Sentenza prima dell’udienza. La fine del sogno di Alice.

Il Direttivo della Camera Penale di Venezia denuncia un fatto che definisce di «enorme gravità»: la sentenza di una Corte d’Appello sarebbe stata scritta prima della discussione in udienza.

L’Unione Nazionale delle Camere Penali interviene sul caso, precisando che anche altri avvocati difensori, prima dell’udienza di discussione delle cause nelle quali erano patrocinatori, hanno ricevuto dalla Corte i testi di sentenze di rigetto contenenti addirittura la liquidazione delle spese in favore della parte civile già determinate, oltre che la indicazione del termine di deposito delle motivazioni.

In Alice nel paese delle meraviglie, Lewis Carroll descrive un processo surreale.

Il Coniglio Bianco, araldo, usciere, cancelliere e in genere maestro di cerimonie, insiste perché venga fatta l’istruttoria prima di condannare l’accusato (il Fante di Cuori).

La Regina di Cuori, da ciò molto indispettita, ordina che prima sia pronunciata la sentenza e poi siano ricostruiti i fatti (“sentence before verdict”).

Alice non può reggere cotanto sovvertimento delle regole processuali e così si sveglia, ponendo fine al sogno e al Paese delle Meraviglie.

Via libera al contact tracing

Con il decreto legge n. 28 del 30 aprile scorso il Governo ha dato il via libera al tracciamento, con l’applicazione Immuni, dei contagi da COVID-19, finalizzata a contenere la diffusione del virus.

Viste le polemiche suscitate nei giorni scorsi, cerchiamo di esaminare i dubbi più frequenti in merito ai possibili rischi di violazione della privacy.

Di cosa si tratta?

Viene istituita presso il Ministero della Salute una piattaforma per il tracciamento dei contatti tra le persone che, su base volontaria – probabilmente già a partire dalla fine di maggio[1] -, installeranno sui propri smartphone l’applicazione nota come app Immuni.

Titolare del trattamento dei dati personali raccolti tramite l’app è il Ministero della Salute, il quale, all’esito di una valutazione di impatto, costantemente aggiornata, effettuata ai sensi dell’art. 35 GDPR (Reg. UE 679/2016)[2], adotta misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, sentito il Garante per la protezione dei dati personali[3].

Queste le linee guida del sistema di contact tracing fissate dal decreto:

  • la piattaforma è affidata esclusivamente ad infrastrutture localizzate sul territorio nazionale e gestite da soggetti pubblici o società a totale partecipazione pubblica; i programmi informatici sviluppati per la realizzazione della piattaforma sono di titolarità pubblica;
  • informativa e trasparenza: prima di attivare l’app, agli utenti vengono date informazioni chiare circa le finalità e le operazioni di trattamento, le tecniche di pseudonimizzazione[4] utilizzate (per impedire l’identificazione degli interessati) e i tempi di conservazione dei dati;
  • possono essere raccolti solo dati necessari ad avvisare gli utenti che essi rientrano tra i contatti stretti di altri utenti accertati positivi al Covid-19 e ad agevolare l’eventuale adozione di misure di assistenza sanitaria in loro favore;
  • i dati raccolti non possano essere trattati per finalità diverse da quella indicate, salvo l’utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, finalità statistiche o di ricerca scientifica;
  • i dati di prossimità dei dispositivi saranno resi anonimi o, se non è possibile, pseudonimizzati; in ogni caso è esclusa la geolocalizzazione dei singoli utenti;
  • l’utilizzo dell’applicazione e della piattaforma e i trattamenti dei dati personali saranno interrotti nel momento in cui sarà decretata la cessazione dello stato di emergenza disposto con delibera del Consiglio dei Ministri del 31 gennaio 2020 (30.6.2020), e comunque non oltre il 31 dicembre 2020; entro la medesima data saranno cancellati o resi definitivamente anonimi tutti i dati personali trattati, anche nei cellulari;
  • l’uso dell’app avverrà su base volontaria (non ci sarà quindi nessun obbligo a scaricarla) e il mancato utilizzo non comporterà alcuna conseguenza pregiudizievole o disparità di trattamento;
  • i diritti degli interessati (di cui agli articoli da 15 a 22 del Regolamento) potranno essere esercitati anche con modalità semplificate.

 

Come funziona concretamente l’applicazione?

Stando alle notizie che circolano, l’app Immuni funziona tramite il bluetooth degli smartphone (e non tramite GPS, che avrebbe permesso il tracciamento costante dei cittadini), non chiederà l’accesso ai numeri della rubrica, il numero telefonico dell’utente, né invierà SMS. Potrà determinare un contatto stretto tra due utenti, ma non rivelerà il luogo.

Come?

Quando ci si avvicina a qualcuno, i telefonini si scambiano in automatico un segnale anonimo cifrato che registra il contatto annotando anche la distanza ed il tempo; questo perché il rischio di contagio cambia a seconda che due persone sono entrate in contatto per pochi secondi o per mezzora, così come se si trovano a meno di un metro o a 10 metri di distanza.

Se una persona scopre di essere positiva, a tutti i codici registrati sullo smartphone del contagiato viene inviata una notifica; questo trasforma lo status di chi riceve il messaggio in giallo (contatto breve o a distanza) o in arancione (contatto ravvicinato o prolungato, ovvero a meno di due metri o per più di quindici minuti), senza che il destinatario della notifica sappia da chi sia stata generata, né il luogo in cui si sarebbe verificato il presunto contagio.

A quel punto dovrebbero scattare i test almeno per gli arancioni e quindi l’isolamento per i positivi.

I limiti e gli obiettivi fissati dal Governo con il decreto in commento hanno già incontrato il parere positivo del Garante per la Privacy[5], con queste motivazioni:

  1. il tracciamento è previsto da una norma di legge sufficientemente dettagliata quanto ad articolazione del trattamento dei dati personali, tipologia di dati raccolti, garanzie accordate agli interessati, temporaneità della misura;
  2. si fonda sull’adesione volontaria dell’interessato, escludendo ogni forma di condizionamento della determinazione individuale e, quindi, di disparità di trattamento basata sulla scelta di consentire o meno il tracciamento;
  3. è preordinato al perseguimento di fini di interesse pubblico indicati con sufficiente determinatezza ed escludendo il trattamento secondario dei dati così raccolti per fini diversi, salva la possibilità (nei termini generali previsti dal Regolamento) di utilizzo, in forma anonima o aggregata, a fini statistici o di ricerca scientifica;
  4. appare conforme ai principi di minimizzazione e ai criteri di privacy by design by default, nella misura in cui prevede la raccolta dei soli dati di prossimità dei dispositivi, il loro trattamento in forma pseudonima, sempre che non sia possibile in forma del tutto anonima, escludendo il ricorso a dati di geolocalizzazione e limitandone la conservazione al tempo strettamente necessario ai fini del perseguimento dello scopo indicato, con cancellazione automatica alla scadenza del termine;
  5. si conforma al principio di trasparenza nei confronti dell’interessato, garantendone la dovuta informazione;
  6. ammette l’ulteriore precisazione delle caratteristiche di dettaglio del trattamento e delle misure di sicurezza adeguate da parte del Ministero della salute e, per quanto concerne il vaglio del Garante per la Privacy, mediante l’atto di cui all’art. 2-quinquiesdecies del Codice Privacy. In tali sedi potranno, inoltre, essere previste le modalità di intervento umano sulla decisione algoritmica, così da soddisfare anche i requisiti di cui all’articolo 22, par. 2, lett. b) – del Regolamento.

In conclusione, dunque, il sistema di contact tracing così come prefigurato dal DL n. 28 non appare in contrasto con i principi di protezione dei dati personali; non resta che verificarne la sua applicazione concreta.

 

 

[1] Non è ancora chiaro quando sarà disponibile di preciso l’applicazione, in quanto i test hanno preso avvio da poco.

[2] In breve: l’art. 35 GDPR, nel caso in cui in trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche, impone al titolare del trattamento di eseguire, prima che inizi il trattamento stesso, una valutazione di impatto, in maniera tale da adottare quelle misure che siano in grado di proteggere adeguatamente i dati da tali rischi.Il processo di valutazione, in particolare, descrive il trattamento, ne valuta la necessità e la proporzionalità, e i rischi per i diritti e  le libertà delle persone fisiche,  e determina  le misure adeguate per affrontarli. In altre parole, la valutazione di impatto, è il processo inteso a garantire e dimostrare la conformità del trattamento in questione ialla protezione dei dati.

[3] Tale potere è esercitato dal Garante della Privacy in forza dell’art. 36 comma V GDPR: (“…il diritto degli Stati membri può prescrivere che i titolari del trattamento consultino l’autorità di controllo, e ne ottengano l’autorizzazione preliminare, in relazione al trattamento da parte di un titolare del trattamento per l’esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica.”) e dell’art. 2 quinquies-decies Codice Privacy (“Trattamento che presenta rischi elevati per l’esecuzione di un compito di interesse pubblico” – 1. Con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati ai sensi dell’articolo 35 del Regolamento, il Garante per la protezione dei dati personali puo’, sulla base di quanto disposto dall’articolo 36, paragrafo 5, del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio, prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento e’ tenuto ad adottare.”).

[4] La pseudonimizzazione è il procedimento in base al quale i dati personali oggetto di trattamento non possono più essere attribuiti a un interessato senza la combinazione con altre informazioni aggiuntive. Queste ultime devono essere conservate separatamente e devono essere protette da adeguate misure di sicurezza, sia tecniche, sia organizzative, al fine di garantire che non possano essere attribuite ad una persona identificata o identificabile.

[5] Il riferimento è al “Parere sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da COVID-19”, rilasciato dal Garante per la Privacy il 29 aprile scorso in forza dell’art. 36 comma IV GDPR (“Gli Stati membri consultano l’autorità di controllo durante l’elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento.”).

ADDITIONAL EMERGENCY MEASURES TO SUPPORT THE CONTINUITY OF BUSINESSES AND THE ITALIAN ECONOMY (DL 23/2020 AND DPC 26 APRIL 2020)

The following is a selection and summary of the provisions which we deem of interest for our clients, as per D.L. n. 23 of April 8, 2020 (so called Decreto Liquidità), enacted by  the Italian Government with the purpose of supporting businesses continuity and the Italian economic system, put at risk by the pandemic and the consequent lockdown.

Each measure shall have the duration specifically stated therein (some up to December 31, 2020).

To the extent possible, this summary includes also some subsequent official clarifications/ applications.

Moreover, Prime Minister Decree (DPCM) of 26 April 2020 enlarged the list of business activities allowed to operate from May 4, 2020 (from April 27 activities preparing such openings are also authorized); under EMPLOYMENT you will find some relevant information in this respect.

 

Upon request, we are available to provide more detailed information and to assist in applying those measures.

 

Contents

EMPLOYMENT

FINANCIAL SUPPORT TO BUSINESSES

BUSINESS CONTINUITY

CONTROL OF ACQUISITIONS

DELAY OF PROCEDURAL TERMS AND HEARINGS

EXTENSION OF TERMS IN TAX MATTERS AND OTHER TAX PROVISIONS

 

 

EMPLOYMENT

 

Admission to ordinary and special CIG (section 41 – confirmation and enhancement of section 19 and following of DL 18/2020)

The ordinary Wage Supplement Fund (CIG) and the Special Wage Supplement Fund (CIG in deroga) are extended to employees hired from February 24, 2020 to March 17, 2020.

 

 New Work Safety and Health Protocols

All business activities whose operations are allowed (including those recently authorized pursuant to DPCM 26.04.2020) are subject to the general obligation of assuring workers’ safety and health provided for by general law 81/2008, as specifically adapted to the pandemic situation by the new Protocol agreed upon between the Government and the employers/employees associations on April 24, 2020 as well as, for the construction sites the specific Protocol of April 24, 2020 and for transportation and  logistics the Protocol of March 20, 2020.

Failure to comply with those protective measures would cause the closing of the operations as well as, in case of personal damages to the employees, civil and criminal liability for the employer.

 

 

FINANCIAL SUPPORT TO BUSINESSES

 

Support to small and medium size businesses – PMI Fund  (section 13)

The existing PMI Fund (State guaranteed loans), already enlarged by previous emergency provisions, up to December 31,2020, is made accessible also to enterprises with up to 499 employees and to professionals and is available for a maximum guaranteed amount of Euro 5 million for each enterprise; with no preliminary  evaluation of the beneficiary standing ( only requirements checked) and  at no guarantee cost.

Main requirements and conditions to access this financing (loan) are the following[1]:

Revenues of the beneficiary (limit) Duration of the financing  Interest- only period Maximum amount financed  Direct guarantee amount Counter-guarantee amount Evaluation of the beneficiary
No limit Up to 72 months At least 24 months 25% of revenues (as per last b/s or last tax return) within the amount of  Euro  25,000.00 100% None
Up to Euro 3,200,000.00 25% of revenues within the amount of Euro 800,000.00 90% (100% with CONFIDI counter-guarantee) None
None Up to 72 months Either one of the following:

* 200% of the personnel cost of the last FY

* 25% of last FY turnover

*working capital and investment needed for  carrying out the business over the subsequent 18 /12 months

90% 100% None

Under certain conditions the guarantee is granted also to beneficiaries being in default under other financing positions or having in place insolvency procedures such as, by way of example, a “concordato” with continuation of the business.

The guarantee applies to new financing; however, an already existing loan may be extinguished by the new guaranteed one, provided that as a result the amount of credit allowed by the concerned bank is higher than the previous one.

 

General support through SACE guarantee to enterprises  (section 1)

Another set of guarantees up to an amount of 200 billion Euro is granted up to December 31, 2020 by SACE spa, a State controlled financial company.

These SACE guarantees are aimed to support the financing of all enterprises (including small and medium size enterprises and professionals, to the extent they exhausted already the PMI Fund provisions) with registered office in Italy, irrespective of their field of activity, except for bank and other financial institutions.

These guaranteed loans

  • must be destined to cover the costs of personnel, investments and working capital in production sites and activities located in Italy, as certified by the beneficiary’s legal representative
  • are subject to the beneficiary’s undertaking that no resolution to distribute dividends  will be taken in 2020 by the beneficiary and by any other entity with registered office in Italy, belonging to the same group
  • are subject to the beneficiary’s undertaking that its employment levels will be managed in agreement with the employees’ unions.

The beneficiary must be in bonis as of December 2019, i.e. not falling under the definitions of enterprises in need pursuant to EU Regulations 651/2014, 702/201, and 1388/2014, and must not have deteriorated debts towards the financing bank as of February 29, 2020.

Guarantees are available as follows[2]:

Turnover of the beneficiary/ employee  (limit) Duration of the financing  Interest- only period Maximum

guarantee amount

Direct guarantee amount Application Procedure 
Up to Euro 1,500 million

and up to 5,000 employees  in Italy (consolidated data to be provided)

Up to 6 years Up to 24 months The higher between

* 25% of the 2019 turnover as per the b/s or the tax return

and

*200% of the personnel cost in 2019 as per the b/s or the tax return

90% Application processes by the financing bank and by SACE
Between Euro 1,500 million and Euro  5,000 million

and above  5,000 employees  in Italy (consolidated data to be provided)

Up to 6 years Up to 24 months Same as above 70% As above + resolution of the Ministry of the Economy and Finance, upon opinion of the Ministry of the Economic Development, taking into account the role of the applicant enterprise in respect to the following: 1) contribution to technological development, 2) logistics and supply, 3) impact on critical and strategical structures, 4) impact on employment levels

This SACE guarantee applies to new financing; however, an already existing loan may be extinguished by the new guaranteed one, provided that as a result the amount of credit allowed by the concerned bank is higher than the previous one.

 

Support to export and internationalization (section 3)

The Decree n. 23 introduced a co-insurance system according to which 90% of the insurance activity of SACE is undertaken by the state administration; as a consequence, SACE has more resources available to support the internationalization of Italian enterprises and the export.

In granting the above state insurance guarantee, those sectors deemed to be strategical as to employment levels and effects on the national economic system shall be privileged.

 

 

BUSINESS CONTINUITY

 

Financial losses and re-capitalization (section 6)

Up to December 31, 2020, financial losses exceeding 1/3rd of the corporate capital shall not cause the mandatory reduction of the capital nor, if impairing the minimum corporate capital and not covered, they shall cause the mandatory winding up of an Italian limited liability, joint stock or cooperative company (pursuant to sections 2446, 2447, 2482 tr. 2484, 2445 duodecies of the Civil Code); as a consequence, directors are exempted from the obligation to manage the company on a purely conservative basis when the company would otherwise be in a winding up status because of losses.

 

Company accounts (section 7)

Balance sheets for the fiscal year ending within December 31, 2020 (as well as those closed as of February 23, 2020 but not yet approved) can be drafted applying evaluation criteria based on business continuity perspective; in other words, the directors, in evaluating certain items of the accounts, are exempted from taking into account the effects of the emergency financial crisis (which would make mandatory the evaluation of said items in a liquidation-not continuity- perspective), provided that this is noticed in the accompanying documents.

 

Shareholders loans (section 8)

Shareholders’ loans granted to limited liability and joint stock companies from April 9, 2020 up to December 31, 2020 are exempted from the subordination rules of section 2467 of the Civil Code  (i.e. their repayment is not conditioned upon the prior payment of the other creditors, even if granted where the financial situation of the company would make advisable an equity contribution).

 

 Temporary suspension of insolvency procedure applications (section 10)

Applications for bankruptcy or for extraordinary administration for large enterprises (pursuant to D.Lgs 270/1999) filed between March 9, 2020 and June 30, 2020 are inadmissible.

The above mentioned period of time is not accounted for the purpose of the one year term for application for bankruptcy of a company cancelled from the Companies’ Registry and for the purpose of the statute of limitation term for revocation claims concerning payments and transactions affecting the creditors’ interests (”azioni revocatorie”- section 69 bis of Bankruptcy Law); however, the relevant period- prior to the insolvency declaration- in which the suspect payment /transaction occurred, remains unchanged.

Postponements of terms are also provided for in the matter of “concordato preventivo” (composition with creditor insolvency procedure- section 9)

 

Expiry terms of instruments postponed (section 11)

Terms (including for payments) relating to checks, promissory notes and similar instruments are suspended between March 9 and April 30, 2020; as consequence, terms originally expiring on a date within said period will expire on May 1.

 

 

CONTROL OF ACQUISITIONS

 

Acquisition Control-Golden Powers (and the like) enhanced (section 15, 16 and 17)  

In order to avoid that Italian companies operating in sectors deemed strategical or of national interest, due to their loss of value as a consequence of the COVID-19 crisis, become the target of foreign investments resulting in a damage to the Italian economy, the Italian government enhanced the scope of its control (“Golden Powers”, as already provided by D.L. 15 March 2012, n. 21 converted into Law 56/2012)

 

–   to include, among the target companies, those operating in all the sectors identified by article 4.1 of EU Regulation 452/2019, and namely:

(a) critical infrastructure, whether physical or virtual, including energy, transport, water, health, communications, media, data processing or storage, aerospace, defence, electoral or financial infrastructure, and sensitive facilities, as well as land and real estate crucial for the use of such infrastructure;

(b) critical technologies and dual use items as defined in point 1 of Article 2 of Council Regulation (EC) No 428/2009,  including artificial intelligence, robotics, semiconductors, cybersecurity, aerospace, defence, energy storage, quantum and nuclear technologies as well as nanotechnologies and biotechnologies;

(c)  supply of critical inputs, including energy or raw materials, as well as food security;

(d) access to sensitive information, including personal data, or the ability to control such information;

(e)  the freedom and pluralism of the media.

Credit, bank and insurance sectors are expressly mentioned as critical financial sectors;

 

–   to include, up to December 31, 2020, among the transactions requiring prior notification to the Prime Minister, the acquisition of controlling share-ownership in companies operating in the mentioned sectors, as well as the resolutions causing changes in the ownership, control and availability of assets in same sectors (that, in addition to the transactions already subject to notification pursuant to Law 56/2012);

 

–   to include, up to December 31, 2020, among those by which notification is due, the EU entities/individuals undertaking control of a company operating in the concerned sectors and the non EU entities/individuals acquiring voting rights or capital shares of 10% or above or getting a subsequent share of 15%, 20%, 25% or 50% of the target company. Clearly, in order to preserve the free circulation of capitals and investments within the European Union, any limitation to intra-EU transactions shall be applied only to the extent necessary for public order and safety purposes;

 

–   (as allowed by Regulation 452/2019, but not provided for, originally, by Law 56/2012), to include the possibility of an ex officio control of the government in same sectors/transactions which are the object of the “Golden Powers”, where due notification is lacking or defective; in that respect, the government may get information and documents from the concerned companies, entities and  public administrations;

 

–   (as allowed by Regulation 452/2019, but not previously provided for by TUF – the Italian main consolidated law in the matter of finance), to include the possibility for CONSOB (the Italian Companies and Exchange Commission) to control the transactions concerning small and medium size public companies (PMI), for a limited period of time, and  also below the thresholds of 3% and 5% provided by article 120 par. 2 bis TUF, as well as to request to purchasers of shares below 5% clarifications about their objectives over  the 6 month period following said acquisition.

 

Actually, CONSOB, with resolutions of April 9, 2020, applied the above new controls, to 104 identified public companies.

The above described measures are compliant with the suggestions in that respect issued in March 2020 by the European Commission.

 

 

DELAY OF PROCEDURAL TERMS AND HEARINGS

 

Suspension of the judicial terms and postponement of hearings in civil and tax proceedings (section 36)

Any procedural term in civil proceedings already suspended from March 9 to April 15, 2020 continues to be suspended up to May 11, 2020 included.

Same suspension continues to apply to the challenge of orders/resolution of the tax authorities before the Tax Commissions.

Exception is made for civil proceedings concerning the urgent protection of personal rights of individuals (e.g. in the matter of alimony, children of minor age, etc), for terms and hearings related to the withholding of enforceability of judgements and, in general, all proceedings where the delay might cause severe damages to the parties (in this case the urgency is declared by the Judge).

Due to strict limitations to the activities of the judicial offices up to June 30, 2020, hearings, if at all urgent, are dealt with in writing or by  video-conference.

Statute of limitation and expiry terms, where they need to be interrupted by a writ of summons or the like which is prevented by the above limitations, do not apply.

 

Suspension of the judicial terms and postponement of hearings in administrative judicial proceedings (section 37) 

Any procedural term in administrative judicial proceedings proceedings already suspended from March 9 to April 15, 2020 continues to be suspended up to May 15, 2020 included.

Notwithstanding the above, decisions in urgent proceedings are taken.

Oral discussions are limited up to June 30, 2020 and there continue to be strict limitations of the activities of the judicial offices up to June 30, 2020.

 

Suspension of the judicial terms and postponement of hearings – Criminal Proceedings (section 36)

The general suspension of terms and hearings is extended up to May 11, 2020 included also in criminal proceedings.

 

(more information available upon request by our criminal law department).

 

 

EXTENSION OF TERMS IN TAX MATTERS AND OTHER TAX PROVISIONS

 

(please refer to your tax advisor for a more detailed and complete information)

The Decree n. 23 provides for several extensions of terms for tax payments, aimed at supporting self employed individuals, professional and businesses. Here are some:

 

No sanctions and interests for payments to public agencies with deadlines on March 16, 2020 – extended to April 16, 2020.

All payments due to public agencies, including taxes social security contributions, expiring on March 16 (term already extended to March 20, 2020) will not accrue any sanction or delay interest up April 16, 2020.

 

Extension of payments terms for VAT, withholdings and other taxes (sections 18)

VAT for March and April 2020, withholding taxes relating to subordinate employees and similar and social security contributions for the months of March and April can be paid in one installment  within June 30, 2020 or in five monthly installments from June, 2020.

The extension is available to

  • enterprises, self-employed individuals and professionals located in Italy with revenues not higher than Euro 50 million in 2019 which had in March and April 2020 a reduction of at least 33% of their turnover with respect to March and April 2019 ( each month should be autonomously considered)
  • enterprises, self-employed individuals and professionals located in Italy with revenues higher than Euro 50 million in 2019 which had in March and April 2020 a reduction of at least 50% of their turnover with respect to March and April 2019 ( each month should be autonomously considered)
  • enterprises, self-employed individuals and professionals located in Italy which started their operations after March 31, 2019 (irrespective of any reference to previous revenues/turnover)
  • enterprises, self-employed individuals and professionals located in the provinces of Bergamo, Brescia, Cremona, Lodi e Piacenza, irrespective of their revenues in 2019, which had in March and April 2020 a reduction of at least 50% of their turnover with respect to March and April 2019 (each month should be autonomously considered).

 

No withholding taxes for certain tax payers-revenues (Section 19 – amending section 62 par. 7 of DL n. 18/2020)

Tax-payers with revenues not exceeding Euro 400,000 in calendar year 2019 can avoid to have their revenues obtained from March 17 to May  31, 2020 made subject to the withholding tax applicable to self- employement  revenues or to sale representative or intermediation commissions, provided that they did not incur in costs for employees or the like in the preceding month; the option shall be exercised by way of an appropriate notice;  the unpaid withholdings shall  be paid directly by the tax-payer in one installment within July 31, 2020 or in 5 monthly installments from the month of July, 2020.

 

Calculation of tax advance payments with provisional method (section 20)

All tax payers may estimate the reduction of their revenues in current fiscal year with respect to the previous fiscal year and pay the respective IRPEF, IRES and IRAP advances based on said estimates; should the tax advances so evaluated and paid not be lower than 80% of the tax advance actually due, no interests or sanctions will apply.

 

Tax credit for workplace sanification costs (section 30 – confirming and amending section 64 DL 18/2020)

Anyone carrying out a business or profession is entitled to a tax credit up to Euro 10,000.00 for 50% of the evidenced costs incurred for the sanification of the workplaces and work instruments up to Euro 20,000.00. The criteria for said tax credit will be determined by subsequent Ministry Decrees.

 

Delay of Certificazioni Uniche

No sanctions shall apply to the delay up to April 30, 2020 in forwarding to the Tax authority (Agenzia delle Entrate) and to employees and self- employers the Certificazioni Uniche (due within March 31, 2020).

 

 

[1] Additional details of conditions and requirements to be checked case by case

[2] Additional details to be checked case by case

Sito INPS in tilt: una violazione della privacy senza precedenti, altro che pesce d’aprile!

Lo scorso primo aprile abbiamo assistito al “banco di prova” della digitalizzazione del nostro Paese con riferimento all’emergenza COVID-19.

Migliaia di lavoratori autonomi a partita IVA, tra cui neofiti dei servizi digitali, aspettavano con ansia il primo d’aprile per poter richiedere, tramite il portale dell’INPS, l’agognato bonus promesso dal Decreto Cura Italia.

L’attesa era alle stelle, ma invece di sperimentare l’efficienza di un servizio erogato on-line, parecchi utenti hanno avuto, per errore, accesso ai profili di altri soggetti contenenti, ovviamente, informazioni e documenti personali[1]. Immediatamente è scattato il panico e c’è chi, per dimostrare il proprio sdegno, ha condiviso i dati altrui sui canali social.

Il presidente dell’Autorità Garante per la protezione dei dati personali, Antonello Soro, ha subito preso posizione, invitando l’Istituto a mettere in sicurezza i dati, non senza lasciarsi sfuggire un amaro commento: “Quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”.[2]

Un fattaccio che rischia di costare caro all’INPS. Vediamo quali sono le implicazioni giuridiche.

Un incidente di sicurezza che interessa i dati personali, quale quello del caso di specie (data breach) viene definito all’art. 4 n. 12 del GDPR (REG. UE 679/2016): «violazione dei dati personali»[3]: “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.[4]

A bene vedere, le linee guida adottate dal “Gruppo di lavoro dell’articolo 29 per la tutela dei dati” (meglio noto nella versione anglosassone “Article 29 Working Party” o “WP29”)[5] hanno individuato tre tipologie di data breach: “confidentiality breach”, nel caso in cui ci sia una violazione non autorizzata o fortuita di dati personali o un accesso non autorizzato agli stessi; “availability breach”, nel caso in cui ci sia una perdita o la distruzione di dati personali; “integrity breach”, nel caso ci sia un’alterazione o una modifica non autorizzata o accidentale di dati personali. Ancora non sono noti i dettagli dell’accaduto, ma a prima vista sembrerebbe trattarsi di un “confidentiality breach” – o, almeno, così si auspica.

Il data breach è un evento che deve essere affrontato e gestito da subito per evitare che dall’incidente possano derivare all’interessato conseguenze di varia natura: danni fisici, materiali o immateriali alle persone fisiche, ad esempio attraverso la perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata ( v. Considerando 85 del GDPR).

Non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento deve notificare la violazione dei dati personali all’autorità di controllo competente (il Garante per la Protezione dei dati personali), senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione[6], è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche[7]. Oltre il termine di 72 ore, tale notifica deve essere corredata delle ragioni del ritardo (art. 33 GDPR).

L’INPS aveva quindi tempo sino al 4 aprile scorso (e così ha fatto il giorno seguente all’incidente) per inviare al Garante per la protezione dei dati personali una notifica contenente, come minimo, le seguenti informazioni (art. 33 GDPR):

  1. la natura della violazione. L’INPS ha dovuto dichiarare se si sia trattato di attacco hacker (come sembrerebbe dalle notizie date dall’Istituto ai media) o malfunzionamento del proprio sito dovuto a problemi tecnici (come ipotizzato dagli esperti di Cyber security);
  2. le indicazioni delle categorie degli interessati e del loro numero, nonché del numero approssimativo di registrazioni dei dati personali in questione;
  3. il nome e dati di contatto del responsabile della protezione dei dati (Data Protection Officer) o di altro punto di contatto presso cui ottenere più informazioni;
  4. la descrizione delle probabili conseguenze della violazione dei dati personali;
  5. la descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento (INPS nel caso di specie) per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

 

Per il caso di attacco hacker, l’INPS ha dovuto pertanto informare il Garante delle misure immediatamente adottate per fronteggiare tale attacco e di quelle che adotterà urgentemente per rimediare alle violazioni e per attenuarne gli effetti negativi; per l’eventualità, invece, di malfunzionamento del sito per motivi tecnici, l’INPS ha dovuto comunicare al Garante le misure immediatamente adottate per rendere fruibile il sito in maniera rapida e sicura e quelle che adotterà nell’immediato per evitare il ripetersi di tali inconvenienti.

Peraltro, trattandosi di una violazione che potrebbe rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche, oltre ad avvisare il Garante, l’INPS è stata chiamata ad effettuare una notifica anche a tutti gli utenti interessati dalla violazione cioè a tutti quegli utenti che, loro malgrado, hanno subito la violazione dei loro dati personali che, in molti casi, sono stati condivisi con degli sconosciuti.

Come previsto dall’art. 34 GDPR, anche la comunicazione all’interessato deve avvenire senza ingiustificato ritardo e deve descrivere, con un linguaggio semplice e chiaro, la natura della violazione dei dati personali (attacco hacker o problemi tecnici) e almeno il nominativo e i dati di contatto del responsabile della protezione dei dati (Data Protection Officer) o di altro punto deputato a rendere informazioni, la descrizione delle probabili conseguenze della violazione dei dati personali, nonché il titolare del trattamento abbia provveduto/intenda provvedere (nel più breve tempo possibile) ad evitarle/limitarle.

Ricevuta la notifica di data breach, spetta al Garante per la protezione dei dati effettuare opportune verifiche e valutare l’adeguatezza delle contromisure adottate dall’INPS e gli interventi necessari a tutelare i diritti e le libertà degli interessati.

Per ora il Garante, con comunicato del 2 aprile scorso, ha reso noto di aver già avviato l’istruttoria sull’accaduto e ha colto l’occasione per richiamare l’attenzione sulla “assoluta necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social, rivolgendosi piuttosto allo stesso Garante per segnalare eventuali aspetti rilevanti” e ciò “al fine di non amplificare i rischi per le persone i cui dati personali sono stati coinvolti nel data breach e non incorrere in possibili illeciti”.

Quali le conseguenze per l’INPS?

Il rischio per l’Istituto (come quello di qualsiasi altro soggetto che effettua trattamento di dati personali, in circostanze analoghe) è quello di subire da parte del Garante per la Privacy una sanzione amministrativa (il GDPR prevede sanzioni amministrative pecuniarie fino ad un massimo di 20 milioni di euro e fino al 4% del fatturato annuo dell’esercizio precedente per le imprese), qualora quest’ultimo ravvisasse una responsabilità dell’istituto per non aver adempiuto agli obblighi in materia di data protection e di sicurezza informatica, oltre che di essere destinatario di contenziosi da parte degli utenti danneggiati[8].

 

 

[1] Per il momento si sa che i dati visualizzati riguardavano, oltre al nome e cognome, anche il codice fiscale e l’indirizzo email. Ancora non è chiaro se si potesse addirittura modificare il profilo.

[2] Eppure negli ultimi tempi si è registrata una indubbia attenzione alla materia della cybersecurity a livello normativo. Dopo l’approvazione della direttiva (UE) n. 1148/2016 (meglio nota come Direttiva NIS) – trasposta in Italia dal D.Lgs. 65/2018 e intesa a definire le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi degli Operatori di Servizi Essenziali (“OSE”, sono i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali) e dei Fornitori di Servizi Digitali (“FSD”, sono le persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale) – le istituzioni europee hanno continuato ad adottare misure intese a rafforzare la sicurezza cibernetica nell’Unione Europea. La principale di queste misure recentemente adottate consiste in un Regolamento volto a creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali, e a rafforzare il ruolo dell’Agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione (ENISA): il cosiddetto Cybersecurity Act, entrato in vigore il 27 giugno 2019.

[3] Trattasi della traduzione del termine inglese “data breach”.

[4] Nel caso, quindi, in cui l’incidente non riguardi questa tipologia di dati, non si applicherà quanto previsto dal GDPR, perché, se è vero che tutti gli incidenti informatici riguardano i dati, non tutti riguardano i dati personali.

[5] Era il gruppo di lavoro comune delle autorità nazionali di vigilanza e protezione dei dati. Era un organismo consultivo indipendente, composto da un rappresentante della varie autorità nazionali, dal Garante europeo della protezione dei dati e da un rappresentante della Commissione; con l’avvento del GDPR, divenuto applicabile il 25 maggio 2018, è stato sostituito dal Comitato europeo per la protezione dei dati (EDPB).

[6] Altrimenti detto accountability: il titolare ed il responsabile del trattamento devono adoperarsi in maniera tale da garantire la tutela dei dati personali da essi trattati. Nel GDPR non ci sono previsioni particolari che riguardano la modalità con cui attuare questo principio, viene lasciato ampio margine a questi soggetti affinché individuino in concreto le modalità che, nel singolo caso specifico, garantiscano la tutela dei dati.

[7] La notifica non è quindi richiesta quando il data breach non comporti un rischio elevato per l’interessato, per esempio, nell’ipotesi in cui i dati personali interessati siano già pubblici o quando i dati non possano essere letti perché crittografati.

[8] Articolo 82 GDPR – Diritto al risarcimento e responsabilità: “1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. 3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.”