Il nuovo regolamento sulla protezione dei dati personali, meglio noto come GDPR, è ormai in vigore da qualche mese. Il GDPR tocca un tema particolarmente importante negli studi dei commercialisti, dove la maggior parte del lavoro si basa proprio sul trattamento dei dati dei clienti. Non solo dati contabili o di persone giuridiche, ma anche dati molto personali e quindi sensibili, come certificati medici, donazioni ad enti religiosi, polizze assicurative e così via.
Il GDPR ha individuato una serie di regole da seguire nel trattamento e nella protezione dei dati personali. Facciamo insieme un ripasso delle principali.
Individuare il livello di rischio nel trattamento dei dati
I dati personali non sono tutti uguali: la prima cosa da fare perciò è individuare quelli più sensibili e particolari per valutare il livello di rischio per il cliente in caso di diffusione non autorizzata.
La natura stessa del lavoro di commercialista implica il trattamento di dati sensibili, cioè di quelle informazioni che secondo il GDPR sono meritevoli di una protezione più elevata. Tali dati, che il GDPR definisce “particolari”, sono quelli relativi, ad esempio, alla salute (spese per visite mediche effettuate e patologie correlabili) o ai minori. Ma non solo: sono dati particolari anche quelli relativi a vicende giudiziarie o condanne. I dati particolari devono quindi godere di una protezione “rafforzata”: vedremo più avanti in cosa consiste.
Aggiornare l’informativa privacy secondo le regole del GDPR
Tutti gli studi professionali, e quindi anche quello di un commercialista, devono obbligatoriamente fornire ai clienti un’informativa prima di procedere al trattamento dei dati. Il GDPR introduce importanti novità in merito alle informazioni che devono essere contenute in questo documento, che può essere fornito ai clienti sul sito web dello studio, in calce ad un contratto e così via.
Il GDPR conferma la centralità dell’informativa e ne dettaglia meglio alcune caratteristiche, specificando come, nella società attuale e nell’era di internet, questo adempimento sia centrale per la tutela dei dati personali.
Accanto alle indicazioni tipiche di ogni informativa (titolare del trattamento, finalità per le quali sono raccolti i dati, destinatari degli stessi ecc) il GDPR introduce un’importante novità. Si tratta dell’obbligo di indicare i tempi e il periodo di conservazione dei dati personali o almeno i criteri che i titolare del trattamento ha impostato per definire la lunghezza di vita dei dati stessi. Si tratta di un’innovazione fondamentale in un era dove, grazie a cloud e pc, è possibile memorizzare i dati per sempre, anche a costi bassissimi. Il GDPR ha voluto mettere un freno a questo approccio, chiedendo di stabilire criteri precisi per la cancellazione delle informazioni.
In questo articolo trovi una guida dettagliata su come scrivere un’informativa privacy che rispetti le norme del GDPR.
Proteggere i dati sensibili dei clienti
Come proteggere in modo concreto i dati personali dei clienti dello studio? Le parole chiave sono due e potrebbero spaventare i non addetti ai lavori: si tratta di cifratura dei dati e pseudonomizzazione delle informazioni.
La cifratura permette di oscurare le informazioni, creando una serie di dati indefinibili che protegge i dati contro eventuali attacchi informatici. La pseudonomizzazione, invece, rende l’archivio dei dati illeggibile, a meno che le informazioni non siano combinate in modo automatico. Questi due elementi permettono di creare uno studio professionale sicuro, con un livello di protezione dei dati realmente efficace.
Ma su quali dati devono essere concretamente applicate queste due procedure? Il GDPR è molto chiaro in materia: su tutti quei dati che “meritano una specifica protezione” perché particolarmente sensibili dal punto di vista dei diritti e delle libertà fondamentali.
Adottare le misure di protezioni più efficaci per evitare e gestire incidenti informatici
Un incidente informatico può capitare davvero a tutti: da un virus che danneggia i dati dello studio professionale, alla perdita di una chiavetta USB fino a casi più gravi come una vera e propria violazione (definita “data breach” nel GDPR).
Il nuovo Regolamento sulla privacy cerca quindi di prevedere i singoli incidenti e, in caso capitassero, gestirli per limitare i danni e tutelare i diritti dei clienti.
Per mantenere la sicurezza dei dati e prevenire violazioni del Regolamento, il titolare o il responsabile del trattamento deve innanzitutto valutare i rischi e adottare misure per limitarli, come la già citata cifratura. Tale valutazione deve tenere conto della natura dei dati da proteggere, dei rischi concreti e dei costi necessari ad attuare le misure di protezione. I rischi da tenere in considerazione riguardano la distruzione accidentale o illegale dai dati, la perdita, la modifica, la rivelazione o l’accesso non autorizzato agli stessi e così via.