Scadenze

Il nuovo Regolamento Privacy 679/2016 – GDPR (General Data Protection Regulation)

Il 24 maggio 2016 è entrato ufficialmente in vigore il Regolamento (UE) 679/2016 del Parlamento e del Consiglio Europeo, avente ad oggetto la tutela delle persone fisiche, relativamente al trattamento dei dati personali ed alla libera circolazione dei dati.
Il nuovo Regolamento generale sulla protezione dei dati è comunemente noto come GDPR, acronimo inglese di “General Data Protection Regulation”.
Il regolamento troverà applicazione diretta a partire dal prossimo 25 maggio 2018 in tutti i Paesi facenti parte dell’Unione Europea, alcuni dei quali risultano tuttora sprovvisti di un’apposita disciplina interna in materia di protezione dei dati personali.
Il nuovo GDPR sarà vincolante ed immediatamente operativo in tutti i paesi europei, senza necessità di alcun intervento normativo nazionale di accoglimento.
Il nostro Paese già nel lontano 1996, con la legge 675 del 31 dicembre 1996, ha iniziato a legiferare in materia di Privacy. A questa prima legge si sono susseguite diverse altre norme, l’ultima delle quali è stato il D.Lgs 30 giugno 2003 N. 196 (Codice in materia dei dati personali), entrato in vigore il 1° gennaio 2004, più volte aggiornato e modificato nel corso degli ultimi anni.
Nonostante l’immediata operatività del regolamento, nell’ottobre 2017 il nostro legislatore ha delegato il Governo ad adottare, entro il prossimo 21 maggio 2018, uno o più decreti legislativi al fine di adeguare il vecchio “Codice in materia dei dati personali” alle nuove disposizioni. Ad oggi purtroppo tali decreti non risultano essere stati adottati. A partire dal prossimo 25 maggio 2018 vigerà quindi il principio di prevalenza delle norme contenute all’interno del GDPR rispetto all’attuale normativa nazionale eventualmente non compatibile.
La nuova normativa europea richiede un ripensamento delle misure di sicurezza da adottare all’interno degli studi professionali. Tali misure devono essere adeguate al singolo contesto organizzativo ed elaborate caso per caso attraverso una preventiva e consapevole analisi dei rischi di trattamento dei dati gestiti.
Diversamente dalla precedente normativa italiana, il nuovo modello proposto del legislatore comunitario non è più basato su un disciplinare tecnico delle misure minime di sicurezza da adottare concretamente, ma si basa sul nuovo principio di “Accountability”. Tale principio prevede che venga lasciato a carico del professionista la definizione, sulla base dell’esito del processo di valutazione dei rischi, delle misure di sicurezza idonee a garantire la privacy dei dati personali trattati.
In ciò risiede la principale criticità del nuovo GDPR. L’attività di valutazione del rischio privacy, infatti, si concretizza in un’attività di “interpretazione” finalizzata a verificare che l’insieme di regole e documenti adottato dal professionista sia sufficiente ad adempiere agli obblighi del GDPR in tema di dati trattati, di diritti degli interessati, di modalità di trattamento, di finalità di trattamento, di tempi di conservazione e di cancellazione dei dati, di sistemi di sicurezza.
Poichè il regolamento europeo richiede misure sufficienti, ma non fornisce indicazioni specifiche, la valutazione è un’attività complessa che viene rimessa alla responsabilità del Titolare (professionista), il quale verosimilmente dovrà ricorrere all’ausilio di professionisti qualificati.
Il fine ultimo del regolamento GDPR è la tutela del trattamento dei soli dati personali, al fine di assicurare la protezione dei diritti e delle libertà delle persone fisiche. La definizione di dato personale assunta dal GDPR risulta tuttavia particolarmente ampia. Per dato personale si intende infatti “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (il c.d. interessato).
Il regolamento conferma che ogni trattamento dei dati deve trovare fondamento, ai fini della sua liceità, in un consenso espresso dall’interessato. L’art. 4 del GDPR definisce il consenso dell’interessato come una “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
In sostanza, il titolare del trattamento deve sempre essere in grado di dimostrare che l’interessato ha prestato “inequivocabilmente” il proprio consenso al trattamento dei suoi dati personali, con la conseguenza che è necessario porre particolare attenzione a tale onere probatorio nell’ipotesi in cui il consenso non venga acquisito per iscritto.
Il nuovo regolamento ribadisce inoltre i principi che dovranno trovare applicazione nel trattamento dei dati personali, parte dei quali risultano già ben noti e definiti in quanto previsti dall’attuale Codice privacy. In particolare, costituiscono principi generali del trattamento (art. 5 del GDPR):
1. La liceità, la correttezza e la trasparenza nei confronti dell’interessato;
2. La limitazione delle finalità: la raccolta dei dati deve avvenire per finalità esplicite e legittime ed il successivo trattamento non deve essere incompatibile con tali finalità;
3. La minimizzazione dei dati: i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
4. L’esattezza, con l’aggiornamento dei dati se necessario;
5. La limitazione della conservazione, che deve avvenire in una forma che consenta l’identificazione degli interessati:
a. Per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
b. Per periodi lunghi, purchè per trattamenti ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o ai fini statistici.
6. L’integrità e la riservatezza: il trattamento dei dati deve avvenire in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione mediante misure tecniche ed organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali;
7. La responsabilizzazione del titolare del trattamento, il quale è competente per il rispetto dei principi sopra esposti e sul quale grava l’onere della prova.
Il GDPR non si limita a disciplinare i doveri del titolare del trattamento, ma approfondisce anche i diritti “dell’interessato”, ovvero di colui i cui dati personali vengono trattati.
In particolare, i diritti dell’interessato possono essere così riassunti:
 Diritto d’informativa;
 Diritto di accesso;
 Diritto di rettifica;
 Diritto di cancellazione – diritto all’oblio;
 Diritto alla limitazione del trattamento;
 Diritto alla portabilità dei dati;
 Diritto di opposizione;
 Diritto di non essere sottoposto a processi decisionali automatizzati.
Come già visto in precedenza, fra i principi generali al trattamento dei dati personali, il regolamento prevede quello della trasparenza nei confronti dell’interessato. In forza di tale principio, viene posto in capo al titolare del trattamento uno specifico obbligo informativo e di comunicazione al fine di permettere l’esercizio dei diritti da parte dell’interessato. Rispetto all’attuale codice della privacy, si registra un ampliamento degli oneri informativi in capo al titolare del trattamento ed una disciplina più specifica per quanto riguarda le modalità stesse dell’informativa.
Il nuovo GDPR ha inoltre riconosciuto all’interessato il diritto alla portabilità dei dati personali. Si tratta in particolare del diritto per l’interessato di ricevere “in un formato strutturato, di uso comune e leggibile da dispositivo automatico” i suoi dati personali forniti ad un titolare del trattamento al fine di trasmetterli ad un altro titolare del trattamento.
I soggetti coinvolti nel trattamento dei dati personali sono l’interessato, ovvero colui i cui dati vengono trattati, il titolare del trattamento ed il responsabile del trattamento, entrambi già presenti nell’attuale codice della privacy. Il regolamento disciplina poi la nuova figura del responsabile per la protezione dei dati personali.
In generale, il titolare del trattamento determina le finalità ed i mezzi del trattamento dei dati personali, mette in atto le misure tecniche ed organizzate adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato in maniera conforme al regolamento.
Il titolare del trattamento coincide essenzialmente con il porofessionista che, attraverso la propria opera intellettuale, tratta, direttamente o indirettamente, i dati dei propri pazienti/clienti.
Tra le sue diverse competenze si segnalano:
1. La predisposizione di misure tecniche ed organizzare adeguate;
2. La compilazione dei registri delle attività di trattamento;
3. La valutazione di impatto privacy;
In particolare, il GDPR prevede che il titolare del trattamento, nell’elaborare l’insieme di misure tecniche ed organizzative atte alla tutela della privacy dell’interessato, deve basarsi su due principi generali:
1. Privacy by design;
2. Privacy by default.
Con il termine Privacy by design si intende il principio secondo il quale, prima ancora di iniziare il trattamento dei dati personali, è necessario progettare un sistema di trattamento basato sulla protezione dei dati stessi.
Il principio di privacy by default stabilisce, invece, che per impostazione predefinita i professionisti e le imprese debbano trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorre quindi progettare un sistema di trattamento dei dati garantendo la non eccessività dei dati raccolti.
Il “Responsabile del trattamento” ha invece il compito di mettere in atto le misure tecniche ed organizzative elaborate dal titolare del trattamento in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato. Il responsabile del trattamento tratta i dati per conto del titolare del trattamento.
Altra figura prevista dal GDPR è quella del “Responsabile per la protezione dei dati personali (Data Protection Officer – DPO)”. Naturalmente l’obbligo di nomina di tale figura è prevista solo per le realtà di grosse dimensioni o comunque per quei soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati personali.
L’Ordine degli Psicologi del Piemonte sta predisponendo in questi giorni ulteriori approfondimenti ed informative al fine di seguire gli iscritti nella corretta adozione della nuova normativa prevista dal GDPR.

Estensione del meccanismo dello split payment ai professionisti

Lo scorso 11 aprile il Consiglio dei Ministri ha varato la Manovra Correttiva dei conti pubblici, introducendo rilevanti novità di carattere fiscale. 

Una delle previsioni sicuramente più importanti contenuta nel decreto legge riguarda l’estensione dello speciale meccanismo Iva denominato “split payment”.

Tale meccanismo prevede che, in deroga all’ordinario sistema di riscossione e liquidazione periodica dell’Iva da parte dei fornitori, l’Iva contenuta in fattura sia versata all’Erario direttamente dal committente (cliente).

In sostanza il committente (cliente), quando riceve la fattura da parte del fornitore, effettua due distinti pagamenti: 

1. Il primo al fornitore, per il solo imponibile risultante dalla fattura;

2. Il secondo all’Erario, per l’Iva indicata in fattura.

Questo speciale meccanismo non incide in nessun modo sulla modalità di fatturazione, siccome la fattura viene emessa secondo le regole tradizionali applicando la relativa Iva in fattura. Ciò che cambia è la modalità di versamento dell’Iva esposta in fattura, la quale non è più riscossa dal fornitore e poi da quest’ultimo versata all’Erario, ma è il cliente stesso che provvede direttamente a versarla all’Erario.

Lo split payment, disciplinato dall’art. 17-ter del Testo Unico Iva, è stato inizialmente introdotto nel nostro ordinamento dalla legge di stabilità 2015 e fino ad oggi ha trovato applicazione per tutte le forniture effettuate nei confronti dello Stato, degli enti pubblici territoriali, delle camere di commercio, degli istituti universitari, delle aziende sanitarie locali, degli enti ospedalieri, degli enti pubblici di ricovero e cura a carattere scientifico, degli enti pubblici di assistenza e beneficienza e di quelli di previdenza.

Le novità introdotte dalla manovra correttiva riguardano sia l’ampliamento dei soggetti obbligati a trattenere l’Iva sulle fatture dei fornitori ed a versarla direttamente all’Erario, sia l’estensione di tale meccanismo alle fatture emesse dai professionisti, che fino ad oggi risultavano esclusi.

Con riferimento alla prima novità, il decreto prevede che siano tenuti ad applicare il regime dello split payment, oltre ai soggetti già obbligati sulla base della legge di stabilità 2015, anche tutte le amministrazioni, gli enti ed i soggetti inclusi nel conto consolidato della P.A., le società controllate direttamente o indirettamente dallo Stato, le società controllate direttamente dagli Enti pubblici territoriali e le società quotate inserite nell’indice FTSE MIB della Borsa italiana.

Per quanto riguarda invece l’estensione del meccanismo dello split payment alle fatture emesse dai professionisti, occorre ricordare che la precedente legge di stabilità 2015 aveva escluso l’applicazione di tale meccanismo alle fatture emesse da questa particolare categoria di soggetti, in considerazione del fatto che sulle stesse viene già applicato un prelievo a titolo di ritenuta d’acconto del 20%. 

Alla luce quindi della nuova previsione contenuta nella manovra correttiva, su tutte le fatture emesse dai professionisti a partire dal 1° luglio 2017 ad uno dei soggetti tenuti ad applicare il meccanismo dello split payment, verrà trattenuta l’Iva esposta in fattura ed applicata la tradizionale ritenuta d’acconto del 20%.

Semplificando con un esempio numerico, se fino al 30 giugno 2017 un professionista emetteva ad un ente della P.A. una fattura di importo complessivo di 122 Euro (100 Euro di imponibile e 22 Euro di Iva), si vedeva pagare l’importo di 102 Euro (totale fatture al netto della ritenuta d’acconto del 20%). Provvedeva quindi lui in via autonoma a versare la relativa Iva (22 Euro) all’Erario, eventualmente compensandola con l’Iva pagata sulle fatture d’acquisto.

A partire dalle fatture emesse successivamente al 01 luglio 2017, ad uno dei soggetti obbligati ad applicare il regime dello Split payment, a fronte sempre di una fattura di importo complessivo di 122 Euro, il professionista si vedrà pagare l’importo di soli 80 Euro, ossia l’importo complessivo della fattura al netto dell’Iva e della ritenuta d’acconto (122 – 22 – 20 = 80), senza più possibilità di compensare l’Iva pagata sulle fatture d’acquisto.

La norma porterà quindi un considerevole aggravio fiscale a tutti i professionisti che emettono fatture ad uno dei soggetti obbligati ad applicare questo speciale regime Iva, in quanto su un’unica fattura emessa si verrà a duplicare il prelievo (ritenuta d’acconto + Iva).

Il rischio, a seguito del venire meno della possibilità di compensare l’Iva contenuta sulle fatture emesse con l’Iva pagata sulle fatture d’acquisto, è una progressiva crescita del credito Iva in capo ai professionisti, difficilmente utilizzabile in compensazione.

Lo Split Payment si applica esclusivamente alle operazioni soggette a Iva fatturate nei confronti degli Enti Pubblici; continuano quindi ad essere escluse dall’Iva le prestazioni sanitarie.

Obbligo di stipulare una polizza RC

Entra in vigore a partire dal 13 agosto 2014 l’obbligo di stipulare una assicurazione RC per gli psicologi libero professionisti.
La polizza professionale è prevista dalla Riforma delle Professioni  (Dpr 137/2012): “il professionista è tenuto a stipulare idonea assicurazione per i danni derivanti al cliente dall’esercizio dell’attività professionale”.

La polizza RC tutela i clienti, coprendo gli iscritti ai rispettivi Ordini Professionali dai danni colposamente e personalmente provocati nell’esercizio dell’attività professionale. Non sono invece coperte le eventuali sanzioni dirette comminate al professionista.
Obbligatorio, inoltre, per i professionisti informare i propri clienti al momento dell’incarico sugli estremi delle polizze e sui relativi massimali. Questi ultimi, così come copertura dei rischi, scoperti, franchigie e così via vengono scelti dal professionista in sede contrattuale.

Dpr 137/2012

Art. 5 – Obbligo di assicurazione

1. Il professionista e’ tenuto a stipulare, anche per il tramite di
convenzioni collettive negoziate dai consigli nazionali e dagli enti
previdenziali dei professionisti, idonea assicurazione per i danni
derivanti al cliente dall’esercizio dell’attivita’ professionale,
comprese le attivita’ di custodia di documenti e valori ricevuti dal
cliente stesso. Il professionista deve rendere noti al cliente, al
momento dell’assunzione dell’incarico, gli estremi della polizza
professionale, il relativo massimale e ogni variazione successiva.

2. La violazione della disposizione di cui al comma 1 costituisce illecito disciplinare.

3. Al fine di consentire la negoziazione delle convenzioni collettive
di cui al comma 1, l’obbligo di assicurazione di cui al presente
articolo acquista efficacia decorsi dodici mesi dall’entrata in vigore
del presente decreto

Il testo della proroga – Nelle more dell’emanazione della disciplina
organica in materia di condizioni assicurative per gli esercenti le
professioni sanitarie, di cui all’articolo 3 del decreto-legge 13
settembre 2012, n. 158, convertito, con modificazioni, dalla legge 8
novembre 2012, n. 189, e il comma 5.1 dell’articolo 3 del decreto-legge
13 agosto 2011, n. 138, convertito, con modificazioni, dalla legge 14
settembre 2011, n. 148, è sostituito dal seguente:

“5.1. Limitatamente agli esercenti le professioni sanitarie, gli
obblighi di cui al comma 5, lettera e), si applicano decorsi due anni
dalla data di entrata in vigore del decreto del Presidente della
Repubblica di cui all’alinea del medesimo comma 5″».

Adempimenti per CTU e periti

Informiamo che dal 30 giugno 2014 diverrà obbligatorio, nei procedimenti civili, il deposito telematico degli atti processuali e dei documenti da parte dei difensori delle parti precedentemente costituite nonché degli atti e dei documenti da parte dei soggetti nominati o delegati dall’autorità giudiziaria (cfr. art 16 bis del D.L. 18/10/2012 n. 179, convertito nella Legge 24/12/2012 n. 228).

A partire da tale data i Consulenti tecnici d’ufficio (CTU), i periti e ogni altro soggetto nominato o delegato dall’autorità giudiziaria, dovranno essere muniti di:

1)Posta elettronica certificata (PEC), indispensabile per ricevere gli avvisi di cancelleria (PER L’ATTIVAZIONE VEDERE L’ALLEGATO); 

2)chiavetta per firma digitale (PER OTTENERLA RIVOLGERSI ALLA CAMERA DI COMMERCIO)   

http://www.to.camcom.it/cns (CAMERA COMMERCIO TORINO)

http://www.no.camcom.gov.it/Page/t08/view_html?idp=1181 (CAMERA COMMERCIO NOVARA)

http://www.at.camcom.gov.it/Page/t01/view_html?idp=2292 (CAMERA COMMERCIO ASTI)

http://www.vc.camcom.it/Page/t08/view_html?idp=407 (CAMERA COMMERCIO VERCELLI)

http://www.al.camcom.gov.it/Page/t01/view_html?idp=1503 (CAMERA COMMERCIO ALESSANDRIA)

http://www.cn.camcom.gov.it/Page/t08/view_html?idp=1196 (CAMERA COMMERCIO CUNEO)

http://www.bi.camcom.gov.it/Page/t06/view_html?idp=1667 (CAMERA COMMERCIO BIELLA)

http://www.vb.camcom.it/Page/t08/view_html?idp=874 (CAMERA COMMERCIO VCO)

I soggetti predetti sono poi tenuti ad iscriversi al REGINDE (REgistro Generale degli INDirizzi Elettronici). Si informa che l’Ordine ha già provveduto ad effettuare l’ iscrizione al REGINDE per tutti coloro che sono in possesso della PEC attivata con il CNOP. Sarà solo più necessario munirsi del dispositivo per l’identificazione personale (smart card, chiavetta USB,…) al fine di accedere alla consultazione dello stato del procedimento e dei dati contenuti nei registri di cancelleria. 
Si rappresenta che agli inadempienti non potranno essere conferiti dal Tribunale nuovi incarichi.