare all’identificabilità di una persona sia opportuno considerare tutti i mezzi di cui si dispone, compresa l’individuazione, di cui il titolare del trattamento o un terzo può avvalersi per identificare detta persona fisica direttamente o indirettamente. “Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici.”
Peraltro il nuovo Regolamento non trova applicazione anche per i trattamenti di dati personali effettuati:

• da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
• da autorità di pubblica sicurezza;
• in casi particolareggiati e specificati nell’articolo 2 del GDPR (ad esempio autorità competenti per fini di prevenzione, indagine, accertamento, esecuzione di sanzioni penali, etc.).

In relazione all’ambito territoriale l’articolo 3 del Regolamento ne stabilisce l’applicazione al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione Europea, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione Europea. In altri termini si guarda se i titolari del trattamento e i responsabili del trattamento siano stabiliti nell’Unione Europea, a prescindere dalla circostanza che il trattamento sia o meno ivi concretamente effettuato e a prescindere dalla nazionalità o dal luogo di residenza dei soggetti.
Peraltro gli adempimenti fissati dal GDPR saranno comunque dovuti nel caso di trattamento dei dati personali di interessati che si trovano nell’Unione Europea, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione Europea, quando le attività di trattamento riguardano:

• l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione Europea, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
• oppure il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione Europea.

Il Regolamento si applica infine al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione Europea, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.

Principi applicabili al trattamento dei dati personali
Il GDPR conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica; l’articolo 5, §1 del Regolamento prevede infatti che i dati personali siano:

• trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);
• raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, § 1, considerato incompatibile con le finalità iniziali (“limitazione della finalità”);
• adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);
• esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (“esattezza”);
• conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, § 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente Regolamento a tutela dei diritti e delle libertà dell’interessato (“limitazione della conservazione”);
• trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”)”.

I fondamenti di liceità del trattamento sono indicati all’articolo 6 del Regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal codice della privacy – D.Lgs. 196/2003 (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).
Sul punto giova rilevare come il trattamento sia lecito solo qualora e nella misura in cui ricorra almeno una delle seguenti condizioni:

• l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
• il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
• il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
• il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
• il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
• il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Il trattamento, oltre che lecito, deve essere corretto e trasparente, laddove il considerando 39 del GDPR precisa che trasparente dovrebbero essere le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati i dati personali. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro.

Trattamento di dati particolari
Anche il nuovo Regolamento tratta con disposizioni speciali le c.d. “particolari categorie di dati personali” che sono concretamente speculari a quelli che nel D.Lgs. 196/2003 sono qualificati come dati sensibili.
In particolare le categorie particolari di dati comprendono specifiche categorie di dati personali che rivelino: l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale nonché dati genetici e/o biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Secondo il GDPR i trattamenti delle categorie particolari di dati personali, necessari per motivi di interesse pubblico rilevante, sono ammessi qualora siano previsti dal diritto dell’Unione Europea ovvero, nell’ordinamento interno, da disposizioni di legge o di Regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante. Tali disposizioni devono, in ogni caso, assicurare:

• che il trattamento sia proporzionato alla finalità perseguita;
• che sia salvaguardata l’essenza del diritto alla protezione dei dati;
• che siano previste misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

Per questi dati viene contemplato in via generale un divieto di trattamento fatto salvo che l’interessato abbia prestato il proprio consenso esplicito per finalità specifiche o sia necessario trattarli per:

• assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
• tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
• accertare, esercitare o difendere un diritto in sede giudiziaria.

Sul punto l’emandando decreto prevederà che in ogni caso si dovranno considerare compiuti per motivi di interesse pubblico rilevante i trattamenti effettuati in ambiti identificati o in altri espressamente individuati dalla legge, tra cui:

• attività dei soggetti pubblici dirette all’applicazione, anche tramite i loro concessionari, delle disposizioni in materia tributaria e doganale;
• attività di controllo e ispettive;
• concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni;
• rapporti tra i soggetti pubblici e gli enti del Terzo settore;
• attività sanzionatorie e di tutela in sede amministrativa o giudiziaria;
• trattamento dati idonei a rivelare lo stato di salute da parte di esercenti professioni sanitarie e organismi sanitari;
• compiti del Ssn e degli altri organismi sanitari, nonché igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica;
• istruzione e formazione in ambito scolastico, professionale, superiore o universitario;
• trattamenti effettuati per scopi storici, concernenti la conservazione, l’ordinamento e la comunicazione dei documenti detenuti negli archivi di Stato negli archivi storici degli enti pubblici, o in archivi privati dichiarati di rilevante interesse storico, per scopi scientifici, nonché da soggetti che fanno parte del sistema statistico nazionale (Sistan);
• instaurazione, gestione ed estinzione di rapporti di lavoro e di altre forme di impiego, materia sindacale, occupazione e collocamento obbligatorio, previdenza e assistenza, tutela delle minoranze e pari opportunità.

Giova precisa che per il trattamento di dati relativi a condanne penali e reati o a connesse misure di sicurezza ai sensi dell’articolo 6, § 1, del GDPR, che non avviene sotto il controllo dell’autorità pubblica sarà consentito solo se autorizzato da disposizioni di legge o di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati.
In questo ambito tali trattamenti saranno consentiti se autorizzati da disposizioni di legge o di Regolamento riguardanti, in particolare:

• l’adempimento di obblighi e l’esercizio di diritti da parte del titolare o dell’interessato in materia di diritto del lavoro o comunque nell’ambito dei rapporti di lavoro;
• l’adempimento degli obblighi previsti da disposizioni di legge e Regolamento in materia di mediazione finalizzata alla conciliazione delle controversie civili e commerciali;
• la verifica o accertamento dei requisiti di onorabilità, requisiti soggettivi e presupposti interdittivi nei casi previsti dalle leggi e dai regolamenti;
• l’accertamento di responsabilità in relazione a sinistri o eventi attinenti alla vita umana, nonché per la prevenzione, accertamento e contrasto di frodi o situazioni di concreto rischio per il corretto esercizio dell’attività assicurativa, nei limiti di quanto previsto dalle leggi e dai regolamenti in materia;
• l’accertamento, esercizio o difesa di un diritto in sede giudiziaria;
• l’esercizio del diritto di accesso ai dati e ai documenti amministrativi;
• l’esecuzione di investigazioni o ricerche o per la raccolta di informazioni per conto di terzi ai sensi dell’articolo 134 del Testo unico delle leggi di pubblica sicurezza;
• l’adempimento di obblighi previsti da disposizioni di legge in materia di comunicazioni e certificazioni antimafia o in materia di prevenzione della delinquenza di tipo mafioso e di altre gravi forme di manifestazione di pericolosità sociale, nei casi previsti da leggi o dai regolamenti, o per la produzione della documentazione prescritta dalla legge per partecipare a gare d’appalto;
• l’accertamento del requisito di idoneità morale di coloro che intendono partecipare a gare d’appalto, in adempimento di quanto previsto dalle vigenti normative in materia di appalti;
• l’attuazione della disciplina in materia di attribuzione del rating di legalità delle imprese ai sensi dell’articolo 5-ter, D.L. 1/2012;
• l’adempimento degli obblighi previsti dalle normative vigenti in materia di prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo.

Consenso e informativa
Ai sensi dell’articolo 4 del nuovo Regolamento il consenso viene definito come una “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
In questo ambito appare sussistere la possibilità che la dichiarazione di consenso non risulti necessariamente da una documentazione resa per iscritto, purché tale dichiarazione sia stata prestata in maniera inequivocabile.
Il considerando 32 specifica che “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale (principio di libertà delle forme). Potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”.
Il Regolamento, all’articolo 12, prevede che il titolare del trattamento adotti misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento.
Più precisamente il Regolamento stabilisce che le informazioni contenute all’interno dell’informativa vengano fornite in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro; le stesse sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato e il fatto di aver dato le informazioni.
Secondo la nuova disciplina il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è la modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili); inoltre, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.
Invero, il consenso dei minori è valido a partire dai 16 anni (il limite di età può essere abbassato fino a 13 anni dalla normativa nazionale); prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
Per i dati “particolari” (quelli sensibili ex articolo 9, Regolamento) il consenso deve essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – articolo 22).
Giova precisare come il consenso raccolto precedentemente al 25 maggio 2018 resti valido se ha tutte le caratteristiche individuate dal Regolamento. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il Regolamento, se si vuole continuare a fare ricorso a tale base giuridica.
In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato, per esempio all’interno di modulistica e prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara.
In tale prospettiva si osserva come i contenuti dell’informativa siano elencati in modo tassativo negli articoli 13, § 1, e 14, § 1, Regolamento e in parte siano più ampi rispetto al codice vigente. In particolare, il titolare deve sempre specificare:

• l’identità e i dati di contatto del titolare del trattamento e del RPD-DPO (Responsabile della protezione dei dati – data protection officer), ove esistente;
• le finalità del trattamento e la base giuridica;
• le categorie di dati personali che tratta;
• gli eventuali destinatari o categorie di destinatari dei dati;
• se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, etc.).

Peraltro, il Regolamento prevede anche ulteriori informazioni da fornire in aggiunta nel momento in cui i dati personali sono ottenuti, in quanto necessarie per garantire un trattamento corretto, tra cui:

• periodo di conservazione dei dati personali o criteri per determinarlo;
• diritti dell’interessato (accesso, rettifica, portabilità dei dati, etc.);
• laddove previsto, l’esistenza del diritto di revocare il consenso in qualsiasi momento;
• diritto di proporre reclamo a un’autorità di controllo;
• se obbligo legale o contrattuale oppure requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze;
• esistenza di un processo decisionale automatizzato, compresa la profilazione.

Sono, inoltre, parzialmente diversi i requisiti che il Regolamento fissa per l’esonero dall’informativa (si veda articolo 13, § 4 e articolo 14, § 5 del Regolamento, oltre a quanto previsto dall’articolo 23, § 1, di quest’ultimo), anche se occorre sottolineare che spetta al titolare, in caso di dati personali raccolti da fonti diverse dall’interessato, valutare se la prestazione dell’informativa agli interessati comporti uno sforzo sproporzionato (si veda articolo 14, § 5, lettera b ) – a differenza di quanto prevede il codice della privacy.
È utile precisare che l’informativa deve essere fornita all’interessato prima di effettuare la raccolta dei dati (se raccolti direttamente presso l’interessato – articolo 13 del Regolamento).
Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente.
Invero, se i dati non sono raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento ed essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato). In tali casi, per come specificato nella norma ex articolo 14, comma 2, GDPR, il titolare dovrebbe fornire all’interessato ulteriori informazioni al fine di garantire un trattamento corretto e trasparente quali:

• il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
• qualora il trattamento si basi sull’articolo 6, § 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
• l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
• qualora il trattamento sia basato sull’articolo 6, § 1, lettera a), oppure sull’articolo 9, § 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;
• il diritto di proporre reclamo a un’autorità di controllo;
• la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;
• l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, § 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Appare utile ricordare che quanto previsto nell’articolo 14, GDPR non si applica se:

• l’interessato dispone già delle informazioni;
• comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato;
• l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione applicabile;
• i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale.

Va, infine, rilevato come, qualora il professionista effettui il trattamento dei dati personali sulla base di un contratto con il cliente, il consenso non sia necessario. Del pari non è obbligatorio ottenere il consenso anche nei casi in cui il trattamento si renda necessario per adempiere a un obbligo normativo o per legittimo interesse ovvero per l’adempimento di un obbligo di legge (in questo ambito potrebbero essere ricompresi i dati trattati ai fini della normativa antiriciclaggio). Si rende, invece, certamente obbligatorio il consenso specifico in caso di trattamento di particolari categorie di dati (ad esempio dati giudiziari o particolari categorie di dati, come quelli desumibili dalla documentazione attestante il sostenimento di spese mediche consegnate dal cliente al professionista ai fini della relativa detrazione fiscale).
Il titolare, i responsabili esterni e gli incaricati
Il titolare viene qualificato nel Regolamento come: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
Tale definizione introduce anche la nuova disciplina della contitolarità del trattamento (articolo 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente. Ne deriva che nel contratto intercorrente tra contitolari dev’essere configurata una chiara ripartizione delle responsabilità ai sensi del GDPR, compresi i casi in cui un titolare del trattamento stabilisca le finalità e i mezzi del trattamento congiuntamente con altri titolari del trattamento o quando l’operazione di trattamento viene eseguita per conto del titolare del trattamento.
Il titolare e/o i contitolari sono tenuti a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività che compiono sui dati con il GDPR, compresa l’efficacia delle misure di sicurezza che adottano. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.
Il GDPR prevede poi anche la figura del responsabile ossia “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Al riguardo il Regolamento fissa più dettagliatamente (rispetto al codice) le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto e deve disciplinare tassativamente almeno le materie riportate al § 3 dell’articolo 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, e categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel Regolamento.
In realtà saranno sussistenti obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari (tenuta del registro dei trattamenti svolti, adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti, designazione di un DPO). Peraltro è consentita la nomina di sub-responsabili del trattamento da parte di un responsabile, per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; ne deriva che quest’ultimo risponderà dinanzi al titolare dell’inadempimento dell’eventuale sub responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento.
In merito, va rilevato che, come indicato anche dal Cndcec, i rapporti di approvvigionamento (responsabile trattamento dati, responsabile protezione dei dati, servizi cloud, etc.) dovranno essere regolati tramite un contratto firmato intuitu personae. All’uopo sarà sicuramente utile:

• richiedere al fornitore di inoltrare la sua politica di sicurezza dei sistemi informativi insieme a tutti i documenti di supporto delle sue certificazioni di sicurezza delle informazioni e allegare tali documenti al contratto e verificare che le misure siano conformi alla propria politica di sicurezza e alle raccomandazioni dell’autorità Garante;
• determinare e fissare in modo dettagliato, su base contrattuale, le operazioni che il responsabile del trattamento potrà eseguire sui dati personali, tra cui:

• i dati a cui avrà accesso o che gli saranno trasmessi;
• le operazioni che deve eseguire sui dati;
• la durata per la quale può memorizzare i dati;
• tutti i destinatari a cui il responsabile del trattamento potrà trasmettere i dati;
• le operazioni da eseguire al termine del servizio (cancellazione permanente dei dati o restituzione dei dati nel contesto della reversibilità quindi distruzione di dati);
• gli obiettivi di sicurezza stabiliti dal titolare del trattamento;

• determinare, su base contrattuale, la ripartizione delle responsabilità in merito ai processi legali volti a consentire agli interessati di esercitare i propri diritti;
• vietare o regolare l’utilizzo di fornitori di secondo livello;
• chiarire nel contratto che il rispetto degli obblighi di protezione dei dati è un requisito vincolante del contratto e prevedere specifiche clausole di responsabilità.

Il Regolamento non prevede espressamente la figura dell’incaricato, richiamando invece le c.d. “persone autorizzate al trattamento” sotto l’autorità diretta del titolare o del responsabile.
Sul tema l’emanando decreto attuativo indicherà espressamente che il titolare o il responsabile del trattamento possano disciplinare nell’ambito del proprio assetto organizzativo che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche espressamente designate che operano sotto la loro autorità. In concreto, il titolare o il responsabile del trattamento hanno la possibilità di individuare, con le modalità più opportune, le persone che operano sotto la propria autorità diretta per autorizzarle al trattamento dei dati personali.

L’accountability, il rischio e le misure di sicurezza
Tra le novità introdotte dal Regolamento vi è il principio di "responsabilizzazione" (c.d. accountability), che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali. In altri termini, titolari e responsabili dovranno adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento, decidendo in via autonoma le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento.
Come evidenziato dal Garante uno dei criteri è sintetizzato dall’espressione inglese “data protection by default and by design", ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili "al fine di soddisfare i requisiti" del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio e richiede un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili. Si tratta in altri termini di valutare il rischio inerente al trattamento e di adottare le misure idonee a mitigare sufficientemente il rischio.
Fra le varie attività fondamentali vi sono quelle connesse al secondo criterio individuato nel Regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati; tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi. Al riguardo è l’articolo 35 del Regolamento a introdurre il concetto di valutazione d’impatto sulla protezione dei dati; in concreto la valutazione d’impatto sulla protezione dei dati è un processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli.
In tale prospettiva si osserva come non sia obbligatorio svolgere una valutazione d’impatto sulla protezione dei dati per ciascun trattamento. Al contrario, è necessario realizzare una valutazione d’impatto sulla protezione dei dati soltanto quando la tipologia di trattamento "può presentare un rischio elevato per i diritti e le libertà delle persone fisiche" (articolo 35, § 1). Il semplice fatto che le condizioni che comportano l’obbligo di realizzare una valutazione d’impatto sulla protezione dei dati non siano soddisfatte non diminuisce tuttavia l’obbligo generale, cui i titolari del trattamento sono soggetti, di attuare misure volte a gestire adeguatamente i rischi per i diritti e le libertà degli interessati. In pratica, ciò significa che i titolari del trattamento devono continuamente valutare i rischi creati dalle loro attività al fine di stabilire quando una tipologia di trattamento "possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.
All’esito di questa valutazione di impatto il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’autorità non avrà il compito di “autorizzare” il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’articolo 58: dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento.
In questo ambito, le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento; peraltro, la lista di cui al § 1 dell’articolo 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”). Per lo stesso motivo, non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza (ex articolo 33, codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da articolo 32 del Regolamento.
Sul punto si dovrà comprovare di aver posto in essere le misure idonee a tal fine: in concreto all’entrata in vigore del Regolamento, il titolare/responsabile del trattamento dovrà aver posto in essere tutte le misure di sicurezza fisiche, organizzative e tecnologiche adeguate, ovvero finalizzate a preservare sostanzialmente la sicurezza dei dati personali trattati. A titolo esemplificativo e non esaustivo si richiamano, quali misure di sicurezza, i dispositivi anti intrusione, gli allarmi , le porte blindate, gli armadi chiusi a chiave per gli archivi cartacei, adeguati software di protezione quali antivirus e firewall, adeguata politica di utilizzo delle strumentazioni elettroniche e di tutti i dispositivi utilizzati, il cambiamento periodico delle credenziali di accesso alla rete, il monitoraggio degli accessi, i salvataggi periodici e programmati dei dati trattati elettronicamente, la valutazione dell’adozione di tecniche di pseudonimizzazione, con costante verifica e aggiornamento delle misure di sicurezza adottate. Il tutto è finalizzato a prevenire violazioni, anche accidentali, dei dati trattati.

Le principali prescrizioni del GDPR
La nuova disciplina impone ai destinatari un diverso approccio nel trattamento dei dati personali, prevede nuovi adempimenti e richiede un’intensa attività di adeguamento, preliminare alla sua definitiva applicazione a partire dal 25 maggio 2018.
Con riguardo ai singoli adempimenti si sintetizzano alcune indicazioni metodologiche utili per la valutazione sulle misure organizzative necessarie per adeguarsi alle prescrizioni del GDPR.
In primo luogo andrà valutata la designazione di un “responsabile della protezione dati” (Data protection officer – DPO) per l’attività esercitata. Il Regolamento tratteggia le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali ex articoli 38 e 39). Il DPO coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.
Il Garante ha precisato che il DPO, al quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Deve inoltre poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Del pari deve agire in piena indipendenza (considerando 97 del Regolamento UE 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.
Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, etc.) necessarie per l’espletamento dei propri compiti.
Il ruolo di DPO può poi essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura. Il DPO scelto all’interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.
Nell’esecuzione dei propri compiti, il DPO (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento che abbia designato un responsabile per la protezione dei dati personali resta comunque pienamente responsabile dell’osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla (articolo 5, § 2 del Regolamento).
I dati di contatto del responsabile designato dovranno poi essere pubblicati dal titolare o responsabile del trattamento. Per il Garante non è necessario – anche se potrebbe rappresentare una buona prassi – pubblicare anche il nominativo del responsabile della protezione dei dati: spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un’informazione utile o necessaria. Il nominativo del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all’Autorità di controllo.
Secondo le indicazioni del Regolamento, la nomina del DPO è obbligatoria:

• se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali; oppure
• se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
• se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Sul punto il Garante, nelle faq recentemente pubblicate sul sito istituzionale, ha chiarito che, ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito, imprese assicurative, sistemi di informazione creditizia, società finanziarie, società di informazioni commerciali, società di revisione contabile, società di recupero crediti, istituti di vigilanza, partiti e movimenti politici, sindacati, caf e patronati, società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas), imprese di somministrazione di lavoro e ricerca del personale, società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione, società di call center, società che forniscono servizi informatici e società che erogano servizi televisivi a pagamento.
Sempre il Garante ha precisato che nei casi diversi da quelli previsti dall’articolo 37, § 1, lettera b) e c), del Regolamento (UE) 2016/679, la designazione del DPO non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: si veda anche considerando 97 del Regolamento, in relazione alla definizione di attività "accessoria").
In quest’ottica resta comunque raccomandata, anche alla luce del principio di "accountability" che permea il Regolamento, la designazione di tale figura i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati. Al riguardo il Cndcec consiglia in ogni caso di indicare per ciascuno studio professionale almeno un “Referente GDPR” al quale fare riferimento (c.d. “punto di contatto”) sia ai fini di eventuali verifiche e controlli sia al fine di consentire un migliore e agevole esercizio dei diritti degli interessati.

Sotto un ulteriore profilo tutti i titolari, a partire dal 25 maggio 2018, dovranno notificare all’autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque "senza ingiustificato ritardo", ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. Pertanto, la notifica all’autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare. Se la probabilità di tale rischio è elevata, si dovranno informare delle violazione anche gli interessati, sempre senza ingiustificato ritardo. Sarà necessario predisporre protocolli organizzativi che consentano di intervenire tempestivamente e procedere senza ritardo alla comunicazione al Garante.
Tutti i titolari di trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati.
Il registro dei trattamenti e le relative modalità di tenuta
Ulteriore obbligo del nuovo Regolamento è l’adozione di un registro dei trattamenti. In particolare i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda articolo 30, § 5), devono tenere un “registro delle operazioni di trattamento” i cui contenuti sono indicati all’articolo 30. Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
Ogni titolare del trattamento dovrà tenere un registro delle attività di trattamento svolte che contenga le seguenti informazioni:

• il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

• le finalità del trattamento;
• una descrizione delle categorie di interessati e delle categorie di dati personali;
• le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di Paesi terzi od organizzazioni internazionali;
• ove applicabile, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
• ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
• ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, § 1.

Ogni responsabile del trattamento dovrà tenere un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:

• il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
• le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
• ove applicabile, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
• ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, § 1.

Come osservato dal Garante la tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali e quindi vengono invitati tutti i destinatari, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche.
Lo stesso Cndcec osserva come ai fini del corretto adempimento degli obblighi derivanti dal GDPR, ogni misura adottata dovrà essere documentabile in ossequio al principio di “responsabilizzazione”: pertanto, nonostante il registro dei trattamenti previsto dal GDPR non sia obbligatorio per gli studi professionali, il Cndcec ne consiglia l’adozione.

Responsabilità e sanzioni
Il Regolamento, all’articolo 82, prevede il diritto per l’interessato che sia oggetto di un danno (materiale o immateriale) di ricevere un risarcimento per il danno, in base al soggetto che ha commesso la violazione, ovvero il titolare e/o il responsabile.
Più precisamente il titolare risponde per il danno cagionato dal suo trattamento che violi le norme del Regolamento, mentre il responsabile risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del GDPR specificatamente diretti ai responsabili o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare. Di contro il titolare e/o il responsabile sono esonerati dalla responsabilità se dimostrano che l’evento dannoso non è in alcun modo a loro imputabile.
Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi, titolare e il responsabile, siano coinvolti nello stesso trattamento e siano responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.
Il Regolamento aggrava poi le sanzioni amministrative pecuniarie fissando limiti massimi più elevati di quelli fino ad oggi previsti.
Ebbene, la violazione delle seguenti disposizioni/obblighi del titolare e del responsabile, in particolare degli articoli 25 privacy by design/by default e 32 sicurezza) è soggetta a sanzioni amministrative pecuniarie fino a 10.000.000 euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

• gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
• gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
• gli obblighi dell’organismo di controllo a norma dell’articolo 41, § 4;

La violazione delle seguenti disposizioni (tra cui i principi fondamentali in materia di protezione) è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

• i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
• i diritti degli interessati a norma degli articoli da 12 a 22;
• i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
• qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
• l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, § 2, o il negato accesso in violazione dell’articolo 58, § 1.

Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa, in ogni singolo caso si tiene debito conto dei seguenti elementi:

• la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
• il carattere doloso o colposo della violazione;
• le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
• il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
• eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
• il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
• le categorie di dati personali interessate dalla violazione;
• la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
• qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, § 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
• l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42;
• eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

Deve osservarsi altresì come il mancato adeguamento al Regolamento potrebbe comportare anche l’applicazione di sanzioni penali, che il GDPR ha lasciato a una regolamentazione autonoma di ogni singolo Stato. Infatti, il considerando 149 del testo GDPR, recita "Gli Stati membri dovrebbero poter stabilire disposizioni relative a sanzioni penali per violazioni del presente Regolamento, comprese violazioni di norme nazionali adottate in virtù ed entro i limiti del presente Regolamento. Tali sanzioni penali possono altresì autorizzare la sottrazione dei profitti ottenuti attraverso violazioni del presente Regolamento. Tuttavia, l’imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di Giustizia”.
Al riguardo, nella bozza del decreto di adeguamento della normativa nazionale alle disposizioni contenute nel GDPR, sono presenti le sanzioni già esistenti e afferenti al trattamento illecito dei dati personali (pena della reclusione da 6 a 18 mesi) e alla falsità nelle dichiarazioni e notificazioni al Garante (pena della reclusione da 6 mesi a 3 anni).
Accanto a tali sanzioni vengono previste nuove fattispecie incriminatrici e più precisamente:

• la comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone sanzionata con la reclusione da 1 a 6 anni;
• l’acquisizione fraudolenta di dati personali sanzionata con la reclusione da 1 a 4 anni.

Le check list del Cndcec
Il Cndcec, con il documento di aprile 2018, ha fornito alcune indicazioni di formazione e di informazione che possano costituire una efficace forma di auto-valutazione preventiva degli studi alla luce della disciplina introdotta dal GDPR e ha ritenuto utile proporre delle “check list di base per gli studi professionali” da utilizzare al fine di valutare il livello di adeguamento alle nuove disposizioni del GDPR.
Secondo il Cndcec nell’informativa il professionista dovrà evidenziare in modo chiaro, trasparente e con linguaggio semplice:

• l’identità e i dati di contatto del titolare del trattamento (e, ove applicabile, del suo rappresentante);
• i dati di contatto del responsabile della protezione dei dati (se nominato);
• le finalità del trattamento cui sono destinati i dati personali e la base giuridica del trattamento;
• i legittimi interessi perseguiti dal titolare del trattamento o da terzi, se fungono da base giuridica del trattamento;
• gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
• l’intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o il riferimento alle garanzie appropriate od opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili;
• il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
• l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
• l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso anteriormente prestato, nei casi di trattamento basato sul consenso, anche di categorie particolari di dati;
• il diritto di proporre reclamo a un’autorità di controllo;
• se la comunicazione di dati personali è un obbligo legale o contrattuale o un requisito necessario per la conclusione di un contratto e se l’interessato ha l’obbligo di fornire i dati personali, oltre alle possibili conseguenze circa la mancata comunicazione di tali dati;
• l’esistenza di un processo decisionale automatizzato, compresa la profilazione e, in tali casi, le informazioni significative sulla logica utilizzata, oltre all’importanza e alle conseguenze previste di tale trattamento per l’interessato.

Secondo il Cndcec il titolare del trattamento (dominus di studio o associazione o società professionale) dovrà autorizzare i propri collaboratori e tirocinanti a effettuare il trattamento dei dati personali degli interessati definendo specifiche deleghe per i soggetti incaricati. Il titolare del trattamento dovrà poi impostare tutte le proprie attività e l’organizzazione di studio rispettando i principi della “privacy by design” e “privacy by default”, adottando conseguentemente, adeguate misure tecniche e organizzative, prima che il trattamento dei dati personali abbia inizio, idonee a consentire il rispetto dei principi di minimizzazione dei dati, limitazione della conservazione e a evitare la comunicazione dei dati a persone non autorizzate.
Per l’organo di autoregolamentazione, qualora lo studio effettui, inoltre, profilazioni, trattamenti automatizzati, trattamenti trasfrontalieri di dati personali, videosorveglianza, monitoraggio sistematico o trattamenti su larga scala, dovrà prevedere informative, consensi e misure adeguate al maggiore livello di rischiosità concretizzato per la protezione dei dati personali.
A fattor comune comunque viene consigliato di prevedere, sempre, una procedura per i c.d. “data breaches” (violazione dei dati personali) nonché appositi meccanismi per consentire l’esercizio dei diritti dell’interessato secondo le modalità descritte dal GDPR.

• data di emissione del documento;
• numero progressivo della fattura (che la identifichi in modo univoco);
• ditta, denominazione o ragione sociale, nome e cognome, residenza o domicilio del cedente/prestatore e del cessionario/committente, dell’eventuale rappresentante fiscale, nonché ubicazione della stabile organizzazione per i soggetti non residenti;
• numero di partita IVA del cedente/prestatore;
• numero di partita IVA del cessionario/committente, o, in caso di soggetto passivo stabilito in altro Stato membro UE, numero identificativo IVA attribuito dallo Stato membro di stabilimento, nel caso in cui il cessionario/committente agisca in qualità di soggetto passivo;
• numero di codice fiscale, nel caso in cui il cessionario/committente non agisca in qualità di soggetto passivo;
• natura, qualità e quantità dei beni e servizi oggetto dell’operazione;
• corrispettivi e altri dati necessari per la determinazione della base imponibile, compresi quelli relativi ai beni ceduti a titolo di sconto, premio o abbuono;
• corrispettivi relativi agli altri beni ceduti a titolo di sconto, premio o abbuono;
• aliquota IVA, ammontare dell’imponibile e dell’imposta con arrotondamento al centesimo di euro;
• data della prima immatricolazione o iscrizione in pubblici registri e numero dei chilometri percorsi, delle ore navigate o delle ore volate, in caso di cessione intracomunitaria di beni di trasporto nuovi di cui all’art. 38 co. 4 del DL 331/93;
• annotazione del fatto che la fattura è emessa, per conto del cedente o prestatore, dal cessionario o committente ovvero da un terzo.

Nel definire il contenuto informativo della fattura elettronica occorre tenere conto di altri elementi; si pensi, ad esempio, alle informazioni necessarie alla corretta trasmissione del documento (dal mittente al Sistema di Interscambio e dal Sistema al soggetto destinatario), a quelle che consentono di poter integrare il documento con i processi e sistemi gestionali di pagamento e, infine, ad ogni altra informazione che può risultare utile sulla base delle esigenze informative che intercorrono fra cliente e fornitore e delle tipologie dei beni ceduti e dei servizi prestati, ad esempio dei dati dei veicoli per i rifornimenti di carburante o le operazioni ad esse relative.
Ulteriore attenzione va posta all’indicazione in fattura delle diciture previste obbligatoriamente dalla legge 228/2012.
Le diciture principali sono:

• "inversione contabile" per le operazioni per le quali è prevista l’integrazione della fattura a cura del committente;
• "operazione non soggetta" per le cessioni di beni in transito e le prestazioni di servizi nei confronti di committenti soggetti passivi extra Ue;
• "autofattura" per le operazioni in cui la fattura è emessa dal cessionario o dal committente in virtù di un obbligo specifico;
• "scissione dei pagamenti – art. 17 ter DPR 633/1972" per le operazioni in split payment;
• "operazione non imponibile" per le cessioni all’esportazione, le cessioni intracomunitarie di beni, le cessioni intracomunitarie triangolari (articolo 58 del Dl 331/1993), cessioni assimilate alle cessioni all’esportazione (articolo 8-bis del Dpr 633/1972) e servizi internazionali (articolo 9 del Dpr 633/1972);
• "operazione esente" per le operazioni di cui all’articolo 10 del Dpr 633/1972 (escluse lotto e lotterie, eccetera).
• Ricordiamo che le sanzioni per la mancata indicazione in fattura delle predette diciture rappresenta una violazione formale e quindi sarà applicata una sanzione amministrativa di 258 euro.

FATTURA E MARCA DA BOLLO
La fattura è, se superiore ad euro 77,47, è soggetta a marca da bollo nei seguenti casi:

• Operazioni fuori campo IVA per mancanza del presupposto soggettivo o oggettivo (Art. 2, 3, 4 e 5 DPR 633/1972), territoriale (Art. da 7 a 7-septies DPR 633/1972);
• Operazioni escluse dalla base imponibile dell’ IVA (Art. 15 DPR 633/1972);
• Operazioni esenti da IVA (Art. 10 DPR 633/1972);
• Operazioni non imponibili perché effettuate in operazioni assimilate alle esportazioni, servizi internazionali e connessi agli scambi internazionali, cessioni ad esportatori abituali (esportazioni indirette Art. 8 lett. c) DPR 633/1972);
• Operazioni effettuate dai soggetti passivi che usufruiscono del nuovo regime dei minimi e del regime forfettario.
• Sono sempre esenti da marca da bollo le seguenti operazioni:
• Fatture, note di credito e addebito e documenti simili che riguardano operazioni soggette ad IVA;
• Fatture riguardanti operazioni non imponibili relative ad esportazioni di merci (Art. 8 lett. a) e b) DPR 633/1972) ed a cessioni intracomunitarie di beni (Art. 41, 42 e 58 DL 331/1993);
• Fatture soggette al reverse charge (Art. 17, comma 6 lett. a), a-bis) e a-ter) DPR 633/1972) e cessione dei rottami (Art. 74 comma 7 e 8 DPR 633/1972).