Start-up innovative, per scongiurare il fallimento non basta l’iscrizione al Registro Imprese

By | News | No Comments

Start-up innovative, la legge fallimentare può scattare anche per loro. L’art. 25 del D.L. n. 179/2012, convertito nella Legge 17 dicembre 2012 n. 221, che ha introdotto la disciplina di tale tipo di società, definisce la start-up innovativa come una società di capitali, costituita anche in forma cooperativa, di diritto italiano oppure Societas Europea, le cui azioni o quote non sono quotate su un mercato regolamentato o su un sistema multilaterale di negoziazione: vi rientrano, pertanto, le s.r.l. (anche in forma semplificata od a capitale ridotto), le s.p.a., le s.a.p.a. e le società cooperative.
Per poter essere definita start-up innovativa la società deve possedere determinati requisiti, fra i quali l’oggetto sociale, esclusivo o prevalente, riguardante lo sviluppo, la produzione e la commercializzazione di prodotti o servizi innovativi ad alto valore tecnologico.
In relazione al particolare oggetto sociale, la start-up deve sostenere spese in ricerca e sviluppo in misura pari o superiore al 15 per cento del maggiore importo tra il costo e il valore della produzione, e/o impiegare personale altamente qualificato per almeno un terzo della propria forza lavoro oppure essere titolare o depositaria o licenziataria di almeno una privativa industriale relativa ad una invenzione industriale, biotecnologica, ad una topografia di prodotto a semiconduttori o ad una varietà vegetale ovvero titolare dei diritti relativi ad un programma per elaboratore originario registrato presso il Registro pubblico speciale per i programmi per elaboratore, purché tali privative siano direttamente afferenti all’oggetto sociale e all’attività di impresa.
Chi verificare i requisiti per lo status di “start-up innovativa”
Secondo l’art. 25 del D.L. n. 179/2012, “la start-up innovativa è automaticamente iscritta alla sezione speciale del registro delle imprese di cui al comma 8, a seguito della compilazione e presentazione della domanda in formato elettronico…”: l’iscrizione è pertanto automatica a seguito della presentazione della domanda, se sono rispettati tutti i requisiti formali.
Il controllo da compiere sulle domande delle aspiranti start-up non deve essere di tipo valutativo sulla concreta innovatività dei beni prodotti dall’impresa richiedente: in altre parole, l’Ufficio non può valutare se i prodotti o servizi di cui si avvia lo sviluppo, la produzione e la commercializzazione siano effettivamente caratterizzati dall’innovatività o dall’alto valore tecnologico. Il compito dell’Ufficio del Registro delle imprese attiene alla sola verifica della regolarità formale della documentazione presentata: non compete invece all’Ufficio stesso valutare il merito delle dichiarazioni presentate in ordine al possesso dei requisiti della start-up.
Al Registro delle imprese spetta dunque soltanto di verificare se la documentazione è stata sottoscritta dal soggetto legittimato, se la modulistica è stata presentata correttamente e sono state rese tutte le dichiarazioni previste dalla legge. Sono poi previsti strumenti di vigilanza periodica per verificare il mantenimento dei requisiti che caratterizzano lo status di start up innovativa, ai fini della conservazione delle agevolazioni fiscali e finanziarie.

Start-up innovative, cosa comporta l’iscrizione al Registro imprese

Anche le sentenze della Giurisprudenza di merito intervenute sul punto, hanno affermato che ai fini dell’iscrizione nella sezione speciale start-up innovative del Registro delle imprese, è condizione necessaria e normalmente sufficiente l’autocertificazione del possesso dei requisiti da parte del legale rappresentante, senza che sia altresì necessario dimostrare all’Ufficio del Registro delle imprese l’effettivo possesso dei requisiti.
Le medesime sentenze ricordano che l’art. 25 del D.L. n. 179/2012 non assegna all’Ufficio il potere di compiere controlli extra-formali e/o ispettivi sull’attività al fine di verificare l’effettivo carattere “innovativo altamente tecnologico” del prodotto e/o servizio di cui la start up innovativa programma la ricerca, lo sviluppo, la produzione e la messa in commercio. E tali conclusioni valgono sia per le start-up costituite tramite atto pubblico, sia per quelle costituite tramite la speciale previsione di cui all’articolo 4, comma 10 bis del D.L. n. 3/2015. Quindi da un lato la legge non contempla l’obbligo per la società di presentare all’Ufficio del Registro delle imprese documentazione tecnica o scientifica al fine di rappresentare l’effettivo carattere innovativo ed altamente tecnologico del prodotto o del servizio, e, dall’altro, l’Ufficio non disporrebbe neppure delle professionalità necessarie a valutare l’enunciazione programmatica contenuta nell’oggetto sociale.
E’ da ritenersi, però, che qualora l’attività che la società si prefigge di svolgere sia manifestamente priva delle caratteristiche dell’innovatività e dell’alto valore tecnologico, in tali casi l’aspetto sostanziale dovrebbe prevalere su quello dichiarativo, risultando dimostrato per tabulas il mancato possesso da parte della società dei requisiti della start-up innovativa. Peraltro rimane sempre possibile che, una volta eseguita l’iscrizione della società nella sezione speciale, l’Ufficio del Registro delle imprese possa effettuare controlli sulle dichiarazioni rese dalla start-up in sede di autocertificazione dei requisiti ovvero che solleciti controlli da parte del Ministero dello Sviluppo economico o della Guardia di Finanza per vigilare sul corretto utilizzo delle agevolazioni previste in favore delle start-up innovative.
Alcune sentenze della Giurisprudenza di merito hanno infatti sottolineato il fatto che, ove da tali controlli dovesse emergere che la società ha ottenuto l’iscrizione nella sezione speciale in assenza dei requisiti previsti dalla legge, l’Ufficio del Registro delle imprese potrebbe ricorrere al Giudice del Registro al fine di ottenere la cancellazione dell’iscrizione della società, secondo la disciplina generale di cui all’art. 2191 c.c.

Perche’ alcune start-up vengono “squalificate”

Occorre far presente che la verifica dell’assenza dei requisiti comporta – al pari della mancata presentazione della dichiarazione annuale circa il possesso dei requisiti stessi – la perdita della qualifica di start-up innovativa e la cancellazione automatica della società dal Registro speciale.
Premesso ciò, potrebbe sorgere il problema se una società che si trova in stato di insolvenza ed è iscritta nella sezione speciale del Registro delle imprese con la qualifica di start-up innovativa, detta iscrizione non precluda di per sé un accertamento in sede prefallimentare dell’effettiva sussistenza dei requisiti di legge per l’attribuzione di tale qualifica al fine di verificare l’assoggettabilità o meno, sotto il profilo soggettivo, al fallimento della società.
Alle start-up innovative iscritte nella sezione speciale del Registro delle imprese, in forza della presunzione di legittimità degli atti amministrativi, non è applicabile la legge fallimentare, ma si prevede, in caso di sua insolvenza, l’applicabilità della sola procedura della composizione della crisi per sovraindebitamento ex art. 14 ter Legge 27 gennaio 2012 n. 3.
La scelta legislativa, come è stato evidenziato da una Dottrina, è coerente, sia sotto il profilo temporale, correlato con il dato empirico alla luce del quale le nuove imprese sono contraddistinte da un alto tasso di mortalità entro i cinque anni dalla costituzione, sia con riguardo alla scelta dei due rimedi specifici introdotti in deroga al diritto comune: la ricapitalizzazione delle perdite e l’esenzione dal fallimento.

Un “fresh start” per ripartire

Nel caso di insuccesso della scommessa innovativa, viene consentito alla start-up il c.d. fresh start, attraverso accordi di ristrutturazione e composizione dei debiti, per ripartire con un nuovo progetto, nonché una liquidazione veloce senza conseguenze penalizzanti. La Giurisprudenza di merito afferma che la natura amministrativa degli atti sottesi all’iscrizione della società alla sezione specializzata del Registro delle imprese con la qualifica di start-up innovativa, così come quelli di periodico aggiornamento, previsti dall’art. 25, commi 8, 9, 12 e 14 del D.L. n. 179/2012, ne esclude la natura costitutiva.

Cosa succede quando i requisiti vengono a mancare

Inoltre, viene sempre affermato dalla Giurisprudenza di merito, anche in considerazione del potere di disapplicazione degli atti amministrativi eventualmente non conformi a legge da parte dell’Autorità Giudiziaria nell’ambito dei giudizi attribuiti alla sua giurisdizione, quale è certamente il procedimento prefallimentare, che non è precluso al Giudice nella sede prefallimentare l’accertamento dell’effettiva sussistenza dei requisiti di legge per l’attribuzione della qualifica di start-up innovativa al fine di verificare l’assoggettabilità o meno, sotto il profilo soggettivo, al fallimento della società.
Dunque l’iscrizione nella speciale sezione del Registro delle imprese e il periodico aggiornamento dei requisiti non hanno natura costitutiva e non precludono, pertanto, ad un Tribunale adito in sede prefallimentare, una volta verificata positivamente la formale iscrizione nella sezione speciale e i suoi successivi aggiornamenti, di procedere ad ulteriori accertamenti sulla sussistenza in concreto dei requisiti richiesti dalla normativa di legge per il mantenimento dello status di start-up innovativa.
Rimane in ogni caso in capo alla società start-up innovativa iscritta nella speciale sezione del Registro delle imprese fornire, in via d’eccezione in applicazione delle regole generali in tema di onere della prova, la dimostrazione in caso di sua insolvenza dello status di soggetto non fallibile.
In altri termini, spetta sempre alla società start-up innovativa iscritta l’onere di provare la sussistenza dei requisiti di legge del suo status di start-up innovativa ai sensi dell’art. 25 del D.L. n. 179/2012 essendo il dato formale dell’iscrizione nell’apposita sezione del registro delle imprese, come sopra esposto, condizione necessaria ma non sufficiente per l’applicazione della esenzione dal fallimento.
Ne consegue che in difetto di tale prova e, comunque, in presenza, in concreto, di elementi positivi ritenuti tali da escludere la sussistenza dei presupposti per la qualifica di start-up innovativa della società, quest’ultima può essere dichiarata fallita.

Articolo pubblicato su:
https://www.agendadigitale.eu/startup/startup-innovative-per-scongiurare-il-fallimento-non-basta-liscrizione-al-registro-imprese/

Blockchain: prospettive della tecnica a registri distribuiti in azienda

By | News | No Comments

La blockchain garantisce la permanenza, l’immutabilità e l’accessibilità dei dati in rete in modo da garantirne l’affidabilità assoluta. Una tecnologia che si presta, dunque, a numerose applicazioni a livello aziendale. Ecco le prospettive d’uso anche alla luce della compatibilità con le norme del GDPR

La tecnica dei registri distribuiti, ovvero DLT (Distributed Ledger Technology) o blockchain per il mondo anglosassone, costituisce un modello concettuale neppure troppo complicato e teso a garantire la permanenza, l’immutabilità e l’accessibilità dei dati tramite la rete informatica, ad un livello tale da garantire per gli stessi, in teoria, un’affidabilità assoluta.

In teoria, si è detto, perché la limitata diffusione delle nuove modalità di registrazione, distribuzione e acquisizione dei dati non ha ancora potuto sostenere la prova dei fatti e comunque le difficoltà di implementazione pratica sono molto rilevanti e costose in termini di ricerca per superarle.

Come funziona la blockchain

Nessuno, neppure i più ottimisti, crede che l’adozione generale della tecnologia di cui si parla sia questione di mesi o di anni, ma è convinzione universale che gli investimenti in studio e sviluppo siano più che giustificati in vista degli innumerevoli vantaggi sperati, solo in piccola parte già sperimentati, ma in prospettiva neppure immaginabili.

C’è chi ha paragonato la tecnologia in questione a quello che è stato, negli Anni 70, il protocollo TCP/IP per lo scambio di dati in rete, poi successivamente sviluppatosi nella rete universale che è Internet come la conosciamo e utilizziamo oggi.

L’idea, come si è detto, è concettualmente semplice e nasce in sostanza da due considerazioni di fatto molto attuali: il numero sempre maggiore di macchine collegate in rete, tutte dotate di dispositivi per la memorizzazione di dati e capaci di eseguire calcoli anche molto complessi, e la esistenza di una rete universale aperta a tutti, a velocità sempre più elevate e a costi tendenzialmente sempre più accessibili.

Ciò rende oggi praticabile la suddivisione di documenti informatici contenenti dati in una serie di piccoli blocchi concatenati (blockchain) ciascuno dei quali viene conservato su uno delle migliaia di computer collegati in rete.

L’utente o gli utenti che vogliano accedere ai dati raccolgono, prelevandoli dai depositari dei singoli blocchi, quelli che formano il documento per ricostruirlo nella sua interezza, a fini di consultazione o eventualmente di modifica, oppure di aggiunta di ulteriori dati.

Ciascun blocco contiene al proprio interno, oltre ai dati, anche un codice temporale che indica il momento in cui il blocco è stato formato, nonché le indicazioni necessarie a collocarlo nella giusta sequenza rispetto ai blocchi precedente e successivo.

Un codice univoco viene attribuito a ciascun blocco come codice di controllo, calcolato in modo tale che la minima variazione del contenuto del blocco relativo (anche una semplice virgola spostata o una lettera minuscola modificata in maiuscola), comporti lo scarto del blocco corrispondente, eliminando così ogni possibilità di manipolazione.

Il numero ridondante dei depositari supplisce a possibili lacune in corrispondenza dei blocchi non accettati, e l’inserimento di nuovi dati può avvenire unicamente con il consenso di tutti i partecipanti al sistema mentre, in ogni caso, i dati presenti non possono essere in nessun caso eliminati, permettendo così la ricostruzione temporale della formazione del singolo dato.

A cosa serve la blockchain

Come si può facilmente immaginare, le operazioni prime descritte richiedono una notevole capacità di calcolo e un utilizzo molto intensivo della rete di collegamento, con incremento dei costi anche notevole e con un certo rallentamento nei tempi di disponibilità dei dati, giustificati però dalla assoluta affidabilità dei dati stessi anche in assenza di controllo da parte di un organismo o ente terzo a ciò incaricato, oltre alla garanzia quanto alla reperibilità dei dati assicurata dalla ridondanza delle fonti disponibili.

D’altro lato, essendo i dati distribuiti in blocchi dislocati presso migliaia di utenti diversi, la loro manipolazione è praticamente impossibile e necessariamente parziale, quindi facilmente rilevabile in quanto non concordante con le altre fonti disponibili.

Riferendoci ad alcuni esempi applicativi reali, le possibili applicazioni a livello aziendale possono essere individuate:

  • nella tracciatura degli alimenti e loro componenti, mediante registrazione dei passaggi e trasformazioni a partire dall’origine. Il progetto è in fase di realizzazione da parte di Carrefour e altre catene della grande distribuzione;
  • nella localizzazione continuativa del percorso di merci e mezzi di trasporto. Il progetto è sviluppato da IBM e da Maersk per i propri container in viaggio;
  • nella tenuta e aggiornamento della contabilità anche in contemporanea tra varie entità fisicamente lontane tra loro;
  • nel supporto nella acquisizione di dati catastali, fiscali e fisici relative a immobili e beni mobili registrati (navi, auto) per notai e operatori del settore, la cosiddetta Notarchain. È un progetto, questo, del Consiglio nazionale del notariato iniziato nel 2017;
  • nell’identificazione sicura di utenti in rete senza necessità di riscontro centralizzato o di terze parti garanti abilitate, scopo al quale tendono le numerose sperimentazioni in tema di esercizio del voto a distanza nell’ambito di organi collegiali;
  • nel controllo di transazioni finanziarie interbancarie tramite documentazione condivisa tra le parti e immediatamente verificabile: la cosiddetta Interbank Information Network creata da JP Morgan cui hanno aderito le banche canadesi e australiane;
  • nella gestione di reti energetiche cui contribuiscono diversi sistemi di generazione di energia, con relativa contabilizzazione degli apporti di ciascuno, introdotta da Siemens con i servizi di Digital grid a fini di controllo e rendicontazione economica;
  • nella raccolta di dati epidemiologici, prescrizionali e ambulatoriali in ambito sanitario al fine di concentrare informazioni utili alla adozione di provvedimenti di carattere generale ovvero all’accesso ai dati di anamnesi dei singoli pazienti. Si tratta di un recente progetto proposto da Consulcesi in Commissione Igiene e Sanità.

Blockchain e smart contract: aspetti normativi

Oltre ai numerosi problemi di natura tecnica e attuativa di cui si è accennato, due aspetti assumono una rilevanza particolare e necessitano di disciplina il più possibile condivisa e uniforme: l’utilizzabilità dei dati in sede legale e la tutela della riservatezza degli stessi.

Sotto il primo aspetto, la legge 11 febbraio 2019, n. 12, ha tentato all’articolo 8 ter una definizione delle “Tecnologie basate su registri distribuiti e smart contract” (questi ultimi essendo una delle futuribili applicazioni della stessa tecnologia), disponendo poi l’attribuzione della data certa a fini legali per i documenti memorizzati tramite blockchain in conseguenza della validazione temporale elettronica (timestamp) come definita dalla normativa europea in materia.

Quanto sopra non esaurisce certo del tutto gli aspetti probatori di detti documenti, la cui affidabilità teorica dovrà essere confermata in sede di regolamenti tecnici da essere emanati da parte della Agenzia per l’Italia digitale.

Ferma restando dunque l’utilizzabilità della tecnologia in sede aziendale, l’utilizzabilità giuridica, ossia in pratica la opponibilità ai terzi, costituisce un capitolo tutto da scrivere, con il rischio di dare luogo a discipline contrastanti nei vari paesi.

Per questo motivo la sintetica normativa italiana – anche se l’Italia è stata la prima tra i Paesi europei a fornire una definizione di “tecnologie basate su registri distribuiti” – della quale si è detto in precedenza è stata da molti criticata in quanto affrettata, approssimativa e adottata in autonomia senza tener conto delle tendenze e raccomandazioni derivanti da organismi sovranazionali.

Quanto alla tutela della riservatezza dei dati (ad esempio, tra i vari problemi è necessario capire, da un lato, come la protezione dei dati personali, in generale, potrà conciliarsi con un sistema all’interno del quale confluiscono enormi quantità di dati; dall’altro, come rispettare le regole sul tempo di conservazione dei dati all’interno di un sistema che ne prevede un’archiviazione a tempo indeterminato), va osservato che l’Osservatorio Europeo ha pubblicato nell’ottobre del 2018 uno studio particolareggiato (Blockchain and the GDPR) su questo tema, evidenziando i potenziali conflitti con le norme del vigente GDPR, e avvertendo che in linea di principio la tecnica blockchain non garantisce la riservatezza adeguata senza che vengano adottati accorgimenti appropriati da incorporare nelle singole applicazioni pratiche sin dalla loro formulazione iniziale.

In altri termini, soltanto le tecniche implementate come parte integrante dei sistemi a registri distribuiti possono garantire il rispetto dei requisiti prescritti, demandando alla legislazione in materia l’approvazione delle singole tipologie di blockchain come proposte dagli sviluppatori.

Anche sotto questo punto di vista è da auspicare una regolamentazione uniforme così da evitare conflitti interpretativi o applicativi.

Quello che può essere rilevato già ad oggi è il vertiginoso aumento tra il 2016 e il 2018 della ricerca di personale esperto nel settore, a dimostrazione dell’interesse sull’argomento blockchain da parte di grandi aziende e di aziende di programmazione anche di dimensioni medio piccole.

Articolo pubblicato su:
https://www.cybersecurity360.it/soluzioni-aziendali/blockchain-prospettive-della-tecnica-a-registri-distribuiti-in-azienda

Assicurazioni cyber e gestione dei dati personali, come cambia il mercato

By | News | No Comments

Valutazione del rischio, premio, diritti e doveri in mano al titolare: il mondo della tech insurance sta registrando un profondo riassestamento con l’esplosione della raccolta dati. E anche l’adesione al Gdpr non sempre è sufficiente a tutelare le parti in gioco. Ecco le possibilità e gli ostacoli in campo.
Gestione dei dati personali: lo scenario in rapidissima trasformazione e espansione sta determinando una nuova geografia del mercato assicurativo cyber (informatico). Quello delle assicurazioni che servono per schermare il patrimonio aziendale dalle possibili conseguenze dannose di un attacco informatico o di un’omissione umana.
Come si prefigura l’assicurazione per la responsabilità civile dei soggetti coinvolti nel trattamento dati verso terzi interessati agli stessi dati? Proviamo a fare chiarezza.
La sempre maggiore diffusione della raccolta di dati personali per i motivi più disparati, anche per semplice comodità e miglior accessibilità all’interno dell’azienda, e la sempre maggiore facilità di registrazione dei dati stessi utilizzando supporti e sistemi informatici ad oggi facilmente disponibili a basso costo, oltreché di relativamente facile apprendimento, comporta il continuo allargamento delle aree a rischio di danneggiamento, perdita, diffusione involontaria o sottrazione di grandi quantità di tali dati. La esposizione ad azioni risarcitorie da parte dei soggetti interessati alla segretezza degli stessi dati a qualsiasi titolo aumenta in corrispondenza ed impone la adozione di misure tendenti alla protezione in questo settore, mediante la stipulazione di polizze assicurative che, pur rientrano nella generica categoria della responsabilità civile verso terzi, presentano aspetti e peculiarità che meritano una considerazione specifica.

Così cambia il mercato assicurativo informatico
Da parecchi anni ormai il mercato assicurativo cosiddetto “cyber” o “informatico” costituisce un importante segmento in espansione molto rapida, ma sicuramente non corrispondente alla rapidità di diffusione, ad oggi in pratica quasi universale, anche se in diversa misura a seconda dei soggetti, dei sistemi informatici per la gestione di dati.
Quanto sopra per il buon motivo che la consapevolezza di essere tenuti ad osservare regole anche molto particolareggiate circa le modalità di registrazione, consultazione, elaborazione e conservazione di tali dati come stabilite per legge, fino a poco tempo fa il Codice della Privacy e di recente il Regolamento europeo noto come GDPR, non esaurisce affatto gli obblighi e le responsabilità dell’operatore e dei suoi dipendenti o dirigenti.
Deve essere tenuto ben presente infatti che, nel caso del verificarsi di uno qualsiasi dei possibili eventi dannosi che le norme contenute nel citato GDPR prevedono, l’osservanza delle regole imposte dalla normativa in vigore non comporta di per sé esenzione di responsabilità per i danni conseguenti all’evento e ciò non solo all’interno dell’azienda ma e soprattutto nei confronti dei soggetti terzi aventi interesse ai dati ed alla segretezza degli stessi.
La copertura assicurativa intesa al risarcimento dei danni diretti per riparazioni, ripristini, interruzione forzata della attività, trova quindi il suo naturale completamento nella copertura della esposizione a richieste di risarcimento, anche collettive, da parte di terzi che lamentino danni subiti a seguito del disservizio occorso nella gestione dei dati.

Non sempre è sufficiente la compliance al Gdpr
Il GDPR sopra richiamato pone espressamente a carico dei titolari del trattamento di dati la scelta delle tutele da essi considerate adeguate al fine di evitare possibili danni, in considerazione dei tipi e dei modi di trattamento in effetti adottati nel caso specifico, oltre all’obbligo di segnalazione immediata o al più entro 72 ore dalla scoperta, delle violazioni alla sicurezza riscontrate.
Ferma naturalmente restando la prova dell’esistenza del danno a carico di chi ne chiede il risarcimento, una eventuale richiesta di danni da parte dei soggetti interessati alla riservatezza dei dati non viene quindi esclusa dalla avvenuta tempestiva segnalazione e dall’accertata osservanza della normativa, ma soltanto dalla dimostrazione della adeguatezza dei mezzi di tutela adottati a priori.
Per questo motivo la copertura assicurativa della responsabilità in questi casi non può prescindere da una valutazione da parte dell’assicuratore, e molto spesso congiuntamente da assicuratore e assicurato, del rischio dipendente dalle scelte dei sistemi di tutela operate dal Titolare e imposte al Responsabile del trattamento.
Va aggiunto che per i sinistri in campo informatico non esistono statistiche affidabili in base alle quali determinare probabilità e entità valutabili ai fini della determinazione dei premi e che inoltre le potenziali minacce alla integrità dei sistemi informatici sono in continuo sviluppo con corrispondente adeguamento dei sistemi di difesa, e ciò implica una variabilità notevole dei rischi.
Questi due aspetti, costituendo un elemento essenziale del rapporto assicurativo, devono essere esplicitamente considerati e valutati in sede contrattuale al fine di evitare possibili cause di nullità o di adeguamento in sede risarcitoria, conseguenza di vere o presunte non esatte specificazioni del rischio assicurato invocabili da parte dell’assicuratore ex articolo 1892 del codice civile.

Data controller e data processor
Quanto alla identificazione dei soggetti coinvolti nel rapporto assicurativo a copertura della esposizione conseguente alla responsabilità civile in campo informatico, pur tenendo conto della infinita casistica che può riscontrarsi nel singolo caso, alcuni principi generali possono essere comunque accennati.
Va premesso peraltro che la terminologia adottata nella normativa italiana, essendo la stessa rimasta invariata rispetto a quella precedente, può risolversi in una certa confusione rispetto al nuovo significato attribuito agli stessi termini nella recente normativa contenuta nel citato GDPR.
Il soggetto in principio responsabile nei confronti dei terzi interessati è infatti il Titolare del trattamento (data controller) cioè il soggetto avente la materiale disponibilità dei dati, il quale sia in grado di decidere autonomamente come utilizzarli e come raggrupparli ai fini e per gli effetti che intende raggiungere.
La diversa figura del Responsabile del trattamento (data processor), contrariamente alla denominazione in italiano (che va riferita alla funzione soltanto e non comporta di per sé alcuna assunzione di responsabilità dal punto di vista giuridico) si riferisce in realtà ad un soggetto che può essere tenuto responsabile nei confronti dei terzi solo nei casi in cui siano state disattese le istruzioni provenienti dal Titolare ovvero siano state effettuate operazioni sui dati non autorizzate dallo stesso Titolare, il quale mantiene pertanto in ogni caso la responsabilità per il trattamento dei dati e per le possibili conseguenze negative che derivino.
In tali ipotesi è prevista addirittura la responsabilità solidale tra Titolare e Responsabile del trattamento, e potrà quindi ben accadere che anche il Responsabile provveda a dotarsi di idonea copertura assicurativa limitatamente a tale aspetto.
Resta ovviamente escluso che quest’ultima copertura possa essere riferita a casi di dolo o colpa grave, ma in presenza di entità organizzate la necessità può riguardare le colpe dei dipendenti o in genere i comportamenti colposi dell’assicurato nel gestire i dati affidati dal Titolare.

Cosa può fare il titolare dei dati
Sempre allo stesso Titolare sono attribuiti in via esclusiva gli obblighi di notifica al Garante delle violazioni riscontrate nei casi e nei tempi previsti; la adozione delle misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, la elencazione specifica dei trattamenti nel registro apposito, la documentazione delle violazioni eventualmente verificatesi nonché, appunto, la nomina del Responsabile del Trattamento (Data Processor).
Sono stati sollevati dubbi circa la possibilità di nominare il c.d. Responsabile tra i dipendenti del Titolare ovvero di non nominarlo affatto, ciò che appare peraltro poco plausibile, ma ciò non influirebbe in ogni caso sulla sfera di responsabilità globale verso terzi del Titolare stesso.
Il rapporto contrattuale tra Titolare e Responsabile del trattamento comporta comunque una rilevanza notevole a fini assicurativi, sia sotto il profilo della eventuale chiamata in garanzia del Responsabile, ove ne ricorrano i presupposti, sia per la limitazione dei rischi rispetto alla responsabilità del Titolare.
Il relativo documento contrattuale dovrà necessariamente costituire un presupposto del contratto assicurativo in quanto determinante ai fini della valutazione del rischio assicurato in capo al Titolare.

Chi sono i soggetti interessati ai dati?
Ulteriore elemento da considerare a fini assicurativi è il tipo di soggetti interessati ai dati (data subject) potenzialmente portatori di diritti al risarcimento in caso di violazione dei dati stessi, tenendo conto che tali possono essere le persone fisiche a cui si riferiscono i dati personali e quindi abbastanza facilmente desumibili dal tipo di dati trattati. La estensione della protezione ad enti e persone giuridiche riveste carattere eccezionale ed estremamente specifico soltanto ad esempio in caso di utilizzo di materiale proveniente da banche dati per inoltro di comunicazioni indesiderate.
Va tenuto conto sotto questo aspetto che il concetto di interessato è molto cambiato negli anni recenti ed è suscettibile di ulteriori cambiamenti ed estensioni, solo se si consideri che le occasioni di raccolta di dati personali stanno aumentando in maniera esponenziale. Basta pensare al proliferare delle telecamere di sorveglianza, delle tessere, documenti o congegni portatili registrati all’interno di banche dati e simili.
Anche tale circostanza, oltre alla possibilità di azioni collettive in materia, in vista del numero considerevole dei potenziali interessati, deve indurre particolare attenzione nell’ambito assicurativo, sempre ai fini della definizione delle aree di rischio, dei massimali e delle franchigie, se previsti, oltre alla adozione degli opportuni aggiornamenti e adeguamenti per garantire la corrispondenza alle attività di volta in volta svolte in concreto e alle ragioni per l’adozione di tutele specifiche di contrasto alla violazione dei dati.
Concludendo, in pochi settori come quello considerato si rende necessaria la massima duttilità delle coperture assicurative in corrispondenza della evoluzione dei trattamenti e dei loro scopi, della analoga evoluzione degli strumenti di disturbo e intrusione e dello sviluppo equivalente dei mezzi di contrasto e protezione, nei tempi molto ristretti di tali dinamiche.

Articolo pubblicato su:
https://www.agendadigitale.eu/sicurezza/assicurazioni-cyber-e-gestione-dei-dati-personali-come-cambia-il-mercato

Convegno 14.01.2019

By | News | No Comments

In data 14 Gennaio 2019 a Genova al Centro Culturale, Formazione e Attività Forensi Aula Convegni del Consiglio dell’Ordine degli Avvocati, CAMMINO – Camera Nazionale Avvocati per le persone, le relazioni familiari e i minorenni – della sede di Genova ha tenuto un convegno sull’argomento “Tavola Rotonda: Affido Condiviso, Mantenimento Diretto, Garanzia Bigenitorialità: decreto Pillon, un’illusione di parità?”.