A partire dal 25 maggio entrerà in vigore il nuovo Regolamento Europeo in materia di protezione dei dati personali, meglio noto come GDPR.
La normativa cambia profondamente le modalità di trattamento dei dati in relazione alle nuove tecnologie e introduce misure volte a fronteggiare le sfide poste dall’economia digitale. Commercialisti e studi professionali, così come chiunque gestisca dati personali di cittadini dell’Unione Europea, devono adeguarsi al GDPR. I tempi per mettersi in regola sono ormai strettissimi e non più procrastinabili; chi non osserva le regole del GDPR, infatti, rischia a sanzioni fino al 4% del fatturato globale annuale complessivo.
Se le grandi aziende stanno già da tempo rivendendo i loro processi interni per renderli conformi alla nuova normativa, anche le piccole imprese e gli studi professionali devono adeguarsi alle regole stabilite dal GDPR.
Vediamo quali sono i cambiamenti da mettere in campo per rispondere ai nuovi standard di trasparenza e gestione semplificata dei dati personali.
I dati aziendali: cosa prevede la GDPR
Commercialisti e studi professionali, compresi quelli che lavorano per piccole e medie imprese, trattano quotidianamente dati personali che riguardano lavoratori, clienti e fornitori. Secondo la nuova normativa GDPR, gli studi professionali sono responsabili della riservatezza dei dati che gestiscono.
I dati gestiti da commercialisti e fiscalisti, poi, sono particolarmente sensibili, perciò è importante prepararsi al meglio per l‘entrata in vigore del GDPR. Per farlo, è fondamentale creare una vera e propria to do list, in modo da mettere in campo l’organizzazione necessaria per il censimento dei dati, i processi di trattamento e per attribuire le responsabilità.
GDPR negli studi professionali: la to do list
Nel dettaglio, gli studi professionali dovranno occuparsi di:
- analizzare il perimetro, i processi e la profilazione del trattamento dei dati personali; in particolare, è necessario prestare particolare attenzione ai dati più sensibili, che necessitano di una protezione più elevata per minimizzare il rischio di una loro diffusione illecita, con i danni che ne conseguirebbero per i clienti;
- analizzare il rischio di violazione dei dati personali (denominate data breach) e le misure di sicurezza adottate;
- definire il modello di gestione, la profilazione dei ruoli e la creazione di registri e informative; in particolar modo le informative, sia cartacee che online, devono informare il cliente prima della raccolta dei dati e spiegare non solo le modalità di trattamento dei dati personali, ma anche i diritti che il cliente stesso può esercitare;
- prevedere piani di formazione e audit annuali;
- identificare le contromisure necessarie a ridurre i rischi di violazioni.
Come metodo di protezione dei dati personali, il GDPR indica la cifratura dei dati e la pseudonomizzazione come il miglior strumento tecnico per garantire una reale protezione delle informazioni.
In generale, tutte le procedure e il tracking dell’informazione devono rispondere al principio di trasparenza e semplificazione. In caso i dati siano gestiti esternamente allo studio professionale, è necessario verificare i rapporti contrattuali o di servizio che legano il commercialista, o lo studio stesso, ai soggetti esterni.
La figura del DPO
Una delle principali novità introdotte dal GDPR è la figura del DPO, o del Data Protection Officer.
Il DPO, che può essere interno o esterno allo studio professionale, avrà il compito di supervisionare il processo di trattamento dei dati personali, così da garantire, in modo imparziale e indipendente, il rispetto della normativa.
Come adeguarsi al GDPR?
L’adeguamento alle misure di sicurezza previste dal GDPR richiede una serie di valutazioni molto diverse tra loro. Il commercialista dovrebbe essere in grado, in ogni momento, di identificare e gestire correttamente i dati che tratta per il proprio lavoro, avendo contezza della loro gravità e degli adempimenti specifici da mettere in campo.
La normativa è sicuramente complessa ed è plausibile che gli studi professionali non abbiano, al loro interno, le competenze necessarie o che siano troppo impegnati a seguire i clienti per potersi occupare efficacemente della compliace dello studio. La soluzione più semplice ed efficace, compatibilmente con la sostenibilità dei costi, potrebbe essere quella di affidarsi a reatà specializzate nella gestione di problematiche correlate a privacy e sicurezza.
In tal modo lo studio sarebbe supportato nell’identificazione e nell’adozione dei servizi e delle tecnologie necessarie, ma anche nell’acquisizione delle competenze per gestire autonomamente, in futuro, i dati dei propri clienti.