Qual è il profilo privacy del commercialista nelle aziende che si avvalgano di questi professionisti nelle attività fiscali? Con l’introduzione del GDPR infatti il ruolo del commercialista in azienda cambia in base al tipo di consulenza che è chiamato a svolgere in qualità di consulente fiscale o contabile o ancora di revisione di conti.
Analizziamo le diverse casistiche e le definizioni dei ruoli di Titolare o Responsabile.
Il trattamento dei dati all’interno dello studio del commercialista
Prima di andare a definire i rapporti privacy tra commercialista e azienda, è bene approfondire quali sono le figure che si occupano del trattamento dei dati all’interno degli studi professionali.
In primo luogo, è importante capire la funzione ricoperta dal commercialista rispetto ad un determinato trattamento, analizzare il contesto e quindi definire a priori quali saranno i soggetti, all’interno dello studio, da coinvolgere nel trattamento dei dati.
Il primo passo da compiere per adeguare lo studio professionale al Regolamento Europeo per la protezione dei dati personali 2016/679 è la definizione dell’organigramma privacy dello studio, composto da:
- il commercialista in qualità di Titolare del trattamento;
- i dipendenti e collaboratori dello studio designati come Autorizzati del trattamento;
- i vari fornitori di servizi di cui il commercialista può avvalersi, in qualità di Responsabili del trattamento o titolari “autonomi” a seconda delle situazioni;
- l’eventuale Data Protection Officer (DPO).
Titolare e responsabile del trattamento: le linee guida EDPB
Il 7 settembre 2020 il Comitato Europeo per la Protezione dei Dati ha pubblicato le linee guida n. 7/2020 che, insieme alle fonti primarie del diritto, chiarisce quali siano i ruoli dei soggetti coinvolti nel trattamento dei dati personali, e fornisce i dati per una corretta classificazione.
Calando le caratteristiche dei vari soggetti all’interno dello studio del commercialista, possiamo così definire i diversi ruoli legati alla privacy:
- Il Titolare del trattamento è il colui che determina le finalità e le modalità di trattamento dei dati personali. Il Commercialista è Titolare del trattamento quando non esercita meramente un’attività di trattamento “per conto” del cliente, ma esercita un potere decisionale autonomo su finalità e mezzi del trattamento. Lo status giuridico di un soggetto come “titolare del trattamento” o “responsabile del trattamento” non è quindi una designazione formale, ma deve essere determinato, in linea di principio, dalle attività effettive svolte in una situazione specifica.
- Il Contitolare del trattamento è il soggetto che partecipa insieme ad altri soggetti alla determinazione delle finalità e delle modalità di un trattamento di dati personali. La partecipazione congiunta può essere vista sotto forma di una decisione comune presa più soggetti oppure essere il risultato delle loro decisioni convergenti. Un criterio importante da considerate per individuare i casi di contitolarità, è che il trattamento non sarebbe possibile senza la partecipazione di entrambe le parti, nel senso che il trattamento da parte di ciascuna di esse è inscindibile.
- Il Responsabile del trattamento è colui che deve trattare i dati “per conto” e soltanto secondo le istruzioni del titolare del trattamento. Le istruzioni del titolare del trattamento possono comunque lasciare un certo margine di discrezionalità al responsabile su come assolvere al meglio i propri compiti, consentendo allo stesso di scegliere i mezzi tecnici e organizzativi più idonei. Si sottolinea che fornire un servizio non equivale a porsi nel ruolo del responsabile: non bisogna quindi applicare automaticamente il ruolo di responsabile del trattamento ad ogni fornitore di servizi. I trattamenti da parte di un responsabile del trattamento devono essere disciplinati da un contratto o altro atto giuridico che vincoli il responsabile del trattamento al titolare del trattamento, così come previsto ai sensi dell’art. 28 del GDPR.
- Gli Autorizzati sono tipicamente i dipendenti e i collaboratori che svolgono le proprie mansioni sotto l’autorità del titolare o del responsabile. Il titolare o il responsabile del trattamento possono designare, sotto la propria responsabilità, delle persone fisiche che si occupino di alcuni compiti e funzioni connessi al trattamento di dati personali. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta. Nell’ambito dello studio possono essere individuati diversi livelli di autorizzazione a seconda delle mansioni svolte dai dipendenti/collaboratori. Inoltre, così come previsto dall’art.29 del GDPR, è imprescindibile considerare che chiunque agisca sotto la l’autorità del titolare o del responsabile ed abbia accesso ai dati personali non possa trattare tali dati se non è istruito dal titolare del trattamento. All’interno dello dello studio professionale sono “autorizzati”:
-
- i dipendenti
- i praticanti
- i collaboratori dello studio con partita IVA con compiti di tenuta della contabilità, che utilizzano le risorse dello studio sotto le direttive del commercialista.
- Il Responsabile della protezione dei dati (“RPD” o “DPO”) è il soggetto designato dal titolare o dal responsabile del trattamento per svolgere mansioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del GDPR. Lo studio singolo, secondo le indicazioni del Garante della privacy, non ha l’obbligo di nominare un DPO, mentre per uno studio associato o società di professionisti il criterio distintivo è il dato dimensionale. L’incarico di DPO può essere ricoperto anche da un dipendente/collaboratore del titolare o del responsabile, purché conosca la realtà operativa in cui avvengono i trattamenti, oppure può essere nominato un soggetto esterno.
La definizione del profilo privacy del commercialista
Come inquadrare il correttamente il commercialista quale soggetto titolare autonomo o responsabile del trattamento? Gli aspetti da considerare sono essenzialmente due:
- Le categorie dei soggetti i cui dati personali sono trattati dal professionista;
- il grado di autonomia con il quale il professionista opera in relazione alle attività di trattamento connesse al lavoro di consulenza svolto.
Il profilo privacy del commercialista può cambiare in base al tipo consulenza svolta come consulente contabile o fiscale, consulente in materia di diritto del lavoro, membro del Collegio Sindacale o revisore dei conti, membro dell’Organismo di vigilanza. Per inquadrare correttamente il ruolo è necessario:
- Verificare la tipologia di cliente: se è una persona fisica il professionista contabile dovrà essere considerato come titolare del trattamento nei rapporti, mentre se il cliente è una persona giuridica come responsabile
- Capire se l’azienda cliente possa effettuare le attività oggetto del trattamento autonomamente, grazie al personale interno, o se abbia necessariamente bisogno di un professionista abilitato con un’autonomia decisionale ed indipendenza, come una figura iscritta ad un albo, che attesti o certifichi con proprio parere o dichiarazione una particolare attività di trattamento.
Durante lo svolgimento delle proprie mansioni, il commercialista può ricoprire, contemporaneamente o alternativamente, il ruolo di titolare e/o responsabile del trattamento dei dati personali.
Nel caso in cui il professionista tratti i dati personali dei propri clienti (persone fisiche) o dei propri dipendenti e collaboratori, egli sarà senza dubbio qualificabile come Titolare del trattamento, con compiti che possiamo sinteticamente riassumere con:
- il rilascio dell’informativa ex art. 13 del Regolamento UE n. 2016/679 (GDPR) a tutti i soggetti interessati;
- la tenuta e l’aggiornamento del Registro delle attività di trattamento (art. 30 GDPR);
- l’individuazione dei soggetti autorizzati al trattamento dei dati, come dipendenti, tirocinanti e collaboratori, con indicazione dei permessi di accesso alle banche dati in funzione delle diverse attività da essi svolte;
- la consegna di istruzioni ai propri soggetti autorizzati circa il trattamento dei dati personali e l’uso degli strumenti informatici connessi alle attività di lavoro;
- il riscontro dei diritti degli interessati;
- la tenuta di un registro dei data breach.
Il commercialista come Titolare del trattamento
All’interno di uno studio di consulenza, il titolare del trattamento sarà, in base all’organizzazione dello studio, il singolo commercialista, lo studio associato o la società tra professionisti. In ogni caso il commercialista sarà titolare per tutto ciò che riguarda la gestione e l’organizzazione del proprio studio e quindi per tutti quei trattamenti che rientrano nell’ambito della propria attività.
Se invece consideriamo uno studio associato o una società tra professionisti, il titolare del trattamento sarà la persona giuridica e quindi lo studio o la società. Pertanto non devono essere considerate come titolari le singole persone fisiche che prestano consulenza.
Il commercialista è invece Titolare autonomo per tutte quelle attività svolte direttamente a favore della persona che richiede la prestazione, come nel caso della predisposizione della dichiarazione fiscale e altri adempimenti a persona fisica. Il professionista è da considerarsi Titolare autonomo anche nei casi in cui svolge incarichi come revisore dei conti o membro del collegio sindacale, così come nello svolgimento di incarichi disciplinati da leggi o regolamenti che prevedano il rilascio di pareri, relazioni, perizie asseverate o visti da parte del professionista.
Il commercialista come Contitolare del trattamento
La contitolarità è prevista nell’art. 26 del GDPR e si verifica nei casi in cui il potere decisionale è condiviso da più titolari e pertanto mezzi e finalità del trattamento sono definiti da più commercialisti.
Questa situazione può verificarsi quando più professionisti, non uniti da rapporti societari o associativi, condividono il trattamento dei dati. In particolare, è necessario prestare attenzione alle situazioni in cui più professionisti autonomi collaborano nelle prestazioni e condividono una struttura.
I rapporti tra contitolari devono essere definiti da un accordo interno che stabilisca:
- le responsabilità dei diversi professionisti in merito all’osservanza degli obblighi derivanti dal GDPR;
- la modalità per l’esercizio dei diritti dell’interessato.
Il Commercialista come Responsabile del trattamento
Il commercialista è nominato Responsabile del trattamento dei propri clienti nei casi in cui svolga attività di data entry, elaborazione dati e controllo contabile che non richiedono delle decisioni del professionista. In tal caso nel contratto di tenuta della contabilità oppure nell’elaborazione dei cedolini paga dei dipendenti del cliente, sono presenti le seguenti caratteristiche in tema di trattamento dei dati personali:
- i dati personali sono relativi ai clienti, fornitori e dipendenti del soggetto committente;
- il commercialista tratta i dati per conto del committente;
- il commercialista tratta i dati assumendo proprie decisioni sempre nell’ambito delle istruzioni ricevute (relative al trattamento dei dati personali).
Il Commercialista come Soggetto autorizzato del trattamento
In alcuni casi, il commercialista deve essere considerato come soggetto autorizzato o designato: è il caso in cui il professionista ricopre un incarico come membro dell’Organismo di Vigilanza (“OdV”), istituito ai sensi del D.lgs 231/2001.