Il nuovo regolamento europeo sulla protezione dei dati personali, meglio noto come GDPR, riserva particolare attenzione ai cosiddetti dati sensibili. Si tratta di dati che i commercialisti si trovano spesso a trattare nell’ambito della loro attività lavorativa e che, secondo quanto previsto dal GDPR, sono meritevoli di una protezione particolare, più elevata.
I dati sensibili sono quelli che, se diffusi in modo illecito, potrebbero provocare gravi danni ai clienti dello studio professionale e ai loro diritti. Tra i dati più delicati che il commercialista può trattare per il proprio lavoro possiamo citare quelli relativi alla salute e ai minori. Ad esempio, in uno studio di commercialisti si ha a che fare quotidianamente con dati che riguardano spese mediche e quindi le patologie ad esse correlate, oppure dati relativi alle convinzioni religiose, ad esempio donazioni a favore di particolari comunità, o ancora informazioni che possono evidenziare il coinvolgimento in vicende giudiziarie o vere e proprie condanne.
Questi dati sono espressamente indicati nel GDPR come “particolari” e quindi devono essere protetti con maggiore attenzione e con misure rafforzate. È importante sottolineare che il GDPR disciplina esclusivamente il trattamento e la protezione dei dati che riguardano le persone fisiche, a prescindere dalla loro nazionalità o luogo di residenza; nel Regolamento non si parla invece di dati relativi alle persone giuridiche.
La protezione delle persone fisiche disciplinata dal GDPR si applica anche al trattamento automatizzato dei dati personali; un esempio di trattamento automatizzato dei dati personali è la profilazione, ossia quell’attività che permette di studiare abitudini, comportamento e preferenze dell’utente a fini di marketing.
GDPR e commercialisti: la raccolta del consenso
Il consenso al trattamento dei dati personali deve essere espresso in modo inequivocabile, attraverso una manifestazione esplicita, libera, specifica e informata. Si tratta di uno degli aspetti più importanti del GDPR, che prevede l’esplicitazione del consenso attraverso una dichiarazione scritta, anche per mezzi elettronici, oppure orale. i dati particolari elencati nel GDPR non possono essere trattati senza l’esplicito consenso dell’interessato.
All’interno dello studio professionale è bene tenere presente la richiesta di consenso deve applicarsi a tutte le attività di trattamento svolte per le stesse finalità; qualora il trattamento dei dati personali abbia più finalità, il consenso deve essere manifestato in modo esplicito per ognuna di queste. Se il consenso è richiesto con mezzi elettronici (ad esempio attraverso la selezione di una casella sul sito web dello studio professionale), la richiesta deve essere chiara, concisa e comprensibile.
Con riferimento alle modalità elettroniche di raccolta del consenso, oltre alla selezione di un’apposita casella, l’assenso al trattamento dei dati può essere prestato con dichiarazioni e comportamenti che indichino chiaramente che l’interessato accetta quanto proposto. Il silenzio, l’inattività o la preselezione di caselle non possono configurarsi come consenso al trattamento.
Come trattare i dati relativi alla salute
Secondo il GDPR tra i dati più sensibili che il professionista può trattare nell’ambito della sua attività ci sono quelli relativi alla salute. In questa definizione rientrano tutti i dati che riguardano lo stato di salute dell’interessato, sia fisica che mentale, presente, passata o futura.
Il GDPR elenca nel dettaglio i dati relativi alla salute, meritevoli di una particolare protezione; si tratta di un elenco molto utile per i professionisti, che in tal modo possono individuare agevolmente i tipi di dati più riservati. Sono quindi dati sensibili relativi alla salute:
- le informazioni sulla persona fisica raccolte durante la sua registrazione per ricevere assistenza sanitaria e relative prestazioni;
- numeri, simboli o elementi specifici che identificano la persona fisica in modo univoco ai fini sanitari;
- le informazioni che riguardano esami e controlli medici;
- le informazioni che riguardano malattie, disabilità, il rischio di malattie, l’anamnesi medica, trattamenti clinici, lo stato fisiologico o medico dell’interessato, indipendentemente dalla fonte.
Il trattamento dei dati relativi ai minori
I dati relativi ai minori sono tutelati con specifica attenzione dal GDPR. Per loro stessa natura, infatti, i minori sono meno consapevoli dei rischi, delle misure di salvaguardia e dei loro diritti in merito al trattamento dei dati personali e perciò meritano una protezione specifica.
Questa protezione riguarda il trattamento dei dati relativi ai minori per finalità di marketing, di profilazione, o di raccolta nell’ambito dell’utilizzo di servizi. Il GDPR prevede che il consenso al trattamento sia fornito dal titolare della responsabilità genitoriale; tale consenso non è necessario in caso di servizi di prevenzione o consulenza forniti direttamente al minore.
È quindi fondamentale per il professionista essere in grado di identificare, e quindi gestire correttamente, le diverse tipologie di dati che si trova a trattare, in modo da comprenderne immediatamente la gravità e quindi la necessità di specifici adempimenti.