Dalla rubrica “parola all’avvocato” di BergamoSera. L’avvocato Marta Savona – referente della Commissione di Diritto Agroalimentare di Aiga Bergamo – spiega quali sono le categorie di elementi che devono essere segnalate agli allergici

Era stato adottato nel lontano 13 dicembre 2014 il Regolamento europeo 1169/2011 relativo alla fornitura di informazioni sugli alimenti ai consumatori, che all’articolo 44 obbliga l’esercente ad informare il consumatore sulla presenza o meno dei cosiddetti allergeni nei propri prodotti o piatti.

Tuttavia, solo dal 9 maggio di quest’anno è entrato in vigore il decreto legislativo 231/2017, che adegua le disposizioni nazionali alla normativa europea stabilendo anche le sanzioni per irregolarità nelle informazioni fornite al consumatore.

Sono previste multe particolarmente salate per i ristoratori che violano tale prescrizione: l’operatore del settore alimentare che omette, nella fase di somministrazione di alimenti, di indicare le sostanze o prodotti che possono provocare allergie o intolleranze, è soggetto alla sanzione amministrativa pecuniaria del pagamento di una somma da 3.000 euro a 24.000 euro.

Quali sono quindi i nuovi obblighi per ristoratori e mense, scuole, ospedali, e in generale tutti gli operatori che forniscono alimenti non preimballati? Per tutti, è obbligatorio riportare in modo chiaro, immediato e comprensibile per il cliente l’avviso della possibile presenza delle sostanze o prodotti che possono provocare allergie o intolleranze.

Le avvertenze di cui sopra vanno pertanto indicate o direttamente sul menù, oppure su di un registro a parte o, ancora, su un apposito cartello facilmente visibile al pubblico, che potrà anche indicare la possibilità di rivolgersi al personale a cui chiedere le necessarie informazioni.

Ciò che conta è, in buona sostanza, che vi sia documentazione scritta, facilmente reperibile e bene in vista, sia per l’autorità competente sia per il consumatore finale, che fornisca agli utenti l’indicazione specifica degli allergeni indicati nell’allegato II del Regolamento.

I soggetti allergici o intolleranti possono quindi andare sul sicuro quando mangiano fuori casa? Attenzione, perché va fatta una doverosa precisazione. In base alla normativa europea, infatti, soltanto 14 categorie catalogate come responsabili di allergie devono essere obbligatoriamente segnalate, mentre sono centinaia gli alimenti con potere allergizzante o sensibilizzante.

Si tratta di: cereali contenenti glutine (grano, segale, orzo, avena, farro, kamut o i loro ceppi ibridati); crostacei; uova; pesce; arachidi; soia; latte; frutta a guscio; sedano; senape; semi di sesamo; anidride solforosa e solfiti; lupini; molluschi.

Per coloro che soffrono di patologie allergiche riconducibili ad altre classi di alimenti, pertanto, in assenza di specifico obbligo spetterà all’utente segnalare la circostanza all’operatore che sarà tenuto a fornire i relativi chiarimenti solo su richiesta, a tutela della salute del cliente e nel rispetto dell’obbligo di trasparenza nei confronti dei consumatori finali.

Marta Savona

Dalla rubrica “parola all’avvocato” di BergamoSera. L’avvocato Mirko Brignoli – referente della Commissione di Diritto Amministrativo dell’Aiga di Bergamo – spiega quali procedure seguire per consultare e analizzare i documenti in possesso del Comune

Gentile avvocato, il mio vicino di casa ha intenzione di demolire un vecchio fabbricato per realizzarne uno nuovo che sorge proprio vicino al mio confine. Temo che l’intervento edilizio possa violare i miei diritti. Posso recarmi in Comune ed esaminare i progetti? Grazie.

Caro lettore, certamente! Il “diritto di accesso” è uno strumento giuridico che consente al privato di prendere visione ed estrarre copia degli atti amministrativi, in attuazione dei principi di imparzialità, buon andamento e trasparenza della pubblica amministrazione. Si esercita mediante presentazione di motivata istanza.

Lei dovrà indicare espressamente di essere proprietario di un’area confinante e di voler verificare se le opere che il vicino vuole realizzare ledono i suoi diritti. Non tutti infatti possono visionare tali documenti: occorre dimostrare di avere un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso.

Il rapporto di vicinato costituisce di per sé un legittimo interesse concreto ed attuale e non rappresenta alcuna violazione del diritto alla privacy del suo vicino (Tar di Aosta, Valle d’Aosta, sez. I, 15 marzo 2017 n. 12).

Il Comune dovrà comunque informare il suo vicino ed inviarlo a formulare eventuali osservazioni.

Salvi i casi di sospensione o differimento, l’amministrazione dovrà risponderle entro trenta giorni. In caso di esito favorevole, Lei potrà visionare gratuitamente gli atti ed estrarne copia, pagando solamente il costo di riproduzione, i bolli e i diritti di ricerca e visura.

Se il Comune non dovesse risponderle nei termini sopra indicati, per legge l’accesso si deve intendere negato. In tale ipotesi (come nel caso in cui l’accesso venga espressamente negato) Lei potrà fare ricorso nei successivi trenta giorni al Tribunale Amministrativo Regionale oppure al Difensore Civico competente per ambito territoriale.

Dalla rubrica “parola all’avvocato” di BergamoSera. L’avvocato Lucia Mosconi – referente della Commissione di Diritto Fallimentare – spiega come i dipendenti possono recuperare quanto spetta

“Gentile avvocato, ero dipendente di una società che è stata dichiarata fallita e vanto un credito nei confronti della società stessa a titolo di TFR e di retribuzioni. Cosa posso fare per recuperare il mio credito?”.

Gentile lettore,
per poter recuperare il credito da Lei vantato nei confronti della società dichiarata fallita, deve innanzitutto presentare la cosiddetta domanda di ammissione al passivo, che consiste in un atto con cui il creditore chiede che il proprio credito venga riconosciuto e ammesso allo stato passivo del fallimento.

La domanda di ammissione al passivo può essere presentata personalmente o mediante l’assistenza di un avvocato, preferibilmente 30 giorni prima dell’udienza fissata per la verifica dei crediti. La stessa deve essere trasmessa a mezzo posta elettronica certificata all’indirizzo della procedura fallimentare e deve contenere: il cognome e nome del creditore, l’indicazione del credito, l’indicazione del titolo di prelazione e l’indicazione dei documenti giustificativi.

Nel caso di specie, il credito da lei vantato a titolo di retribuzioni e TFRè assistito dal privilegio ai sensi dell’art. 2751 bis, primo comma, n. 1 codice civile: questo significa che quando il curatore provvederà alla ripartizione delle somme ricavate dalla liquidazione dell’attivo fallimentare (se disponibili), il suo credito sarà preferito al credito vantato da altri creditori, quali ad esempio quelli chirografari.

Qualora il fallimento disponga di risorse da ripartire tra i creditori ammessi allo stato passivo, non ci sono certezze in merito ai tempi di incasso delle somme da distribuire in quanto ciò dipende dalla tipologia dei beni e dalle tempistiche necessarie per la loro vendita.

Le segnalo, infine, che per i lavoratori dipendenti è possibile richiedere l’intervento del Fondo di tesoreria dell’Inps, che provvede ad erogare in tempi più contenuti quanto spettante al lavoratore a titolo di TFR e/o di retribuzioni per le ultime tre mensilità. Successivamente all’erogazione delle somme, l’Inps si sostituirà nella posizione del dipendente ammesso al passivo per il credito vantato nei confronti della società dichiarata fallita.

Dalla rubrica “parola all’avvocato” di BergamoSera. La dr.ssa Arianna Gualandris – referente della Commissione di Diritto e Nuove Tecnologie di Aiga Bergamo spiega le novità introdotte dal Regolamento 679/2016, pienamente efficace dal 25 maggio 2018, obbligatorio per tutti i soggetti che trattano dati di persone fisiche.

Dottoressa, ci riassumerebbe il nuovo regolamento in estrema sintesi?
Lo riassumerei in tre concetti chiave: responsabilità – informazione e formazione – prevenzione.

Qual è l’ambito di applicazione?
Il regolamento si rivolge a tutti i soggetti giuridici e professionisti di qualunque dimensione che, per il tipo di attività svolta, trattano dati personali di persone fisiche e si riferisce a tutti i tipi di trattamento: interamente automatizzato, parzialmente automatizzato e non automatizzato. Gli obblighi del regolamento tuttavia sono rivolti solo a soggetti economici quali imprese e società (di qualunque dimensione) e professionisti che trattato dati personali di persone fisiche. Sono esclusi coloro che trattano solo dati di persone giuridiche e le persone fisiche che trattano dati personali per l’esercizio di attività a carattere esclusivamente personale o domestico.

Che cosa si intende per trattamento dei dati? In altri termini, come capire se si sta trattando un dato personale?
Il trattamento dei dati consiste in una qualsiasi attività di raccolta, registrazione, organizzazione, conservazione, consultazione e modificazione di dati che riguardano l’interessato. E ancora, la selezione, l’estrazione, il raffronto, l’utilizzo, il blocco, la comunicazione e diffusione nonché la cancellazione del dato.

Ha parlato di dati e di interessati. Può spiegare meglio questi concetti?
L’interessato è il soggetto a cui si riferisce il dato trattato. Il dato può essere un dato personale come nome, cognome, codice fiscale, nickname, email, numero di telefono, indirizzo oppure dato sensibile, ossia il dato idoneo a rivelare l’origine razziale ed etnica, oppure la convinzione religiosa, le opinioni politiche, lo stato di salute e la vita sessuale. Si parla infine di dato giudiziario che si riferisce sostanzialmente al dato penale e quindi al casellario giudiziale. A onor del vero, il regolamento 2016/679 ha abbandonato la richiamata distinzione tra le diverse tipologie di dato, ma è sicuramente ancora utile al fine di comprendere la portato del dato e quindi la potenziale pericolosità di un trattamento non legittimo o non in sicurezza

Quindi, in sostanza, chi tratta dati personali nel senso previsto dal regolamento?
In linea teorica tutte le aziende: anche coloro che realizzano attività B2B trattano i dati personali dei propri dipendenti e quindi sono anch’essi tenuti agli obblighi previsti dal regolamento. Ovviamente il tipo di attività svolta, il bacino di utenza, la tipologia di dato trattato e la presenza o meno di un sistema di trattamento e gestione del dato automatizzato incide sulle misure di trattamento e sulla valutazione d’impatto.

Ci faccia un esempio concreto? 
Una piccola azienda con cinque dipendenti che si interfaccia con altre persone giuridiche, di qualunque dimensioni esse siano, con una persona addetta all’amministrazione che utilizza un archivio analogico avrà un impatto di rischio sul trattamento del dato decisamente inferiore rispetto ad una società che, indipendentemente dal numero di dipendenti, ha una pagina internet che presenta un form di richiesta informazioni, oppure un e-commerce, o ancora che usa sistemi di archiviazione digitali in cloud. Ma è altrettanto vero che anche la piccola società di cui al primo esempio avrà quasi certamente un gestionale per monitorare gli ingressi dei dipendenti, oppure un gestionale per generare le buste paga o un sistema di videosorveglianza. Anche in questi casi il trattamento del dato deve essere regolamentato, i soggetti interessati, previamente informati, devono avere prestato il proprio consenso al trattamento e il rischio legato alla sicurezza del dato deve essere mappato.

Quali sono le figure soggettive coinvolte nel trattamento? 
Nell’ambito della compagine aziendale possiamo individuare diversi soggetti coinvolti: il titolare del trattamento, il responsabile del trattamento, l’incaricato al trattamento e il Dpo (Data protection officer), responsabile della protezione dei dati.

Ma quali sono gli obblighi posti dal regolamento?
L’azienda che tratta i dati deve dotarsi di un registro dei trattamenti e di una organizzazione aziendale interna che sia in grado di individuare quali soggetti trattano i dati, quali dati ciascun soggetto può trattare e che possa garantire la sicurezza dei dati trattati. Infine, il titolare deve dotarsi di una informativa all’interessato chiara, semplice e sopratutto scritta nonché l’esercizio di tutti i diritti e le garanzie riconosciute all’interessato.

Di quali diritti stai parlando? 
L’interessato deve essere informato rispetto al tipo di trattamento, alle finalità, alle modalità di trattamento, ad eventuali trasferimenti verso non solo paesi terzi, ma anche terzi soggetti. Per esempio, al lavoratore dovrà essere fornita una informativa rispetto al trattamento dei dati da parte del datore di lavoro nella quale dovrà essere indicata la durata del trattamento (termini di legge) e la finalità (elaborazione buste paga o adempimenti di legge). Molto spesso tali funzioni sono svolte dal commercialista, il quale quindi assumerà la qualifica di responsabile esterno. Tutti questi dati dovranno essere trattati dal datore di lavoro in modo da garantire al lavoratore il diritto alla portabilità, il diritto all‘ oblio, alla limitazione del trattamento, alla portabilità dei dati.

Chi è il Dpo e la sua nomina è obbligatoria?
Il Dpo è un soggetto che può essere interno o esterno all’azienda e ha la funzione di verificare in piena autonomia che il trattamento dei dati avvenga in modo legittimo, controllare che il sistema di sicurezza sia idoneo e adatto al tipo di trattamento. insomma deve verificare che l’azienda sia compliance al regolamento. La sua nomina è però obbligatoria solo in casi particolari.

Prima hai accennato alla puntuale individuazione all’interno dell’azienda di soggetti responsabili o incaricati. Perché questo è importante?
Individuare quali soggetti trattano dati, perché e come devono farlo è importante per due ordini di motivi. Da un lato, il titolare / datore di lavoro in questo modo può delegare il controllo e la gestione del dato, dall’altro rende più semplice individuare il flusso dei dati ed eventualmente intercettarall’occorrenza.

È importante che l’azienda si doti di un registro dei trattamenti e di sistemi di sicurezza idonei?
È fondamentale per garantire l’efficienza all’interno dell’azienda. Dotarsi di un sistema di sicurezza idoneo per il tipo di dato trattato è invece importante a livello di responsabilità. Nell’ipotesi di perdita dei dati, l’essersi dotato di un sistema idoneo è motivo di esclusione della responsabilità.

A chi possono rivolgersi le aziende per ottemperare agli obblighi di legge?
Il consiglio è di rivolgersi sempre ad un esperto legale in materia di trattamento dei dati e ad un informatico. Si tratta infatti di una consulenza che deve realizzarsi a sei mani, dove due mani sono quelle di un legale che possa mappare l’azienda ed individuare le figure apicali e l’organigramma privacy, interpretando il regolamento in modo intelligente e calibrato sulla base delle effettive esigenze dell’azienda, un informatico che possa aiutare l’azienda a dotarsi di sistemi gestionali e di sicurezza idonei al tipo di trattamento realizzato. La terza coppia di mani è quella dell’azienda: l’adeguamento alla nuova normativa non deve stravolgere le modalità operative dell’azienda, ma formalizzare processi che di fatto sono già attuati.

Il regolamento è già stato promulgato ma entrerà in vigore dal 25 maggio. Cosa significa?
Significa che dal 25 maggio verranno abrogate le disposizioni del codice della privacy non compatibili; i pareri resi dal Garante rimangono validi e le informative già raccolte che rispondo ai nuovi criteri restano valide.

Quali sono le sanzioni?
Le sanzioni sono molto importanti: gli articoli 83 e seguenti del regolamento prevedono sanzioni amministrative pecuniarie fino a 10.000.000€ /20.000.000 o 2% o 4% del fatturato mondiale annuo. Sono cifre che certamente spaventano ma attendiamo specifiche del Garante.

Perché un’azienda deve dotarsi di un sistema di due diligence nel trattamento dei dati, a prescindere delle sanzioni? 
Le nuove regole in materia di trattamento dei dati deve essere vissuta come occasione per ottimizzare e rendere ancora più efficiente l’organizzazione aziendale. Per le piccole aziende in particolare l’adeguamento rappresenta una buona opportunità di minimizzazione dei costi: capire quale dato è necessario raccogliere, per quanto tempo e come deve essere conservato significa, specularmente, capire quali dati sono superflui e quali possono essere distrutti, con conseguente risparmio di costi di archiviazione e di risorse del personale.