I termini e le modalità per il versamento, da effettuarsi da parte di tutte le imprese iscritte in Camera di Commercio, sono gli stessi previsti per il versamento delle imposte e quindi il 16 giugno oppure il 16 luglio con la maggiorazione dello 0,4%.

L’importo da versare varia come segue.

Imprese iscritte nella sezione speciale (piccoli imprenditori, artigiani, agricoltori, società semplici)

• E. 88,00, per le ditte individuali, E. 144,00, per le società semplici non agricole, E. 170,00, per le società tra professionisti

Imprese iscritte nella sezione ordinaria

I soggetti iscritti nella sezione ordinaria del Registro imprese devono invece calcolare il diritto annuale applicando le aliquote per scaglioni di fatturato dell’esercizio 2008:

Scaglioni di fatturato		Aliquote
da euro	a euro
0	100.000	200 euro (misura fissa)
oltre 100.000	250.000	0,015%
oltre 250.000	500.000	0,013%
oltre 500.000	1.000.000	0,010%
oltre 1.000.000	10.000.000	0,009%
oltre 10.000.000	35.000.000	0,005%
oltre 35.000.000	50.000.000	0,003%
oltre 50.000.000		0,001% (fino a un massimo di 40.000 euro)

Imprese con più unità locali

Per ciascuna unità locale deve essere versato un importo del 20% di quanto dovuto per la sede principale,  fino a un massimo di E. 200,00, avendo cura di indicare il codice della Camera di Commercio dell’unità  locale.

Modalità di pagamento

Il versamento va effettuato utilizzando il Modello F24, esclusivamente in via telematica.

Maggiorazioni

Alcune Camere di Commercio prevedono delle maggiorazioni. Ad esempio per Prato gli importi vanno aumentati del 20% (qui le istruzioni complete).

Tra le nuove misure sanzionatorie si segnalano le seguenti:

Omessa o inidonea informativa all’interessato da € 6.000 a € 36.000

Illecita cessione dei dati da € 10.000 a € 60.000

Illecita comunicazione di dati che rivelano lo stato di salute da € 1.000 a € 6.000

Trattamento di dati personali senza il rispetto delle misure minime di sicurezza o con modalità che integrano l’illecito penale da € 20.000 a € 120.000

Omessa/incompleta notificazione al Garante da € 20.000 a € 120.000

In caso di più violazioni, è prevista la sanzione da € 50.000 a € 300.000 senza possibilità di pagamento in misura ridotta.

Tali importi possono essere ridotti fino a 2/5 ovvero innalzati del doppio o del quadruplo in relazione alla gravità dell’illecito effettuato, della natura economica e sociale dell’attività svolta dal soggetto che ha posto in essere la violazione nonché in considerazione delle condizioni economiche del contravventore e del numero dei soggetti interessati.

Da sottolineare che, nei casi di omessa adozione delle misure minime di sicurezza è prevista esclusivamente la sanzione penale (arresto fino a 2 anni), non più “sostituibile” con la sanzione pecuniaria.

Cerchiamo di vedere, ora, in occasione della scadenza annuale della redazione o aggiornamento del Documento Programmatico sulla Sicurezza, prevista per il 31 marzo 2009, cosa prevede la legge in maniera un po’ più approfondita . Quest’anno tra l’altro nell’aggiornamento del DPS va tenuto conto, oltre che delle novità o variazioni specifiche che potrebbero essere intervenute presso ciascun titolare, cosa normale per un aggiornamento, anche delle novità normative degli ultimi 12 mesi.
In particolare le “semplificazioni” volute dal Garante, che interessano numerose categorie di titolari.

OGGETTO E SCOPO DELLA LEGGE

Le norme sulla privacy introdotte dalla Legge 675/96, sono state completamente riscritte dal d.Lgs. 196 del 30 giugno 2003, denominato “Testo Unico sulla Privacy” e hanno la finalità di garantire che il trattamento di dati personali, da chiunque effettuato sia con mezzi elettronici o no, si svolga nel rispetto dei diritti e delle libertà fondamentali, della dignità delle persone fisiche, e in particolare della riservatezza e dell’identità personale.

I dati personali

Per dato personale si intende qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione. La definizione comprende categorie eterogenee di dati. Ad esempio sono dati personali: un numero di identificazione personale o elementi di tipo diverso come fotografie, filmati, estremi di documenti di identità, PIN, indirizzo IP, impronte digitali, caratteristiche biometriche, caratteri alfanumerici ecc.. I dati personali sono raggruppabili in tre macrocategorie: dati sensibili, dati giudiziari e dati comuni. I “dati sensibili” sono quei dati idonei a rivelare “l’origine razziale o etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale” di una persona. Per questa categoria di dati la legge prevede una tutela più forte rispetto alle altre. I “dati giudiziari” sono quelle informazioni idonee a rivelare provvedimenti in materia di casellario giudiziale, anagrafe delle sanzioni amministrative dipendenti da reati o carichi pendenti. I “dati comuni” sono tutte quelle informazioni che consentono di individuare una persona fisica o giuridica, sia essa anche un ente od associazione (esempio: nome, cognome, partita IVA, codice fiscale, indirizzo, numeri di telefono, numero patente ecc…).

L’ambito di applicazione

Le disposizioni del Codice in materia di protezione dei dati personali regolano qualsiasi trattamento di dati personali, effettuato da tutti coloro che siano “stabiliti” nel territorio dello Stato, anche se i dati vengono poi detenuti all’estero. Con il termine “stabilito” il Legislatore fa riferimento alla presenza di una stabile organizzazione economica, anche se si tratta di una succursale, di una filiale o di un ufficio. Per quel che riguarda i trattamenti eseguiti al di fuori della UE, ma che impiegano strumenti (anche non elettronici) situati in Italia, risulta necessario che il Titolare del trattamento designi un rappresentante stabilito in Italia.

I soggetti del trattamento

La legge, nell’ambito del trattamento dei dati, individua una serie di “figure” aventi compiti e responsabilità ben definiti.

● Il titolare: la persona fisica o giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione o organismo cui competono le decisioni circa le finalità e le modalità del trattamento di dati personali, ivi compresa la sicurezza dei dati.

● Il responsabile: la persona fisica o giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.

● L’incaricato: colui che compie le operazioni del trattamento di dati personali, attenendosi alle istruzioni impartite dal titolare o dal responsabile.

● L’interessato: la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali.

● Il rappresentante stabilito nel territorio dello Stato: Nel caso in cui il titolare risieda all’estero, deve essere nominato un rappresentante che sia stabilito nel territorio dello Stato italiano.

PRINCIPALI ADEMPIMENTI

La normativa sulla Privacy stabilisce che ogni Titolare di trattamento dati debba eseguire alcuni adempimenti che consentano all’Autorità Garante ed ai terzi interessati di conoscere esattamente l’oggetto, i fini e le modalità di un particolare trattamento di dati.

Questi adempimenti sono:

a. la notificazione all’Autorità Garante;

b. l’informativa all’interessato;

c. la raccolta del consenso dell’interessato;

d. l’adozione delle misure minime di sicurezza.

a. La notificazione all’Autorità Garante

La notificazione consiste in una comunicazione preventiva che il Titolare rivolge al Garante per la Protezione dei Dati Personali circa i trattamenti svolti.

Solo i trattamenti, fortunatamente pochi, espressamente menzionati nel testo del decreto richiedono la notificazione. Pertanto, devono eseguire la notifica, ex art. 37 del d.Lgs., solamente coloro i quali eseguono il trattamento di:

● dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;

● dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;

● dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;

● dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;

● dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

La notificazione può essere effettuata esclusivamente per via telematica, utilizzando l’apposito modello messo a disposizione sul sito del Garante.

b. L’ informativa all’interessato

È lo strumento principale con il quale il Titolare informa l’interessato del trattamento svolto e può essere fornita oralmente o per iscritto. L’informativa consiste in una comunicazione con la quale il Titolare illustra all’interessato:

● le finalità e le modalità del trattamento svolto;

● la natura obbligatoria o facoltativa del conferimento dei dati;

● le conseguenze dell’eventuale rifiuto del conferimento;

● l’ambito di comunicazione e diffusione dei dati;

● l’eventuale trasferimento dei dati all’estero;

● i diritti dell’interessato;

● l’indicazione del Titolare;

● l’indicazione del Responsabile individuato o di quello designato per l’esercizio dei diritti dell’interessato;

● l’indicazione degli Incaricati che compiono le operazioni di trattamento (ovviamente non è necessario indicare i nomi e i cognomi dei singoli ma sarà sufficiente indicare l’area di appartenenza).

Un’informativa insufficiente (carente anche di uno solo degli elementi indicati) risulta viziata e potrebbe dare

luogo all’applicazione di sanzioni. L’informativa deve essere resa all’interessato al momento della raccolta dei suoi dati e, in caso di raccolta di dati presso terzi, non oltre la registrazione dei dati o la prima comunicazione degli stessi a terzi. Appare evidente quindi che non sia possibile utilizzare un unico modello di informativa, ma che esso vada differenziato in funzione delle singole categorie di interessati (dipendenti, collaboratori, clienti, fornitori, candidati al colloquio di lavoro ecc.), della natura dei dati trattati (dati comuni, dati sensibili ecc.), delle diverse finalità del trattamento dei dati ed anche della tipologia del trattamento (se avviene, ad esempio, su un sito web o solo con modalità cartacee).

c. La raccolta del consenso dell’interessato

La legge sulla Privacy prevede che, in via generale, il trattamento dei dati avvenga con il consenso espresso dell’interessato. Il consenso del soggetto interessato deve essere preventivo, esplicito, libero e documentato per iscritto. Con il consenso l’interessato esprime di fatto la propria autorizzazione al trattamento dei suoi dati personali. Va sottolineato che il concetto di consenso, pur avendo una portata generale ed ampia, non comprende tuttavia una serie di ipotesi specifiche che, per legge, richiedono un consenso “specifico”, come nel caso di consenso finalizzato all’invio di materiale pubblicitario e alla comunicazione dei dati a soggetti terzi. Per quanto concerne la forma del consenso, la stessa deve essere espressa (non vale il c.d. Il “silenzio-consenso”).

In alcuni casi, come per i dati comuni, il consenso può essere semplicemente fornito in forma orale, ma comunque documentato per iscritto, mentre per i dati sensibili il consenso deve essere reso per iscritto. La mancanza del consenso comporta sanzioni penali e amministrative.

Il Codice della Privacy individua i casi di esenzione dal consenso:

● Il consenso non è richiesto quando il trattamento è necessario all’esecuzione del contratto o per adempiere, anche prima della conclusione del contratto, a specifiche richieste dell’interessato.

● Il consenso non è richiesto nei casi individuati dal Garante per perseguire un legittimo

interesse del Titolare o di un terzo destinatario dei dati.

● Il consenso non è richiesto quando la sua esclusione è prevista da codici di deontologia relativi ai specifici settori (tali codici, una volta emanati, verranno allegati al Codice, al fine di realizzare un vero e proprio corpo organico di regole in materia di protezione dei dati personali).

● Il consenso non è richiesto quando i dati provengano da pubblici registri o siano relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in tema di segreto aziendale e industriale.

I dati sensibili, cioè quei dati idonei a rivelare lo stato di salute, la vita sessuale, l’appartenenza a organizzazioni a carattere religioso, politico, filosofico o sindacale, possono costituire oggetto di trattamento

solo con il consenso scritto dell’interessato e previa autorizzazione del Garante. Novità fondamentale per il trattamento di questi dati è quella concernente l’esenzione dal consenso per il trattamento dei dati sensibili da parte del datore di lavoro, quando il trattamento è necessario per adempiere a specifici obblighi o compiti previsti da norme di legge per la gestione del rapporto di lavoro (anche in materia di igiene e sicurezza, previdenza ed assistenza, ferme restando le disposizioni del codice di deontologia e di buona condotta che dovrà essere prossimamente emanato in materia). Anche in caso di esenzione del consenso per il trattamento dei dati sensibili, è necessaria la preventiva autorizzazione del Garante.

Le autorizzazioni del Garante hanno un carattere generale oppure particolare: Le autorizzazioni generali fanno riferimento al trattamento dei dati sensibili in specifici settori (ad esempio: investigazioni, rapporto di lavoro, sanità, professionisti, assicurazioni ecc.) e ne individuando l’ambito e le modalità di trattamento. Sono specifiche quando sono conferite in risposta ad una richiesta di uno specifico Titolare.

d. L’adozione delle misure minime di sicurezza

Tra gli obblighi del nuovo Codice della Privacy vi è quello di adottare un insieme di misure minime di sicurezza utili ad assicurare un livello sufficiente di protezione dei dati personali. Tali misure devono essere adottate non solo dalle aziende che per la propria attività devono trattare dati sensibili o giudiziari ma anche da quelle nelle quali viene effettuata l’archiviazione informatica di comuni dati personali, quali quelli di fornitori, clienti dipendenti e così via. Gli interventi da attuare per adeguarsi alle misure minime di sicurezza sono dettagliatamente individuati dal testo di legge e variano da caso a caso, e possono essere così riassunti:

● Nomina di un titolare e, facoltativamente, di un responsabile per la gestione della protezione dei dati, ● Identificazione da parte del titolare di tutti gli incaricati del trattamento.

● Messa in sicurezza degli elaboratori utilizzati per il trattamento dei dati contro ogni possibile violazione del funzionamento.

● Trascrizione delle procedure interne da seguire e redazione di un DPSS (Documento Programmatico sulla Sicurezza) redatto con data certa entro il 31 marzo e successivamente aggiornato con cadenza annuale. Il DPSS costituisce l’unico elemento di prova dell’adeguamento aziendale alla nuova normativa.

Per il trattamento dei dati personali effettuato con strumenti elettronici le misure minime riguardano altresì:

● le procedure di autenticazione informatica e di gestione delle relative credenziali degli operatori addetti al trattamento;

● la protezione degli strumenti elettronici e dei dati rispetto: a trattamenti illeciti di dati, ad accessi non consentiti.

● l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

● la tenuta di un aggiornato documento programmatico sulla sicurezza;

● l’adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

COMPLIANCE E SANZIONI

Il termine per l’adeguamento alle disposizioni normative prescritte dal d.Lgs. 196/2003 è stato stabilito con il giorno 31 Marzo di Ogni Anno. Le responsabilità in cui si rischia di incorrere in caso di mancato adeguamento sono di tipo amministrativo e penale. Per quanto riguarda le sanzioni amministrative, esse partono da un minimo di euro 3.000 fino ad un massimo di euro 50.000 per il danno di natura patrimoniale. Per ciò che concerne il danno di natura non patrimoniale arrecato all’interessato, esso è aleatorio e quantificabile solo in seguito ad un giudizio. Sono previste anche sanzioni di tipo penale, a seconda della gravità dei fatti: si va da un minimo di 6 mesi di reclusione ad un massimo di 3 anni. Altro elemento estremamente rischioso per le aziende che dovessero risultare non in regola con la nuova normativa è la sospensione dell’attività. In caso infatti di infrazione alla normativa, il Garante per la Privacy può ordinare all’azienda la sospensione di ogni attività di trattamento dei dati personali fino alla risoluzione dei problemi emersi.

Tocchini Davide

Sono destinatari della norma, e quindi tenuti ad applicarla, tutti coloro che per fini non esclusivamente personali trattano o detengono dati.

Perciò l’obbligo riguarda tutti:  aziende, professionisti, associazioni in genere, ecc. ecc..

In base alla tipologia dei dati trattati ed alla modalità, gli obblighi sono diversi.

Le disposizioni riguardano tutte le operazioni che hanno per oggetto dati personali, relativi a persone fisiche o giuridiche, sia in modalità cartacea che informatizzata.

Tra i diversi adempimenti da osservare si ricordano quelli relativi alla informativa da rilasciare agli interessati, con la precisazione delle finalità, modalità, natura, ambito di comunicazione e diffusione.

Il trattamento dei dati senza il rispetto delle predette condizioni e senza il relativo consenso, ove previsto, non e’ conforme alla legge ed e’ sanzionabile.

La formazione del personale in materia di privacy, la formalizzazione per scritto delle nomine a tutti coloro che a vario titolo trattano dati, il salvataggio ed il ripristino periodico dei dati, e la protezione da attacchi esterni, sono alcune tra le misure da adottare.

Tocchini Davide