ORGANIZZAZIONE DELLA ATTIVITA’ PROFESSIONALE E PRIVACY DAFNE 2017 Prof.Bruno Cirica

PROFESSIONISTA SINGOLO PROFESSIONE IN FORMA ASSOCIATA SCELTA PELIMINARE: PROFESSIONISTA SINGOLO PROFESSIONE IN FORMA ASSOCIATA STUDIO ASSOCIATO SOCIETA’ PROFESSIONALE

ADEMPIMENTI PRELIMINARI: ISCRIZIONE ORDINE INIZIO ATTIVITA’ AGENZIA ENTRATE /P.IVA

IN QUALI LOCALI ? PRESSO LA ABITAZIONE IN LOCALI APPOSITI PROPRITA’ AFFITTO COMODATO

PERSONALE DELLO STUDIO SOLO PROFESSIONISTI PERSONALE DIPENDENTE COLLABORAZIONI a P.IVA

IN AFFITTO (da società di mezzi e servizi?-leasing) IN PROPRIETA’ MEZZI DELLO STUDIO IN AFFITTO (da società di mezzi e servizi?-leasing) IN PROPRIETA’ ESSENZIALI AUTO COMPUTER MOBILIO ALTRI ?- plotter- stampanti ecc.

INCARICO PROFESSIONALE VERBALE SCRITTO LETTERA D’INCARICO DISCIPLINARE D’INCARICO

SVOLGIMENTO DELL’INCARICO PERSONALMENTE CON COLLABORAZIONI CON GIUNTAMENTE AD ALTRI (incarico congiunto o autorizzato dal committente)

PARCELLAZIONE e RISCOSSIONE ACCONTI PARCELLA FATTURA

CONTABILITA’ DIPENDE DAL REGIME CONTABILE SCELTO TENUTA REGISTRI CONTABILI –CONSERVAZIONE DEI DOCUMENTI PAGAMENTI PERIODICI IVA IRPEF IRAP CONTRIBUTI EPAP IMU

DICHIARZIONI FISCALI DICHIARAZIONE DEI REDDITI DICHIARAZIONE IVA

codice della privacy Il D. Lgs. 30 giugno 2003, n. 196 - Testo Unico in materia di dati personali o Codice della Privacy Il Testo Unico 196/2003, pubblicato nella Gazzetta Ufficiale del 29 Luglio 2003, riordinando dalla legge 675/96 i vari decreti legislativi, regolamenti e codici deontologici successivi, si pone come un’ opera di compendio e di semplificazione delle numerosi disposizioni legislative che sono state emanate nel corso degli anni in materia di Privacy e di trattamento dei dati personali. E' essenzialmente diviso in 3 parti e 3 Allegati. Costituito complessivamente di ben 186 articoli, nella sua prima parte (artt. 1-45) vi sono le disposizioni generali in materia di disciplina del trattamento dei dati personali, cui seguono nella seconda parte, negli artt. 46-140, alcune specifiche eccezioni applicative. La terza parte, infine, raccoglie, negli artt. 141-186, tutte le disposizioni di cui alle azioni di tutela riconosciute al soggetto interessato ed identifica lo specifico sistema sanzionatorio in materia di Privacy e dati personali, cui seguono le varie norme di modifica, transitorie e finali. Quanto ai 3 Allegati (A, B e C): Nell'allegato A vi sono i codici di deontologia; nell'allegato B, il disciplinare tecnico in materia di misure minime di sicurezza; nell'allegato C l'individuazione dei vari trattamenti non occasionali svolti in ambito giudiziario o per fini di polizia.

Per trattamento dei dati personali secondo la legge, indica qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati. Rispetto alla definizione accolta dalla previgente L. 675/96, è stato precisato espressamente che nella nozione di trattamento devono essere fatte rientrare anche le operazioni relative a dati non registrati in una banca dati. Il titolo III della parte I del D.Lgs. 196/03 ("Codice della privacy") detta le regole generali per il trattamento dei dati, distinguendo tra regole per tutti i trattamenti (capo I), regole ulteriori per i soggetti pubblici (capo II), regole ulteriori per privati ed enti pubblici economici (capo III).

Informativa sul trattamento all'interessato È la comunicazione con la quale il Titolare (ai sensi dell’art 13 del Codice) informa l'interessato del trattamento svolto e può essere fornita oralmente o per iscritto. Il Titolare pertanto illustra ai soggetti ai quali i dati raccolti si riferiscono (interessati): le finalità e le modalità del trattamento svolto, la natura obbligatoria o facoltativa del conferimento dei dati, le conseguenze dell'eventuale rifiuto del conferimento, l'ambito di comunicazione e diffusione dei dati, l'eventuale trasferimento dei dati all'estero, i diritti dell'interessato, l'indicazione del Titolare, l'indicazione del Responsabile individuato o di quello designato per l'esercizio dei diritti dell'interessato, l'indicazione degli Incaricati che compiono le operazioni di trattamento (ovviamente non è necessario indicare i nomi e i cognomi dei singoli ma sarà sufficiente indicare l'area di appartenenza). Tutte queste informazioni devono essere contenute nell'informativa che va resa all'interessato al momento della raccolta dei suoi dati e, in caso di raccolta di dati presso terzi, non oltre la registrazione dei dati o la prima comunicazione degli stessi a terzi. Un'informativa insufficiente (carente anche di uno solo degli elementi indicati) potrebbe dare luogo all'applicazione di sanzioni.

La raccolta dei consensi Ai sensi degli artt. 23-24 il Codice prevede che il trattamento dei dati personali avvenga esclusivamente con il consenso espresso dell'interessato che deve essere preventivo, esplicito e libero in modo da essere inequivocabile. Il silenzio, pertanto, non può essere considerato una forma di consenso. La normativa prevede l'informativa ed il consenso anche in forma orale, ma solo per i dati personali di tipo non sensibile; per quest'ultima tipologia è invece necessaria la forma scritta. Con il consenso l'interessato esprime di fatto la propria autorizzazione in senso generale al trattamento dei suoi dati personali. La mancanza del consenso, dove previsto, comporta sanzioni penali e amministrative, ferma restando la responsabilità civile del Titolare in caso di accertamento del danno derivante da illecito trattamento (art. 2055 del Codice Civile). I casi nei quali è possibile effettuare il trattamento senza consenso sono riuniti all'interno dell'art. 24

Trattamento dei dati da parte di soggetti privati Il Codice della privacy stabilisce che, salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali senza richiedere il consenso dell'interessato, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

La lettera di informativa e consenso La legge prevede che l'ottenimento del consenso non sia valido, se non viene preceduto o accompagnato da una corretta informativa. Di conseguenza, per quanto possibile, l'informativa e la richiesta di consenso devono stare insieme, non solo per esigenze di razionalizzazione dei costi, ma anche per evitare ai soggetti interessati confusione sui due diversi adempimenti. Il consenso deve seguire l'informativa e deve essere richiesto esclusivamente quando non ci si trovi nei casi di deroga previsti dalla legge. Il titolare deve fare in modo che la struttura preveda un modello standard di informativa da aggiungere alla modulistica attraverso cui i dati personali vengono materialmente raccolti. L'informativa deve essere completa e contenere, sia pure in modo sintetico, tutte le notizie previste dal Codice

Misure di sicurezza In base all' Art. 31 i dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Misure minime L'art. 33 introduce le misure minime di sicurezza obbligatorie: «nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali». Unico soggetto responsabile è il titolare del trattamento, si applica inoltre una netta distinzione tra trattamenti effettuati con strumenti elettronici e strumenti cartacei ai fini delle misure minime necessarie.

Art. 34 - Trattamenti con strumenti elettronici Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate le seguenti misure minime: -autenticazione informatica; -adozione di procedure di gestione delle credenziali di autenticazione; -utilizzazione di un sistema di autorizzazione; -aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; -protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; -adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; -adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. Inizialmente vigeva anche l'obbligo di tenuta di un aggiornato documento programmatico sulla sicurezza ma è stato abrogato con la conversione in legge del D.L. 9-2-2012 n. 5 “Disposizioni urgenti in materia di semplificazione e di sviluppo”, pubblicato nella G.U. del 9 febbraio 2012, n. 331.

Il titolare è obbligato ad adottare particolari misure che riguardano prevalentemente le modalità di accesso, in modo da poter verificare, in caso di illeciti connessi all'utilizzo dello strumento informatico, l'identità dell'autore dell'illecito o il responsabile dell'accesso abusivo dall'esterno: le credenziali di autenticazione (login) consistono in un codice per l'identificazione dell'incaricato (user-id) associato a una parola riservata (password) conosciuta esclusivamente dal possessore, oppure in un dispositivo di autenticazione ad uso esclusivo dell'incaricato (dispositivo di firma elettronica), ad un codice identificativo o in una caratteristica biometrica. In caso di trattamento di dati sensibili o giudiziari la password è modificata almeno ogni tre mesi. Agli incaricati devono essere fornite dal titolare anche le prescrizioni in merito all'adozione delle necessarie cautele per assicurare la segretezza della password e la diligente custodia dei dispositivi di smart-card, che dovranno essere uniche e non cedute ad altri incaricati e aggiornate almeno ogni sei mesi.

Art. 35 - Trattamenti senza l'ausilio di strumenti elettronici Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate le seguenti misure minime: -aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; -previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; -previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati. Chi si serve di strumenti non automatizzati per la raccolta e la gestione di dati personali deve individuare gli incaricati del trattamento, con documento di scadenza annuale, ed impartire istruzioni scritte relative alla gestione dei dati e alla loro custodia. Quando i documenti contenenti dati sensibili sono affidati agli incaricati della gestione per lo svolgimento dei relativi compiti, gli stessi documenti sono controllati e custoditi dagli incaricati fino alla restituzione, in modo da impedirne l'accesso a persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. L'accesso agli archivi contenenti dati sensibili deve essere controllato e le persone ammesse, a qualunque titolo, devono essere identificate e registrate, sia controllandone l'identità che il tempo di permanenza all'interno del locale. Quando gli archivi non sono dotati di strumenti elettronici che gestiscono il controllo degli accessi o di addetti alla vigilanza, coloro che vi accedono sono preventivamente autorizzati.

Informativa ai sensi dell’art. 13 d. lgs. 196/2003 Gentile Cliente, ai sensi dell’art. 13 d. lgs. 196/2003 (di seguito T.U.), ed in relazione ai dati personali di cui lo Studio Agronomico Associato AGROFIT entrerà in possesso con l’affidamento della Sua pratica, La informiamo di quanto segue: 1. Finalità del trattamento dei dati. Il trattamento è finalizzato unicamente alla corretta e completa esecuzione dell’incarico professionale ricevuto. 2. Modalità del trattamento dei dati. a) Il trattamento è realizzato per mezzo delle operazioni o complesso di operazioni indicate all’art. 4 comma 1 lett. a) T.U.: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco,comunicazione, cancellazione e distruzione dei dati. b) Le operazioni possono essere svolte con o senza l’ausilio di strumenti elettronici o comunque automatizzati. c) Il trattamento è svolto dal titolare e/o dagli incaricati del trattamento. 3. Conferimento dei dati. Il conferimento di dati personali comuni, sensibili e giudiziari è strettamente necessario ai fini dello svolgimento delle attività di cui al punto 1. 4. Rifiuto di conferimento dei dati. L’eventuale rifiuto da parte dell’interessato di conferire dati personali nel caso di cui al punto 3 comporta l’impossibilità di adempiere alle attività di cui al punto 1.

5. Comunicazione dei dati 5. Comunicazione dei dati. I dati personali possono venire a conoscenza degli incaricati del trattamento e possono essere comunicati per le finalità di cui al punto 1 a collaboratori esterni, soggetti operanti nel settore giudiziario, alle controparti e relativi difensori, a collegi di arbitri e, in genere, a tutti quei soggetti pubblici e privati cui la comunicazione sia necessaria per il corretto  adempimento delle finalità indicate nel punto 1. 6. Diffusione dei dati. I dati personali non sono soggetti a diffusione. 7. Trasferimento dei dati all’estero. I dati personali possono essere trasferiti verso Paesi dell’Unione Europea e verso Paesi terzi rispetto all’Unione Europea nell’ambito delle finalità di cui al punto 1. 8. Diritti dell’interessato. L’art. 7 T.U. conferisce all’interessato l’esercizio di specifici diritti, tra cui quello di ottenere dal titolare la conferma dell’esistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile; l’interessato ha diritto di avere conoscenza dell’origine dei dati, della finalità e delle modalità del trattamento, della logica applicata al trattamento, degli estremi identificativi del titolare e dei soggetti cui i dati possono essere comunicati; l’interessato ha inoltre diritto di ottenere l’aggiornamento, la rettificazione e l’integrazione dei dati, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge; il titolare ha il diritto di opporsi, per motivi legittimi, al trattamento dei dati. 9. Titolare del trattamento. Titolare del trattamento è Dott.Agr. Bruno Cirica con domicilio eletto in Bagnoregio.  data, lì ____________________ firma______________________ Per ricevuta comunicazione Io sottoscritto Caio Rossi autorizzo a norma degli art. 23 e 26 T.U. lo Studio ………………. al trattamento dei miei dati personali comuni, sensibili e giudiziari. ________, lì ____________________ _____________________ Per il rilasciato consenso

Sanzioni Esistono tre tipi di sanzioni riguardo al trattamento dei dati personali previste dal Decreto Legislativo n. 196 del 2003: civili, penali e amministrative. Civili (Art. 15): Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Penali: - Misure minime (Art. 169): Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni. - Trattamento illecito (Art. 167): 1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni. Amministrative (Art.161 - Omessa o inidonea informativa all'interessato): La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da tremila euro a diciottomila euro o, nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ai sensi dell'articolo 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore.