.
LE FONTI
www.lefonti.legal
Maggio 2018 | N° 24 | 20 € Mensile
LEGAL LA RIVISTA N°1 DEGLI AVVOCATI
Real estate financing e ottimizzazione dei portafogli. Secondo Stefano Sennhauser, managing partner di Allen&Overy, sono queste le attività che hanno lo sviluppo più significativo
Il business nel settore banking DOSSIER
GDPR
80024
GLI ADEMPIMENTI DELLE AZIENDE E DELLA PUBBLICA AMMINISTRAZIONE
9
772499
837009
Stefano Sennhauser ISSN 2499-8370
Anno 2018 - Prima immissione 20/05/2018 | Anno III | N°24 | Maggio 2018
D.LGS 231 TRA OBBLIGHI E RESPONSABILITÀ
CLASSIFICHE GLI STUDI PIÙ ATTIVI NEL MERCATO DEI CAPITALI
EDITORIALE
Un passo avanti verso l’integrazione dei canali distributivi ANGELA MARIA SCULLICA
@AngelaScullica
I
l Consiglio dei ministri ha approvato in febbraio il decreto di attuazione della direttiva Ue 2016/97 del Parlamento europeo sulla distribuzione assicurativa (Idd). Per una decisione a livello europeo l’entrata in vigore è stata prorogata all’ottobre 2018. Tra le varie questioni affrontate, Il decreto prevede che l’Ivass, d’accordo con la Consob, adotti le disposizioni attuative in modo da garantire uniformità della disciplina applicabile alla vendita dei prodotti di investimento assicurativo a prescindere dal canale distributivo. Ed è questo un primo passo importante verso l’omogeneizzazione del sistema assicurativo e finanziario. Un passo rafforzato anche dal fatto che, per dare coerenza ed efficacia al controllo, Ivass e Consob dovranno accordarsi sulle modalità di esercizio dei poteri di vigilanza, secondo le rispettive competenze, in modo da ridurre la possibilità di arbitraggi normativi tra i diversi canali di vendita. L’integrazione del settore assicurativo con quello finanziario è voluta dalle Authority europee che mirano a creare un unico sistema distributivo omogeneo in tutta l’Unione. Nella direttiva Idd è previsto che la distribuzione dei prodotti assicurativi di investimento avvenga di norma mediante una consulenza personalizzata al cliente. Un’eccezione può essere fatta per i prodotti assicurativi di investimento non complessi che potranno essere distribuiti senza il supporto consulenziale. Risulta quindi particolarmente importante la suddivisione dei prodotti assicurativi tra complessi e non complessi. A questo proposito l’Eiopa (European Insurance and Occupational Pensions Authority), ha fissato orientamenti sui criteri di valutazione al fine di consentire alle compagnie e ai distributori di valutare la complessità dei prodotti di investimento assicurativo. Una valutazione che si basa sulla natura degli strumenti finanziari ai quali un prodotto assicurativo è collegato, nonché sulla struttura del contratto assicurativo concluso con il cliente. Per l’Eiopa infatti è importante garantire che siano venduti mediante la sola esecuzione soltanto prodotti di cui il cliente è in grado di capire prontamente i rischi. In questo l’Eiopa ha tenuto presente il lavoro effettuato dall’Esma sulla valutazione degli strumenti finanziari complessi, cioè che incorporano una struttura che rende difficile per il cliente capire il rischio assunto. La complessità degli strumenti finanziari ai quali il prodotto di investimento assicurativo è collegato, trae ispirazione dalle disposizioni stabilite dalla direttiva 2014/65/Ue del 15 maggio 2014, relativa ai mercati degli strumenti finanziari (Mifid 2). Come si può quindi facilmente intuire il quadro legislativo nel quale si inserisce la Idd è strettamente ispirato al disegno europeo che mira a costruire un’unica area omogenea per la distribuzione finanziaria, assicurativa nella quale l’attenzione al cliente e la semplificazione, diventano centrali. E per la quale una consulenza trasparente e completa, che non fa distinzione dei canali distribuitivi, ma che anzi utilizza questi per venire incontro il più possibile alla clientela, diventa il principale strumento strategico per la vendita dei prodotti finanziari e assicurativi complessi. .
MAGGIO 2018
3
LE FONTI LEGAL
.
LE FONTI LEGAL LA RIVISTA N°1 DEGLI AVVOCATI
Sommario PROTAGONISTI
10
IMPRESE E LAVORO La tutela dei dati personali all’esordio del Gdpr
MERCATI E BUSINESS Si aprono nuovi spazi nel private equity DI LUIGI DELL’OLIO
24
Il successo della clausola arbitrale
6
E FRANCESCO ANASTASI
La nuova privacy: obblighi e sanzioni DI FILIPPO FATTORE
DI FEDERICA CHIEZZI
42
RUBRICHE
23
General Counsel
La spinta viene dal cambiamento socio - culturale
69
Mondo legale
75
76
In corsa
Eventi
82
DI FILIPPO CUCUCCIO
Posta elettronica aziendale e trattamento dati DI VITTORIO DE LUCA
Privacy e whistleblowing: cosa cambia per le aziende
PENALE E FISCO D.lgs 231 tra obblighi e responsabilità
56
DI GIANNI MARCO DI PAOLO
SCENARI
DI ANGELA GIEBELMANN
26
48
DI GABRIELE VENTURA
Le strade più promettenti DI GABRIELE VENTURA
16
Gli studi legali in cima al mercato dei capitali
Carriere
BANKING & FINANCE
60 68
DI FEDERICA CHIEZZI
PROFESSIONE AVVOCATO Da “Geppi” allo studio-azienda: 50 anni di carriera... da film
72
DI GABRIELE VENTURA
Cresce il peso dei big della revisione
78
DI LUIGI DELL’OLIO
LEGAL n. 24 - Maggio 2018 EDITORE
RESPONSABILE COMUNICAZIONE E RELAZIONI ESTERNE Claudia Chiari COORDINAMENTO INTERNAZIONALE (New York, Dubai, Hong Kong, Londra, Singapore) Alessia Liparoti (alessia.liparoti@lefonti.it) PROGETTI SPECIALI Alessia Rosa (alessia.rosa@lefonti.it)
Le Fonti S.r.l. Via Dante, 4, 20121 Milano
INNOVAZIONE E DIGITAL MARKETING Simona Vantaggiato (simona.vantaggiato@lefonti.it)
DIRETTORE RESPONSABILE Angela Maria Scullica (angela.scullica@lefonti.it)
UFFICIO GRAFICO Valentina Russotti
REDAZIONE Federica Chiezzi (federica.chiezzi@lefonti.it)
REDAZIONE E STUDI TELEVISIVI Via Dante 4, 20121 Milano tel. 02 8738.6306 Per comunicati stampa press@lefonti.it
SEGRETERIA EDITORIALE segreteria@lefonti.it COLLABORATORI Filippo Cucuccio, Luigi Dell’Olio, Filippo Fattore, Alice Trevisan, Paolo Tomasini, Gabriele Ventura
LE FONTI LEGAL
4
MAGGIO 2018
EDITORIAL OFFICES Londra, Milano, New York, Singapore, Dubai, Hong Kong CONCESSIONARIA PUBBLICITÀ Opq s.r.l. Via G.B. Pirelli, 30- 20141 Milano tel. 02 6699.2511, info@opq.it, www.opq.it
STAMPA Arti Grafiche Fiorin AGF. S.p.A. DISTRIBUZIONE PER L’ITALIA MePe - Distribuzione Editoriale Via Ettore Bugatti, 15 - 20142 Milano UFFICIO ABBONAMENTI Telefono 02 8738 6306 o inviare una mail a: abbonamenti@lefonti.it www.worldexcellence.it/abbonamenti/ CAMBIO INDIRIZZO Si prega di comunicarci entro il 20 del mese precedente il nuovo indirizzo via mail a: abbonamenti@lefonti.it GARANZIA DI RISERVATEZZA PER GLI ABBONAMENTI Le Fonti garantisce la massima riservatezza dei dati forniti dagli abbonati e la possibilità di richiederne gratuitamente la rettifica o la cancellazione ai sensi dell’art. 7 del D. leg. 196/2003 scrivendo a abbonamenti@lefonti.it. Pubblicazione mensile registrata presso il Tribunale di Milano il 10 Marzo 2016, numero 83. La testata Legal è di proprietà di Le Fonti. Direttore responsabile Angela Maria Scullica Prezzo di copertina € 20,00
comitato scientifico le fonti (in ordine alfabetico)
SCENARI
IL REGOLAMENTO EUROPEO
La nuova privacy: obblighi e sanzioni Il pacchetto comunitario sul trattamento dei dati personali entra in vigore automaticamente, ma l’armonizzazione italiana, la sovrapposizione con la direttiva sui pagamenti e le correzioni in corsa di Bruxelles creano una giungla normativa in cui sarà difficile districarsi. Il Garante promette una partenza soft, ma gli avvocati scaldano i muscoli per fornire supporto DI FILIPPO FATTORE
LE FONTI LEGAL
6
MAGGIO 2018
I
l garante della privacy, Antonello Soro, ha promesso che nessuno forzerà la mano. «Siamo disponibili» ha detto «ad accompagnare le imprese italiane e i soggetti pubblici in questo passaggio con un approccio equilibrato e pragmatico, facendo appello alla categoria della saggezza». Malgrado le rassicurazioni, però, le preoccupazioni restano. Dal 25 maggio la direttiva Gdpr (General Data Protection Regulation) è automaticamente in vigore. Come previsto dall’art 99 del Regolamento Ue 2016/679, infatti, le norme
sono obbligatorie in tutti i suoi elementi e abrogano espressamente la direttiva 95/46/CE. La circostanza potrebbe sembrare positiva, considerati i tempi biblici con cui solitamente l’Italia si adegua al diritto comunitario. Ma così non è. L’impatto, secondo gli esperti, sarà considerevole e non facilmente gestibile. «Servirà una struttura ad hoc impiegata a tempo pieno nella pubblica amministrazione e nelle aziende per gestire tutta l’attività richiesta dal regolamento», ha spiegato Antonio Teti, docente di It Governance e Cyber Security all’Università d’Annunzio Chieti Pescara. Le aziende dovranno rafforzare le misure di sicurezza sia nel trattamento dei dati che nella gestione degli incidenti. E potrebbe diventare complicato anche portare a termine «operazioni di routine per una riorganizzazione, come ad esempio la sostituzione di un fornitore per beni e servizi». In allarme sono soprattutto le piccole e medie imprese. Il tallone della burocrazia «Ci sentiamo ancora una volta sotto il tallone della burocrazia», ha detto il presidente della Cna, Daniele Vaccarino. «Purtroppo», ha proseguito «a nessuno è venuto in mente che il sistema Paese, se c’è una cosa di cui non ha bisogno, sono nuovi lacci, lacciuoli, scartoffie e quindi ulteriori costi, non produttivi, che colpiscono artigiani e piccole imprese, cioè quanti ogni giorno si dedicano alla creazione di lavoro e ricchezza diffusa». A creare ulteriore scompiglio ci hanno pensato le stesse autorità europee. A poche settimane dall’entrata in vigore, infatti, il Consiglio Ue ha pubblicato un documento con le correzioni da apportare al testo originale per eliminare alcuni errori materiali presenti in tutte le versioni linguistiche del Gdpr. In molti casi si tratta di refusi o di piccole sviste formali, come il tempo di un verbo, l’uso della forma maschile anziché femmi-
nile. Ma non mancano anche le questioni sostanziali. Per quanto riguarda la competenza dell’autorità di controllo nazionale, ad esempio, il testo sembrava delimitare il campo ai soggetti non residenti, mentre è chiaro che il Garante italiano potrà intervenire se il titolare straniero effettua trattamenti che riguardano soggetti che risiedono sul territorio nazionale. Altro errore è quello relativo ai trasferimento di dati fuori dalla Ue, per cui si prevedeva che si sarebbero dovuti indicare «i mezzi per ottenere una copia dei dati», mentre il testo corretto dispone che bisogna indicare «i mezzi per ottenere una copia delle garanzie». Il decreto di armonizzazione Sul tavolo, tanto per non farsi mancare niente, c’è anche il decreto legislativo di armonizzazione varato dal governo italiano. Provvedimento con cui l’esecutivo ha voluto tenere in vita alcune parti del vecchio codice della privacy. Un modo principalmente per salvare la pubblica amministrazione. Nel testo, infatti, si conferma che la Pa non deve chiedere consensi e tratta i dati in base alla legge. Una disposizione che fa sopravvivere tutti i regolamenti sul trattamento dei dati sensibili già oggi adottati e aggiornati dagli enti pubblici. Viene, inoltre introdotta, una sezione penale in cui entrano a far parte tutti i nuovi illeciti, come l’acquisizione fraudolenta e la diffusione illecita di dati personali riferibili a un rilevante numero di persone. Il risultato complessivo è il solito pasticcio. Al posto della promessa armonizzazione c’è una giungla di disposizioni e norme che provengono da fonti diverse e non sempre si accordano tra loro. I conflitti sui pagamenti L’ultimo intoppo riguarda la coesistenza con la direttiva sui pagamenti elettronici PSD2, recepita con la legge 170 dell’agosto del 2016 ed entrata in vigore lo scorso gennaio. La norma
MAGGIO 2018
7
LE FONTI LEGAL
introduce, per tutti i soggetti che utilizzano un conto corrente on line, la possibilità di compiere operazioni di pagamento o di accedere a rendicontazione bancaria attraverso i Third Party Provider (Tpp), che potranno eseguire operazioni sui rapporti finanziari diventando intermediari tra banche e correntisti. Che fine faranno i dati sensibili nel corso di queste operazioni? Il primo problema nasce dal fatto che l’articolo 94 della Psd2 “Protezione dei dati personali” non fa menzione del Gdpr. Una dimenticanza problematica visto che per realizzare i propri servizi i Tpp hanno bisogno dei dati personali dei clienti delle banche. Ma le banche hanno la titolarità dei dati e quindi, ai fini del rispetto del principio della responsabilità (accountability) previsto dal regolamento sulla privacy, esse devono obbligatoriamente garantirne la sicurezza in un’ottica di protezione dell’interessato. Allo stesso tempo, sulla base dell’articolo 20 del Gdpr, gli istituti dovranno rispettare il diritto alla portabilità dei dati e alla interoperabilità. Le banche non potranno dunque rifiutare la richiesta, ma allo stesso tempo dovranno accertarsi che il provider terzo ne garantisca la sicurezza. Semplice adeguamento Al di là dell’ingarbuglio giuridico, anche il semplice adeguamento alla direttiva, comunque, non sarà una passeggiata. In estrema sintesi, il Gdpr introduce novità e regole in tema di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti (diritto all’oblio e diritto alla portabilità del dato), stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali (il cosiddetto data breach), introduce il concetto di “accountability” e la nuova figura del Data Protection Officer (o Dpo).
LE FONTI LEGAL
8
MAGGIO 2018
APPROCCIO PRAGMATICO Antonello Soro, garante della privacy, ha mostrato la disponibilità ad accompagnare le imprese italiane e i soggetti pubblici nel processo di armonizzazione con un approccio equilibrato e pragmatico
PESO DELLA BUROCRAZIA Daniele Vaccarino, presidente della Cna, denuncia il peso della burocrazia nel nostro Paese, aggiungendo che quest’ultimo non ha bisogno di ulteriori costi che colpiscono artigiani e piccole imprese
Per quanto riguarda l’informativa, dovrà essere improntata sempre più sul concetto di trasparenza del trattamento dei dati personali e dell’esercizio dei diritti in carico agli interessati, in particolare nel caso in cui i dati siano oggetto di trasmissione in Paesi extraeuropei e nel caso di esercizio del diritto di revocare il consenso a determinati trattamenti. Il consenso dovrà essere preventivo e inequivocabile, anche quando espresso attraverso mezzi informatici e nel caso di trattamento di dati sensibili, deve essere anche esplicitamente prestato. In altre parole, non è ammesso il consenso tacito. Quanto al data breach, le organizzazioni dovranno comunicare in modo chiaro e immediato il verificarsi di violazioni dei dati personali all’Autorità Garante della Privacy e, nel caso in cui la violazione dei dati rappresenti una minaccia per i diritti e le libertà delle persone, anche agli interessati coinvolti. Sanzioni per gli inadempienti Sulla base del principio di accountability (responsabilizzazione) enti e società dovranno adottare approcci e politiche che tengano conto costantemente del rischio che i trattamenti di dati personali possono comportare per i diritti e le libertà degli interessati, attraverso il rispetto dei principi di “privacy by design” e “privacy by default”, al fine di garantire la protezione dei dati sin dalla fase di ideazione e progettazione di un trattamento, e adottare comportamenti che consentano di prevenire possibili problematiche e minimizzare l’utilizzo dei dati personali al fine di raggiungere le finalità prescritte. A presiedere il tutto sarà il Data Protection Officer (o Dpo), la nuova figura di “Responsabile della protezione dei dati”, incaricato di assicurare una gestione corretta dei dati personali nelle organizzazioni. Il mancato rispetto delle disposizioni non sarà indolore. Il regolamento non fissa un importo specifico per ogni sin-
lo nazionale che internazionale. Altri si stanno rapidamente organizzando, predisponendo dei team appositi. Anche gli avvocati, comunque, dovranno adeguarsi alle nuove norme. In quanto professionisti non saranno obbligati a particolari adempimenti, se non quelli relativi alla corretta gestione di dati sensibili, ma i Consigli degli ordini territoriali, invece, come enti pubblici non economici titolari di dati personali, dovranno rendere disponibile l’informativa sul trattamento dei dati, creare un registro delle attività di trattamento, dotarsi di un proprio Responsabile della protezione dei dati e, più in generale, uniformarsi a tutte le disposizioni del regolamento.
gola violazione, ma solo un massimale. Il mancato rispetto delle disposizioni è soggetto, a seconda delle diverse tipologie, a sanzioni amministrative pecuniarie fino a 10 o 20 milioni di euro o, per le imprese, fino al 2% o 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Il ruolo degli avvocati Per adeguarsi alla nuova normativa molte imprese si affideranno a professionisti esterni, in particolare per la nuova figura di Dpo, che diventerà presto una nuova specializzazione. Il Regolamento non prevede che per assumere la qualifica siano necessari particolari certificazioni o percorsi di studio, ma il Dpo avrà bisogno di competenze giuridiche e di risk management. Sarà quindi quasi inevitabile fare riferimento ad avvocati esperti in materia di privacy. Molti studi legali, del resto, vantano già da anni professionisti specializzati nelle norme che regolano il trattamento dei dati, sia a livel-
SANZIONI Il mancato rispetto delle disposizioni è soggetto a sanzioni amministrative pecuniarie fino a 10 o 20 milioni di euro o, per le imprese, fino al 2% o 4% del fatturato mondiale totale annuo dell’esercizio precedente
Il vademecum del Cnf A questo scopo il Consiglio nazionale forense, con una recente circolare, ha invitato tutti gli ordini a: “aggiornare l’informativa, sulla base degli artt. 12 e ss del Gdpr; riesaminare le politiche interne in tema di trattamento di dati personali, ai sensi dell’art. 24 del Gdpr, provvedendo anche a definire in maniera adeguata i ruoli e assicurarsi che tutti coloro che trattano dati personali ricevano adeguate istruzioni e formazione (ex art. 29 del Gdpr); procedere alla verifica dei sistemi informatici, per assicurare il rispetto dei principi di protezione dei dati fin dalla progettazione e protezione per impostazione predefinita di cui all’art. 25 Gdpr (concetti di privacy-bydefault e privacy-by-design); esaminare i rapporti contrattuali con i responsabili esterni del trattamento, per verificarne la confor mità (art. 28 del Gdpr); verificare l’adozione delle misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, ai sensi dell’art. 32 del Gdpr; valutare se si debba procedere, per uno o più trattamenti, ad effettuare una valutazione d’impatto privacy (art. 35 del Gdpr)”.
MAGGIO 2018
9
LE FONTI LEGAL
PROTAGONISTI
BANKING
Le strade più promettenti Real estate financing, ma anche i filoni connessi agli Npl come l’ottimizzazione dei portafogli e Utp. Secondo Stefano Sennhauser, managing partner di Allen&Overy, sono queste le attività più significative per il business DI GABRIELE VENTURA
B
anking trainato da real estate financing, cessione di crediti deteriorati, acquisition financing. In prospettiva, invece, si svilupperanno due filoni legati ai non performing loan: l’ottimizzazione dei portafogli che sono stati trasferiti dalle banche ma che ora devono essere recuperati dai servicer incaricati, e i cosiddetti Unlikely to pay (Utp). È necessario, però, affinché il settore bancario continui a svilupparsi, che riprenda al più presto il percorso riformatore, con priorità a semplificare la possibilità di ricevere finanziamenti dai fondi stranieri per le società italiane. Oggi, infatti, sono ancora troppe le restrizioni per gli investitori che, se decidono di sostituirsi alle banche nel supporto alle aziende italiane, devono affrontare meccanismi complicati e costosi, mentre in paesi simili all’Italia, come la Spagna, non ci sono paletti. A spiegare a Le Fonti Legal le prospettive del settore del banking dal punto di vista legale e le strategie di investimento dello studio è Stefano Senn-
LE FONTI LEGAL
10
MAGGIO 2018
www.lefonti.legal
IN EDICOLA
- MIGLIORI STUDI LEGALI E AVVOCATI - MIGLIORI OPERAZIONI E MAGGIORI OSTACOLI PER LE PMI
- MIGLIORI DEAL DELL’ANNO - TAVOLE ROTONDE CON I MAGGIORI ESPONENTI DEL SETTORE LEGALE