L’obbligo di fornire un’informativa privacy ai propri clienti riguarda tutti gli studi professionali, inclusi quelli commercialisti. L’informativa sul trattamento dei dati personali può essere in formato cartaceo oppure online, oppure allegata ad un contratto: la caratteristica fondamentale, infatti, è che sia idonea a quanto stabilito dalla normativa.
Il nuovo Regolamento europeo sul trattamento dei dati personali, meglio noto come GDPR, introduce importanti novità e stabilisce alcuni punti fondamentali affinché l’informativa privacy sia trasparente e chiara per chi deve prestare il consenso al trattamento.
L’informativa privacy, infatti, ha un ruolo fondamentale nell’ambito della protezione dei dati personali, perché permette all’interessato di essere sempre informato su quali dati personali saranno trattati dallo studio professionale, con quali modalità e tempistiche, ma soprattutto su quali siano i diritti esercitabili.
In particolare, il GDPR introduce un’importante novità sull’obbligo di indicare nell’informativa privacy i tempi di conservazione dei dati personali, o in alternativa i criteri secondo i quali si definiscono le tempistiche di conservazione.
La centralità dell’informativa è evidente nel momento in cui si esaminano le sanzioni previste in passato in caso di omissioni o di inidoneità. Nel primo caso, l’informativa non viene fornita al cliente, mentre nel secondo l’informativa non rende chiaro il processo di trattamento dei dati personali, perché poco chiara oppure priva di parti fondamentali.
Per non incorrere in sanzioni da parte del Garante per la Protezione dei dati, quindi, è fondamentale capire quando un’informativa privacy è idonea.
Idoneità dell’informativa privacy
In pochissime parole, un’informativa privacy può considerarsi idonea se è chiara, conforme alle indicazioni di legge e trasparente nella descrizione del processo di trattamento di dati personali.
La Fondazione nazionale dei dottori commercialisti, insieme a molti Ordini locali, ha predisposto alcuni modelli di informativa, che possono adattarsi alla maggior parte degli studi professionali e che possono guidare nella redazione del documento.
Inoltre il GDPR, così come il Codice Privacy, indica con precisione i punti fondamentali, pensati per adattarsi all’attuale società dell’informazione, caratterizzata da un flusso continuo di dati da un server all’altro, o da un servizio cloud all’altro, e così via. In un contesto così rapido e mutevole, quindi, il cliente dello studio professionale può avere l’impressione di aver perso il controllo sui propri dati personali.
Il contenuto dell’informativa privacy
L’assunto di base dell’informativa privacy, fin dalla sua “nascita”, è quello di informare l’interessato prima della raccolta dei dati, circa l’utilizzo che se farà, sulle persone o le aziende che avranno accesso a tali dati e sui diritti che può esercitare nei confronti di chi entra in possesso di tali informazioni (il titolare del trattamento).
Il GDPR non stravolge questo assunto di base, bensì lo dettaglia, sottolineando come nell’era di internet l’informativa debba essere più accurata e moderna.
Oltre alle indicazioni tipiche di ogni informativa privacy (chi è il titolare del trattamento e i suoi contatti, le finalità per le quali sono raccolti i dati e i soggetti che potrebbero venire a contatto con gli stessi), il GDPR introduce l’obbligo di indicare tempi e periodo di conservazione dei dati personali.
Si tratta di un elemento fondamentale in un era dove i computer possono memorizzare i dati praticamente per sempre, grazie anche a costi bassissimi di storage; si tende quindi a conservare i dati più a lungo possibile, situazione osservata e sanzionata anche dal Garante Privacy italiano.
Il nuovo Regolamento si pone l’obiettivo di limitare questo approccio, stabilendo criteri precisi per la cancellazione dei dati personali. I clienti, infatti, hanno il diritto di sapere che, dopo l’utilizzo, i dati saranno cancellati e non rimarranno illimitatamente a disposizione di chiunque li voglia trattare. Questo ovviamente a meno dell’esistenza di leggi specifiche che prevedano l’obbligo di conservazione dei dati.
L’articolo 13 del GDPR divide gli elementi dell’informativa in due blocchi, secondo un ordine logico.
Il primo blocco di contenuti essenziali include:
- L’identità e i dati di contatto del titolare del trattamento e, se esiste, del suo rappresentante;
- I dati di contatto del responsabile della protezione dei dati, se previsto;
- Le finalità del trattamento e la base giuridica di quest’ultimo;
- Gli eventuali destinatari, o categorie di destinatari, dei dati personali;
- Se si prevede di trasferire i dati in un Paese terzo oppure a una organizzazione internazionale.
Il secondo blocco di contenuti ha l’obiettivo di rendere ancora più trasparenti le modalità di trattamento dei dati ed obbliga all’indicazione del periodo di conservazione dei dati personali o, qualora non fosse possibile, dei criteri utilizzati per determinare in tale periodo. Inoltre, è obbligatorio riportare i diritti dell’interessato, che può chiedere al titolare del trattamento:
- L’accesso ai dati personali;
- La rettifica o la cancellazione degli stessi;
- La limitazione del trattamento o l’opposizione al trattamento stesso.
Inoltre l’interessato ha diritto alla portabilità dei dati e di proporre un reclamo ad una autorità di controllo qualora:
- La comunicazione dei dati personali sia un obbligo legale o contrattuale;
- La comunicazione dei dati sia un requisito necessario per la conclusione di un contratto;
- Esista un processo decisionale automatizzato, come la profilazione, nel trattamento dei dati personali.
Come si può vedere dagli aspetti fin qui elencati, la revisione dell’informativa privacy alla luce del GDPR non è un semplice adempimento burocratico, ma un’attività di centrale importanza per garantire ai clienti dello studio professionale correttezza e trasparenza.