&
Marzo
2000
Supplemento speciale alla circolare
mensile
Circolare
n° ..........
A
TUTTI I SIGNORI CLIENTI
LORO SEDI
OGGETTO:
TUTELA DELLA PRIVACY. Misure minime di sicurezza da adottare (Legge
675/96 e DPR 318/99).
Nel cammino verso
la completa attuazione della legge sulla privacy, di cui alla L.
675/96, si inserisce il Regolamento emanato con il D.P.R.
28/7/1999, n. 318, pubblicato sulla G.U. n. 216 del 14/9/1999,
recante le norme per l'individuazione delle misure minime di
sicurezza per il trattamento dei dati personali.
Il Regolamento,
disposto a norma dell'articolo 15, comma 2, della legge sulla
Privacy, deve essere osservato da tutti i soggetti che trattano
dati personali, pubblica amministrazione e privati compresi, con
l'esclusione dei trattamenti di dati finalizzati ad uso
esclusivamente personale, per i quali la legge 675/96 e il DPR
318/99 non si applica. Le misure minime di sicurezza variano a
seconda:
-
del tipo di dati trattati: comuni / sensibili;
-
del tipo di archivio gestito: elettronici o comunque
automatizzati / non automatizzati;
-
del tipo di elaboratore: singolo (stand alone) / in rete (pubblica
o privata).
Si ricorda che l'articolo
15 della legge 675/96 oltre alle "misure minime" di cui
al nuovo Regolamento, prevede già l'obbligo di osservare misure
di sicurezza destinate ad operare una costante riduzione del
rischio, non individuate ma individuabili sulla base di soluzioni
tecniche concretamente disponibili.
La scadenza
prevista è quella del prossimo 29 marzo: entro tale data
tutti gli archivi elettronici e cartacei che custodiscono
informazioni personali dovranno essere dotati delle protezioni
minime, come meglio specificato nella tabella sottostante.
Si ritiene utile,
preliminarmente, ricordare il significato di alcuni termini
specifici della legge 675/96 e del DPR 318/99:
·
misure minime: il complesso delle misure tecniche,
informatiche, organizzative, logistiche e procedurali di
sicurezza che configurano il livello minimo di protezione
richiesto in relazione ai rischi di distruzione o perdita dei
dati, di accesso non autorizzato, di trattamento non consentito o
non conforme alle finalità della raccolta;
·
amministratore di sistema: il soggetto cui è conferito il
compito di sovrintendere alle risorse del sistema operativo di un
elaboratore o di un sistema di base di dati e di consentirne l'utilizzazione;
·
dati sensibili: i dati personali idonei a rivelare l'origine
razziale ed etnica, le convinzioni religiose, filosofiche, le
opinioni politiche, l'adesione a partiti politici, sindacati,
associazioni od organizzazioni a carattere religioso, politico,
sindacale, nonché i dati personali idonei a rivelare lo stato di
salute e la vita sessuale;
·
incaricati: le persone incaricate per iscritto di compiere
le operazioni del trattamento dal titolare o dal responsabile,
che operano sotto la loro diretta responsabilità.
Si ritiene
IMPORTANTE osservare che chi omette in maniera dolosa di adottare
le misure necessarie a garantire la sicurezza dei dati personali
in violazione delle disposizioni dell'articolo 15 della legge
sulla Privacy è punito con la reclusione sino ad un anno e, se
dal fatto deriva un danno, la pena é da due mesi a due anni. Se
le omissioni sono dovute a colpa, anche lieve, la pena prevista
è la reclusione sino ad un anno.
Trattamento dei dati personali
effettuato con strumenti elettronici o comunque
automatizzati |
Mediante tutti gli elaboratori: - non accessibili da altri
elaboratori o terminali (STAND ALONE) - accessibili da altri
elaboratori (IN RETE) |
·
Creazione di una parola chiave per l'accesso ai dati ·
Fornire la parola chiave agli incaricati del servizio ·
Se possibile tecnicamente, consentire l'autonoma
sostituzione della parola chiave previa comunicazione all'amministratore/i
del sistema ·
Amministratori del sistema: se vi sono più incaricati e
più parole chiave, vanno individuati per iscritto i
soggetti preposti alla custodia delle parole chiavi e che
hanno accesso ad informazioni relative alle medesime |
| |
Elaboratori in RETE NON
ACCESSIBILE AL PUBBLICO (oltre a quanto previsto per
tutti gli elaboratori) |
·
Attribuzione a ciascun utente di un diverso codice
identificativo (user-id), con esclusione degli
amministratori del sistema, in modo che ne sia prevista
la disattivazione ·
Installazione di apposita protezione contro l'intrusione
ad opera di programmi, con verifica almeno semestrale
dell'efficacia |
| |
|
·
L'accesso ai dati sensibili deve avvenire sulla base di
autorizzazioni assegnate, anche agli strumenti
elettronici ·
Le autorizzazioni all'accesso ai dati sensibili sono
assegnate e revocate dal titolare e, se designato, dal
responsabile, con verifica almeno annuale se esistono le
condizioni per la loro conservazione ·
La validità delle richieste di accesso ai dati personali
deve essere verificata prima di consentirne l'accesso
stesso ·
Quanto sopra non si applica ai trattamenti per i quali è
consentita la diffusione |
| |
Elaboratori in
RETE ACCESSIBILE AL PUBBLICO (oltre a quanto
previsto per gli elaboratori in RETE NON ACCESSIBILI AL
PUBBLICO) |
·
Documento Programmatico Sulla Sicurezza (DPSS): sulla base
dell'analisi dei rischi, della distribuzione dei compiti
e delle responsabilità vanno definiti: a)
i criteri per la sicurezza di aree e procedure di
controllo di accesso alle stesse b)
i criteri per la sicurezza dei dati c)
i criteri per la sicurezza delle trasmissioni di dati e
le restrizioni di accesso d)
l'elaborazione di un piano di formazione per gli
incaricati il DPSS
deve essere aggiornato con cadenza almeno annuale le misure
di sicurezza devono essere verificate almeno annualmente ·
Supporti di memorizzazione: i supporti
utilizzati per memorizzare dati sensibili per essere
riutilizzati le informazioni originarie devono essere
tecnicamente irrecuperabili dopo la cancellazione,
altrimenti devono essere distrutti |
|
Trattamento dei dati sensibili
per fini esclusivamente personali, effettuato con
elaboratori IN RETE |
·
Obbligo di proteggere l'accesso ai dati o al sistema
mediante l'utilizzo di una parola chiave, se i dati sono
organizzati in banche di dati |
Trattamento dei dati personali
effettuato con strumenti diversi da quelli elettronici o
comunque automatizzati |
·
il titolare o il responsabile, se designato, identifica
gli incaricati del trattamento per iscritto prescrivendo
che gli stessi abbiano accesso ai soli dati personali la
cui conoscenza sia strettamente necessaria per adempiere
ai compiti assegnati ·
gli atti e i documenti devono essere conservati in
archivi ad accesso selezionato, e se prelevati dagli
incaricati, conservati da questi ultimi e riconsegnati al
termine delle operazioni affidate ·
nel caso di dati sensibili, inoltre, gli atti e documenti
eventualmente affidati agli incaricati devono essere
conservati in contenitori muniti di serratura e l'accesso
agli archivi deve essere controllato, anche mediante
identificazione e registrazione dei soggetti che accedono
oltre l'orario di chiusura degli archivi ·
i supporti non informatici devono essere conservati e
custoditi in forma tale da permettere l'identificazione
dell'interessato e per un periodo di tempo non superiore
a quello strettamente necessario agli scopi per i quali
sono raccolti e/o trattati |
|
A
TUTTI I SIGNORI CLIENTI
LORO SEDI
OGGETTO:
Assicurazione contro gli infortuni e le malattie professionali
anche per i collaboratori coordinati continuativi.
E’
stato pubblicato sulla Gazzetta Ufficiale del 1° marzo 2000, n.50,
il decreto legislativo del 23 febbraio 2000, n.38, recante
disposizioni correttive in materia di assicurazione obbligatoria
contro gli infortuni sul lavoro e le malattie professionali
introducendo l’obbligo di assicurazione presso l'INAIL anche
per i lavoratori “parasubordinati” di cui all’art.49,
comma 2, lett. a) del D.p.r. 917/86.
SOGGETTI
OBBLIGATI
Si tratta
di tutti i lavoratori parasubordinati di cui all’art.49,
comma 2 lettera a) del T.U.I.R., il quale, ricordiamo, qualifica
redditi di lavoro autonomo quelli derivanti:
-
dall’attività di amministratore, sindaco o revisore di
società, associazione o altri enti;
-
dalla collaborazione a giornali, riviste, enciclopedie e simili;
-
dalla partecipazione a collegi e commissioni;
-
da altri rapporti di collaborazione coordinata e continuativa.
Rientrano
tra questi ultimi tutti i compensi caratterizzati dallo
svolgimento di un’attività:
-
che non rientra nell’oggetto dell’arte o professione
esercitata ai sensi del 1° comma del medesimo articolo 49;
-
che per la sua natura sia intrinsecamente “professionale”
escludendo, quindi, le prestazioni di natura “meramente
materiale”;
-
che sia svolta senza alcun vincolo di subordinazione nei riguardi
del soggetto che corrisponde il compenso;
-
che sia esercitata nel contesto di un rapporto unitario e
continuativo;
-
che venga svolta senza impiego di mezzi che possono, comunque,
essere messi a disposizione dal beneficiario della prestazione;
-
con retribuzione periodica prestabilita.
La norma
oggetto di trattazione dispone che hanno l’obbligo di
assicurarsi coloro che, alla data di entrata in vigore del
decreto, svolgono le attività di cui all’art.1 del D.P.R. n.1124
del 30 giugno 1965 (Testo Unico) oppure che, per l’esercizio
delle proprie mansioni, si avvalgono, non in via occasionale, di
veicoli a motore personalmente condotti.
Il citato
articolo elenca una serie di attività produttive con un evidente
rischio infortunistico per soggetti addetti a macchine,
apparecchi o impianti ma, accanto a queste, prevede che siano
considerate addette a lavori rilevanti ai fini del rischio
infortunistico, le persone che sono comunque occupate in lavori
complementari o sussidiari, anche quando lavorino in locali
diversi e separati da quelli in cui si svolge la lavorazione
principale. Sono altresì considerati addetti a lavori rilevanti
ai fini dell’assicurazione coloro che, ai sensi del n.2 dell’art.4
del TU, anche senza partecipare materialmente al lavoro,
sovraintendono al lavoro di chi in modo permanente o avventizio
presta opera manuale retribuita, qualunque sia la forma di
retribuzione.
L'obbligo
dell'assicurazione non sussiste soltanto nel caso di attività
lavorativa diretta unicamente a scopo domestico, salvo per i
lavoratori appositamente assunti per la conduzione di automezzi
ad uso familiare o privato.
MISURA
DEL PREMIO ASSICURATIVO
Alla
base imponibile, costituita dai compensi effettivamente percepiti,
si applicherà il tasso corrispondente alla lavorazione
prevalente svolta nell’azienda qualora l’attività sia
inserita in un ciclo produttivo; in caso contrario dovrà essere
applicato quello dell’attività effettivamente svolta.
La
base imponibile, determinata applicando i criteri fiscali di cui
all’art.50 comma 8 TUIR e articolo 51 commi 3 e 4 legge 488/99
(Finanziaria 2000) non può, comunque, essere:
-
inferiore al “minimale” identificato con la
retribuzione minima assunta per il calcolo delle rendite pari a
Lit.21.385.000 per il ’99;
-
superiore al “massimale” identificato nella misura
prevista per la liquidazione delle rendite pari a Lit.39.709.000
per il ’99.
Il
premio assicurativo dovrà essere ripartito nella misura di 1/3 a
carico del prestatore e di 2/3 a carico dell’azienda
committente, analogamente al trattamento effettuato per la
contribuzione previdenziale alla gestione separata dell’INPS
10-13%.
OBBLIGHI
PER IL COMMITTENTE
Il
committente dovrà adempiere agli obblighi previsti dal T.U. del
1965 per il datore di lavoro ovvero:
-
apertura della posizione assicurativa almeno cinque giorni prima
dell’inizio della prestazione; in sede di prima applicazione
della norma, le aziende possono presentare la denuncia all’INAIL
entro trenta giorni dall’entrata in vigore del decreto (15
aprile 2000);
-
istituzione e tenuta dei libri obbligatori quali il libro
matricola, il libro paga e il libro delle presenze;
-
rilevazione delle presenze;
-
calcolo e liquidazione delle somme dovute all’INAIL;
-
denuncia delle retribuzioni;
-
denuncie di infortuni all’INAIL e all’autorità di
Pubblica Sicurezza.
PRIME
ISTRUZIONI DIFFUSE DALL’INAIL
L’INAIL
ha fornito alcune indicazioni utili agli uffici e agli operatori
del settore che sono state pubblicate sulla stampa specializzata
nei giorni 15 e 16 marzo c.m.. Tra le precisazioni fornite
segnaliamo le seguenti.
p La
scadenza per ottemperare agli adempimenti previsti in capo ai
committenti è confermata al 15 aprile per le posizioni già
attive o in corso di definizione. Trascorsa la fase transitoria,
resta fermo il consueto termine preventivo per la denuncia, nei
“cinque giorni prima dell’inizio dei lavori”, per
i nuovi soggetti da assicurare.
p Viene
data la possibilità ai committenti di inviare i dati senza
recarsi agli sportelli, attraverso appositi call center (numero
16484), tramite posta elettronica, previo scarico dal sito
internet Errore. Il segnalibro non è
definito. di un
apposito programma che permette la creazione di un idoneo file,
all’indirizzo Errore. Il segnalibro non è
definito. e a
mezzo fax (800657657).
p Nell’ipotesi
di prestazioni di durata inferiore all’anno, il premio
dovuto andrà frazionato in tanti dodicesimi per quanti mesi, o
frazione di mese, sono previsti nel contratto.
p Ai fini
del controllo delle posizioni, l’Istituto intende avvalersi
della possibilità di incrociare i dati forniti dai committenti
con quelli dell’INPS e dell’Amministrazione finanziaria
(denuncia collettiva annuale dei sostituti d’imposta mod.770).
p Viene
prevista una multa di 100 mila lire per la mancata iscrizione
oltre alla debenza delle sanzioni e dei contributi.
In questa
prima fase applicativa rimangono ancora diversi elementi di
incertezza. Sarà cura dello studio comunicare le eventuali
precisazioni prima della scadenza degli adempimenti prescritti.
Per ogni ulteriore informazione in merito, rivolgersi allo Studio.
___________________,
li _____________
firma