ASSOCOMPLIANCE NEWS

→ IL WEB HOSTING

Chiunque gestisce un sito web deve tenere presente che il servizio di web hosting, del quale si serve, è giuridicamente il responsabile del trattamento dei dati (nel contempo, però, è sempre il titolare del trattamento dei propri dati), in quanto il web hosting elabora i dati per conto del titolare. Ciò comporta innanzitutto la necessità di un vero e proprio contratto scritto (o equivalente) tra titolare e web hosting, nel quale sarà precisato cosa può fare il web hosting con i dati e quali misure di sicurezza (tecniche e organizzative) deve predisporre, tenendo conto che devono essere adeguate al rischio valutato. L'hosting dovrà, ovviamente, attenersi alle istruzioni di cui al contratto, anche se rimane una certa discrezionalità, ad esempio nella scelta degli strumenti tecnici ed organizzativi più adatti. E' un punto fondamentale, perché se l'hosting va oltre le istruzioni diventa data controller (cioè titolare) con tutte le conseguenze del caso.

L'hosting deve conservare il registro dei trattamenti effettuati per conto del cliente (titolare), nel quale deve includere il nome e i dati di contatto dei titolari del trattamento dei dati, i suoi responsabili e eventuali incaricati, le categorie dei dati trattati, gli eventuali trasferimenti internazionali di dati, e una descrizione generale delle misure di sicurezza tecniche e organizzative adottate. Dalla tenuta del registro in teoria sarebbero esentate le imprese con meno di 250 dipendenti, ma le esenzioni sono particolarmente stringenti e difficilmente applicabili ad un hosting. 

L'hosting, inoltre, ha l'obbligo di notificare al titolare le eventuali violazioni di dati. E' buona prassi, quindi, inserire tale obbligo anche nel contratto (che diventerà violazione legale e contrattuale). Poiché l'obbligo a carico del titolare di notificare la violazione agli interessati scatta a partire dal momento in cui ne viene a conoscenza (tramite la comunicazione da parte dell'hosting, in questo caso), si può utilizzare lo stesso termine del GDPR (72 ore). Il titolare comunque è responsabile nei confronti delle autorità per eventuali violazioni commesse dal web hosting.

E' pacifico che il web hosting è responsabile del trattamento con riferimento ai soli trattamenti realizzati per conto del gestore del sito (quale titolare), cliente dell'hosting. Ma se l'hosting va oltre i limiti del mandato, trattando i dati al di là delle istruzioni ricevute, ne diventa contitolare.

Nel caso in cui ci si serve di un web hosting che si trova al di fuori dello Spazio Economico Europeo (SEE), siamo in presenza di un vero e proprio flusso transfrontaliero dei dati.

 

→ LE CATEGORIE DI TRATTAMENTO CHE IMPONGONO LA DPIA

Nel recepire tutte le considerazioni dell’Edbp nell’ambito del meccanismo di coerenza, il Garante ha individuato dodici tipologie di trattamenti soggette ad obbligo di Dpia , elencate nell’Allegato 1 al Provvedimento dell’11 ottobre scorso.  E il quadro prospettato da tale elenco sembrerebbe andare nella direzione di un ampliamento, da parte dell’Autorità della portata dell’obbligo di Dpia.

 

→ ANTICORRUZIONE, IL MODELLO 231 EVITA LE NUOVE SANZIONI

Le super sanzioni che possono portare anche al blocco dello studio, dalla legge anti-corruzione, possono essere scongiurate anche con un adeguato modello organizzativo previsto dal decreto legislativo 231 del 2001. Il decreto 231 è quello che ha introdotto un'autonoma e distinta responsabilità parapenale a carico di società e altri enti collettivi (studi compresi) i cui esponenti abbiano commesso determinati reati, tra i quali primeggiano quelli contro la Pa. 
Le sanzioni sono particolarmente severe e contemplano oltre alla confisca di beni, sanzioni pecuniarie e minacciose sanzioni interdittive come il blocco dell'attività, il commissariamento, il divieto di contrattare con la Pa, l'esclusione da finanziamenti e sussidi, il divieto di pubblicizzare beni o servizi. La recente legge anticorruzione, oltre a inserire nel "catalogo reati 231" il delitto di "traffico di influenze illecite", ha intensificatele sanzioni interdittive: la loro durata minima, per i reati più gravi commessi da una figura apicale, è stata quadruplicata, raggiungendo i quattro anni. Gli studi professionali. Tra gli enti interessati figurano anche gli studi professionali, fino a oggi non particolarmente avvezzi - per le limitate dimensioni strutturali, la loro dibattuta inclusione trai destinatari del Dlgs 231 e, soprattutto, l'esigenza di contenimento dei costi - a ricorrere alle misure organizzative interne di prevenzione di eventi criminosi. Ma sono motivazioni davvero e sempre valide?
Oltre ai professionisti intenzionati a cogliere le opportunità di crescita, possono ingrandirsi anche gli studi associati e le società tra professionisti. Nelle strutture più ampie, ai professionisti possono affiancarsi anche soci non professionisti, dipendenti e collaboratori. E ancora: proliferano gli studi multidisciplinari, destinati a offrire una estesa gamma di servizi integrati o complementari, costituendo talvolta distinte entità giuridiche per ciascuno dei settori di attività. Sono tutte realtà che presentano esigenze di coordinamento e organizzative, oltre a problematiche legate alle dinamiche interne e ai processi decisionali.
Giunge quindi il momento di assumere un direttore generale o un amministratore, eventualmente prescelto tra gli associati. Non occorre, tuttavia, che lo studio abbia raggiunto tali dimensioni per poter incorrere nella responsabilità amministrativa disciplinata dal Dlgs 231. Cassazione e giurisprudenza di merito hanno infatti ormai dissipato gran parte dei dubbi circa l'applicabilità della norma agli studi professionali, laddove sia netta la loro distinzione con i soggetti per essi operanti.
A conferma, basti richiamare il recente sequestro preventivo operato nei confronti di uno studio legale assodato di Milano per il concorso nel reato di riciclaggio di un suo avvocato che aveva aiutato un cliente ad occultare i proventi di evasione fiscale.
Il modello organizzativo - Peraltro, non scarseggiano tra i reati presupposto della "responsabilità 231", quelli riconducibili ai professionisti, come quelli contro la Pa, i reati colposi in materia di sicurezza sul lavoro, le violazioni al diritto d'autore, i reati informatici, il riciclaggio. Non è arduo, poi, dimostrare che l'illecito penale di un professionista sia stato posto in essere nell'interesse o svantaggio dello studio di appartenenza, avendo questo come finalità il perseguimento di un profitto economico rappresentato dal corrispettivo versato dai clienti per lo svolgimento delle prestazioni professionali. Escludendo gli studi individuali non strutturati e le piccole realtà organizzative, per gli altri si tratta di valutare l'opportunità di adottare un modello di organizzazione e gestione su misura, idoneo a prevenire la commissione di reati inclusi nel "catalogo 231", che li schermi dal severo arsenale sanzionatorio o ne attenui l'impatto.

 

→ CALIBRATION MEETING DI IAS REGISTER

Si è rilevato proficuo per Assocompliance l’appuntamento annuale di IAS Register AG, rivolto alle figure operative e commerciali dello staff aziendale. Svoltosi lo scorso 11 gennaio a Nembro (BG), il Calibration Meeting, ha originato l’adesione di nuovi iscritti all’associazione nazionale dei Compliance Manager.
Un buon inizio d’anno che evidenzia il trend in crescita di Assocompliance.

 

→ CORSI PER COMPLIANCE MANAGER

Calendarizzati i nuovi appuntamenti formativi per certificarsi Compliance Manger presso la sede di Brescia, indispensabile per formare manager moderni che sappiano muoversi tra la gestione delle persone dei processi e delle regole per portare efficienza all'organizzazione.

 

→ CHIUSURA NATALIZIA

Vi informiamo che in occasione delle festività natalizie i nostri uffici rimarranno chiusi al pubblico da sabato 22 dicembre 2018 a sabato 5 gennaio 2019.
L'attività riprenderà regolarmente lunedì 7 gennaio 2019.

Buon Natale e Felice Anno Nuovo da Assocompliance!

 

→ LE CATEGORIE DI TRATTAMENTO CHE IMPONGONO IL DATA PROTECTION IMPACT ASSESMENT

Nel recepire tutte le considerazioni dell'European Data Protection Board (Edpb) nell’ambito del meccanismo di coerenza, il Garante ha individuato dodici tipologie di trattamenti soggette ad obbligo di Data Protection Impact Assesment (Dpia) , elencate nell’Allegato 1 al Provvedimento dell’11 ottobre scorso. E il quadro prospettato da tale elenco sembrerebbe andare nella direzione di un ampliamento, da parte dell’Autorità della portata dell’obbligo di Dpia.

 

→ MODELLI ORGANIZZATIVI 231 E VIGILANZA CANDIDATI A DIVENTARE OBBLIGATORI

È stato presentato e assegnato alla commissione Giustizia del Senato il disegno di legge 726, che mira a introdurre un’importante modifica al Dlgs 231/2001 in materia di responsabilità da reato degli enti: l’obbligatorietà del modello organizzativo e dell’organismo di vigilanza. Attualmente la normativa rimette alla discrezionalità del singolo ente la scelta se assumersi il compito della prevenzione degli illeciti attraverso un’adeguata organizzazione interna, che si traduce, per un verso, nell’adozione e attuazione di un modello organizzativo (Mog) idoneo a prevenire la commissione di reati, per l’altro, nell’istituzione di un organismo di vigilanza (Odv) incaricato di far rispettare il modello e di curarne l’aggiornamento. Tuttavia, il ricorso alla compliance viene fortemente caldeggiato dal decreto 231. Il nuovo disegno di legge punta a rafforzare tale impianto sancendo espressamente l’obbligatorietà.

 

→ PATROCINIO DEL CALIBRATION MEETING DI IAS REGISTER

Anche quest'anno Assocompliance patrocinerà il Calibration Meeting di IAS Register AG, l'appuntamento annuale rivolto alle figure operative e commerciali dello staff aziendale, in programma il prossimo 11 gennaio 2019.
Nell'edizione di quest'anno verrà adottata una vista “tecnica” centrata sul perché e sul come le attività di certificazioni sono centrali nella costruzione della fiducia di una organizzazione e dello sviluppo della sua continuità.

 

→ POLIZZA ASSICURATIVA INDIVIDUALE PER LA RESPONSABILITA' CIVILE

Ricordiamo ai nostri associati che in virtù dell'accordo stipulato con Federprpfessional, hanno la possibilità di accedere a costi agevolati alle polizze di assistenza sanitaria del Fondo Assidai, nonché di tutto quanto predisposto dal broker Praesidium in tema di tutela personale e professionale.

 

→ ACCORDO ASSOCOMPLIANCE E FEDERPROFESSIONAL

Considerando l'importanza della questione, ricordiamo l'accordo sottoscritto da Assocompliance e Federprofessional nel maggio del 2018.

Il documento prevede la collaborazione di entrambe le associazioni nella realizzazione dell'iniziativa "Freelance Mastery: Professional Compliance Manager". Oltre a definire uno schema comune di attestazione della professione di Professional Compliance Manager, organizzeranno dei corsi di aggiornamento validi per il raggiungimento di crediti formativi utili al mantenimento dell'attestazione delle competenze per figure professionali del mondo della Compliance.

Tutti gli associati di Assocompliance potranno usufruire dell'intera gamma di servi e convenzioni offerti da Federprofessional e illustrati sul sito www.federprofessional.com, previa la loro iscrizione. Potranno inoltre partecipare a convegni e attività di sviluppo volte al diffondere la figura del Professional Compliance Manager.

 

→ EVENTO FORMATIVO SUL CYBER CRIME

Grande affluenza all'evento "Enti, aziende e rischi di cyber crime. Il nuovo regolamento europeo sulla protezione dei dati personali" tenutosi presso il Circolo Artistico di Arezzo venerdì 16 novembre.

A coordinare gli interventi dei numerosi relatori, era presente il Dott. Federico Calvelli, Presidente di Assocompliance, testimoniando il costante interesse che l'associazione pone nei confronti di iniziative divulgative delle best pactice in tema di Compliance.

 

→ ASSEMBLEA ANNUALE DI ASSOCOMPLIANCE

In data 15 novembre 2018 alle ore 21.00, ed in seconda convocazione, in data 16 novembre 2018 alle ore 10.00 presso gli uffici di Calvelli rsp, è stata convocata l’assemblea annuale di Assocompliance.

Numerosi i punti discussi durante la mattinata: