Gli aspetti sottovalutati del Codice Privacy negli Studi Professionali

Potrebbe sembrare che i controlli sulla privacy siano diminuiti o addirittura interrotti. In realtà è vero il contrario. E’ infatti in atto un intensificazione dei controlli da parte della GdF e dell’Agenzia delle Entrate relativamente alla gestione del Decreto legislativo 30 giugno 2003, n. 196 (di seguito Codice Privacy) all’interno degli studi Professionali. Il problema è che ancora oggi vengono sottovalutati aspetti che sono alla base della normativa.

I controlli dell’Agenzia delle Entrate verso gli intermediari Entratel sono finalizzati ad appurare che gli intermediari abbiano messo in atto tutte le misure di sicurezza per la protezione dei dati personali con i quali sono venuti a contatto durante lo svolgimento delle attività dello Studio Professionale.

Il rischio durante o dopo l’attività di verifica, è il rischio della revoca dell’abilitazione all’invio telematico, oltre a sanzioni amministrative e penali.

Ripercorriamo quelli che sono gli apsetti spesso sottovalutati della normativa privacy negli studi professionali.

E’ emerso innanzitutto che troppo spesso gli Studi Professionali forniscono ai loro clienti un’informativa non adeguata e troppo generica. L’informativa secondo quanto previsto dall’art. 13 del Codice Privacy deve essere fornita alla persona presso la quale sono raccolti i dati personali e deve riportare sempre:

  • le finalità e le modalità del trattamento cui sono destinati i dati;
  • la natura obbligatoria o facoltativa del conferimento dei dati;
  • le conseguenze di un eventuale rifiuto di rispondere;
  • i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi;
  • i diritti di cui all’articolo 7;
  • gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell’articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l’elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all’interessato in caso di esercizio dei diritti di cui all’articolo 7, è indicato tale responsabile.

Da sottolineare inoltre che con il Nuovo Regolamento Europeo l’informativa diventa sempre di più uno strumento di trasparenza riguardo al trattamento dei dati personali e all’esercizio dei diritti.

Per facilitare la comprensione dei contenuti, nell’informativa si potrà fare ricorso anche a icone, identiche in tutta l’Unione europea.

Gli altri aspetti pratici da non dimenticare per una corretta applicazione del Codice Privacy sono sicuramente:

  • l’autenticazione informatica e adozione di procedure di gestione delle credenziali di autenticazione;
  • l’utilizzo di un sistema di autorizzazione;
  • l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, fornendo opportune e chiare istruzioni per l’effettiva protezione dei dati;
  • protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti degli stessi, ad accessi non consentiti e a programmi informatici dannosi;
  • aggiornamento degli strumenti elettronici al fine di prevenirne la loro vulnerabilità e correggerne i difetti;
  • adozione di procedure e fornitura di istruzioni per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
  • adozione di misure di protezione e ripristino specifiche per i dati sensibili e giudiziari rispetto ad accessi abusivi e fornitura di istruzioni tecniche e organizzative per la custodia e l’uso dei supporti rimovibili contenenti tale tipologia di dati;
  • predisposizione e sottoscrizione di attestazioni di conformità da parte di soggetti esterni, rispetto alla struttura del titolare, riguardanti il rispetto delle disposizioni privacy nell’ambito dei loro interventi e/o trattamenti;
  • adozione di altre misure finalizzate alla protezione e conservazione dei dati, in caso di utilizzo di strumenti diversi da quelli elettronici.

Alcune riflessioni vanno fatte poi relativamente ai decreti attuativi del Jobs act che impatta sulla gestione degli strumenti utilizzati dallo studio professionale quali pc, tablet, smartphone soprattutto se affidati a dipendenti e collaboratori dello Studio Professionale.

L’utilizzo di tali dispositivi deve essere regolamentato da un disciplinare interno con chiare indicazioni su quali comportamenti sono ammessi da parte dei dipendenti e collaboratori e quali sono assolutamente da evitare, quali sono le implicazioni nell’utilizzo delle App. , come utilizzare correttamente le credenziali di autenticazione ai sistemi.

Capitolo a parte per i sistemi di videosorveglianza, che sono sempre più presenti anche negli Studi Professionali e che richiedono necessariamente autorizzazioni preventive agli organi competenti per poter procedere con l’installazione.

Occorre conoscere e rispettare le regole per la predisposizione dell’impianto, una su tutte, di nuovo, la presenza di un’idonea informativa che avvisi in maniera inequivocabile della presenza delle videocamere e che renda note le finalità delle immagini rilevate.

 

Con oltre 2.000 studi professionali gestiti per quanto concerne il Compliance Management siamo il partner ideale per la gestione degli adempimenti normativi per il tuo Studio. Contattaci per maggiori informazioni.