Una delle novità principali introdotte dal GDPR è la figura del DPO, il Data Protection Officer. Il DPO è il responsabile della protezione dei dati e il garante della riservatezza di tali dati nelle aziende.
Il DPO deve essere nominato dal titolare dell’impresa o dal responsabile del trattamento e svolge funzioni di supporto e controllo, ma anche consultive, formative e informative in merito all’applicazione delle norme del GDPR.
Inoltre il Data Protection Officer farà da tramite con il Garante per tutte le questioni connesse al trattamento dei dati personali.
Per svolgere queste attività non è necessario possedere particolari titoli di studio o abilitazioni, né essere iscritti a specifici albi professionali. Ovviamente, il DPO dovrà conoscere in modo approfondito la prassi e la normativa in materia di privacy. Infine, il Data Protection Officer deve essere un soggetto esterno all’azienda o in alternativa un lavoratore dipendente del titolare o del responsabile del trattamento che abbia le competenze necessarie.
Una volta chiarito chi sia il DPO, possiamo concentrarci su un punto altrettanto fondamentale: gli studi professionali, e in particolare quelli commercialisti, sono obbligati ad avere un DPO?
DPO negli studi professionali: cosa dice il GDPR
Il GDPR specifica chiaramente che le aziende obbligate ad assumere un DPO sono quelle in cui si effettua un monitoraggio regolare e sistematico dei dati personali o di quelli relativi a reati e condanne penali. A titolo esemplificativo, devono assumere un Data Protection Officer:
- le banche;
- le assicurazioni;
- gli istituti di vigilanza;
- le società che offrono servizi alle telecomunicazioni;
- le aziende di gas ed elettricità;
- le aziende che operano nel settore sanitario;
- i call center;
- le società radiotelevisive:
- partiti politici e sindacati.
In caso di aziende di grandi dimensioni, il DPO dovrà essere sempre una persona fisica, ma potrà essere supportato da un ufficio apposito, con le competenze necessarie ad assolvere i compiti previsti dal GDPR. Se invece il DPO è un soggetto esterno all’azienda, allora potrà essere anche una persona giuridica. In ogni caso, è bene prevedere una divisione chiara delle competenze, designando una sola persona fisica che farà da punto di incontro tra l’ufficio e il Garante.
Fatte queste opportune precisazioni, torniamo a quanto affermato dal GDPR sull’obbligo per le aziende di designare un DPO. Abbiamo detto che l’obbligo scatta solo nei casi in cui si trattino dati su larga scala: questo vuol dire che il singolo professionista non ha obblighi particolari in tema di DPO, così come lo studio professionale associato.
La decisione, comunque, spetta sempre al titolare del trattamento o ad un suo rappresentate, che devono valutare con attenzione come sono utilizzati i dati all’interno dello studio professionale.
Anche il CNDCEC ha specificato, in un apposito vademecum, che per commercialisti ed esperti contabili non sussiste nessun obbligo di nomina del DPO. La motivazione è proprio basata sul criterio di larga scala nel trattamento dei dati enunciato nel GDPR: negli studi professionali, infatti, non si tratta una massa di dati tale da far scattare l’obbligo. Ovviamente, nel caso in cui lo studio sia di grandi dimensioni, tali da far ritenere che l’utilizzo dei dati avvenga in modo massiccio e su larga scala, la figura del DPO sarà obbligatoria.
Il GDPR non fissa valori precisi per valutare quando il trattamento sia effettuato su larga scala, perciò il vedemecum del CNDCEC suggerisce che l’obbligo scatti con il trattamento di una “notevole quantità di dati a livello regionale, nazionale o sovranazionale”.
In ogni caso, potrebbe essere buona norma indicare almeno un “Referente GDPR” all’interno dello studio professionale, al quale fare riferimento per eventuali verifiche o controlli, ma anche per consentire agli interessati di esercitare i propri diritti in modo più semplice.
I commercialisti possono ricoprire il ruolo di DPO?
In tema di privacy, i commercialisti hanno senza dubbio maturato una grande esperienza sul campo, anche in virtù delle diverse normative che si sono succedute nel tempo. Inoltre, la privacy rientra obbligatoriamente tra le materie oggetto della formazione professionale continua, a cura degli Ordini territoriali e degli enti accreditati.
Per tutte queste ragioni, i commercialisti possono svolgere sicuramente attività di consulenza in materia di privacy. Non può quindi essere preclusa agli iscritti all’Albo la possibile di ricoprire l’incarco di DPO per conto di società o enti clienti. Come già detto, infatti, il GDPR non prevede requisiti professionali particolari o obblighi formativi da assolvere per chi deve assumere il ruolo di Data Protection Officer.