di Pierpaolo Ceroli e Agnese Menghi

Dal 1° luglio 2018, benché sembra preannunciarsi delle proroghe o meglio un doppio binario sino a fine 2018 (si veda Il Quotidiano del Fisco del 15 maggio ), i soggetti passivi Iva che vorranno dedurre le spese per l’acquisto di carburanti, ma anche detrarre la relativa Iva, dovranno regolare gli acquisti esclusivamente mediante strumenti di pagamento tracciabili, a seguito delle modifiche apportate dalla legge di Bilancio 2018 (legge 205/2017) agli articoli 164 Tuir e articolo 19-bis.1 del Dpr Iva. Anche questa volta, le norme introdotte difettano di coordinamento, parzialmente risolto dall’agenzia delle Entrate con il provvedimento 4 aprile 2018 e la circolare 8/E/2018 . In particolare, dal tenore letterale della norma, la deducibilità dei costi per l’acquisto di carburante è ammessa solo se effettuate mediante carte di credito, di debito o prepagate emesse dagli operatori finanziari soggetti all’obbligo di comunicazione all’Anagrafe tributaria all’articolo 7 del Dpr 605/1972. Per quanto riguarda, invece, l’Iva, la sua detrazione è possibile, oltre che nell’ipotesi precedente, anche quando si ricorre agli altri strumenti individuati dal provvedimento dell’agenzia delle Entrate. Pertanto, vi era un disallineamento tra Irpef/Ires e Iva, risolto dal provvedimento del 4 aprile 2018, il quale individuando gli altri mezzi di pagamento ammessi, ha anche chiarito che l’acquisto di carburanti con uno di questi strumenti consente la deducibilità del relativo costo, nelle misure previste per il veicolo associato.

I mezzi di pagamento che si dovranno utilizzare dal prossimo luglio sono:
•le carte di credito, di debito e prepagate emesse da soggetti all’articolo 7 del Dpr 605/72;
•le carte elettroniche emesse da altri operatori, anche non residenti (a differenza della circolare 42/E/2012 relativamente al sistema dei pagamenti tracciati all’articolo 1 del Dpr 444/97);
•gli assegni, bancari e postali, circolari e non, nonché i vaglia cambiari e postali , rispettivamente, al Rd 1736/1933 e al Dpr 144/2001;
•addebito diretto;
•bonifico bancario o postale;
•bollettino postale;
•altri strumenti di pagamento elettronico disponibili, che consentano anche l’addebito in conto corrente, come ad esempio le applicazioni su smartphone (circolare Guardia di Finanza del 13 aprile 2018).

Nel tempo, però, sono stati introdotti particolari metodi di pagamento, quali le carte magnetiche, come nel caso del contratto netting. In queste ipotesi, il costo è deducibile e l’Iva detraibile se i rapporti tra gestore dell’impianto e società petrolifera, nonché tra quest’ultima e l’utente, siano regolati con uno degli strumenti tracciabili. Stesso principio vale per le spese anticipate dal dipendente, cosicché è necessario che il lavoratore abbia pagato con una carta elettronica e sia stato rimborsato con un metodo tracciabile (si ricorda il nuovo obbligo di tracciabilità delle retribuzioni dal 1° luglio 2018) oppure per tutte le ipotesi in cui il pagamento avviene in un momento diverso dalla cessione.

Per quanto riguarda i mezzi di trasporto interessati, occorre rilevare una particolarità relativa alle imbarcazioni e agli aeromobili, per i quali la normativa Iva richiede espressamente l’utilizzo di «moneta elettronica», mentre ai fini delle imposte dirette, l’articolo 164 del Tuir fa riferimento ai veicoli stradali, cosicché i costi relativi agli acquisti di carburanti potrebbero essere dedotti anche se sostenuti in contanti.

I mezzi di pagamento di tracciabili devono essere utilizzati a prescindere dalla fattura elettronica, in quanto si applica a tutti i carburanti per autotrazione, non solo quindi alla benzina e al gasolio. Pertanto, dal 1° luglio 2018 al 31 dicembre 2018, a seguito dei chiarimenti forniti nella circolare 8/E/2018, chi acquista metano e Gpl dovrà ricorrere alle carte elettroniche, ma anche alla scheda carburante (ma sono necessari ulteriori chiarimenti in merito); mentre coloro che acquistano benzina e gasolio riceveranno l’e-fattura (dalla quale dovrebbe risultare anche la targa del (veicolo), ma dovranno utilizzare comunque gli strumenti di pagamento tracciabili. Infine, si segnala che con la citata circolare 42/E/2012 in caso di più acquisti contestuali rispetto al carburante, sarebbe opportuno effettuare il pagamento in due pagamenti diversi.

Fonte “Il sole 24 ore”

Cosa inserire nei moduli cartacei per la raccolta dati clienti in negozio?

Cosa fare per l’iscrizione alla newsletter tramite il sito? Perché per legge bisogna usare uno strumento d’invio newsletter professionale e non mandarle semplicemente da gmail o servizi gratuiti? La normativa sui cookie cosa diavolo è?

Se ti stai ponendo queste domande, troverai una risposta in questa lezione.

Iniziamo con il toglierti immediatamente un dubbio:

#1 Il consenso cartaceo per inviare materiale promozionale

Se vuoi inviare materiale promozionale ad un cliente devi avere il consenso scritto e firmato.

Non basta chiederlo a voce.

Se un cliente, ad esempio, ti lascia il numero per essere avvisato dell’arrivo di un prodotto, non puoi usare il suo numero per inviare promozioni o avvisi. Questo perché “lui” non ti ha lasciato l’autorizzazione scritta.

La raccolta dati va fatta usando dei moduli che i clienti devono compilare e che tu devi conservare.

Ma cosa bisogna inserire nei moduli per fare una raccolta dati dei clienti in negozio che rispetti le regole?!

Iniziamo:

1. a) Per i semplici moduli di raccolta dati dovrai inserire:

I campi da far compilare con i dati che occorrono e-mail, sms, data di nascita etc…

L’Informativa sulla Privacy, dove spieghi come verranno usati esattamente i dati e che NON verranno ceduti a terzi.

Una frase per l’Accettazione al trattamento dei dati personali, con sotto due caselle da spuntare (checkbox) con scritto “Do il consenso” e “ Nego il consenso”.

Una frase come Acconsento al trattamento dei dati personali, per finalità legate ad attività di marketing diretto (invio di materiale formativo e promozionale specificando anche i vari strumenti)” con sotto altre due caselle da spuntare (checkbox) con scritto “Do il consenso” e “ Nego il consenso”.

Lo spazio per la firma del cliente.

La maggior parte dei moduli che si vedono in giro hanno solo riportato la dicitura riguardante la privacy, ma con la riforma è obbligatorio mettere le checkbox ed è assolutamente vietato farle trovare già flaggate, questo mi sembra ovvio ma lo scrivo perché ogni tanto lo vedo fare.

Cosa importante è scrivere il testo in modo che sia facilmente comprensibile, senza usare termini complessi. Inoltre bisogna scrivere esattamente cosa farai nello specifico con i dati richiesti.

1. B) Per l’iscrizione alla Fidelity Card in negozio:

Dovrai inserire anche:

Il regolamento completo sull’utilizzo della fidelity card.

Le Fidelity Card sono comunque sempre accompagnate da un foglio, con tanto di regolamento e con la nota sulla privacy.

I programmi di fidelizzazione rientrano nelle “manifestazioni a premio”, e dal punto di vista legale si chiamano proprio “operazioni a premio”. Informati bene per sapere quando sono da considerarsi operazioni a premio escluse, perché queste ultime si possono realizzare in maniera più semplice.

Scopri concorsi e operazioni, in modo più specifico, di manifestazioni a premio >>

Leggi tutti i dettagli per fare le operazioni a premio nel tuo negozio >>

Inoltre i moduli vanno conservati ed è vietato raccogliere i dati dei minorenni.

#2 Regole per il Sito Web

1. a) Per l’iscrizione alla newsletter o sms marketing dal Sito Internet

Se la raccolta dati dei clienti di un negozio avviene dal tuo sito, allora sotto i campi da compilare (email, sms, ecc…)  dovrai inserire:

Un chekbox da flaggare, con la frase che deve portare (linkare) alla pagina completa della tua Policy Privacy.

Potrebbe essere necessario anche un chekbox da flaggare, con a fianco il consenso per ricevere il materiale promozionale.

Molto spesso vediamo negozianti che, per inviare newsletter, non usano strumenti professionali a pagamento come MailChimp, ma le inviano direttamente da gmail, libero, yahoo o altri servizi inadatti.

Questo è un errore grave.

Non solo dal punto di vista marketing ma anche dal punto di vista legge.

Infatti per legge se un cliente si iscrive alla tua newsletter deve:

• Deve potersi cancellare dalla tua newsletter con un click. Quindi in ogni newsletter deve esserci il bottone o la scritta di cancellazione.
• Deve poter modificare i suoi dati nel suo pannello personale.
• Nel footer di ogni email deve esserci un link che porta al documento esteso della tua privacy.
• Sarebbe meglio far Confermare la sua iscrizione. Quindi una volta che lascia la sua email deve ricevere una prima email del tipo: “Sei stato tu ad iscriverti?” E deve dare il suo assenso cliccando su un bottone di “Conferma”. (termine tecnico ->Double Optin).
• Ecco qui un esempio di cosa deve ricevere, in automatico, il lettore subito dopo aver effettuato la sua iscrizione alla tua newsletter.
  1. B) Legge sui Cookie e cosa fare.

  Questa legge vale solo se hai un sito Internet. Iniziamo con il capire cosa sono questi Cookie:

  I Cookie sono piccoli file di testo che vengono creati in automatico, che servono per tracciare le sessioni di navigazione e per memorizzare informazioni specifiche riguardanti gli utenti che accedono al server.

   Ad esempio, se ti arrivano i reports sull’andamento del tuo sito (come quelli di Google Analytics), puoi leggere una serie di statistiche dettagliate che vengono rilevate anche grazie ai cookie. Questo senza che nemmeno tu te ne accorga.

  Non ti serve sapere ulteriori tecnicismi, ma se vuoi saperne di più riguardo alla legge ecco un link di approfondimento del Garante della Privacy >>.

  Accertati che il tuo “sitologo” o la società a cui ti sei appoggiato per la creazione del sito, ti aiutino a sistemare tutto.

  In linea di massima per rispettare questa normativa è necessario:

  Inserire un banner “BEN VISIBILE” che compaia appena l’utente arriva sul sito in modo che, l’utente, possa dare il suo consenso al rilascio dei vari cookie e registrarne l’accettazione.

  Che questo banner sia linkato al documento esteso della “Cookie Policy”.

  Che questo link appaia anche nel footer sotto la dicitura “Cookie Policy”, riportando alla versione completa (come per la Policy Privacy) dove viene spiegato cosa bisogna fare se si vuole negare il rilascio dei cookie.

  Inserire una dicitura sull’utilizzo dei Cookie anche a fondo newsletter.

  Visto che parliamo di siti web vediamo anche…

  Ringrazio Marco dalla UP Informatica, per averci suggerito di aggiungere questi obblighi legali che sono importanti per tutti i titolari di un sito web:

  Partita IVA: Va inserita in home page, o nel footer del sito, per qualsiasi soggetto in possesso di partita IVA. Attenzione perché in caso di omissione, la sanzione varia da € 258,00 fino a 2.065,00. L’obbligo d’indicazione della Partita Iva vale anche per i siti che si limitano a pubblicizzare servizi o prodotti, senza svolgere commercio elettronico. Quindi per te che hai un Negozio è certamente importante inserirla.

  Denominazione della società.

  Indirizzo completo della sede legale della società.

  Iscrizione al registro delle imprese: Sede ufficio e relativo numero d’iscrizione con l’indicazione di eventuale stato di liquidazione in seguito a scioglimento.

  Capitale sociale. (non sempre necessario)

  Il link alla Policy Privacy (politica sulla privacy) deve essere visibile in TUTTE le pagine del sito. Quindi scrivi questa frase “Informativa sulla Privacy” nel footer (ossia a piè di pagina) del sito, e fai in modo che abbia un collegamento tramite link alla pagina completa della tua Policy Privacy.

  Il link alla Cookie Policy sempre nel footer.

  Se hai un e-commerce dovrai aggiungere nel footer anche il link alle condizioni di vendita.

  C) Ulteriori obblighi legali da inserire in ogni Sito Web.

di Studio Legale Associato Fioriglio-Croari 4 Aprile 2018, 14:00

Le sanzioni amministrative pecuniarie previste dal GDPR dovranno essere disposte in modo tale da poter dare un’adeguata risposta in base alla natura, alla gravità e alle conseguenze della violazione che è stata realizzata.

Volendo scendere nel merito delle singole sanzioni pecuniarie previste dal GDPR, emerge anzitutto il fatto che il Regolamento, indicando due diversi massimali (€ 10.000.000 e € 20.000.000), riconosce il fatto che la violazione di alcune disposizioni sarà nettamente più grave rispetto alla violazione di altre.

In particolare, come previsto dall’art. 83, paragrafo 4, sarà soggetta all’applicazione di sanzioni amministrative pecuniarie fino ad un massimo di € 10.000.000 oppure, per le imprese, fino al 2% del fatturato mondiale totale annuo riferito all’esercizio precedente (se si tratta di un importo superiore ai 10 milioni di euro) la violazione, anzitutto, di una serie di obblighi che il Regolamento pone in capo al titolare e al responsabile del trattamento dei dati, tra cui, ad esempio:

Gli obblighi sanciti per il trattamento dei dati personali riguardanti soggetti minori di 16 anni (art. 8);

Gli obblighi previsti per il trattamento di dati senza necessaria identificazione dell’interessato (art. 11);

Gli obblighi relativi alla protezione dei dati personali fin dalla progettazione e per impostazione predefinita (ovvero il rispetto dei principi di privacy by design e privacy by default), alla tenuta dei registri delle attività di trattamento, alla cooperazione con l’autorità di controllo, nonché quelli previsti in materia di sicurezza del trattamento dei dati, di notifica delle violazioni dei dati all’autorità di controllo e all’interessato, così come gli obblighi riguardanti la valutazione d’impatto sulla protezione dei dati e la designazione del responsabile della protezione dei dati (artt. da 25 a 39);

Gli obblighi relativi ai meccanismi di certificazione della protezione dei dati (artt. 42 e 43).

Questa stessa sanzione potrà essere applicata poi, come previsto dall’art. 83, paragrafo 4, lett. b) e c), anche nel caso di violazione degli obblighi sanciti in capo all’organismo di certificazione della protezione dei dati dagli artt. 42 e 43 e degli obblighi dell’organismo di controllo per quanto concerne il monitoraggio della conformità dei codici di condotta approvati, di cui all’art. 41, paragrafo 4.

Darà luogo, invece, all’applicazione di una sanzione pecuniaria fino ad un massimo di € 20.000.000 oppure, per le imprese, fino al 4% del fatturato mondiale totale annuo riferito all’esercizio precedente (se si tratta di un importo superiore a 20 milioni di euro) la violazione di:

Principi fondamentali che stanno alla base di un legittimo trattamento dei dati personali, ossia:

In base all’art. 5, i principi di correttezza, liceità e trasparenza del trattamento, il principio di limitazione della finalità del trattamento, il principio di minimizzazione, di esattezza, di limitazione della conservazione, di integrità e riservatezza dei dati personali e, infine, di responsabilizzazione del titolare del trattamento;

Il principio di liceità del trattamento dei dati espresso dall’art. 6, in forza del quale un trattamento sarà lecito se fondato sul consenso dell’interessato, se necessario per l’esecuzione di un contratto o di misure precontrattuali di cui l’interessato sia parte, o ancora per adempiere ad un obbligo di legge da parte del titolare del trattamento o per la tutela di interessi vitali dell’interessato o di un soggetto terzo, come per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, oppure per il perseguimento del legittimo interesse del titolare del trattamento o di terzi;

I principi che, in base all’art. 7, assicurano che la prestazione del consenso, da parte dell’interessato, al trattamento dei dati personali possa essere considerato legittimo; e infine

I principi a fondamento del legittimo trattamento di categorie particolari di dati personali, quali dati sensibili e dati relativi a condanne penali, come previsto dall’art. 9.

Diritti sanciti in capo ai soggetti interessati a norma degli artt. da 12 a 22 del GDPR, quali:

Il diritto di ricevere adeguate informazioni in ordine al trattamento dei propri dati personali (artt. da 12 a 14);

Il diritto di accesso (art. 15);

Il diritto di rettifica (art. 16);

Il diritto all’oblio (art. 17);

Il diritto alla limitazione del trattamento dei dati (art. 18);

Il diritto alla portabilità dei dati (art. 20);

Il diritto di opposizione al trattamento (art. 21); e, infine

Il diritto di non essere sottoposto a una decisione fondata unicamente su di un trattamento automatizzato, compresa la profilazione, e produttiva di effetti giuridici a suo carico (art. 22).

Disposizioni riguardanti il trasferimento di dati personali a un destinatario situato in un paese terzo o un’organizzazione internazionale (in base agli artt. da 44 a 49);

Obblighi sanciti dagli ordinamenti giuridici dei singoli stati membri e aventi ad oggetto specifiche situazioni di trattamento dei dati, come previsto ai sensi degli artt. da 85 a 91; e infine

Ordini o limitazioni provvisorie o definitive di trattamento stabilite dall’autorità di controllo, come previsto dall’art. 58, paragrafo 2.

Da quanto riportato emerge che, a differenza di quanto previsto dall’attuale normativa interna, il GDPR introduce delle sanzioni effettive e particolarmente elevate per far fronte alla violazione dei principi fondamentali in materia di protezione dei dati personali. Per quanto sia vero che la concreta determinazione delle sanzioni andrà stabilita in stretto rapporto al contesto ed alla gravità della violazione, non può lasciare indifferenti il fatto che da un’informativa inadeguata resa agli interessati possano derivare sanzioni di un valore pari a 2 milioni di euro. È evidente che nell’ottica del GDPR al rispetto dei principi essenziali è riconosciuta un’importanza estrema; è altrettanto evidente, però, l’enorme portata potenziale di simili previsioni normative e la massima attenzione che i titolari dovranno porre per garantirne il rispetto.

di Studio Legale Associato Fioriglio-Croari 23 Febbraio 2018, 14:00

 I rischi cui si va incontro in caso di violazione del Regolamento sono alquanto rilevanti e sottovalutare gli obblighi previsti dal GDPR potrebbe costare ben caro alle imprese inadempienti.

Eventuali violazioni delle disposizioni del Regolamento, così come una sua applicazione inesatta o parziale, comportano infatti rilevanti conseguenze, sia sul piano economico sia su quello delle attività effettuate.

Intanto, si deve partire dal presupposto che il Regolamento rafforza i diritti degli interessati e cerca di rendere più efficace gli strumenti a loro disposizione per la tutela di tali diritti nella realtà quotidiana. I titolari, da questo punto di vista, devono attenersi a principi di trasparenza e di semplificazione e rendere ogni informazione attinente ai dati personali oggetto di trattamento disponibile agli interessati, anche agevolando loro l’accesso a tali informazioni (in primo luogo, ponendo la massima attenzione ad una corretta informativa e alla corretta gestione dei dati).

Dalle maggiori garanzie e dalla efficace tutela che il GDPR vuole riconoscere ai diritti degli interessati, consegue, sul piano dei rischi concreti per i titolari, in caso di violazioni del Regolamento, innanzitutto, la possibilità che gli interessati, che ritengano di aver subito una lesione del proprio diritto alla protezione dei dati personali, facciano valere il diritto ad ottenere il risarcimento integrale dei danni subiti (ai sensi dell’art. 82 GDPR). Ciascun titolare infatti è direttamente responsabile civilmente per i pregiudizi, materiali e immateriali, causati agli interessati da un trattamento illecito o scorretto di dati personali dallo stesso effettuato.

In secondo luogo, viene in rilievo l’attività di controllo del Garante per la protezione dei dati personali e i poteri sanzionatori ad essi attribuiti. Tale Autorità, singolarmente e in sinergia con le altre Autorità interne di ciascuno Stato membro, è incaricata di vigilare sulla corretta applicazione del Regolamento e di assicurarne la piena attuazione. Per svolgere correttamente e con efficacia tali compiti, il Garante può intervenire nei confronti dei titolari e dei responsabili dei trattamenti ogni qualvolta sospetti la presenza o riscontri delle concrete violazioni della normativa. A tal fine, l’Autorità Garante è dotata, in forza del Regolamento, del potere di effettuare indagini e di quello di infliggere sanzioni, di tipo inibitorio, correttivo e pecuniario nei confronti dei titolari che abbiano posto in essere violazioni delle disposizioni del GDPR o ne abbiano applicato parzialmente o in modo inesatto la disciplina.

Si tratta di sanzioni che il GDPR pretende debbano essere sempre effettive, proporzionate e dissuasive, richiedendo pertanto a ciascuno Stato membro di valutare le soluzioni più efficaci per assicurare e garantire concretamente tale risultato.

Vero è che le sanzioni applicabili dai Garanti possono variare enormemente, passando da semplici ammonimenti, a ordini di sospensione di flussi di dati o di attività di trattamento, fino all’inflizione di sanzioni pecuniarie del valore anche di 20.000.000 di euro e pari al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

La scelta delle misure appropriate da applicare caso per caso è rimessa alle Autorità di controllo con lo scopo primario di garantire, appunto, una reazione effettiva, dissuasiva e proporzionata alle violazioni effettuate dai titolari. Dovranno sicuramente avere rilevanza la natura, la gravità e la durata delle violazioni, nonché la quantità dei dati personali coinvolti, le finalità di utilizzo dei dati, il carattere intenzionale o colposo della condotta, e così via. Inoltre, ciascuno di tali elementi andrà rapportato con il particolare ambito di riferimento, ad esempio, al numero di utenti di un servizio o alla popolazione di uno Stato, oppure, ancora alla tipologia di dati trattati. È evidente, però, che alcuni interventi chiarificatori al riguardo, da parte dei legislatori interni e delle stesse Autorità Garanti, sono indispensabili per determinare come verranno realmente gestiti tali poteri sanzionatori a seconda di ciascuno specifico contesto di riferimento.

A prescindere dalle indicazioni pratiche che saranno fornite, peraltro, va considerato che su questi aspetti il GDPR prevede una disciplina molto più stringenti rispetto a quella del Codice della Privacy e che non potrà essere trascurata o elusa dalla regolamentazione di dettaglio. Si pensi, a titolo esemplificativo (approfondiremo poi in apposita sede tali aspetti), che la sanzione massima pecuniaria sopra citata può essere applicata anche in caso di violazione dei principi base del trattamento, tra cui quelli di liceità, correttezza, trasparenza, limitazione delle finalità, e quelli relativi alle condizioni per il rilascio del consenso.

di Studio Legale Associato Fioriglio-Croari 14 Marzo 2018, 14:00

Come stabilito dall’art. 82, comma 1 del GDPR: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

È previsto quindi il diritto dell’interessato (in quanto danneggiato) di ottenere il risarcimento del danno, sia patrimoniale sia non patrimoniale, nel caso in cui sia stata posta in essere una condotta, attiva o omissiva, che integri una violazione del Regolamento. E sono tenuti al risarcimento del danno sia il titolare che il responsabile del trattamento.

In particolare, il titolare del trattamento risponderà per il danno cagionato dal trattamento dei dati personali realizzato in violazione del regolamento.

Il responsabile del trattamento risponderà, invece, per il danno causato dal trattamento solo se non ha adempiuto correttamente agli obblighi sanciti nel GDPR in capo ai responsabili del trattamento, oppure se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.

È stato osservato che questa norma sembra configurare profili di responsabilità molto ristretti in capo al titolare ed al responsabile del trattamento. Questa considerazione non è tuttavia corretta se si pensa che deve essere interpretata anche alla luce del Considerando n. 146, per quanto riguarda la figura del titolare del trattamento e dell’art. 28, comma 3, per quanto riguarda invece il responsabile del trattamento.

In sostanza, in questo modo si stabilisce che il titolare sarà responsabile non solo in caso di violazione delle disposizioni del GDPR, ma anche nel caso di inosservanza delle altre disposizioni previste dalle norme attuative, dagli atti delegati, dagli atti di esecuzione del Regolamento e dalle altre disposizioni dei singoli stati membri.

Quanto al responsabile del trattamento, la sua responsabilità sembrerebbe essere circoscritta alle sole azioni od omissioni in relazione all’osservanza delle disposizioni del GDPR, nonché al rispetto delle indicazioni e delle direttive del titolare del trattamento. In realtà, il responsabile del trattamento ha anche un dovere generale, nel senso che è suo compito anche quello di avvisare il titolare del trattamento delle eventuali condotte che risultano non correttamente disciplinate dallo stesso titolare. Sarà quindi possibile configurare a suo carico una responsabilità per omessa informazione nei confronti del titolare del trattamento.

Il titolare del trattamento o il responsabile del trattamento saranno, però, esonerati dalla responsabilità se riescono a dimostrare che l’evento dannoso non è in alcun modo imputabile alla loro condotta, e quindi che il danno è scaturito da una fonte “estranea” al loro raggio d’azione, oppure se dimostrano di aver adottato tutte le misure idonee al fine di evitare il danno stesso.

Qualora più titolari o responsabili del trattamento siano coinvolti nello stesso trattamento e siano responsabili dell’eventuale danno causato per effetto del trattamento, ogni titolare o responsabile sarà responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento integrale del danno subito dall’interessato. L’art. 82, comma 4 prevede, a questo proposito, che “Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato”.

Nel caso in cui, poi, un titolare o un responsabile abbia pagato l’intero risarcimento del danno, avrà il diritto di reclamare dagli altri titolari o responsabili -coinvolti nello stesso trattamento- la parte del risarcimento corrispondente alla loro parte di responsabilità.

La norma è interessante in quanto disciplina le conseguenze patrimoniali derivanti dal danno, nei rapporti interni tra titolare/i e responsabile/i del trattamento dei dati: una responsabilità che si configura “per quote”, ossia sulla base delle diverse “porzioni” di responsabilità che possono essere delineate in capo alle diverse figure coinvolte.

Questo è quanto è stabilito dall’art. 82, comma 5 che dispone: “Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2”.

di Studio Legale Associato Fioriglio-Croari 13 Marzo 2018, 14:00

Come nel caso del titolare del trattamento, anche la figura del responsabile del trattamento -sotto il profilo delle sue caratteristiche soggettive e delle sue responsabilità- è definito dal GDPR negli stessi termini già previsti dalla Direttiva 95/46/CE e dal Codice Privacy.

In particolare, con il termine “responsabile del trattamento” il GDPR si riferisce alla “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, paragrafo 1, n. 8). Si tratta quindi di quel soggetto che è preposto e al quale viene affidato, da parte del titolare, il trattamento dei dati personali.

Per quanto riguarda i requisiti soggettivi che il responsabile del trattamento deve possedere, il GDPR prevede che si tratti di una figura in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato.

A questo proposito, come specificato dal Considerando 81, le garanzie che il responsabile del trattamento deve essere in grado di fornire si sostanziano in: una conoscenza specialistica della materia, affidabilità e possesso di risorse che permettano di attuare misure tecniche e organizzative in grado di soddisfare tutti i requisiti stabiliti dal Regolamento per il trattamento dei dati personali, anche sotto il profilo della sicurezza.

Il Responsabile del trattamento dovrà quindi avere una competenza qualificata, che potrà essere comprovata da apposita documentazione (rilasciata, ad esempio, in seguito alla frequentazione di corsi qualificati, benché non esistano attualmente particolari abilitazioni o il possesso di specifiche certificazioni). Per quanto riguarda invece il profilo dell’affidabilità, questo requisito dovrà essere fondato su aspetti etico-deontologici, che potrebbero essere dimostrati, ad esempio, con semplici autocertificazioni, anche per escludere eventuali condanne che possano essere rilevanti al riguardo.

A questo proposito, si ricorda che già il Codice della Privacy prevede, all’art. 29, comma 2, che “Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza”.

Non si ravvisano quindi particolari novità nel GDPR, se non per il fatto che il Responsabile deve disporre di sufficienti risorse per mettere in atto le misure tecniche ed organizzative che soddisfino quanto richiesto dal Regolamento. Il Responsabile deve, pertanto, avere a disposizione sufficienti disponibilità sia economiche, sia di personale, e più in generale deve poter disporre di tutti i mezzi necessari allo svolgimento dei compiti affidati dal Titolare. Nel caso in cui il Responsabile del trattamento dei dati sia un soggetto interno all’organizzazione, sarà lo stesso Titolare del trattamento a dover fornire tali risorse; se invece il servizio viene affidato all’esterno, sarà autonomamente il Responsabile nominato a prevedere adeguate risorse per lo svolgimento dell’incarico nel rispetto del GDPR.

Il Responsabile del trattamento dei dati potrebbe, come anticipato, essere tanto una figura interna all’azienda, quanto esterna. A questo proposito, il Garante della Privacy, alla luce della disciplina interna aveva precisato che: “è necessario precisare chi svolgerà l’eventuale ruolo di “responsabile del trattamento”. Conseguentemente, l’Amministrazione deve decidere se prevedere tale figura ed attribuirne la responsabilità o alla struttura esterna cui è affidata l’attività in concessione, oppure ad un dipendente di quest’ultima, o a un proprio ufficio o dipendente dell’Amministrazione stessa (quest’ultima opzione presuppone che l’ufficio o il funzionario pubblico abbiano poteri effettivi di ingerenza sulle attività e sull’organizzazione dell’impresa concessionaria: cosa, in realtà, poco frequente). In concreto, la nomina del responsabile, che deve essere effettuata in forma scritta, potrebbe essere inserita in un apposito articolo della convenzione, oppure essere oggetto di un distinto provvedimento amministrativo o atto di diritto privato”.

In realtà, altri Stati membri hanno sempre individuato questo ruolo come spettante a soggetti esterni rispetto al titolare del trattamento e l’assenza di specificazioni all’interno del GDPR sta dando luogo ad alcune divergenti interpretazioni al riguardo. D’altra parte, in assenza di ulteriori precisazioni, è opportuno ritenere che rimanga valida la facoltà di scelta, come fino ad oggi prevista dal nostro ordinamento.

Il Responsabile del trattamento è obbligato, in forza del contratto stipulato con il titolare, a:

1. trattare i dati personali solo sulla base di un’istruzione documentata del titolare del trattamento, anche nel caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale a meno che lo richieda il diritto dell’Unione Europea o nazionale cui è soggetto il responsabile del trattamento. In quest’ultimo caso, il responsabile del trattamento dovrà informare il titolare dell’esistenza di un tale obbligo giuridico prima del trattamento, a meno che ciò sia giuridicamente vietato per rilevanti motivi di interesse pubblico;
2. garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
3. adottare tutte le misure richieste dall’art. 32 GDPR, ovvero le misure tecniche e organizzative necessarie al fine di garantire un livello di sicurezza adeguato al rischio (ad esempio, la pseudomizzazione dei dati o la cifratura)
4. rispettare tutte le condizioni previste per l’eventuale nomina di un sub-responsabile;
5. assistere il titolare del trattamento con misure tecniche e organizzative adeguate, e tenuto conto della natura del trattamento, al fine di soddisfare l’obbligo di dare seguito alle richieste per l’esercizio dei diritti dell’interessato (quali il diritto di accesso ai dati personali, il diritto di rettifica, il diritto all’oblio, il diritto alla limitazione del trattamento, il diritto alla portabilità dei dati, il diritto di opposizione);
6. assistere il titolare del trattamento nel garantire il rispetto degli obblighi in materia di tutela della sicurezza dei dati, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
7. cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento (su indicazione del titolare del trattamento), nonché cancellarne le eventuali copie esistenti; e infine
8. mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto dei suoi obblighi, nonché contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da lui incaricato. Il responsabile deve, inoltre, informare immediatamente il titolare del trattamento ritenga che un’istruzione violi il Regolamento o altre disposizioni nazionali o di diritto europeo relative alla protezione dei dati.

Anche in capo al Responsabile del trattamento il GDPR pone l’obbligo di tenere il registro dei trattamenti svolti per conto del titolare del trattamento, nel quale vanno riportate dettagliatamente una serie di indicazioni relative ai trattamenti di dati effettuati.

Chi deve nominare il Responsabile del trattamento e quando

Il Responsabile del trattamento è nominato, come previsto dall’art. 28, comma 3 del GDPR, dal Titolare del trattamento attraverso un contratto di nomina (o altro atto giuridico idoneo a norma del diritto dell’Unione Europea o degli Stati membri) che dovrà essere redatto in forma scritta, anche in formato elettronico, e dovrà disciplinare i seguenti elementi:

1. oggetto, durata, natura e finalità del trattamento;
2. le categorie di soggetti interessati e il tipo di dati personali oggetto del trattamento;
3. gli obblighi e i diritti del titolare del trattamento.

Come precisato nel Parere n. 01/2010 del “Gruppo di lavoro ex art. 29”, la nomina di un Responsabile del trattamento dei dati dipende da una decisione presa direttamente dal Titolare del trattamento. Questi può infatti decidere di trattare i dati all’interno della propria organizzazione, oppure delegare tutte o una parte delle attività di trattamento a un soggetto esterno.

Per poter agire come Responsabile del trattamento occorrono quindi due requisiti: da un lato, essere un soggetto distinto dal Titolare del trattamento e, dall’altro lato, la capacità di elaborare i dati personali per conto di quest’ultimo. Questa attività di trattamento può essere limitata a un compito o a un contesto molto specifico, oppure può lasciare al responsabile un certo margine di discrezionalità sul modo di servire gli interessi del Titolare del trattamento, permettendogli, ad esempio, di scegliere autonomamente i mezzi tecnici e organizzativi più adeguati.

Si ricorda, inoltre, che, come previsto per il titolare (sul punto si veda l’articolo dedicato all’argomento) anche il responsabile non stabilito nell’Unione Europea dovrà designare un suo rappresentante all’interno di uno degli Stati membri. L’art. 27, paragrafo 3 del GDPR si applica infatti nel caso in cui il Titolare o il Responsabile del trattamento siano stabiliti in territorio extraeuropeo.

Anche per il responsabile, peraltro, l’individuazione di un rappresentante situato nel territorio europeo viene meno in alcune ipotesi particolari, che non richiedono livelli così elevati di tutela. In particolare, ciò si verifica quando: il trattamento è occasionale, non coinvolge dati “sensibili” (ad esempio dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, biometrici o relativi allo stato di salute o all’orientamento sessuale della persona), o dati personali relativi a condanne penali o a reati consistenti nell’illiceità del trattamento dei dati, ed è improbabile che comporti un rischio per i diritti e le libertà delle persone in considerazione della natura, del contesto, dell’ambito di applicazione e delle finalità del trattamento stesso; oppure quando il titolare del trattamento è un’autorità pubblica o comunque un organismo pubblico.

Se presente, comunque, il rappresentante del Responsabile del trattamento stabilito in un paese extra-europeo dovrà essere stabilito in uno degli Stati membri in cui si trovano i soggetti interessati i cui dati personali sono trattati nel contesto di un’offerta di beni o servizi o il cui comportamento è monitorato.

Per agevolare la comunicazione con i soggetti interessati e con le autorità è poi previsto che il rappresentante possa porsi quale interlocutore nei rapporti con le autorità di controllo nazionali e anche con gli interessati per tutte le questioni relative al trattamento dei dati personali.

Una novità importante rispetto alla disciplina del Codice della Privacy è quella che riguarda la possibilità per il Responsabile di nominare dei sub-responsabili del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare.

A questo proposito, è previsto che il Responsabile del trattamento possa ricorrere ad un altro responsabile solo previa autorizzazione scritta (che può essere, però, sia specifica che generale) del Titolare del trattamento. L’eventuale nomina di uno o più sub-responsabili del trattamento (attraverso un contratto o altro atto giuridico previsto a norma del diritto dell’Unione europea o dei singoli stati membri) dovrà avvenire nel rispetto degli stessi obblighi in materia di protezione dei dati sanciti in capo al Responsabile “primario” del trattamento. In particolare, dovranno essere previste sufficienti garanzie che consentano di attuare le misure tecniche e organizzative più adeguate al fine di soddisfare i requisiti previsti dal Regolamento.

Il Responsabile del trattamento, nel caso in cui vi sia un’autorizzazione scritta generale da parte del titolare, dovrà sempre informare quest’ultimo di eventuali modifiche relative all’aggiunta o alla sostituzione degli eventuali sub-responsabili, dandogli in questo modo l’opportunità di opporsi alle modifiche. Tale comunicazione è importante per lo stesso responsabile che intende nominare altri soggetti, in quanto è sempre il Responsabile “primario” che risponde dinanzi al Titolare dell’eventuale inadempimento del sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, a meno che riesca a dimostrare che l’evento dannoso “non gli è in alcun modo imputabile”.

di Studio Legale Associato Fioriglio-Croari 26 Marzo 2018, 14:00

 Il GDPR introduce una serie di obblighi, che derivano essenzialmente dal più generale principio di responsabilizzazione (accountability) posto a fondamento della struttura del Regolamento europeo.

In particolare, come si è avuto modo di precisare in più occasioni in questo Speciale di approfondimento, il titolare e il responsabile del trattamento sono sotto diversi aspetti incentivati ad adottare una serie di provvedimenti finalizzati a dare concreta ottemperanza alle disposizioni del GDPR.

Si ricorda infatti che l’approccio che viene incoraggiato dal nuovo Regolamento europeo è focalizzato principalmente sulla concreta protezione dei dati ed è fondato su una valutazione preliminare del rischio (si parla per questo di sistema risk-based) a una volta basata su un’opportuna considerazione della natura, della portata, del contesto e delle finalità del trattamento, sulla probabilità e sulla gravità dei rischi per i diritti e libertà degli utenti. In relazione a tale complessa e globale valutazione si determinerà poi la misura della eventuale responsabilità del titolare e del responsabile del trattamento.

Un approccio incentrato sul rischio ha sicuramente, da un lato, il vantaggio di pretendere l’ottemperanza di una serie di obblighi più generali che possono andare al di là di una mera e superficiale conformità al dettato normativo.

Dall’altro lato, si tratta sicuramente di un sistema che si presta ad una maggiore flessibilità ed elasticità, essendo in grado di adattarsi al mutamento delle esigenze e degli strumenti tecnologici. Infine, non di può ignorare che il fatto che un simile approccio deleghi sostanzialmente ai titolari ogni valutazione, si presenta come un’arma a doppio taglio: maggiore libertà di scelta, ma maggiore impegno da parte dei titolari e più difficile contestare eventuali provvedimenti sanzionatori da parte del Garante.

In conseguenza di ciò, per poter essere in linea con le prescrizioni e gli obblighi sanciti dal GDPR, è necessario che le aziende realizzino una revisione completa dei dati e delle informazioni che raccolgono e che gestiscono, verificando anche quelle che sono le basi normative a giustificazione di tali trattamenti nonché le conseguenze che il trattamento dei dati effettuato può comportare per gli interessati.

Tra gli adempimenti che dovranno quindi essere realizzati troviamo:

la verifica dei dati che saranno oggetto di trattamento, con identificazione delle varie tipologie di dati e delle categorie di appartenenza e la verifica della finalità di ogni trattamento e della base giuridica sul quale ciascuno di essi si fonda, anche al fine di rendere adeguata informativa ai soggetti interessati, come previsto dagli artt. 13 e 14 del GDPR;

la predisposizione dell’informativa (o il suo aggiornamento) che deve essere fornita agli interessati nel rispetto di tutti gli elementi indicati agli artt. 13 e 14 del GDPR, in particolare gli interessati dovranno essere messi a conoscenza dei diritti che il Regolamento riconosce loro (diritto di accesso, diritto all’oblio, diritto di rettifica, diritto di limitazione e di opposizione al trattamento, diritto alla portabilità dei dati – sul punto si vedano le apposite sezioni dedicate dello Speciale);

la predisposizione del registro delle attività di trattamento dei dati personali, qualora esso risulti necessario in base al disposto dell’art. 30 del GDPR, ossia nel caso in cui l’impresa o l’organizzazione che effettua il trattamento dei dati abbia più di 250 dipendenti. Tale registro dovrà, del resto, essere redatto anche nel caso in cui l’impresa od organizzazione abbia meno di 250 dipendenti, ma ponga in essere un trattamento dei dati che presenta un potenziale rischio per i diritti e libertà degli interessati;

l’instaurazione di una procedura da adottare in caso di eventuali violazioni dei dati (c.d. Data Breach), ad esempio al verificarsi di una divulgazione (intenzionale o meno), della distruzione, della perdita, della modifica o dell’accesso non autorizzato ai dati personali oggetto di trattamento. Il GDPR prevede infatti degli specifici adempimenti nel caso in cui si verifichi una violazione di tal genere, a causa di un attacco informatico, di un accesso abusivo o di un incidente. In questi casi il GDPR impone, come previsto dall’art. 33, in capo al titolare del trattamento l’obbligo di comunicare all’autorità di controllo l’avvenuta violazione entro 72 ore (o comunque senza ritardo). Nel caso in cui la violazione verificatasi faccia presumere che vi sia anche un elevato e attuale pericolo per i diritti e le libertà degli interessati, anche questi ultimi dovranno essere direttamente informati senza ritardo di quanto successo.

inoltre, come previsto poi dall’art. 35 del GDPR, si configura, in capo al titolare del trattamento (e con la possibilità di consultare il Responsabile della protezione dei dati se presente), l’obbligo di procedere ad una valutazione d’impatto sulla protezione dei dati nel caso in cui un tipo di trattamento, anche in considerazione della natura, dell’oggetto, del contesto e delle finalità del trattamento stesso, presenti un rischio elevato per i diritti e le libertà delle persone fisiche. Del resto, il GDPR non sancisce un vero e proprio obbligo di svolgimento della valutazione d’impatto, ma si ricorda che il regolamento prevede un generale obbligo, in capo al titolare del trattamento, di attuare le misure idonee al fine di gestire adeguatamente i rischi per i diritti e le libertà degli interessati che possono derivare dal trattamento dei loro dati. Sarà quindi opportuno procedere all’effettuazione della valutazione d’impatto anche quando sul titolare non incombe l’obbligo normativo in tale senso.

un altro adempimento che viene richiesto al titolare del trattamento consiste nella designazione del Responsabile della protezione dei dati (per un approfondimento su tale sfigura vi invitiamo a leggere l’articolo ad esso dedicato del presente Speciale). Tale nomina è, come previsto dall’art. 37 del GDPR, obbligatoria soltanto in una serie di ipotesi, in particolare, nel caso in cui il trattamento dei dati sia effettuato da un’autorità pubblica o da un organismo pubblico (ad eccezione per le autorità giurisdizionali quando esercitano le loro funzioni); quando le attività principali svolte del titolare o del responsabile del trattamento consistono in operazioni che, per la loro natura, l’ambito di applicazione o le finalità, richiedono un monitoraggio regolare e sistematico degli interessati su larga scala; e infine nel caso in cui le attività principali effettuate consistano nel trattamento, su larga scala, di dati sensibili o di dati relativi a condanne penali e a reati consistenti nell’illecito trattamento dei dati personali.

In tutti i restanti casi, quando il regolamento non impone specificamente la nomina di un DPO, questa figura potrà comunque essere designata dal titolare o dal responsabile del trattamento su base volontaria.

La scadenza del 15 maggio prossimo non riguarda solo la facoltà di presentare l’istanza di rottamazione ma anche la possibilità di revocare o modificare la stessa, senza subire pregiudizi di sorta. Come confermato infatti da agenzia Entrate-Riscossione (Ader) nelle risposte a Telefisco 2018, anche nella seconda versione della definizione agevolata degli affidamenti all’agente della riscossione è possibile correggere o ripensare integralmente alla scelta fatta.

Secondo i chiarimenti offerti da Equitalia in occasione della prima “tornata” di domande di sanatoria, l’accesso alla disciplina agevolata si verifica con la mera presentazione dell’istanza, senza che rilevi a tale scopo il pagamento della prima rata. A parziale rimedio di tale rigida interpretazione, tuttavia, è espressamente consentito che il debitore possa liberamente intervenire sulle istanze già presentate, purché entro la scadenza di legge (15 maggio prossimo). Poiché non è previsto un modulo particolare per comunicare la revoca di una domanda già presentata, si ritiene che sia sufficiente allo scopo una Pec contenente gli estremi del modello trasmesso e la volontà di porre nel nulla la scelta di aderire al condono. Allo stesso modo, sarà possibile sostituire o integrare liberamente le istanze presentate, purchè tale decisione sia chiaramente desumibile dal contenuto documentale dei moduli. Così, ad esempio, se i nuovi modelli riportano cartelle o avvisi diversi da quelli indicati nel modulo precedente è evidente che vi è stata una integrazione da parte del debitore. Se invece il nuovo modello riporta la precedente elencazione di partite affidate, depurata di alcune di esse, vi sarà stata una sostituzione di istanze, che tuttavia è bene sia evidenziata quantomeno nella pec di trasmissione.

A tale riguardo, si ricorda che il debitore ben può decidere di compilare più modelli, con riferimento ad affidamenti distinti. Tanto, qualora si avesse il dubbio sulla complessiva sostenibilità della pretesa. In tale eventualità, infatti, si potrà far decadere la procedura riferita ad una o più istanze, lasciando in vita le altre. L’eventuale omesso o insufficiente pagamento di una rata, infatti, potrebbe determinare la caducazione dell’intera definizione agevolata. Se invece si parcellizzano gli affidamenti in una pluralità di domande, si potrà decidere per quale comunicazione dell’Ader effettuare tempestivamente i pagamenti dovuti.

Al contrario, è possibile utilizzare un unico modulo per rottamare carichi ante e post primo gennaio 2017. In questa ipotesi, se si sceglie la massima dilazione possibile, l’agente della riscossione procede d’ufficio a ripartire in tre ovvero cinque rate i pagamenti, a seconda dei carichi cui essi di riferiscono.

Adeguata attenzione va posta sulla scelta del numero delle rate della rottamazione. Nel modulo DA 2000/17 è per la prima volta riportato che in caso di omessa indicazione da parte del debitore l’intero importo sarà dovuto in una unica soluzione. Nel corso di Telefisco 2018 è stato chiesto se fosse possibile rimediare ad una eventuale dimenticanza da parte del contribuente dopo aver ricevuto la comunicazione dell’agente della riscossione contenente la liquidazione delle somme dovute. L’Ader ha risposto che scaduto il termine del 15 maggio non è più possibile apportare nessuna correzione al modello, anche con riferimento al numero delle rate.

Fonte “Il sole 24 ore”

di Raffaele, Rizzardi

La firma del provvedimento dell’agenzia delle Entrate, che declina le modalità operative di tutti i tipi di fattura elettronica, e della circolare n. 8, relativa alla decorrenza anticipata al 1° luglio della fatturazione dei carburanti, è stata apposta il 30 aprile, allo scopo di rispettare il lasso di 60 giorni previsto dallo statuto dei diritti del contribuente per l’introduzione di nuovi adempimenti. Peccato che i mesi di maggio e giugno non sono i più tranquilli per gli studi professionali: oltre agli adempimenti erariali non dimentichiamo le scadenze per i tributi locali, con i regolamenti Imu e Tasi che sono sempre diversi tra un comune e l’altro e talora da un anno all’altro per lo stesso comune.

Il provvedimento ci fa sapere che esiste una gamma di fatture elettroniche: il documento che merita in assoluto questa definizione è il B2B, quando sia l’emittente della fattura che il destinatario trasmettono e ricevono le fatture nel formato xml, essendo dotati del “codice destinatario” nel sistema di interscambio o di una Pec destinata a ricevere il file. Le procedure informatiche automatizzate generano il tracciato xml al momento di emissione della fattura, così come chi riceve questo file lo prende in carico nella contabilità fornitori, senza fare la consueta “caccia al tesoro” per capire dove i documenti cartacei indicano i dati essenziali della fattura. Ovvio che questa funzionalità sarà tipica delle imprese e degli studi professionali stabili e organizzati e non certo in fase di avvio del mezzo milione di soggetti che ogni anno aprono una nuova partita Iva.

Il provvedimento pone in evidenza che non solo i privati, ma anche i forfetari sono destinatari di una modalità particolare di emissione della fattura: il fornitore inserisce nel file un codice di sette zeri, e il flusso si deve moltiplicare per tre: lo Sdi comunica al cedente o prestatore che la fattura è stata accettata dal sistema; il cliente riceve il file nella sua area riservata dell’Agenzia (ma, soprattutto per i privati, quanti sono registrati nel relativo internet?); il fornitore deve comunque mandare una fattura tradizionale al cliente (oppure verso i forfetari un mero avviso relativo alla disponibilità della fattura nella sua area riservata dell’agenzia delle Entrate).

La sostanziale assimilazione dei forfetari ai privati discende dall’impegno preso con la Commissione europea, secondo cui i soggetti minori devono rimanere estranei a questi obblighi: la legge lo dice solo per l’emissione, giustamente il provvedimento delle Entrate ha dovuto dirlo anche in ricezione. Ma – punto 3.3 del provvedimento – anche nel caso di utilizzo “perfetto” del sistema di interscambio tra due soggetti di imposta iscritti nel sistema, esiste il rischio che la fattura non vada a buon fine (ad esempio perché la casella Pec del cliente è piena), nel qual caso il fornitore viene messo in allarme dal sistema, che lo obbliga ad avvertire il cliente che la fattura è stata collocata nella sua area riservata del sito web dell’Agenzia delle entrate. Questa comunicazione può essere anche fatta mandando una fattura cartacea o in Pdf al cliente.

C’è poi un tracciato per le fatture da e verso l’estero.

Per il momento non si può certo parlare di semplificazione. O, in estrema sintesi, la fatturazione elettronica è soprattutto uno spesometro giornaliero.

Fonte “Il sole 24 ore”

di Paolo Meneghetti

Nelle politiche commerciali per incentivare le vendite si fa sempre più strada il pagamento differito: consegna immediata a fronte di un pagamento fortemente dilatato nel tempo senza addebito di interessi passivi. Questo ha ricadute in tema di valutazione e iscrizione del debito/credito.

La contabilizzazione della posta bilancistica influenza le scelte del debitore ma anche del creditore. Infatti l’articolo 2426, punto 8, del Codice civile dispone che non solo il debito, ma anche il credito va iscritto in bilancio al costo ammortizzato, tenendo conto del fattore-tempo. Di seguito si analizza la posizione del creditore alla luce del documento Oic 15 e delle conseguenze fiscali della sua adozione al posto del criterio ordinario (importo realizzabile del credito). L’Oic 15, paragrafo 44, stabilisce che se il credito commerciale è stato concesso con pagamento oltre i 12 mesi, senza addebito di interessi, o con addebito di interessi molto inferiori a quelli di mercato, va determinato e iscritto in bilancio al valore attualizzato, imputando la differenza tra valore nominale e valore attuale del credito tra i proventi finanziari, in base alla durata del pagamento convenuto.

L’esempio
Supponiamo che una società di capitali venda un bene per un valore di 100.000 € (per semplicità non si considera l’aspetto Iva, ipotesi che peraltro si verifica realmente ove l’acquirente si qualifichi, ad esempio, come esportatore abituale). Il pagamento avverrà entro 3 anni dalla consegna e il tasso di mercato sarebbe stato il 3 per cento. Il valore attuale del credito risulta determinato in 91.743 €, quindi con un differenziale di 8.259 € da qualificare quale provento finanziario nei tre anni.

A questo punto alla luce dell’Oic 15 possiamo rilevare il ricavo derivante dalla vendita che è pari a 91.743 €, da imputare alla voce A 1 del conto economico. In ipotesi di valutazione ordinaria del credito, invece, il ricavo contabilizzato sarebbe l’intero valore di 100.000 €. La società cedente al 31 dicembre del primo anno deve rilevare anche gli interessi attivi calcolandoli al tasso di mercato del 3% , quindi un dato da collocare alla voce C 16 del conto economico per 2.752 €. Alla fine del triennio si avrà l’intera imputazione della vendita a conto economico ma essa in parte sarà collocata tra i ricavi (91.743) e in parte collocata nell’area finanziaria (8.257).

Le ricadute
Ora si pone il problema del riconoscimento ai fini fiscali di questa impostazione contabile. A Telefisco 2018 l’agenzia delle Entrate ha confermato che vi sono uguali ricadute fiscali sia che il criterio del costo ammortizzato sia assunto per obbligo (società tenute a redigere il bilancio in forma ordinaria) sia per scelta facoltativa (società che possono redigere il bilancio in forma abbreviata). A questo punto entra in gioco il principio di derivazione rafforzata secondo cui i criteri civilistici in tema di qualificazione, classificazione e imputazione temporale prevalgono sulle diverse regole del Tuir. Ma rilevare il credito nel primo esercizio in misura ridotta significa svalutarlo (ipotesi per cui la derivazione rafforzata non avrebbe significato) oppure qualificarlo?

La circolare
La circolare 7/E/2011 , paragrafo 4.1 (relativa ai soggetti Ias ma il problema è il medesimo) afferma che l’iscrizione ridotta del credito deriva da una qualificazione e non da una svalutazione, quindi pienamente riconosciuta fiscalmente. Pertanto, il ricavo tassabile è effettivamente quello ridotto a seguito della attualizzazione, e il differenziale va imputato pro rata temporis quale interesse attivo. Ciò, tra l’altro, significa incrementare il tetto di deducibilità degli interessi passivi per un importo pari a quelli attivi imputati, come affermato dalla circolare 19/09, paragrafo 2.2.1. La disciplina sopra descritta presenta dunque aspetti interessanti anche sotto il profilo fiscale che potranno riguardare tutte le società di capitali fatta eccezione per le micro imprese ex articolo 2435 ter del Codice civile.

Fonte “Il sole 24 ore”

di Rosanna Acierno

Si avvicina la scadenza del 15 maggio entro cui si dovrà resentare la domanda per l’istanza di adesione alla rottamazione-bis. Pertanto, calcolatori alla mano, i contribuenti che hanno carichi affidati ad agenzia Entrate Riscossione dal 1° gennaio 2000 al 30 settembre 2017 sono chiamati a valutare non solo l’opportunità in termini di convenienza ma, soprattutto, la “possibilità” di aderire alla definizione agevolata.

Ovviamente, la convenienza in termini di risparmio su sanzioni e interessi di mora potrebbe essere più ampia sui carichi affidati alla riscossione in periodi antecedenti al 2016 perché, in tal caso, sia le sanzioni che gli interessi di mora hanno importi più elevati. Si ricorda, infatti, che fino al 31 dicembre 2015 le sanzioni irrogate dall’Ufficio per le violazioni di infedele dichiarazione ai fini delle imposte dirette e Iva (articoli 1 e 5, Dlgs 471/1997) oscillavano dal 100% al 200% della maggiore imposta dovuta, mentre dal 2016 (con l’entrata in vigore del Dlgs 158/2015) oscillano dal 90% al 180% della maggiore imposta dovuta e, in caso di lievi infedeltà contenute nel limite del 3% e comunque di 30mila euro, tra il 60 e il 120 per cento.

Inoltre, il conteggio degli interessi di mora, applicati direttamente dall’agente della riscossione (ex articolo 30 del Dpr 602/73), decorre dal primo giorno di notifica della cartella fino al giorno di effettivo pagamento. Pertanto, è evidente che laddove i debiti siano molto “datati”, gli interessi di mora sono più alti. Allo stesso modo, in caso di sanzioni e interessi di mora più alti, anche l’aggio della riscossione cresce, essendo commisurato a queste due poste oltreché all’imposta e agli interessi da ritardata iscrizione a ruolo.

Nonostante, nel caso di carichi affidati prima del 2016 il risparmio sia davvero allettante, la scelta di presentare l’istanza di rottamazione non è però così scontata.

Occorre, infatti, fare i conti con i rigorosi termini di rateazione introdotti dal legislatore: per le nuove istanze di rottamazione dei carichi affidati all’agente della riscossione dal 2000 al 2016 presentate entro il 15 maggio 2018, sarà possibile effettuare il pagamento delle somme dovute in un massimo di tre rate, peraltro molto ravvicinate tra loro. In particolare, per i carichi dal 2000 al 2016, la scelta di massima rateazione effettuata nel modello di istanza consentirà al contribuente di versare gli importi complessivamente dovuti entro:
• il 31 ottobre 2018 per il 40%;
• il 30 novembre 2018 per l’ulteriore 40%;
• il 28 febbraio 2019 per il restante 20 per cento.

Pertanto bisognerà disporre della liquidità sufficiente anche perché, qualora il contribuente non dovesse pagare tempestivamente una rata o dovesse versarla in maniera insufficiente, decadrà immediatamente dal beneficio, non essendo prevista l’applicazione del ravvedimento operoso o alcuna tolleranza anche per «lievi tardività». Inoltre, non sarà più possibile chiedere la dilazione del debito ad agenzia Entrate Riscossione ai sensi dell’articolo 19 del Dpr 602/73.

Va detto, comunque, che, al fine di non perdere l’opportunità di questa nuova rottamazione e di trarne i massimi benefici, il contribuente potrà comunque compiere una scelta in merito a quali carichi definire, anche in relazione alla singola cartella di pagamento. Pertanto se, ad esempio, una cartella porta a riscossione ruoli Inps e dell’agenzia delle Entrate, è possibile sanare i soli ruoli Inps. Del pari, se il contribuente ha ricevuto due cartelle di pagamento, ne potrà sanare solo una, presentando solo per questa l’apposita istanza di definizione agevolata.

Fonte “Il sole 24 ore”

Dal primo luglio è necessario utilizzare sistemi di pagamento tracciati per l’acquisto di carburanti, al fine di poter detrarre l’Iva e dedurre il costo, nei limiti consentiti dalla norma.

Dopo che la legge di Bilancio 2018, precisamente l’articolo 1, comma 917 della legge 205/2017 , ha introdotto importanti novità in tema di cessione di carburanti per autotrazione, con provvedimento del 4 aprile scorso , il Direttore dell’agenzia delle Entrate ha individuato i mezzi di pagamento che dal primo luglio prossimo potranno essere utilizzati, dai soggetti passivi d’imposta, al fine di garantire loro la detraibilità Iva e la deducibilità del costo.

Ma andiamo con ordine. La legge di Bilancio 2018 ha apportato notevoli modifiche in tema di fatturazione, prescrivendo l’utilizzo obbligatorio della fatturazione elettronica per tutti i contribuenti, a partire dal primo gennaio 2019. Da tale data, le fatture elettroniche, e relative variazioni, dovranno essere emesse per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti, stabiliti o identificati nel territorio dello Stato e, quindi, anche nei confronti di consumatori finali.

Un’importante anticipazione della fatturazione elettronica, che è probabilmente destinata a subire uno slittamento, riguarda la cessione di benzina e gasolio. Infatti, la legge di Bilancio 2018 prescrive che, a partire dal primo luglio di quest’anno, i soggetti che cedono i beni appena indicati, sono obbligati a emettere fattura elettronica qualora il cessionario sia un soggetto passivo d’imposta.

Nel caso in cui, invece, il cessionario non sia un soggetto passivo d’imposta bensì un consumatore finale, in base a quanto disposto dal Dpr 696/1996, come modificato sempre dalla legge di Bilancio 2018, resta la facoltà da parte del cedente di non emettere alcuna certificazione. In questo caso il cedente ha però l’obbligo di memorizzazione elettronica e trasmissione telematica dei corrispettivi all’agenzia delle Entrate, sempre a decorrere dal primo luglio 2018.

Sul fronte del soggetto passivo d’imposta, cessionario del carburante, la legge di Bilancio 2018 collega, dal primo luglio, la detrazione dell’imposta e la deducibilità del costo, nei limiti concessi dalle rispettive normative, al pagamento del corrispettivo attraverso sistemi tracciabili e, quindi, non più in contanti.

Con il richiamato provvedimento del 4 aprile scorso, sono stati individuati i mezzi di pagamento dei carburanti e lubrificanti per autotrazione, che consentono, ai soggetti passivi d’imposta, la detrazione dell’Iva e la deducibilità del costo, sempre nei limiti concessi dalla norma. I mezzi di pagamento «ammessi» e considerati idonei a provare l’avvenuta effettuazione delle operazioni sono: gli assegni, bancari e postali, circolari e non, i vaglia cambiari e postali, i mezzi di pagamento elettronici tra cui, a titolo esemplificativo, l’addebito diretto, il bonifico bancario o postale, il bollettino postale, le carte di debito, di credito, prepagate ovvero altri strumenti di pagamento elettronico disponibili, che consentano anche l’addebito in conto corrente.

Dalla data del primo luglio 2018 la scheda carburanti non sarà, quindi, più utilizzabile stante l’abrogazione dell’intero Dpr 444/1997 che la disciplinava.

Fonte “Il sole 24 ore”