Le novità introdotte dal GDPR in tema di protezione dei dati personali sono davvero tante. Essere in regola con il proprio operato e con tutti gli adempimenti non è affatto semplice, soprattutto per i professionisti che operano nell’ambito fiscale e contabile, ma anche nella consulenza del lavoro.
Vediamo quindi quali sono gli adempimenti del commercialista e il ruolo di questo professionista in materia di privacy, in modo da fare un punto e tracciare un percorso che aiuti ad eliminare dubbi e perplessità.
GDPR e commercialista: gli adempimenti
Gli obblighi del commercialista che vuole adeguare la propria attività ai principi stabiliti dal GDPR sono:
- La trasparenza verso clienti e dipendenti in merito al trattamento dei dati, anche attraverso informative privacy adeguate se i clienti sono persone fisiche
- Verificare ed integrare se necessario gli accordi con fornitori e altre terze parti che trattano dati personali per conto dello studio: le clausole di protezione della privacy devono essere reali e non meramente formali
- Adottare misure di sicurezza, sia da punto di vista tecnico che organizzativo
- Gestire in modo adeguato i data breach, ossia gli incidenti relativi alla sicurezza dei dati, e stabilire una procedura documentabile da adottare in questi casi
- Se i dati personali trattati sono trasferiti fuori dall’Europa, verificare che ciò avvenga secondo i requisiti di legittimità previsti dal GDPR
- Garantire ai clienti l’esercizio dei loro diritti in tema privacy, adottando procedure adeguate per la gestione delle richieste
- Tenere un Registro aggiornato delle attività di trattamento
- Rispettare quanto previsto dall’art. 5 del GDPR, in particolare in merito al periodo minino di conservazione dei dati e alla relativa cancellazione.
Il ruolo del commercialista nel trattamento dei dati
Nello svolgimento delle proprie attività, il commercialista può trovarsi ad essere, alternativamente o simultaneamente, titolare o responsabile del trattamento dei dati personali. Il ruolo del commercialista, infatti, dipende sia dalla concreta distribuzione dei ruoli e delle responsabilità all’interno dello studio professionale, sia dalle categorie di soggetti dei quali il professionista tratta dati personali.
Vediamo innanzitutto le definizioni del GDPR in merito. Secondo l’art.4, comma 7, il Titolare del trattamento è “la persona fisica o giuridica […]che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento”.
Perciò, nel caso in cui il commercialista possa, autonomamente o con altri professionisti, determinare mezzi e finalità del trattamento, ricoprirà il ruolo di Titolare.
L’art. 4, comma 8, del GDPR, poi, definisce il Responsabile come “la persona fisica o giuridica […] che tratta dati personali per conto del titolare del trattamento”.
Il Responsabile è quindi un soggetto esterno al Titolare e che svolge per conto di questi determinati compiti relativi al trattamento di dati personali individuati.
Andando nel pratico delle attività quotidiane del commercialista, possiamo affermare che il professionista ricoprirà il ruolo di Titolare del trattamento se ha dei collaboratori alle proprie dipendenze. Per quanto riguarda i dati personali dei clienti, invece, la situazione è più complessa e si configurano diversi scenari.
Nel caso in cui i clienti siano persone giuridiche o professionisti, infatti, il commercialista potrebbe qualificarsi a titolare del trattamento per quei dati che riguardano il legale rappresentate dell’azienda o del libero professionista. Questo perché in tale contesto il commercialista agisce nell’interesse del cliente, ma senza ricevere istruzioni da questo sui mezzi del trattamento o sulle misure di sicurezza da mettere in atto.
Nel caso in cui invece il commercialista tratti dei dati di persone fisiche di titolarità del cliente, come ad esempio i pazienti di uno studio medico, il commercialista potrebbe rivestire il ruolo di responsabile del trattamento, ai sensi dell’articolo 28 del GDPR. In tal senso il trasferimento dei dati da un soggetto all’altro sarebbe legittimato e, rimanendo nell’esempio dello studio medico, il titolare non dovrebbe ricorrere alla raccolta del consenso alla cessione a terzi dei dati personali dei pazienti.
Quindi, nel delineare il ruolo del commercialista nell’organigramma privacy, è opportuno procedere con una valutazione caso per caso.
Il Registro delle attività di trattamento
Il Registro delle attività di trattamento è uno degli adempimenti fondamentali sia del titolare che del responsabile del trattamento, secondo quanto stabilito dall’articolo 30 del GDPR.
Il Registro è infatti uno strumento fondamentale, in quanto fornisce una fotografia sempre aggiornata dei trattamenti in essere all’interno dello studio professionale e quindi il livello di rischio dei trattamenti stessi. Il Registro può essere tenuto sia in forma scritta che elettronica e deve sempre essere esibito su richiesta del Garante Privacy. Non tutti i professionisti tuttavia sono obbligati alla stesura del Registro. Il Garante ha infatti provveduto a stilare una lista dei soggetti obbligati, che sono così individuabili:
- Imprese e organizzazioni con almeno 250 dipendenti
- Qualunque titolare o responsabile che effettui trattamenti che possono presentare un rischio, anche non elevato,per i diritti e le libertà dell’interessato (incluse quindi imprese o organizzazioni con meno di 250 dipendenti)
- Qualunque titolare o responsabile che effettui trattamenti non occasionale (anche qui, sono incluse imprese o organizzazioni con meno di 250 dipendenti)
- Qualunque titolare o responsabile (includendo imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati elencati nell’art.9, paragrafo 1, del GDPR, o di dati personali relativi a condanne penali e reati di cui all’art.10 del GDPR.
Inoltre, il Garante ha chiarito che “sono tenuti all’obbligo di redazione del registro i liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale)”.
È chiaro quindi, come i commercialisti siano sempre tenuti alla redazione e all’aggiornamento del Registro delle attività di trattamento. Le modalità di compilazione del Registro saranno diverse a seconda che il commercialista ricopra il ruolo di Titolare o di Responsabile del trattamento.
Il Registro del Titolare del trattamento
Se il commercialista è Titolare del trattamento il Registro dovrà riportare più informazioni, indispensabili affinché sia a norma. Tali informazioni sono:
- Nome e dati di contatto del titolare del trattamento ed eventuali contitolari, del rappresentate del titolare del trattamento e del responsabile della protezione dei dati (non necessario se ad operare è un singolo professionista)
- Finalità del trattamento
- Categorie di interessati e di dati personali trattati
- Categorie di destinatari a cui i dati personali sono o saranno comunicati, anche di paesi terzi e organizzazioni internazionali
- Se applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, insieme alle indicazioni relative e alle garanzie adottate ai sensi del GDPR
- Termini previsti per la cancellazione delle diverse categorie di dati
- Descrizione generale delle misure di sicurezza adottate dal punto di vista tecnico e organizzativo.
Il Registro del Responsabile del Trattamento
Se il commercialista ricopre il ruolo di Responsabile esterno del Trattamento, il Registro da redigere sarà meno corposo. Ecco le informazioni fondamentali:
- Nome e dati di contatto del responsabile del trattamento, di ogni titolare del trattamento per il quale si agisce, del rappresentante del titolare del trattamento e, se applicabile, del responsabile della protezione dei dati
- Categorie dei trattamenti effettuati per conto di ogni titolare del trattamento
- Se applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, insieme alla documentazione relativa alle garanzie adottate ai sensi del GDPR
- Descrizione generale delle misure di sicurezza adottate dal punto di vista tecnico e organizzativo.
A titolo esemplificativo, il Garante ha predisposto due fac-simile dei Registri, sia del Titolare che del Responsabili, da utilizzare come modello.