Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on dicembre 30, 2015

Miscellanee

(No comments)

apple_chrome_logoDopo due anni di indagini da parte della procura di Milano e dell’Agenzia delle Entrate si è giunti a una definizione della controversia con la società americana con sede europea in Irlanda.

La vicenda ha avuto origine nel novembre del 2013, quando una perquisizione nella sede milanese della società per ordine della procura di Milano aveva permesso di ricostruire una mappa dettagliata del meccanismo di vendita dei prodotti Apple nella penisola. La multinazionale avrebbe costituito un’architettura societaria a prova di verifica fiscale con al centro la sede Irlandese.

I versamenti al fisco italiano sarebbero stati limitati alle funzioni di supporto al canale di vendita, di assistenza e di servizi accessori, sebbene Apple operasse in Italia con una attività commerciale diretta, per la quale pagava tasse sul territorio irlandese.

Da alcune email, inserite nell’atto di chiusura indagini, si sarebbe appreso che l’attività di Apple Italia non fosse limitata al supporto territoriale di marketing. Stando a quanto riportato da fonti di stampa, al fatturato dichiarato dalla società, compreso tra 30 e 40 milioni di euro l’anno, andrebbe sommato quindi un imponibile evaso stimato oltre un miliardo di euro nel solo biennio 2010-11.

I 318 milioni di euro che saranno versati da Apple riguardano le dichiarazioni dei redditi comprese tra il 2008 e il 2013. La società ha accettato tutti i rilievi delle ispezioni che ha visto impegnati l’Anti-frode, l’Ufficio grandi contribuenti e il ruling delle Entrate.

La Procura di Milano a conclusione dell’inchiesta nel marzo 2015 aveva riscontrato una omissione nei versamenti dell’IRES per 880 milioni di euro e aveva proceduto inoltrando avvisi di garanzia per due manager italiani dell’azienda e per il vertice della società irlandese. La formalizzazione dell’accusa era di omessa dichiarazione dei redditi, punibile con una pena da uno a tre anni. L’accordo ora siglato potrebbe alleggerirne la posizione al momento del rinvio a giudizio.

Il Garante Privacy ha dato parere favorevole su due provvedimenti Agid relativi allo Spid, il sistema pubblico per la gestione dell’identità digitale di cittadini e imprese.

I provvedimenti riguardano l’aggiornamento dello schema di regolamento delle modalità attuative per la realizzazione del sistema e lo schema convenzionale dei rapporti fra Agid e gestori dell’identità digitale.

Le modifiche sono volte alla crescita della sicurezza informatica, della protezione dei dati, in particolare alla migliore definizione delle modalità di conservazione dei documenti relativi all’identità digitale e all’utilizzo delle credenziali dell’utente, oltre che alle procedure di sospensione e revoca dei gestori.

Sono inoltre stabiliti gli obblighi dei gestori per il trattamento dei dati, le misure e gli strumenti di sicurezza, le garanzie per la protezione dei dati nei casi di utilizzo di soggetti esterni per la fornitura dell’identità digitale.

Da una nota del Garante, si apprende che l’elaborazione degli articoli è maturata dal confronto tra Agid e l’Ufficio del Garante, con l’apporto dei risultati del tavolo tecnico.

Per ciò che riguarda ogni eventuale violazione, sono definite le modalità di comunicazione dei gestori e le procedure che Agid dovrà avviare nei loro confronti per ogni adempienza.

La commissione Libertà civili, giustizia e affari interni del Parlamento Europeo ha approvato la proposta di riforma del nuovo Regolamento Europeo sulla protezione dei dati. Dopo quattro anni dall’iniziativa della Commissione è stato definito il Regolamento generale sulla protezione dei dati e la direttiva sulla protezione dei dati trattati dalle autorità giudiziarie.

Il nuovo Regolamento sarà un testo unico di riferimento applicato in tutti gli stati dell’Unione, mirato a garantire un maggiore controllo dei dati personali da parte dei cittadini e una maggiore informazione su come essi vengano trattati. In questa direzione sono intese le novità introdotte sulle notificazioni delle violazioni nei casi di data breach, sul diritto all’oblio, sul diritto alla portabilità dei dati, e sulle modalità di accesso alle informazioni da parte degli utenti.

Inoltre, la direttiva sulla protezione si focalizza sul raggiungimento di una efficace cooperazione tra i Paesi membri, attraverso l’uniformità dei diritti dei cittadini dell’Unione, così come di una legislazione volta ad assicurare un operato chiaro e paritetico sul mercato unico.

Una serie di principi guida rivolti alle imprese operanti nell’Unione sono intesi allo sviluppo di un mercato unico europeo: le imprese, tenute a informare le autorità in caso di data breach, beneficeranno di un “più armonico quadro normativo” e di uno sportello unico di riferimento sia per le imprese europee che per quelle che operano all’interno dell’Unione pur risiedendo fuori dal continente. Nei casi di violazione, sono previste multe dal 2 al 4% del fatturato annuo mondiale. Per le imprese che gestiscono quantità significative di dati personali, sarà obbligatoria la nomina di un Privacy Officerresponsabile della protezione dei dati.

Sempre in tema di tutela dei cittadini, è stato introdotto nel Regolamento il concetto di privacy by design assicurata da ogni titolare del trattamento: ogni progetto dovrà prendere in considerazione in primo luogo il ruolo dell’utente, affinché ogni fase del processo di sviluppo di prodotti e servizi avvenga nella sicurezza della protezione dei dati personali.

Alcune polemiche sono sorte dalla possibilità di un obbligo di autorizzazione da parte dei genitori per i minori di 16 anni che intendano accedere alle piattaforme online con login. In merito, il Parlamento ha garantito la flessibilità delle regole per gli Stati membri, che potranno impostare l’obbligo tra i 13 e i 16 anni.

Mentre si attendono analisi specifiche del testo e dei suoi possibili effetti nell’immediato futuro, Digital Europe, che rappresenta alcuni dei maggiori operatori dell’industria tecnologica operanti in Europa, ne ha criticato il contenuto per ciò che riguarda le sanzioni previste, ritenute misure pericolose per il mercato: “Occorre evitare l’introduzione di un regime di sanzioni che è sproporzionato, rigido e fissa le sanzioni sulla base del fatturato globale, comprese le entrate che sono del tutto estranee alla attività di trattamento dei dati”.

posted by admin on dicembre 14, 2015

PA telematica, identità digitale

(No comments)

carta-didentitàDal 14 dicembre 2015 i dati dei cittadini di Cesena e Bagnacavallo inizieranno a popolare l’Anagrafe unica della popolazione residente in Italia, entro la fine del 2016  si uniranno a loro i dati dei residenti di tutti i Comuni della penisola.

Il progetto dell’Anagrafe unica della popolazione residente (Anpr) è inserito anche nell’Agenda per la semplificazione, sotto il capitolo “cittadinanza digitale”.

I dati anagrafici (nome, cognome, data e luogo di nascita, domicilio, stato civile) saranno disponibili in una forma standard in una banca dati valida su tutto il territorio italiano, così da poter essere consultabili in tempo reale de diversi enti come Agenzia delle Entrate, Inps, Inail, Ministero degli Esteri. In sintesi: l’anagrafe si trasformerà in un’unica banca dati accessibile a tutta la PA, con tutto quello che ne consegue in tema di controlli e di risparmi.

La condivisione delle informazioni renderà possibile per i cittadini richiedere il certificato anagrafico o di stato civile anche da un comune diverso da quello di residenza, e si potrà fare il cambio di residenza dovunque ci si trovi. Il comune eviterà di chiedere più volte lo stesso documento, visto che diventerà possibile lo scambio di informazione in tempo reale tra le diverse amministrazioni.

Oltre alle informazioni tradizionali c’è la possibilità di indicare il “domicilio digitale”, ovvero l’indirizzo di Posta Elettronica Certificata.

L’Anagrafe Unica parte con i dati dei 110 mila cittadini dei due comuni dell’Emilia-Romagna, ma l’obiettivo è arrivare, entro il 2016, a sostituire le 8 mila anagrafi attuali, corrispondenti ad altrettanti comuni. L’operazione sarà quindi completata una volta raggiunti i dati, presenti sul registro unico, di quasi 60 milioni di italiani.

Il passo successivo è previsto entro febbraio 2016 quando migreranno nell’Anpr altri 23 comuni, che contribuiranno a inserire sull’elenco unico oltre 2,3 milioni di cittadini. Quando, verso la metà del prossimo anno, faranno il loro ingresso anche Roma e Milano, la nuova Anagrafe sarà popolata da oltre 6,5 milioni di persone.

Essendo finalizzata alla tutela dei risparmiatori e a informare il mercato, la pubblicazione integrale delle delibere di radiazione di promotori finanziari sul sito della Consob non può essere ritenuta in violazione della privacy.

Il Garante per la privacy ha respinto il ricorso di un ex promotore finanziario che aveva chiesto alla Commissione Nazionale per le Società e la Borsa un intervento in merito alla pubblicazione online del provvedimento sulla sua radiazione. Secondo l’ex promotore, nella delibera erano stati riportati particolari “eccedenti” le finalità di pubblicazione, causando un grave danno della reputazione, oltre che una violazione della riservatezza. Il contenuto dannoso riguardava le motivazioni e la descrizione dettagliata dei comportamenti illeciti a lui contestati.

Il Garante per la privacy ha ritenuto la pubblicazione integrale della delibera necessaria non solo per la comunicazione del provvedimento, ma anche per una corretta informazione degli illeciti commessi. I dati diffusi non sono classificabili come giudiziari, ma riferibili al procedimento amministrativo di radiazione. Il diritto alla riservatezza dell’interessato deve essere bilanciato con quello di tutela e di informazione del mercato riconosciuto dalla normativa di riferimento: per questo motivo il Garante ha disposto che tali informazioni, secondo regolamento Consob, rimangano reperibili dai motori di ricerca per tre anni.

posted by Giusella Finocchiaro on dicembre 1, 2015

identità digitale

(No comments)

L’8 settembre 2015 sono stati emanati quattro atti normativi che danno esecuzione, introducendo alcune necessarie specifiche tecniche, al regolamento (UE) 910/2014, del Parlamento europeo e del Consiglio, del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche (anche conosciuto come Regolamento e-IDAS). Quest’ultimo ha lo scopo di realizzare l’interoperabilità giuridica e tecnica fra i Paesi dell’Unione europea degli strumenti elettronici di identificazione, autenticazione e firma. Queste le principali novità a seguito dell’emanazione della normativa di attuazione.

1. Quadro di interoperabilità

Il regolamento e-IDAS prevede l’istituzione di un quadro unitario che permetta l’interoperabilità dei regimi nazionali di identificazione elettronica notificati alla Commissione. Ai fini della concreta attuazione del quadro di interoperabilità, il regolamento di esecuzione (UE) 2015/1501 ne stabilisce i requisiti tecnici e operativi. In particolare il regolamento si focalizza sull’importanza dei “nodi”, cioè punti di connessione collegati fra loro, facenti parte dell’architettura informatica di identificazione degli Stati membri. Essi intervengono nei processi di autenticazione transfrontaliera delle persone e sono in grado di scambiare informazioni tra loro. In questo modo, l’infrastruttura di identificazione elettronica nazionale di uno Stato membro può comunicare ed essere connessa alle infrastrutture di identificazione elettronica nazionale di altri Stati membri.

Trattandosi tuttavia di strumenti che trasmettono e ricevono dati personali, saranno applicabili le norme in materia di protezione dei dati personali di cui alla direttiva 95/46/CE. Nel caso di specie, i dati personali trasmessi tra i nodi vengono conservati al solo fine di ricostruire, nel caso di incidente, la sequenza dello scambio di messaggi al fine di stabilire il luogo e la natura dell’incidente.

2. Livelli di garanzia dei mezzi di identificazione

Il regolamento e-IDAS prevede che il regime di identificazione personale di uno Stato membro debba essere notificato alla Commissione specificando i livelli di garanzia (basso, significativo ed elevato) per i mezzi di identificazione rilasciati. Il regolamento (UE) 2015/1502 è stato adottato allo scopo di assicurare che nei vari Stati membri ci sia un’interpretazione uniforme dei livelli di garanzia permettendo di inquadrare i livelli di garanzia secondo criteri e procedure comuni.

3. Elenchi di fiducia

Ai sensi dell’art. 22 del regolamento e-IDAS, tutti gli Stati devono istituire e mantenere degli elenchi di fiducia, che includano le informazioni relative ai prestatori di servizi fiduciari e ai servizi fiduciari da questi erogati. Gli elenchi di fiducia sono un elemento essenziale per instaurare la fiducia tra gli operatori di mercato in quanto permettono di distinguere, in maniera chiara, i prestatori qualificati da quelli che non lo sono. Essenziale è dunque la decisione (UE) 2015/1505, con la quale la Commissione fornisce le specifiche tecniche che permettano la creazione e successiva notificazione, alla Commissione stessa, di detti elenchi.

4. Formati riconoscibili di firma elettronica e sigillo elettronico

Il regolamento e-IDAS prevede che gli Stati membri, che richiedono una firma elettronica avanzata o un sigillo elettronico avanzato per usufruire di un proprio servizio pubblico online, debbano riconoscere le firme e i sigilli aventi formati specifici o formati alternativi convalidati conformemente a specifici metodi di riferimento. Al fine di individuare in maniera omogenea i formati riconoscibili dagli Stati, soprattutto in luce del principio del riconoscimento reciproco, è stata emanata la decisione (UE) 2015/1506. Nel caso la firma o il sigillo abbiano un formato diverso da quelli specificamente elencati in decisione, lo Stato membro è comunque tenuto a riconoscerli, a condizione che sia prevista una procedura di convalida che permetta allo Stato membro di confermare la validità della firma o del sigillo emesso in un altro Stato membro.