Il Decreto Legge 39/2024 ha introdotto una serie di nuovi obblighi finalizzati al monitoraggio e all’utilizzo dei crediti di imposta 4.0 e Ricerca&Sviluppo.

Sono state introdotte quattro nuove comunicazioni obbligatorie che determinano, in caso di mancato invio, il blocco delle compensazioni e che sono:

1. Comunicazione preventiva per gli investimenti in 4.0 ed in R&S che si ha intenzione di effettuare dal 30.03.24 in poi;

2. Comunicazione da effettuarsi a conclusione degli investimenti in 4.0 ed in R&S di cui al punto precedente;

3. Obbligo di comunicare gli investimenti effettuati ed i relativi crediti maturati nel periodo 01.01.24 -29.03.2024 sia per investimenti in 4.0 che per attività di R&S;

4. Obbligo di comunicare gli investimenti in 4.0 (e non in R&S) effettuati nel corso del 2023 ed i relativi crediti maturati e non ancora compensati alla data del 30.03.24.

Si tratta quindi di un adempimento gravoso per il quale mancano però i decreti attuativi: per evitare rischi di sanzioni ed in attesa di chiarimenti, è preferibile sospendere eventuali ulteriori compensazioni concernenti l’utilizzo dei suddetti crediti.

Sarà nostra cura fornire tutte le necessarie informazioni non appena disponibili e restiamo a disposizione per eventuali chiarimenti.

Con alcuni provvedimenti del 22 febbraio 2024, il Garante Privacy ha sanzionato 5 società per aver illegittimamente raccolto e trattato i dati biometrici dei loro dipendenti.

Il Garante è intervenuto a seguito dei reclami formulati da diversi dipendenti di queste società, tutte operanti presso lo stesso sito di smaltimento dei rifiuti.

Le aziende coinvolte nel caso avevano imposto l’utilizzo di un rilevatore biometrico per l’accesso al luogo di lavoro per oltre un anno, senza fornire un’informativa chiara e dettagliata ai lavoratori rispetto alla raccolta e all’uso dei loro dati personali. Inoltre, non avevano effettuato le valutazioni d’impatto previste dalla normativa sulla privacy, né implementato le necessarie misure tecniche di sicurezza per proteggere i dati raccolti.

Accogliendo i reclami dei lavoratori, il Garante ha sottolineato che non esiste alcuna norma che consenta l’uso di sistemi di controllo biometrici in ambito lavorativo, affermando quindi che il riconoscimento facciale per controllare le presenze sul posto di lavoro dei lavoratori viola la normativa a tutela della privacy dei dipendenti.

In particolare, è stata accertata la violazione dell’art. 5, par. 1, lett. a) e 9 del Regolamento, in relazione ai trattamenti di dati dei citati dipendenti.

È emerso che le società coinvolte hanno trattato i dati biometrici, sia in fase di registrazione con l’acquisizione delle caratteristiche biometriche degli interessanti, sia in fase di riconoscimento biometrico, durante la rilevazione delle presenze.

Ad avviso del Garante, le società avrebbero dovuto utilizzare sistemi meno invasivi, come l’uso di badge, per controllare la presenza dei propri dipendenti e collaboratori sul luogo di lavoro.

Quando un utente visita un sito web o un’applicazione con annunci pubblicitari, le imprese, i data broker e le piattaforme pubblicitarie possono fare offerte in tempo reale per ottenere spazi pubblicitari, permettendo la visualizzazione di annunci personalizzati basati sul profilo dell’utente. Questo processo rappresenta una vendita all’asta istantanea di dati personali per scopi pubblicitari.

La Corte di Giustizia UE ha emesso una sentenza sulla causa C-604/22 su queste pratiche, le quali potrebbero violare il GDPR. In particolare, la sentenza si concentra sul Transparency & Consent Framework (Tcf) sviluppato dall’IAB Europe, utilizzato per tracciare e vendere profili utente online. Il problema riguarda l’uso dei consensi dati dagli utenti, raccolti al primo accesso a un sito, conservati e utilizzati per aste pubblicitarie successive.

La Corte ha stabilito che la “Tc string”, cioè l’insieme di informazioni contenute nel Tcf, costituisce un dato personale ai sensi del GDPR, poiché contiene informazioni sufficienti per identificare con certezza il destinatario della pubblicità profilata. Pertanto, il consenso dell’utente deve essere richiesto ogni volta che tali dati vengono utilizzati, anche se in contesti successivi alle aste iniziali.

La Corte di Giustizia dell’Unione Europea evidenzia quindi la necessità di garantire il rispetto dei principi di trasparenza, consenso e responsabilità nel trattamento dei dati personali nell’ambito delle pratiche di aste pubblicitarie online, al fine di garantire la protezione dei diritti degli utenti e la conformità con il GDPR.

Con la pubblicazione sulla Gazzetta Ufficiale n.51 del Dm n. 232 del 23 dicembre 2023, il Ministro delle Imprese e del Made in Italy, in collaborazione con il Ministro della Salute e il Ministro dell’Economia e delle Finanze, ha definito il “Regolamento recante la determinazione dei requisiti minimi delle polizze assicurative per le strutture sanitarie e sociosanitarie pubbliche e private e per gli esercenti le professioni sanitarie”.

Questo decreto rappresenta un passo fondamentale per la piena attuazione della legge del 2017 che mirava a regolare la responsabilità civile sanitaria. 

La normativa introduce meccanismi di garanzia obbligatori per le aziende e gli operatori sanitari, ponendo così le basi per una migliore gestione delle risorse finanziarie e una maggiore tutela delle vittime.

Le novità introdotte delineano le linee guida operative dei provvedimenti già presenti nella Legge 24/2017, focalizzandosi sulla disciplina assicurativa e sul trasferimento del rischio in caso di “auto ritenzione” totale o parziale.

Il regolamento, articolato in quattro titoli e 19 articoli, stabilisce che le imprese assicurative dovranno adeguare i loro contratti entro 24 mesi dall’entrata in vigore del decreto. 

Lo stesso termine è previsto per le strutture sanitarie che dovranno conformarsi alle nuove misure organizzative e finanziarie. 

Il Garante per la Privacy con il provvedimento “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” ha limitato la conservazione dei metadati delle email dei dipendenti per evitare violazioni della privacy sul luogo di lavoro.

Secondo il Garante, la raccolta preventiva e generalizzata dei metadati è vietata, mentre la conservazione dei messaggi email deve rispettare le garanzie di segretezza previste dalla Costituzione.
I metadati devono essere conservati per un breve periodo, non superiore a poche ore o giorni (senza superare la soglia massima dei sette giorni), che possono essere incrementati di altre 48 ore solo in presenza di comprovate e documentate esigenze, per evitare un controllo indiretto a distanza dell’attività dei lavoratori.

Con la sentenza numero 2615/2023, il tribunale di Roma, sezione 18ª civile, ha annullato una sanzione di oltre 26 milioni riportando tra le motivazioni il fatto che il Garante della privacy non ha rispettato i termini previsti per la notifica della contestazione (120 giorni).

La sanzione privacy risulta infatti invalida nel momento in cui il Garante non ha notificato la contestazione delle trasgressioni entro il termine di 120 giorni dal ricevimento dei chiarimenti richiesti in sede ispettiva. In questi casi, il procedimento è viziato per violazione del regolamento del Garante n. 2 del 2019, tabella B n. 2.

Il termine è perentorio e decorre dal ricevimento da parte del Garante dell’ultima risposta alle richieste di chiarimenti. In pratica, il Garante, quando invia una richiesta di informazioni fissando un termine per la risposta, poi ha massimo 120 giorni per notificare la violazione o eventualmente chiedere ulteriori chiarimenti.

Ora la parola passa alla Cassazione.