Lo Studio Legale Nappo nasce con l’obiettivo di offrire alla Clientela assistenza e consulenza con particolare attenzione alle questioni riguardanti il diritto commerciale e societario, la protezione dei dati, i marchi e brevetti, nonché del diritto del lavoro e previdenziale, offrendo al cliente strumenti validi e continuità del servizio, serietà, competenza, preparazione e celerità d’azione per rispondere in tempo reale alle problematiche sottoposte. L’attività professionale offerta è sia di carattere stragiudiziale, sia di carattere giudiziale avanti a tutte le Magistrature. Attualmente l'Avv. Milena Nappo collabora con l'INPS di Ferrara, è nell'organico di ANAS Emilia Romagna ed in quello del Comune di Sant'Agostino, è Consigliere di AIGA Ferrara, è il Vice Presidente del Gruppo CNA Giovani Imprenditori di Ferrara, ed è Data Protection Officer (Responsabile della Protezione dei Dati) di importanti strutture del tessuto imprenditoriale.

GDPR PRIVACY: COSA FARE

GDPR 2018 cosa fare
Acronimo di General Data Protection Regulation, (regolamento europeo privacy) entrerà in vigore a decorrere dal 25 Maggio 2018 e servirà a per tutelare la privacy di tutti i cittadini europei e uniformare le diverse regolamentazioni degli stati membri su tale argomento.

Secondo la Commissione Europea, per dati personali si intende ogni tipo di informazione di una persona fisica in relazione alla sua vita privata, professionale o pubblica.

Fra i dati personali ci sono ad esempio: nomi, foto, indirizzi email, informazioni bancarie, attività web o dei social network, informazioni sanitarie, indirizzi ip del pc. In tutti gli stati membri le leggi nazionali in materia di privacy dovranno armonizzarsi con il GDPR al fine di eliminare ogni dubbio per i soggetti tutelati ed i soggetti tutelanti, essendo obiettivo comune quello di poter continuare a trattare certamente i dati personali, ma nel pieno rispetto dei diritti dei soggetti destinatari del trattamento che prestano il loro consenso.


Chi deve preoccuparsi di mettersi in regola con il GDPR?
Tutte le aziende pubbliche e private che raccolgono i dati personali, anche se possiedono sedi e server fuori dal territorio europeo. Sono interessate dal regolamento anche le aziende che fanno business senza transazioni economiche.

Le novità del GDPR rispetto alla “vecchia” legge sulla privacy?
Quali sono i punti focali introdotti dal GDPR?
• Si passa dal concetto di “misure minime” al concetto di “misure adeguate” al trattamento dei dati personali.
• L’informativa sulla privacy deve essere scritta con un linguaggio comprensibile, deve spiegare come i dati vengono trattati e come può essere dato e tolto il relativo consenso.
• Ai cittadini che prestano il consenso al trattamento dei loro dati personali, deve essere garantito il diritto di poterne avere accesso gratuitamente, il diritto di richiederne la cancellazione completa, evitando un’ulteriore propagazione di tali dati, ed il diritto di poterli modificare in ogni momento.
• In caso di violazione dei dati personali, il titolare del trattamento deve notificare l’accaduto entro 72 ore ai rispettivi proprietari.
• È necessario richiedere esplicito consenso se i dati sono trattati o trasferiti fuori dal territorio europeo.
• Tutte le aziende e le amministrazioni pubbliche di grosse dimensioni che trattano grandi archivi di dati devono avere uno specifico responsabile: il DPO (Data protection officer), che può essere una figura interna o esterna.

I costi per le aziende derivanti dal GDPR
Le novità introdotte dal GDPR non lasciano dubbi sull’importanza che la privacy riveste oggi nella vita delle persone. Intrusioni informatiche, e spiacevoli fatti di cronaca che riguardano i dati delle persone, rappresentano un serio problema da affrontare con fermezza. Quando si parla di costi derivanti dall’adeguamento delle imprese italiane al regolamento europeo, bisogna dividere le spese fra burocrazia, formazione e tecnologia.

Quanto costa adeguarsi al regolamento europeo?
Porre la questione in questi termini non è certamente utile allo scopo. Non si tratta di spendere dei soldi a causa di un regolamento europeo, bensì di porre un certo riguardo alla protezione dei dati nel normale svolgimento delle attività lavorative, e sull’implementazione degli strumenti tecnologici giusti. La maggior parte dei costi nelle piccole aziende è dovuto ad un’errata scelta della tecnologia, causata da un approccio sbagliato al problema.

Quanto costa NON adeguarsi al regolamento europeo?
Chi non rispetta il GDPR rischia sanzioni fino a 20 milioni di euro o fino al 4% del fatturato annuale. Viene introdotto il concetto di proporzionalità della sanzione, e questo sottointende il fatto che ci saranno approfonditi controlli non solo sugli adempimenti burocratici, quanto sulle misure adeguate che l’azienda adotta per proteggere i dati personali: formazione del personale e strumenti utilizzati nel trattamento. Il costo di adeguamento è molto piccolo se visto nell’ottica di investire meglio nelle cose che già ci sono in azienda, mentre le sanzioni sono molto alte, per cui non c’è alternativa, bisogna adeguarsi e mantenere la propria azienda aggiornata.

Quali sono i rischi per i dati personali più comuni trovati nelle aziende?
Di seguito un breve elenco dei rischi per la privacy che abbiamo trovato nelle aziende visitate, rischi che necessitano di “misure adeguate” per la protezione dei dati personali. La qualità e la quantità di rischi proposti denotano come generalmente molte aziende non sono interessate alla protezione dei dati personali, sia propri che dei loro clienti.

Informative non a norma (ove presenti). Mancanza di consensi.
Mancato adeguamento dei contratti con i fornitori ed i consulenti esterni.
Assenza di Responsabili del Trattamento dei dati.
Accessi al sistema privi di password complesse.
Noncuranza della privacy da parte degli utenti.
Mancata formazione del personale.
Sistemi di videosorveglianza (1 su 2 non a norma).
Mancanza di controllo di chi accede ai dati all’interno dell’azienda.
Mancanza di registri per gli accessi ai dati.
Mancanza di backup aziendali affidabili e consistenti.

A chi rivolgersi per una consulenza e per gli adeguamenti richiesti dal regolamento?
Occorre effettuare l’analisi dei rischi?
È consigliato un documento che dimostri come l’azienda o l’ente abbia effettuato un’analisi dei rischi e posto in essere le misure necessaria ad impedire violazioni e perdite dei dati trattati. Tale analisi dei rischi dovrà necessariamente trovare riscontro nella pratica, cioè le misure descritte nel documento dovranno essere altresì implementate per ridurre il rischio.

Lo Studio Legale Nappo, in accordo con aziende leader del settore informatico, offre una consulenza completa per mettersi in regola con il GDPR, e propone dove necessario tutte le misure idonee giuridiche ed informatiche ad adeguare la propria situazione aziendale.

Il primo step è quello dell’analisi dei rischi,
il secondo step è quello dell’adeguamento giuridico e quello degli strumenti,
il terzo step è caratterizzato dalla formazione degli utenti e dalle verifiche periodiche.

FORME ALTERNATIVE DI TUTELA DEI RISPARMIATORI: ABF (Arbitro Bancario Finanziario) E ACF (Arbitro per le Controversie Finanziarie)

Quasi 22 mila ricorsi presentati nel 2016, con un aumento del 60% circa rispetto all’anno scorso; di questi, per oltre 13 mila si è pervenuti ad una decisione che nel 75% dei casi ha avuto esito favorevole al ricorrente, comportando risarcimenti per circa 13 milioni di Euro: questi sono i numeri dell’ABF, l’Arbitro Bancario Finanziario, organismo competente in materia di risoluzione alternativa delle controversie tra clienti e banche / finanziarie.

Circa 1.900 ricorsi presentati nel 2017, n. 300 le decisioni adottate che nel 63% dei casi è stata favorevole in tutto o in parte ai ricorrenti, comportando risarcimenti per 5,2 milioni di Euro: questi, invece, sono i numeri dell’ACF, l’Arbitro per le Controversie Finanziarie, nel suo primo anno di attività; organismo istituito presso la Consob per dirimere, in modo alternativo, le controversie tra investitori ed intermediari in materia di erogazione dei servizi di investimento.

Numeri importanti come si vede e, per certi versi, inaspettati; numeri, soprattutto, che esprimono una nuova tendenza in un contesto caratterizzato da una sempre maggiore conflittualità nei rapporti di clientela bancari e finanziari, ovvero quella di un’esigenza di tutela attraverso canali alternativi al giudice civile ordinario che, spesso, ha avuto un effetto deterrente per i costi da sostenere e le lunghe attese.

L’ABF e l’ACF, dal punto di vista tecnico, sono qualificabili come organismi “ADR” (in inglese, Alternative Dispute Resolution), ossia procedure di risoluzione alternativa delle controversie tra consumatori e imprese. Il provvedimento che ha introdotto in Italia la nuova disciplina delle procedure ADR è il decreto legislativo 6 agosto 2015 n. 130 che, a sua volta, ha recepito la direttiva ADR per i consumatori (n. 2013/11/UE).

Previa verifica di alcuni requisiti di ammissibilità e procedibilità, tutt’altro che restrittivi, le ADR offrono una soluzione rapida, semplice, snella, a basso costo e, al contempo, molto efficace del contenzioso:

- rapida, in quanto la normativa che le regola prevede tempistiche decisamente ristrette (es. per ricorsi ABF  n. 105 giorni complessivi);

- semplice, poiché il ricorso può essere presentato online, attraverso il sito web, oppure attraverso la compilazione di un modulo che può essere inviato anche tramite pec;

- snella, perché il procedimento è strutturato in modo da limitare il contradditorio a pochi passaggi predefiniti (ricorso, deduzioni e controdeduzioni);

- basso costo, in quanto ricorrere all’ACF è gratuito, mentre per l’ABF è necessario versare 20 euro di contributo spese che, nel caso in cui il ricorso fosse accolto anche solo in parte, l’intermediario è tenuto a rimborsare al cliente;

- efficace, poiché, tornando ai numeri sopra riportati, nel 99% delle pronunce ABF a favore dei ricorrenti, l’intermediario soccombente ha rispettato la decisione; ancora maggiore l’efficacia delle pronunce ACF: solo in un caso l’intermediario non ha rispettato la decisione. 

Quest’ultima caratteristica è peraltro rafforzata dal fatto che la normativa prevede di dare pubblicità dell’eventuale inadempienza dell’intermediario soccombente, con relativo danno reputazionale.

Tutto dunque sembra indicare che le procedure alternative, ovvero stragiudiziali, di risoluzione delle controversie rappresenteranno il futuro.

E’ notizia di questi giorni la decisione favorevole dell’ACF a riconoscere il diritto al risarcimento ad azionisti di “banca risolta” delle somme investite in occasione dell’ultimo aumento di capitale, fondando la motivazione sul fatto che la Vecchia Banca, con dolo, ha dato "una falsa e fuorviante rappresentazione del quadro informativo di riferimento, così irreparabilmente pregiudicando il processo valutativo e di propensione all'investimento da parte dei risparmiatori". Risarcimento cui è tenuta la banca che ha successivamente comprato l’ente ponte costituito a seguito del decreto di risoluzione del 22/11/2015.

Decisione importantissima che apre scenari importanti per migliaia di risparmiatori.

D’altra parte, il ricorso alle procedure presso ABF e ACF richiede un’adeguata preparazione tecnica; infatti, sebbene qualsiasi privato consumatore possa ricorrere in autonomia, le possibilità di una decisione favorevole aumentano se il ricorso è esaustivo, ben argomentato e riprende tutti i fatti, nella loro sequenza logica e temporale.

E' fondamentale descrivere in modo chiaro ed esaustivo i fatti sui quali si basa la pretesa, spiegare i propri argomenti in modo lineare, allegare documentazione a supporto, indicare le norme che si ritiene siano state violate e, soprattutto, fare riferimento a precedenti pronunce su casi simili.

Il consiglio è quindi quello di rivolgersi, comunque, a professionisti del settore che conoscano bene (e non solo genericamente) le procedure alternative in argomento; del resto gli stessi numeri sembrano confermare questa tendenza: l’86% dei ricorsi presentati all’ABF nel 2016 sono avvenuti per il tramite di procuratori/rappresentanti.

Per ulteriori chiarimenti contattatemi ad uno dei seguenti indirizzi email:

avv.milena.nappo@gmail.com


adr.assistenza@gmail.com

PROTEGGERE I DATI IN VIAGGIO

In viaggio occorre prestare attenzione ai dati, e ai dati per accedere ai dati. Durante gli spostamenti, infatti, si può viaggiare sia con materiale cartaceo, come agende e documenti stampati, sia con materiale elettronico, quali smartphone, tablet, notebook, memorie usb, hard disk portatili. Ciascuno di questi oggetti può, durante un viaggio, essere sottratto da un malintenzionato. 

Esistono due tipologie di ladri: quelli di forma e quelli di contenuto. 

I primi sono attirati dal valore dell'oggetto in sè: quando sottraggono l'oggetto al possessore, tendono a selezionare quanto di loro interesse. Nel caso di un portatile, ad esempio, solitamente buttano l'hard disk e rivendono il computer usato dopo averlo dotato di nuovo hard disk. I secondi, ovvero i ladri di contenuto, invece, sono interessati al solo hard disk.

E' evidente dunque che i dispositivi elettronici che contengono una memoria di massa, rappresentano un potenziale rischio per i dati aziendali in quanto raramente i dati in essi contenuti vengono crittografati, ed in caso di smarrimento o furto, il loro contenuto sarà facilmente leggibile a chiunque li trovi. E' pertanto necessaria una preventiva protezione crittografica. 

Diverso è il discorso della carta stampata o scritta a mano: frequentemente ad esempio si annotano sulle agende codici e credenziali per accedere a dati aziendali o al cloud. 

Altro aspetto cui occorre prestare attenzione è la digitazione di credenziali sui mezzi pubblici, su treno, aereo, autobus, e nei luoghi pubblici, per strada e nelle sale d'attesa. Nessuno si preoccupa che chiunque possa annotare le credenziali digitate, accedendo poi ai dati aziendali in un secondo momento. 

Anche gli access point per il collegamento ad internet, presenti negli hotel, negli spazi verdi, e su alcuni mezzi pubblici, potrebbero essere compromessi da malintenzionati che si appostano invisibili nella rete e tentano di carpire le informazioni degli utenti più sprovveduti. Risultano così a rischio le credenziali aziendali, le di accesso al proprio istituto di credito e quelle della posta elettronica, tanto per fare alcuni esempi. 

Questi sono solo alcuni dei rischi più probabili. 

Il Codice della Privacy prevede l'adozione di misure minime di sicurezza obbligatorie, quali backup, procedure di disaster recovery, firma digitale. Un consulente legale, unitamente ad un consulente informatico, potranno coadiuvare il responsabile della sicurezza aziendale, analizzando i rischi e studiando adeguate procedure di sicurezza per proteggere i dati aziendali. 

Guarda il VIDEO su https://youtu.be/8H6AX5F903w 

Seguici su Twitter @MilenaNappo

CANONE RAI: COME EVITARE DI PAGARLO

Finalmente è stato approvato il modello di dichiarazione sostitutiva da compilare per evitare l'addebito del canone RAI sull'utenza dell'energia elettrica.
Naturalmente, per evitare l'addebito del canone, occorre non essere detentori di un apparecchio TV.

CHI PUO' PRESENTARE LA DICHIARAZIONE? 
La dichiarazione può essere presentata solo dai titolari di un'utenza per la fornitura di energia elettrica per uso domestico residenziale o dall'erede, se l'udienza è intestata transitoriamente a un soggetto deceduto.

QUANDO SI PUO' PRESENTARE LA DICHIARAZIONE DI ESENZIONE?
L'invio è consentito solo ad alcune categorie di utenti. E precisamente, possono compilare ed inviare il modello per beneficiare dell'esenzione solo:
1. gli intestatari di utenze elettriche appartenenti a famiglie in cui nessuno dei componenti detiene apparecchi televisivi in nessuna delle abitazioni ad uso domestico possedute;
2. quando il canone è già versato da altro componente della famiglia inserito nel nucleo famigliare, anch'esso intestatario di utenza elettrica;
3. quando il proprio unico apparecchio è stato, a seguito di autodenuncia, suggellato al 31 dicembre 2015 (in questo caso naturalmente non si devono possedere altri apparecchi televisivi);
4. in caso di necessità di variazione di un modello già presentato in precedenza.
Ciò significa che si potrà chiedere l'esenzione sia per le seconde case (il canone si deve pagare al massimo una volta per nucleo familiare!) sia qualora nella prima casa non si posseggano apparecchi televisivi.

TERMINI PER LA PRESENTAZIONE DEL MODELLO
Il modello deve essere inviato in cartaceo entro il 30 aprile 2016, ed in modo telematico entro il 10 maggio 2016, ed avrà validità per l'intero anno solare 2016. Diversamente, invii successivi varranno solo per una esenzione parziale, ovvero per l'ultimo semestre del 2016.

COME DEVE ESSERE INOLTRATO IL MODELLO?
Il modello deve essere inoltrato, unitamente alla copia di un documento d'identità, esclusivamente con le modalità indicate dal sito dell'Agenzia delle Entrate, ovvero:

1. per il tramite di raccomandata all'indirizzo 

AGENZIA DELLE ENTRATE, UFFICIO DI TORINO 1, S.A.T. - Sportello abbonamenti TV - Casella Postale 22 - 10121 Torino

2. telematicamente previa iscrizione al sito Fisconline o Entratel

Per scaricare il modulo, Vi invito a cliccare sul seguente link modulo

Per essere guidato nella compilazione del modulo guarda il video su 

Per ascoltare il testo dell'articolo ascolta il podcast su

Per ulteriori chiarimenti, Vi sono le istruzioni predisposte dall'Agenzia delle Entrate che potete trovare qui istruzioni.

Qui sotto invece i link alle nostre risorse multimediali:



ATTENZIONE: la dichiarazione ha validità annuale, pertanto deve essere rinnovata ogni 12 mesi!

ATTENZIONE: trattandosi di autocertificazione, non rilasciate dichiarazioni mendaci!!!

I LOG DELL'AMMINISTRATORE DI SISTEMA

La legge sulla privacy prevede il controllo degli accessi, ovvero delle autenticazioni informatiche, effettuati dall'amministratore di sistema, ai dati contenuti all'interno di computer, server, e altre risorse informatiche. In assenza di definizioni normative-tecniche condivise, per amministratore di sistema si intende la figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengono effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi, le reti locali e gli apparati di sicurezza nella misura in cui consentano di intervenire sui dati personali.

Il Garante non ha inteso equiparare gli operatori di sistema, di cui agli articoli del codice penale relativi ai delitti informatici, con gli amministratori di sistema Questi ultimi sono infatti dei particolari operatori di sistema dotati di specifici privilegi.

Le registrazioni, access log, devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità, devono pertanto comprendere riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo non inferiore ai sei mesi.

Il logbook era il giornale di bordo delle navi e, per estensione del termine, in informatica si intende un sistema per registrare cosa accade all'interno di un software. Quello che accade è detto evento e spesso, appunto, si sente parlare di log degli eventi. 

Gli eventi possono essere di svariati tipi ed il software può registrare, un po' come in un diario, tutti gli eventi che accadono, ma senza considerazioni personali. Se un utente possiede dei dati in un computer e a quel computer accede solo lui, l'amministratore di sistema, nella funzione delle sue mansioni, potrebbe accedere a tali dati con o senza la presenza dell'utente.

Il log degli accessi registra chi ha avuto accesso ai dati e quando, fornendo preziose informazioni in caso di accertamento delle responsabilità connesse ai dati trattati.

Accessi ripetuti ai dati da parte di un amministratore di sistema, anche in mancanza di necessità, potrebbero dunque indicare attività sospette, sicuramente da approfondire. Tuttavia il log degli accessi è davvero un requisito minimo e si incoraggiano le aziende a prendere in considerazione soluzioni più specifiche per la protezione dei dati.

Non solo nei confronto di soggetti terzi, che possono accedere con autorizzazione ai dati, ma sopratutto nei confronti di software malevoli che possono accedere senza autorizzazione ai dati, sia dall'intero che dall'esterno dell'azienda.

Un buon consulente legale, unito ad un consulente informatico, sapranno individuare insieme al cliente i rischi e le soluzioni più idonee per proteggere i dati nel rispetto della privacy e del budget economico a disposizione dell'azione dell'azienda.


Ascolta il PODCAST https://soundcloud.com/leguleio/leguleiocom-il-backup-dei-dati-1

Seguici su Twitter @MilenaNappo