La privacy e gli adempimenti GDPR sono stati protagonisti della terza ed ultima giornata del Forum Nazionale dei Commercialisti organizzato da Italia Oggi. Al centro le attività necessarie per essere conformi al nuovo Regolamento UE.
Si è aperto con il tema degli adempimenti privacy previsti dal GDPR la terza ed ultima giornata del Forum Nazionale dei Dottori Commercialisti ed Esperti Contabili organizzata da Italia Oggi.
Ad intervenire nel corso del confronto moderato dal Direttore Marino Longoini è l’Avvocato ed esperto privacy Antonio Ciccia Messina, seguito da Giovanna Bianchi Clerici, Componente dell’Autorità garante per la protezione dei dati personali e dall’Avvocato Rocco Panetta, Countty Leader IAPP Italia.
L’intervento arriva a pochi giorni di distanza dal 19 settembre 2018, giorno di entata in vigore del Decreto legislativo di adeguamento al GDPR dell’Italia che avrebbe dovuto rendere più chiari gli adempimeti privacy.
Il GDPR ha reso più complesso l’approccio alla privacy da parte dei professionisti e delle imprese in genere. Un meccanismo più complesso e con adempimenti specifici che gli esperti intervenuti durante il Forum Commercialistidi di Italia Oggi cercano di chiarire.
Le basi del GDPR e gli adempimenti privacy per i commercialisti
Il capitolo del Forum dedicato agli adempimenti privacy e al GDPR si apre con l’intervento della Dottoressa Bianchi Clerici, la quale si sofferma sulle basi del GDPR e sugli adempimenti privacy a carico dei professionisti.
Il concetto base del GDPR è quello dell’accountability, la responsabilizzazione: il titolare del trattamento dati ha il ruolo di prendere coscienza dei dati trattati e deve prender consapevolezza delle soluzioni da adottare caso per caso. Si tratta del concetto di privacy by design, il quale consiste nella capacità di confezionare pacchetto preventivo con misure di sicurezza non più predefinite ma tarate caso per caso.
Con il GDPR cambia anche il ruolo dell’Autorità Garante della Privacy in quanto la valutazione delle misure idonee a garantire il rispetto della privacy dovrà essere effettuata in maniera autonoma da parte dei titolari del trattamento dati.
Adempimenti privacy: con il GDPR misure di sicurezza caso per caso
La valutazione delle misure di sicurezza messe in atto per garantire il rispetto dela privacy dovranno essere effettuate caso per caso in modalità dinamica. Il GDPR è un regolamento dinamico e i professionisti, gli studi nonché tutti coloro che si occupano di dati sensibili dovranno effettuare innanzitutto una mappatura dei dati trattati.
Bisognerà quindi considerare la natura dei dati trattati, se si tratta di dati sensibili, o ad esempio dati giudiziari.
I commercialisti e gli studi sicuramente effettuano trattamento di dati particolari. Si pensi alla dichiarazione dei redditi, nella quale confluiscono certificati medici ovvero dati relativi ad esempio a donazioni effettuate nei confronti di enti religiosi che fanno emergere convinzioni private del contribuente.
La natura dei dati trattati va analizzata in maniera preventiva, valutando livello rischi in caso di comunicazione o diffusione non autorizzata dei dati e anche i costi (il regolamento non prevede per forza investimenti stratosferici perché tutto è valutato in base al contesto di riferimento).
GDPR: fondamentale la trasparenza. Rivedere informativa privacy
Quali sono gli adempimenti fondamentali previsti dal GDPR? La Dott.ssa Clerici sottolinea come la trasparenza sia un principio fondamentale del nuovo Regolamento privacy e che quindi tra le prime cose da fare vi è aggiornare l’informativa al trattamento dei dati da consegnare al cliente.
Il primo adempimento da controllare è proprio la mappatura dei dati e rivedere l’informativa privacy, operazione da fare con attenzione per chi ha uno studio professionale.
In caso di verifiche e ispezioni da parte della Guardia di Finanza sarà necessario dimostrare con prove la leicità e l’adeguatezza delle misure di sicurezza adottate per evitare incidenti informatici, accessi abusivi ai dati o data breach, eventi che possono essere causa di alterazione anche del rapporto di fiducia tra professionisti e clienti.
Registro trattamenti obbligatorio anche sotto i 250 dipendenti
Ancora, durante il proprio intervento, la Dottoressa Bianchi Clerici chiarisce che l’obbligo di tenuta del registro dei trattamenti non è richiesto soltanto a chi ha più di 250 dipendenti ma è altresì fondamentale in tutti i casi in cui si trattano, seppur occasionalmente, dati sensibili.
Non solo commercialisti ma anche piccole attività commerciali che trattano dati sensibili e che il GDPR identifica quali meritevoli di tutela specifica.
Il registro dei trattamento dei dati è uno degli strumenti con il quale effettuare un tracking costante per non perdere il controllo delle informazioni trattate. In caso di controlli sarà attraverso il Registro che si potrà dimostrare di essersi mossi al fine di rendersi conformi al GDPR.
Sanzioni privacy: nessuna deroga o esoneri. Semplificazioni per le micro e PMI
Il Decreto legislativo di adeguamento al GDPR non prevede deroghe od esoneri all’applicazione delle sanzioni in caso di violazione delle nuove regole sulla privacy. Quello che è altresì previsto è un periodo di 8 mesi, fase iniziale di attuazione, per l’avvio graduale del nuovo sistema sanzionatorio.
Semplificazioni specifiche per micro, piccole o medie imprese dalle sanzioni pesanti previste dal GDPR: su tale aspetto la Dott.ssa Bianchi Clerici comunica che il Garante per la Privacy è al lavoro per la messa a punto di linee guida per rendere più semplice la procedura di applicazione del regolamento.
Sul problema delle sanzioni nonché sulla vaghezza delle indicazioni contenute nel GDPR nonché dal decreto legislativo di adeguamento si è espresso anche l’Avvocato Antonio Ciccia Messina.
I commercialisti possono essere nominati DPO da parte dei propri clienti?
A chiudere il capitolo dedicato alla privacy nel corso dell’ultima giornata del Forum Nazionale dei Commercialisti è l’Avvocato Panetta.
Anche i commercialisti possono essere nominati DPO come delegati esterni da parte dei propri clienti. Questo perché la norma non specifica chi deve essere nominato delegato e quali requisiti debba avere. Quel che è necessario possedere è alti requisiti di conoscenza e competenza della materia.
Quindi, da un punto di vista strettamente professionale anche i commercialisti potrebbero essere nominati come DPO. Tuttavia c’è da porsi una domanda: c’è coflitto di interessi?
Nell’esercizio della funzione di fornitore di servizi economico-contabili o di consulenza il commercialista prende decisioni a favore del proprio cliente. Il DPO, secondo quanto previsto dal Regolamento, deve invece essere un soggetto terzo, con autonomia professionale e di giudizio.
Quindi, nel caso di richiesta di nomina come DPO il commercialista così come qualsiasi professionista in possesso di adeguate competenze dovrà essere in grado di valutare quello che può essere il proprio grado di autonomia e indipendenza.
Ulteriori chiarimenti sono riportati nella slide esposta nel corso dell’intervento relativa alla nomina del responsabile del trattamento e del DPO.
© RIPRODUZIONE RISERVATA