Articoli

Ancora sul D.lgs 101/18, corretto trattamento dei dati ed antiriciclaggio , anche per le PP.AA.

In forza di una mia lettura molto personale ( bah !!) sul GDPR mi fa piacere che il D.Lgs 101/18 avvalori la mia interpretazione ( la mia lettura…), ci sono diritti fondamentali superiori al corretto trattamento dei dati ( come chiaro anche nel  quarto considerando GDPR) , si veda l’articolo 2 octies del D.lgs 101.

Una cosa fondamentale che ci tengo a sottolineare è che la norma antiriciclaggio si applica anche alle Pubbliche Amministrazioni, invito a leggere questi articoli :

TRATTAMENTO DEI DATI ed altri DIRITTI

Trattamento dei dati Vs altri diritti…..più importanti.

Sono anni ormai, dalla prima vigenza del 196/03 per la precisione, che a differenza di altri operatori ho sempre “snobbato” la difesa della protezione dei dati personali.

Sembra strano ? Chi mi segue da più tempo ben mi capisce , sono di quelli che ha sempre chiamato la norma con il nome esatto e mai PRIVACY, anche perchè il rispetto della privacy non rientra nelle corde di consulente dell’organizzazione aziendale, penso sia più prossimo alle scienze umanistiche.

Chiariamo subito una cosa, così come la direttiva 95/46/CE ( od il nostro 196 ) non abrogò la L. 241/90 , si veda l’articolo 59 del Codice sul corretto trattamento dei dati, il Reg. 2016/679 non tocca il FOIA ( articolo 33 del D.Lgs 33/13).

articolo 59 Codice protezione dei dati (Accesso a documenti amministrativi)

Un’altra particolarità ( che dovrebbe essere la norma) è chiaramente scritta nel quarto considerando del Regolamento.

Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica

Quindi , ponderiamo l’importanza dei diritti fondamentali ( nel nostro caso l’articolo 8 della Carta di Nizza).

Oltre che il legislatore conviene ascoltare anche la giurisprudenza, infatti ….

CASSAZIONE n. 10280/15 sez III

… … IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Per quanto queste affermazioni possano sembrare pensieri solo teorici, bazzecole, quisquilie, pinzellacchere da fessi se letti assieme al 19 considerando scopriremo che immediatamente ci sono evidenze pratiche nel mondo professionale e della PA , infatti :

La protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, e la libera circolazione di tali dati sono oggetto di uno specifico atto dell’Unione. Il presente regolamento non dovrebbe pertanto applicarsi ai trattamenti effettuati per tali finalità. I dati personali trattati dalle autorità pubbliche in forza del presente regolamento, quando utilizzati per tali finalità, dovrebbero invece essere disciplinati da un più specifico atto dell’Unione, segnatamente la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio Gli Stati membri possono conferire alle autorità competenti ai sensi della direttiva (UE) 2016/680 altri compiti che non siano necessariamente svolti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, affinché il trattamento di dati personali per tali altre finalità, nella misura in cui ricada nell’ambito di applicazione del diritto dell’Unione, rientri nell’ambito di applicazione del presente regolamento.

Con riguardo al trattamento dei dati personali da parte di tali autorità competenti per finalità rientranti nell’ambito di applicazione del presente regolamento, gli Stati membri dovrebbero poter mantenere o introdurre disposizioni più specifiche per adattare l’applicazione delle disposizioni del presente regolamento. Tali disposizioni possono determinare con maggiore precisione requisiti specifici per il trattamento di dati personali da parte di dette autorità competenti per tali altre finalità, tenuto conto della struttura costituzionale, organizzativa e amministrativa dei rispettivi Stati membri. Quando il trattamento dei dati personali effettuato da organismi privati rientra nell’ambito di applicazione del presente regolamento, è opportuno che lo stesso preveda la facoltà per gli Stati membri, a determinate condizioni, di adottare disposizioni legislative intese a limitare determinati obblighi e diritti, qualora tale limitazione costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia di importanti interessi specifici, comprese la sicurezza pubblica e le attività di prevenzione, indagine, accertamento e perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica. Ciò riveste particolare importanza ad esempio nel quadro del riciclaggio o di attività di medicina legale

Dalla letture combinata ( e ragionata ) si evidenzia che alcuni dei diritti del’interessato  ( cancellazione ed oblio certamente) non possono sempre essere vantati in quanto ci sono norme che pur se di pari rango hanno valenza maggiore nell’impatto sociale e della giustizia .

Alcuni casi immediati sono l’antiriciclaggio e la medicina del lavoro ,in nessun caso le esigenze di protezionedei dati personali possono prevalere sull’interesse alla sicurezza pubblica e alle attività di prevenzione dei reati .

ISO 31000 e valutazione rischio riciclaggio. L’operativita quotidiana, come la Direttiva 2015/849 cambia il D.Lgs 231/07

Tutta la struttura dell’antiriciclaggio, essendo norma fortemente COMPLIANCE, deve essere inquadrata , come chiarito anche nella Direttiva 2015/849, ad un approccio sul rischio costante, indi è indispensabile avere un profilo operativo basato sulla ISO 31000, ricordando inoltre che :

  • la gestione del rischio crea valore
  • la gestione del rischio  tiene conto dell’incertezza e che il miglioramento continuo ne riduce l’entità
  • la gestione del rischio si basa sulle migliori informazioni disponibili
  • la gesrione del rischio favorisce il migliormanento continuo .

E’ chiaro che uno dei presidi per la gestione del rischio è ” la politica dei controlli “, ne consegue che occorre utilizzare le regole del DRUCKER del 1977, cioé i controlli :

  1. Devono essere economici
  2. Devono essere significativi
  3. Devono essere appropriati
  4. Devono essere congruenti
  5. Devono essere tempestivi
  6. Devono essere semplici
  7. Devono essere opeartivi

 

 

 

Nel momento in cui si instaura un nuovo rapporto professionale , oppure un solo e singolo affare, corre l’obbligo di verificare la clientela.

Il nuovo articolo 17 del D.Lgs 231/07 chiarisce inoltre che questo adempimento deve esserefatto anche dai revisori ed altre figure che insturano rapporti di consulenza e controllo alle aziende.

Conviene precisare, che l’adeguata verifica della clientela diviene un processo fondamentale per ogni studio professionale.

Con l’adeguata verifica si va  a censire il cliente tenendo sopratutto conto che  ( articolo 17 comma 3 d.Lgs 231/07)   :

I soggetti obbligati adottano misure di adeguata verifica della clientela proporzionali all’entita’ dei rischi di riciclaggio e di finanziamento del terrorismo e dimostrano alle autorita’ di cui all’articolo 21, comma 2, lettera a), e agli organismi di autoregolamentazione che le misure adottate sono adeguate al rischio rilevato. Nel graduare l’entita’ delle misure i soggetti obbligati tengono conto, quanto meno, dei seguenti criteri generali:

a) con riferimento al cliente:

1) la natura giuridica;

2) la prevalente attivita’ svolta;

3) il comportamento tenuto al momento del compimento dell’operazione o dell’instaurazione del rapporto continuativo o della prestazione professionale;

4) l’area geografica di residenza o sede del cliente o della controparte;

b) con riferimento all’operazione, rapporto continuativo o prestazione professionale:

1) la tipologia dell’operazione, rapporto continuativo o prestazione professionale posti in essere;

2) le modalita’ di svolgimento dell’operazione, rapporto continuativo o prestazione professionale;

3) l’ammontare dell’operazione;

4) la frequenza e il volume delle operazioni e la durata del rapporto continuativo o della prestazione professionale;

5) la ragionevolezza dell’operazione, del rapporto continuativo o della prestazione professionale, in rapporto all’attivita’ svolta dal cliente e all’entita’ delle risorse economiche nella sua disponibilita’;

6) l’area geografica di destinazione del prodotto e l’oggetto dell’operazione, del rapporto continuativo o della prestazione professionale.

 

Allegati Utili :

verificacliente

verificatitolareeffettivo

Dichiarazione di controllo costante

Verbale formazione

obblighiconservazione

valutazione rischio

formazione del personale

 

 

 

 

 

 

Antiriciclaggio nella Pubblica Amministrazione.

Uno degli aspetti meno considerati della normativa antiriciclaggio, riguarda l’onere di segnalazione da parte della Pubblica Amministrazione, in particolare del segnalante che viene chiamato “gestore” .

La carenza, invero, deriva dalla mancanza degli strumenti solo annunciati nel D.Lgs 231/07, ed attuati con quasi un decennio di ritardo.

L’articolo 10 del D.Lgs 231/07 individua tra le PA i destinatari della norma, rimandando poi ( articolo 41) ad una serie di indicatori specifici per la PA.

Il Ministero dell’Interno, con decreto del 25 Settembre 2015 , quindi con otto anni di ritardo, pubblica il decreto con gli indicatori di anomalia e lobbligo di segnalazione da perte della PA.

DM 25.09.2015.

L’ambito di operatività è descritto dall’articolo 2, che in sintesi riguarda operazioni di persone finische e giuridiche in ambito fiscale, lavori e forniture pubbliche , finanziamenti alle imprese.

Gli indicatori rappresentano  un alert da parte del “gestore” per le segnalazioni all’UIF, non un obbligo.

Il gestore,quindi, con l’utilizzo degli indicatori e dei sub indicatori dell’allegato unico al DM 25.09.2015 , deve attuare, in caso di forte sospetto, le procedure previste dall’articolo 6 ( di ulteriore verifica di rischiosità ) e poi far partire la segnalazione secondo l’articolo 7.


 

 

 

Breve Panoramica sulla Direttiva 2015/849

Il provvedimento in analisi sostituisce per i soggetti destinatari dell’applicazione il concetto di adeguata verifica, trasportandolo da un’analisi stock ad un processo dinamico.

L’articolo 11 individua tre gruppi di operazioni che fanno nascere l’obbligo di adeguata verifica :

1) accensione di un rapporto d’affari / professionale

2) operazioni individuate preventivamente da un punto di vista qualitativo e/o quantitativo

3) operazioni nelle quali vi siano indici di particolare sospetto / gravità

Eccezioni del momento dell’adeguata verifica sono richiamate all’articolo 14.

L’accertamenro dell’identita del cliente o del titolare effettivo della situazione giuridica di norma deve avvenire prima che il rapporto professionale / di affari sia instaurato o l’operazione eseguita.

Qualora ci siano evidenze di bassa rischiosità l’accertamento potrà essere eseguito anche dopo l’instaurazione di un rapporto professionale.

L’elenco di cause e situazioni che fanno “presumere” un basso rischio sono elencate all’articolo 16, che rimanda all’allegato II della Direttiva 2015/849.

Contrapposto all’articolo 16 c’è il 18 che rimanda invece all’allegato III della IV Direttiva per la verifica c.d. rafforzata.

Quando un operatore viene a conoscenza, sospetta o solitamente dubita che i fondi finanziari analizzati in ottemperanza del mandato professionale, ha l’obbligo di segnalazione . E’ importante evidenziare che il quantum del fondo sospetto è irrilevante, non esiste un intervallo verso il basso a partire dal quale c’è l’obbligo di adoperarsi per la segnalazione. Articolo 33.

Alcune categorie di operatori, possono godere del c.d. legal privilege , sancito dall’articolo 34 . Con questa agevolazione il segnalante viene scudato dall’albo di afferenza .

L’articolo 40, non differisce nei contenuti della III direttiva per quanto concerne la conervazione dei dati fatta dal seganalante.

In particolare occorre conservare :

– copia dei documenti o analitici riferimenti agli stessi richiesti per l’adeguata verifica per cinque anni successivi alla cessazione del rapporto professionale o decorrenti dalla data dell’episodico affare

– scritture di contabilità , brogliacci, note per lo stesso periodo del precedente punto.

Da oggi si comincia con …l’ANTIRICICLAGGIO

La direttiva 2015/849 , qui reperibile , è di lettura non semplice, soprattutto perchè introduce anche nell’ambito degli illeciti finanziari ( e fiscali ) le strategie di RISK ASSESSMENT e del relativo MANAGEMENT.

La norma consta di ben 68 ” cosniderando ” e solo chi è ben allenato alla lettura delle norme sovranazionali avrà minore difficolta interpretativa ed applicativa.

I concetti ispiratori sono certamenti enucleati nei considerando nr, 1 ,2 3 5, qui è chiaro che l’obiettivo è quello di considerari gli illeciti finanziari minacciosi della credibilità, dell’integrità e della stabilità del sistema cardine dell’ Unione e di ogni Paese della stessa.

Tornando al discorso dei reati finanziari – fiscali – numerari, è chairo che rientrano quelli sull’evasione delle imposte dirette ed indirette ( cfr art 3, comma 4 lett f. ).

Altro pezzo normativo importante è contenuto nel’articolo 8 , in particolare al comma 4 lett.a .

La lettura impone l’abbandono dei vecchi e statici strumenti di controllo a favore dei più performanti indici di rischiosità basati sulle norme della compliance complessa.

l’elaborazione di politiche, controlli e procedure interni, tra cui pratiche di riferimento per la gestione dei rischi, adeguata verifica della clientela, segnalazione, conservazione dei documenti, controllo interno, gestione della conformità ivi inclusa, se adeguata rispetto alle dimensioni e alla natura dell’attività economica, la nomina di un responsabile della conformità a livello dirigenziale, e indagine sui dipendenti

Differenze tra esenzione ed esclusione dell’IVA, come incidono le voci sulle gare di appalto e sull’ANTIRICICLAGGIO nelle PA.

Analizzando la documentazione fiscale di diverse PP AA , son saltate fuori diverse fatture emesse per l’importo complessivo con l’esclusione dell’IVA ai sensi dell’articolo 15 del DPR 633/72.

Il caso è da tenere sotto controllo per le implicazioni che analizzeremo a breve, ma prima facciamo una distinzione tra l’esenzione e l’esclusione dall’Imposta sul Valore Aggiunto anche se sommaria per non complicare la lettura :

– le operazioni escluse, sono disciplinate in via generale dagli articoli 7 e 74 del DPR 633/72, e nello specifico ( nella maggior parte dei casi ) dall’articolo 15 che  riporto :

  Esclusioni dal computo della base imponibile        ((Non concorrono a formare la base imponibile:         1)  le  somme  dovute  a  titolo  di  interessi moratori o di     penalita'  per  ritardi  o  altre  irregolarita' nell'adempimento     degli obblighi del cessionario o del committente;         2)  il  valore  normale  dei  beni ceduti a titolo di sconto,     premio  o  abbuono  in  conformita'  alle  originarie  condizioni     contrattuali,  tranne  quelli  la  cui  cessione  e'  soggetta ad     aliquota piu' elevata;         3)  le  somme dovute a titolo di rimborso delle anticipazioni     fatte in nome e per conto della controparte, purche' regolarmente     documentate;         4) l'importo degli imballaggi e dei recipienti, quando ne sia     stato espressamente pattuito il rimborso alla resa;         5)  le  somme  dovute  a  titolo  di rivalsa dell'imposta sul     valore aggiunto.       Non  si  tiene conto, in diminuzione dell'ammontare imponibile,     delle  somme  addebitate  al  cedente  o  prestatore  a titolo di     penalita'  per ritardi o altre irregolarita' nella esecuzione del     contratto)). 

Commercialmente la maggior parte dei casi in cui una PA riceve una fattura escluso articolo 15 si riferisce al comma 3,  quasi mai tutto l’importo è soggetto all’esclusione, faccio un esempio :
Una fattura per il sito web potrebbe essere di questo tipo :
– Spese anticipate per il servizio di hosting € 100.00 iva esclusa articolo 15 DPR 633/72
– compenso per la realizzazione della pagina istituzionale  € 2000.00 iva al 22%
E’ chiaro che il fornitore del servizio ha speso 100 euro ( comprensivo di iva) in nome e per conto della PA e che ci guadagna 2000 euro.
ESENZIONE DI IVA.
L’esenzione di iva non rientra  nei requisiti degli articoli  7 e 74 del DPR IVA ma per alcuni motivi l’ iva è  pari a 0, sono i casi elencati dall’articolo 10 del DPR che non riporto per la lunghezza.
Le operazioni esenti sono soggette ad imposto di bollo qualora  superiori ad  € 77,47.
Ma perchè parlare del testo unico dell’imposta sul valore aggiunto ?…. ecco il nodo della questione…..
Chi partecipa ad una gara di appalto deve avere un profitto d’impresa, tanto è vero che le offerte anomale ai sensi dell’articolo 97 del D.lgs 50/16 vanno valutate ( scartate).
Presentare indi, una fattura per un solo servizio od opera o fornitura, completamente esclusa dall’iva, significa che fornisco qualcosa, ad esempio un Personal Computer ad EURO 1500 non guadagnandoci nulla, ho solo agito come mandantario della PA per la conclusione di un contratto, caso ANOMALO, irreale.
In tutto questo  nasce un altro adempimento da farsi, infatti il DM 25/09/2015 attua l’articolo 1 comma 2 lett r del D.Lgs 231/07, indicanco i segnali di anomalia per le segnalazioni ANTIRICLAGGIO ( vecchio post ) e tra gli elementi “sospetti” c’è proprio la partecipazioni a lucro ZERO da parte di soggetti economici ( commerciali) .
L’improvvisazione diviene sempre più pericolosa, una volta rilevata l’operazione sospetta, questa deve essere “trattata” ed è cura del RUP e del RPC o del referente del RPC fare le segnalazioni ex articolo 41.

 

Nuove procedure ANTIRICICLAGGIO.

Come noto sono disponibili le nuove procedure antiriciclaggio.

E’ importante sottolineare come il sistema di scoring sia stato “complicato” travolgendo completamente la valutazione del rischio rispetto alle previgenti linee guida.

Ancora è da notare come la reponsabilità, nonostante il rigido sistema di scoring” sia comunque inequivocabilmente in capo al titolare dello studio proessionale , infatti il manaule della procedura recita

“…venendo a contatto con il cliente, alla luce delle sue esperienze e conoscenze, è in condizione di apprezzare tutti gli aspetti e le sfumature soggetti vi e oggettivi e di effettuare una valutazione completa e ponderata”

 

 

Per informazioni e consulenze :

vincenzo de prisco cell. 3389141276

 

L’evento di Roma sui contratti pubblici e sull’anticorruzione. Un successo.

http://www.ansa.it/legalita/rubriche/educare/2014/11/27/legalitanasce-istituto-anticorruzionesentinelle-in-azienda_65276d2b-c6ea-4a63-8707-e0dc9d56451f.html

 

 

Pareri antiriclaggio, stipendi > 1000.00 pagati in più tempi.

Il pagamento delle retribuzioni ai propri dipendenti, in più rate, ognuna delle quali inferiori al limite della soglia di cirolazione del contante, non è sempre lecita, gli organi ispettivi ( la GdF) può contestare l’illecito ritenendo l’operazione “elusiva ed artificiosa”.

L’unica esimente potrebe essere (ma cmq contestabile) la previsione contrattuale di questa procedura accetta dalle parti ( datore di lavoro e dipendente).

Tuttavia ricordo che :

* I modelli organizzativi e le procedure corrette prevedono maggiori vantaggi per le aziende che anche per importi inferiori alla soglia utilzzano strumenti tracciabili ( cfr art 5 ter DL 1/2012 e modalità applicative della stessa norma)

Ancora viste le copiose ispezione di sostanza e non di forma vi consiglio di non limitarvi alle segnalazioni per i reat numerari ma di essere più profondi nell’adozione di procedure e di protocolli interni, in particoalre il consulente dell’impresa deve ritenere sospetta ogni operazione ( a prescindere dagli importi ) antieconomica ed illogica per l’imprenditore.

Vi ricordo che dal 1 ottobre riprendereanno le comunicazioni sull’antiriciclaggio  e gli approfondimenti sulle procedure.

 

 

circolare_19_03_2012.pdf

Ispezioni antiriciclaggio Studi professionali

In seguito alle ispezioni finalizzate all’applicazione del D.lgs 231/07 ( antiriciclaggio) ricordo che l’adempimento consiste non solo nell’impostare il software ai limiti numerari imposti dalle diverse norme che si sono succedute ma occorre:

– Valutare il rischio derivante dalla matrice cliente-operazione-incarico

– Istituire l’archivio antiriciclaggio

– Istituire il fascicolo della clientela

– Fare la formazione “obbligatoria e continua”

– Fare le comunicazioni all’UIF ed all’ADE

 

Queste operazioni possono essere esternalizzate, per una quotazione telefonatemi.

Nuove segnalazioni antiriciclaggio

Le violazioni relative all’utilizzo del denaro contante, devono essere comunicate dagli intermediari finanziari e dai professionisti che ne vengono a conoscenza, entro 30 giorni:
– al Ministero dell’Economia e delle Finanze, esattamente alle competenti Ragionerie territoriali dello Stato;
– all’Agenzia delle Entrate. Quest’ultimo adempimento è stato inserito di recente dall’art. 12, comma 11, DL 6.12.2011 n. 201, da convertire entro il 4.2.2012.

I soggetti obbligati al suddetto adempimento sono:
–  le società di gestione di strumenti finanziari ed attività con esercizio subordinato al possesso di licenze, autorizzazioni, iscrizioni in albi o registri, intermediari finanziari;
– altri soggetti esercenti attività finanziaria; professionisti iscritti agli albi dei dottori commercialisti, consulenti del lavoro, avvocati, notai, altri soggetti esercenti attività in materia di contabilità e tributi, revisori legali e società di revisione;
– soggetti che esercitano attività di recupero crediti, di custodia e di trasporto di denaro contante, la gestione di case da gioco ecc..

La comunicazione, da inoltrare in forma libera, andrà effettuata, tramite lettera raccomandata, contenente le seguenti informazioni: i dati dell’autore della violazione; l’indicazione che è stata violata la disposizione dell’articolo 1, comma, 1 D.L. n. 143/1991, convertito dalla L. n. 197/1991 (per le violazioni commesse a partire dal 30 aprile 2008, andrà citato l’articolo 49, comma 1, D. Lgs. n. 231/2007) e, infine, gli eventuali elementi, atti a comprovare la commissione della violazione.
Il Ministero con un Decreto del 17 novembre 2011 (in G.U. n. 278 del 29-11-2011) ha provveduto a individuare le Ragionerie territoriali dello stato competenti in materia di procedimenti amministrativi sanzionatori antiriciclaggio.

Ispezioni Privacy utenti Entratel

“L’Agenzia delle Entrate ha comunicato che per gli incaricati della trasmissione telematica delle dichiarazioni stanno prendendo il via nuovi e più serrati controlli in particolare su rispetto degli obblighi di riservatezza. In riferimento a suddetti controlli, gli stessi a partire dal secondo semestre 2011, saranno effettuati dalle strutture di audit regionali presso i CAF e gli altri intermediari abilitati al servizio Entratel, e a seconda dell’esito dei controlli sugli obblighi di riservatezza è prevista la revoca dell’ abilitazione ai servizi telematici.

Controlli e sicurezza dei dati

In generale, i controlli riguarderanno l’adozione di tutte le misure necessarie a proteggere i dati sensibili che gli intermediari vengono necessariamente a conoscenza per lo svolgimento del proprio lavoro. I contenuti dei controlli come precisati dall’Agenzia delle Entrate riguarderanno:

  • la struttura organizzativa dell’intermediario;
  • le misure di sicurezza adottate in riferimento ai mezzi tecnologici utilizzati;
  • altre misure di sicurezza.

Nell’ambito dei controlli della struttura organizzativa dell’intermediario, rientra anche l’individuazione dei responsabili, anche esterni del trattamento dei dati. Il controllo è esteso anche all’esistenza del documento programmatico sulla sicurezza (DPS), come misura minima di sicurezza prevista, in relazione all’obbligo generale di protezione dei dati personali, dall’art. 34, comma 1, lett. g) e dal punto 19 dell’allegato B) del Codice della privacy, DPS, obbligatorio entro il 31 marzo di ogni anno, e per il quale sono state introdotte di recente alcune semplificazioni dal DL 70/2011.

A chi spetta la verifica

La verifica, riguarderà anche la designazione delle persone incaricate del trattamento dei dati e l’ambito di trattamento a loro consentito.
Quanto all’esito delle verifiche, per le eventuali omissioni riscontrate rispetto agli obblighi di riservatezza, si rischia la revoca dell’abilitazione al servizio ENTRATEL (art. 8 del DM 31 luglio 1998).

Contenuto delle operazioni di verifica specificato dall’Agenzia
Innanzitutto, nell’ambito della struttura organizzativa dell’intermediario, rientra nelle operazioni di verifica, fra gli altri aspetti, la designazione – qualora vi sia – dei responsabili (anche esterni) del trattamento dei dati, ad opera dello stesso titolare del trattamento (quindi, CAF o altro intermediario abilitato al servizio ENTRATEL come già detto), e la redazione di istruzioni operative (art. 29 del Codice della privacy, art. 11 comma 3 del DM 31 luglio 1998, e art. 5 comma 4 del provv. 10 giugno 2009).

Il controllo è esteso anche all’esistenza del documento programmatico sulla sicurezza (DPS), la misura minima di sicurezza prevista, in relazione all’obbligo generale di protezione dei dati personali, dall’art. 34, comma 1, lett. g) e dal punto 19 dell’allegato B) del Codice della privacy (contenente il “Disciplinare tecnico in materia di misure minime di sicurezza”). DPS, si ricorda, obbligatorio entro il 31 marzo di ogni anno (si veda “Documento programmatico sulla sicurezza, scadenza al 31 marzo” del 24 marzo 2011) e per il quale sono state introdotte di recente alcune semplificazioni dal DL 70/2011, convertito nella L. 106/2011.

La verifica riguarda la designazione delle persone incaricate del trattamento dei dati e l’ambito di trattamento a loro consentito (art. 30 del Codice della privacy, art. 11, comma 4, del DM 31 luglio 1998 e art. 5, comma 4, del provv. 10 giugno 2009).

Ancora, in vista del controllo, bisognerà stare attenti a una corretta politica di gestione delle password che preveda, fra l’altro, l’attribuzione a determinati soggetti del compito di amministrare le utenze per l’accesso ai sistemi informatici e l’adozione di misure per mantenere riservate le informazioni che consentono l’accesso ai servizi telematici del Codice della privacy e art. 5, comma 6, del provv. 10 giugno 2009.”

 

Sopra quanto citato in newsletter “illustri e note”

 

A mio avviso il problema deve spostarsi sulla corretta tenuta dell’archivio cartaceo o dematerializzato c.d. “fascicolo  del cliente” contemplato nel D.lgs 231/07 e sull’A.u.I .

 

Per gli adeguamenti al D.lgs 196/03 e 231/07 vogliate chiamarmi per un appuntamento.

 

In allegato una breve guida, format valutazione rischio e limiti circolazione contanti ed a.b. ( non aggiornato all’importo di 2500 € rif 13/08/2011, entro 10 giorni ci sarà la nuova modulistica con le nuove indicazioni del Consiglio Naizonale).

 

 


skantiric.pdf

ANTIRICICLAGGIO

La Consulenti Associati, nell’ambito della compliance privata propone la propria consulenza per la risoluzione delle problematiche legate all’applicazione negli studi professionali della normativa sull’antiriciclaggio (DM 141/06 e D.Lgs 231/07) e ss.mm.ii. per quanto riguarda l’ambito civilistico, e D.Lgs 74/00 per l’ambito fiscale.

Il rapporto continuativo inizia con l’audit ed una prima formazione resa per erudire il personale incaricato all’identificazione del cliente.

Si procede con la predisposizione della modulistica (antiriclaggio e riservatezza) ed alla costituzione e mantenimento in outsourcing dell’ Archivio Unico Informatico.

La CA ha una stipulato una convenzione con l’ODCEC di Nocera Inferiore

(v. parte Iv. parte II) .