Sfide e opportunità per le aziende e i professionisti in una scheda informativa ricca di riflessioni.

La parola “LPD” è da alcuni mesi sulla bocca di tutti. LPD è l’acronimo ufficiale della Legge (federale) sulla protezione dei dati, normativa adottata dall’Assemblea federale, dopo un lungo periodo di gestazione, il 25 settembre 2020.

Si tratta di una revisione di legge complessa che avrà un impatto notevole sulla società e sulle imprese.

Il nuovo paradigma impone di rivalutare aspetti fondamentali della propria azienda, quali l’organizzazione interna, la gestione del personale, la tecnologia utilizzata, i fornitori di beni e servizi, la sicurezza e la trasparenza dei trattamenti. Il “giro di vite” a livello normativo è la “naturale” conseguenza della digitalizzazione e dei rischi sistemici che ne derivano (si pensi ai disastri informatici, ai furti di dati personali e ai casi di estorsione tramite “ransomware”), come pure degli abusi emersi nell’ambito di scandali internazionali, quali “Cambridge Analytica” (profilazione e manipolazione delle masse tramite fake news) oppure il caso Snowden.

La nuova LPD si prefigge di proteggere le persone fisiche e, indirettamente, l’intera comunità, dai trattamenti illeciti dei dati, affinché le informazioni possano essere utilizzate per creare una società digitale sicura, efficiente e non discriminatoria. Più romanticamente, si tratta di tutelare il bene più prezioso: la libertà e la dignità di ciascuno come essere umano.

Parlando di responsabilità, a conferma che l’adeguamento alla LPD non è un “optional”, saranno i consiglieri di amministrazione e i manager ad essere ritenuti responsabili penalmente per le violazioni della LPD riconducibili alle loro aziende (con multe fino a CHF 250’000.-). Ciò includerà la mancata implementazione degli standard minimi di sicurezza che saranno stabiliti dal Consiglio federale. Diversamente dal diritto europeo, che istituisce pesanti sanzioni amministrative pecuniarie a carico delle società, il diritto svizzero ha dunque optato primariamente per la responsabilizzazione dei dirigenti in quanto detentori del potere decisionale. Parallelamente, permane la responsabilità (civile) dei dirigenti verso la società, i suoi azionisti e i creditori per aver omesso di impedire il proliferare di atti illeciti, rispettivamente per aver omesso di implementare un’organizzazione conforme alla legge, come pure la responsabilità (civile) della società per la lesione della personalità delle persone interessate.

La data di entrata in vigore della LPD non è ancora stata decretata, considerato che mancano le norme attuative. Il termine per il referendum è scaduto infruttuoso, per cui, sotto questo profilo, non vi è alcun ostacolo giuridico alla messa in vigore. Gli esperti del settore ritengono che la data più realistica sia metà 2022. Essendo tale data relativamente lontana, si potrebbe essere tentati di rinviare la questione nel tempo. Sarebbe un errore di valutazione grave, tenuto conto della complessità degli adempimenti, dei tempi tecnici per la loro messa in opera e del fatto che la nuova LPD non prevede un termine generale di adeguamento dopo la sua entrata in vigore. È pertanto di fondamentale importanza avviare senza indugio il processo di messa a norma.

Trovandoci in un periodo di transizione, è bene sottolineare l’opportunità di implementare sin da ora le previsioni della futura LPD. In effetti, salvo rare eccezioni, tali previsioni non si pongono assolutamente in contrasto con il diritto attuale.

Vediamo concretamente come procedere e quali sono i principali adempimenti. Sia chiaro: non si tratta di uno sterile esercizio di “produzione cartacea” (come molti pensano), bensì di una vera e propria “ristrutturazione” dell’azienda, che comporta sia un ripensamento del rapporto con le persone interessate, i dati personali e la tecnologia, sia un cambiamento radicale di mentalità che tocca tutti, dai dipendenti fino al top management.

Innanzitutto, occorre creare un Team di progetto autorevole, dotato di risorse adeguate, competenze tecniche, operative e legali, nonché obiettivi chiari. Il Team deve godere del pieno sostegno della Direzione generale e del CdA. In mancanza di know-how specialistico interno, la guida del Team può essere affidata a uno specialista esterno. Le soluzioni completamente esterne (in cui lo specialista pretende, dopo alcune interviste, di mettere a norma l’azienda) sono illusorie e pericolose: nessuno conosce l’azienda meglio di chi ci lavora, per cui il coinvolgimento degli interni, in un cantiere “serio”, è imprescindibile.

Una volta costituito il Team, occorre stabilire il programma di lavoro con relativo scadenziario in base alle risorse disponibili, agli obiettivi e alle priorità d’intervento. In questo ambito, due questioni preliminari devono essere necessariamente affrontate:

(i) l’esigenza di considerare / implementare nel processo, data l’attività dell’azienda, anche normative estere (ad esempio, il GDPR)

e

(ii) l’individuazione di attività che necessitano di particolare (e prioritaria) attenzione (in ragione, ad esempio, delle responsabilità penali che ne scaturiscono oppure di aspetti “visibili” esternamente, come nel caso delle informative sui cookies, oppure perché i rischi per le persone interessate sono elevati).

La prima attività da svolgere è quella di “mappare” i trattamenti di dati personali, inserendo in un apposito registro i seguenti elementi: quali dati vengono trattati, da chi, come, dove, per quali scopi, chi ne è destinatario e sulla base di quale motivo giustificativo avviene il trattamento (legge, consenso o interesse preponderante pubblico o privato). Per lo svolgimento di tale compito è utile dotarsi di un gestionale informatico (nelle aziende medio – grandi la scelta è obbligata).

In secondo luogo, occorre definire ruoli e responsabilità di ciascuna persona che tratta dati personali, sia essa interna (dirigente, collaboratore) o esterna (data processor) all’azienda. La situazione va rappresentata in un organigramma di immediata fruibilità. Tali persone devono ricevere istruzioni chiare e complete sui trattamenti da effettuare (direttive e regolamenti interni) e, nel caso degli esterni, una volta accertata l’affidabilità dei singoli fornitori e dei loro prodotti e/o servizi, la delega del trattamento deve essere regolamentata tramite una convenzione scritta. Nell’ambito di tale fase, occorre valutare se sia opportuno (oppure obbligatorio, se si è confrontati con il GDPR) nominare un Data Protection Officer (DPO), il quale può essere interno o esterno all’azienda, onde presidiare il rispetto delle norme e offrire un supporto costante all’azienda e alle persone interessate nell’ambito di attività informative, ispettive e di consulenza. In base alla nuova LPD, che non prevede l’obbligatorietà della figura del DPO, la nomina comporta (a determinate condizioni) l’esclusione dell’obbligo di consultazione preventiva dell’Incaricato federale in presenza di trattamenti a rischio elevato. In terzo luogo, occorre attuare i principi per il trattamento dei dati personali (sicurezza, proporzionalità, correttezza, privacy by design e by default ecc.) in relazione ai trattamenti svolti e alla scelta degli strumenti (fisici e informatici) e delle modalità di trattamento, nonché identificare e bloccare eventuali attività illecite (in attesa di adeguamento o distruzione dei dati). In quarto luogo, occorre dare seguito agli obblighi di informare le persone interessate (inclusi i dipendenti, gli utenti delle risorse online e i clienti) circa i trattamenti svolti dall’azienda (o delegati a terzi) fornendo tutte le informazioni previste dalla legge. In quinto luogo, occorre identificare i motivi giustificativi alla base di ogni categoria di trattamento, raccogliendo ove necessario il consenso degli interessati (in maniera valida e comprovabile in giustizia), rispettivamente giustificando in modo documentato il ricorso all’interesse preponderante pubblico o privato (“LIA”). In sesto luogo, occorre creare un Team e delle regole per la gestione efficace e tempestiva dei “data breach” (violazioni della sicurezza), come pure per la gestione delle richieste delle persone interessate (rettifica dei dati, blocco dei trattamenti, revoca del consenso, accesso ai dati, portabilità ecc.). In settimo luogo, occorre identificare i trattamenti a rischio accresciuto che impongono lo svolgimento di una valutazione d’impatto sulla protezione dei dati (nel gergo, “DPIA”) e svolgere correttamente tale valutazione (in genere con l’ausilio di un tool informatico). Ove necessario, occorre effettuare la consultazione preventiva dell’Incaricato federale. In ottava posizione troviamo un punto essenziale: le attività di sensibilizzazione e di formazione dei dipendenti sui rischi, sui diritti e sugli obblighi di ciascuno in materia di protezione dei dati personali, nonché sulle responsabilità collegate.

Quale ultima riflessione, credo sia importante rilevare come le nuove norme non debbano essere viste come una rigida e onerosa imposizione, bensì come l’occasione per fortificare il rapporto di fiducia con clienti e dipendenti, promuovendo un’immagine aziendale positiva, socialmente responsabile e rispettosa delle regole e dei diritti fondamentali delle persone. Investire nella protezione dei dati personali significa operare in un contesto nuovo con coscienza e padronanza dei rischi e delle opportunità, sfruttando pienamente vantaggi competitivi e strumenti innovativi nel campo della digitalizzazione. Deludere le aspettative (sempre più elevate) degli utenti riguardo alla tutela della sfera privata e personale (caso WhatsApp docet) è una strategia dannosa non solo dal profilo giuridico, bensì commerciale. In definitiva, la strada è tracciata, per cui non resta che avviarsi con buona volontà, determinazione e con la migliore compagnia possibile verso la meta.

Articolo redatto da

Gianni Cattaneo, Avv., LL. M., FCI Arb

Il 23 dicembre 2020 la Svizzera e l’Italia hanno firmato a Roma un nuovo accordo sull’imposizione dei lavoratori frontalieri e un Protocollo che modifica la Convenzione per evitare le doppie imposizioni.

Il nuovo accordo sostituirà quello attualmente in vigore, risalente al 1974, migliorerà sensibilmente l’attuale dispositivo di imposizione dei frontalieri e contribuirà a mantenere le buone relazioni bilaterali tra i due Paesi.

Il nuovo accordo è stato firmato dalla segretaria di Stato per le questioni finanziarie internazionali, Daniela Stoffel, e dal viceministro italiano dell’economia e delle finanze, Antonio Misiani. Verificata l’impossibilità di firmare il testo così come parafato nel 2015, quest’anno sono ripresi i colloqui tra la Svizzera e l’Italia che hanno portato, negli ultimi mesi, a modifiche del precedente progetto di accordo che rappresentano una soluzione soddisfacente per entrambe le parti.

Il processo di definizione dell’accordo è stato accompagnato da consultazioni con le autorità dei Cantoni dei Grigioni, del Ticino e del Vallese, nonché con le organizzazioni sindacali e l’Associazione dei comuni italiani di frontiera. L’entrata in vigore del nuovo accordo richiede la ratifica dei Parlamenti di entrambi i Paesi.

Gli aspetti principali sono i seguenti.

• Regime ordinario: l’imposta che lo Stato in cui viene svolta l’attività lavorativa applicherà sul reddito da lavoro dipendente per i nuovi frontalieri passerà all’80 per cento, contro il 70 per cento previsto inizialmente nel progetto di accordo parafato nel 2015. I nuovi frontalieri saranno assoggettati ad imposizione in via ordinaria anche nello Stato di residenza, che eliminerà la doppia imposizione. Coloro i quali entrano nel mercato del lavoro come frontalieri a partire dalla data di entrata in vigore dell’accordo saranno considerati come “nuovi frontalieri”.
  
• Regime transitorio: coloro i quali lavorano o hanno lavorato nei Cantoni dei Grigioni, del Ticino o del Vallese nel periodo compreso tra il 31 dicembre 2018 e la data di entrata in vigore del nuovo accordo rientrano nel regime transitorio applicabile agli “attuali frontalieri”. Gli attuali frontalieri continueranno a essere assoggettati ad imposizione esclusivamente in Svizzera. La Svizzera verserà fino alla fine del 2033 una compensazione finanziaria a favore dei Comuni italiani di confine pari al 40 per cento dell’imposta alla fonte prelevata dalla Svizzera. Dopo questa data, la Svizzera conserverà la totalità del gettito fiscale.
  
• Definizione di frontaliere: il nuovo accordo fornisce una definizione di “lavoratore frontaliere” che include i lavoratori che risiedono entro 20 km dalla frontiera e che, in linea di massima, rientrano ogni giorno al loro domicilio. Essa si applica a tutti i frontalieri (nuovi e attuali) a partire dall’entrata in vigore dell’accordo.
  
• Clausola antiabuso: il nuovo accordo contiene una disposizione finalizzata a impedire i potenziali casi di abuso in relazione allo status di “attuale frontaliere”.
  
• Reciprocità: l’accordo si fonda sul principio di reciprocità.
  
• Riesame: l’accordo sarà sottoposto a riesame ogni cinque anni. Inoltre, una clausola dispone che siano previste consultazioni ed eventuali adeguamenti periodici in materia di lavoro agile/telelavoro.

In occasione della firma dell’accordo, la Svizzera e l’Italia hanno anche effettuato uno scambio di lettere, inteso a precisare l’interpretazione di determinate disposizioni del nuovo accordo sui frontalieri e a garantirne la corretta applicazione. In particolare si conferma che il prelievo alla fonte è il solo metodo di imposizione applicabile ai lavoratori frontalieri.

… continua a leggere

© Comunicato stampa integrale del Dipartimento federale delle finanze – 23.12.2020