GDPR per commercialisti: la check list proposta dal Consiglio Nazionale


In attesa della pubblicazione delle regole tecniche in materia di antiriciclaggio ecco che, lo scorso 27 aprile, il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili e la Fondazione Nazionale dei Commercialisti, ha pubblicato il documento “Il regolamento Ue/2016/679 General data Protection Regulation (GDPR): nuove regole comunitarie e precisazioni in materia di protezione dei dati personali”, che analizza la normativa europea ed il suo ambito di applicazione. In particolare, l’organo rappresentativo della categoria ha individuato una check list per aiutare i propri iscritti a conformarsi al GDPR.

Il Regolamento UE 2016/679 comporterà per aziende e professionisti, non solo nuovi adempimenti, ma, come ha evidenziato il vicepresidente del Consiglio Nazionale, Davide Di Russo, un vero e proprio “cambiamento culturale nell’approccio al modello di gestione della Privacy” per i professionisti e per gli studi professionali. La data del 25 maggio è dunque una data importante che segna un cambiamento “storico” per la privacy anche degli Studi professionali. E’ quindi necessario prepararsi e mostrarsi pronti ad adottare misure idonee che consentano di evitare le eventuali sanzioni, che potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo.

A tal fine, la normativa europea richiede che le misure di sicurezza adottate negli studi professionali debbano essere adeguate al singolo contesto organizzativo ed elaborate attraverso un “test di autovalutazione”. Si tratta di una preventiva, consapevole e responsabile mappatura da parte degli studi professionali dei rischi connessi al trattamento di dati dei clienti gestiti.

Il regolamento, a differenza del passato, pone infatti l’accento sul “principio di Accountability”, ovvero di responsabilità del professionista di adottare delle concrete misure di sicurezza idonee a garantire la privacy dei dati personali dei clienti trattati.

La check list del CNDCEC

Fermo quanto sopra, il Consiglio Nazionale traccia una vera e propria linea guida per orientare gli Studi professionali ed i professionisti. Viene offerta una prima lettura delle maggiori novità introdotte dal Regolamento per poi, nella check list elaborata, indicare le modalità applicative.

Il documento esordisce inquadrando normativamente il Regolamento ed evidenzia la diretta applicabilità e vincolatività del GDPR anche per gli Studi professionali. Come è noto, la materia della privacy è disciplinata dal d.lgs.196/2003 che ha subito delle modiche ed integrazioni nel corso degli anni. In tutto ciò deve tenersi presente che sono numerosi i provvedimenti emanati dall’Autorità Garante per la Privacy. In particolare, si sottolinea, come la l. 163 del 25.10.2017 abbia delegato il Governo ad adottare uno o più decreti legislativi, entro il 21 maggio 2018, per adeguare il quadro normativo nazionale alle disposizioni europee.

Come è noto la delega non è stata esercitata nei termini previsti e si dovrà attendere la data del 22 agosto. Vale la pena ricordare che il legislatore europeo chiede all’Italia di modificare il d.lgs. 196/2003 secondo criteri ben definiti, che ricordiamo, impongono:

  • l’espressa abrogazione delle disposizioni incompatibili con quelle contenute nel regolamento;
  • la modifica del Codice stesso limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento. Più specificamente, nell’ambito delle sopradette modifiche, dovrà prevedersi l’adeguamento del sistema sanzionatorio penale e amministrativo vigente alle disposizioni del GDPR, introducendo sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse;
  • coordinamento delle disposizioni vigenti in materia di protezione dei dati personali con quelle recate dal regolamento (UE) 2016/679.

Nella disamina viene mostrato come un primo tentativo di uniformare la disciplina interna alle disposizioni del GDPR sembra essere stato compiuto dalla legge di delegazione europea n. 167/2017, la quale ha modificato soltanto alcune disposizioni del Codice della privacy.
Le modifiche riguardano diversi temi, tra i quali quelli di responsabile del trattamento, di riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici, di conservazione dei dati relativi al traffico telefonico e telematico e di ruolo organico del personale alle dipendenze del Garante.

Ebbene si legge nel documento che, in questa fase transitoria ed in attesa dei decreti legislativi delegati, in caso di eventuale contrasto tra il GDPR ed il Codice della Privacy, d.lgs. 196/2003, prevarrà il GDPR sul diritto interno che dovesse risultare incompatibile con le disposizioni previste dal regolamento medesimo.

L’ambito di applicazione del GDPR

Come già evidenziato, il documento del CNDCEC fornisce delle indicazioni sulle novità previste dal GDPR che ci permettiamo, in tale sede, di riassumere in quanto utili per i professionisti. In particolare, si chiarisce e si evidenzia che oggetto di tutela del regolamento GDPR sono solo i dati personali, ovvero i dati delle persone fisiche.

Al riguardo, si ricorda che, il considerando 14 chiarisce che la protezione dei dati si applica alle persone fisiche a prescindere dalla nazionalità o dal luogo di residenza. Quindi, sono esclusi dall’ambito di applicazione delle disposizioni del regolamento i trattamenti dei dati relativi alle persone giuridiche. Sul punto il CNDCEC precisa che nelle società, tali norme, troveranno applicazione con riferimento al trattamento dei dati personali del rappresentante legale. La nozione di dato personale, disciplinata all’art. 4 de GDPR, risulta particolarmente ampia. Per maggiori dettagli si veda qui.

Uno degli scopi del legislatore europeo, sostiene il CNDCEC, è quello dell’estensione dell’ambito di applicazione delle sue disposizioni. Infatti, dal punto di vista dell’ambito di applicazione materiale, il Regolamento, si applica al trattamento interamente o parzialmente autorizzato di dati personali al trattamento non automatizzato di dati personali che siano contenuti in un archivio.

Quanto all’ambito di applicazione territoriale il documento si sofferma sull’importanza del principio di stabilimento. Ne consegue che i trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento, stabiliti nel territorio dell’Unione Europea (a prescindere dalla circostanza che il trattamento sia o meno concretamente effettuato e a prescindere dalla nazionalità o dal luogo di residenza dei soggetti cui si riferiscono i dati personali trattati) dovranno rispettare le regole imposte dal GDPR.

Infine, nell’ipotesi in cui sorga un dubbio se ad una determinata fattispecie si applichi o meno il regolamento europeo, per questioni che riguardano l’ambito territoriale e materiale si applicherà il solo il GDPR. Pertanto l’indicazione del documento del CNDCEC è chiaro: occorre adeguare gli Studi professionali al nuovo GDPR.

A quali principi deve attenersi il commercialista?

Conformemente al testo del regolamento, il Consiglio Nazionale evidenzia che anche al professionista, quale destinatario, viene chiesto di attenersi ai principi di liceità, correttezza e trasparenza del trattamento, minimizzazione, limitazione della conservazione, finalità del trattamento.

Tra tutti i principi, uno però è il più importante: il cosiddetto “principio di accountability”. Tale principio costituisce il vero elemento di novità del regolamento. Secondo il principio sopracitato, il professionista, quale titolare del trattamento è tenuto a porre in essere tutte le misure tecniche e organizzative per garantire ed essere in grado di dimostrare che il trattamento dei dati personali degli interessati è effettuato nel rispetto dei principi sopraddetti. Considerando che oggetto di tutela del Regolamento sono i dati personali delle persone fisiche, i dati trattati negli studi professionali sono quelli dei clienti.

Il documento ribadisce che ogni trattamento deve trovare un’idonea base giuridica che, è individuata nella sussistenza di alcune condizioni:

  • Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  • Il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del medesimo;
  • Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  • Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  • Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del medesimo o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali.

Elemento imprescindibile per garantire la tutela dei dati e della liberta delle persone fisiche è il consenso dell’interessato. In particolare, secondo il CNDCEC, anche il professionista e gli studi professionali devono raccogliere il consenso dell’interessato/cliente. In tale contesto, si aprirebbe la strada alla possibilità che la dichiarazione del consenso non risulti necessariamente da una documentazione resa per iscritto, purchè tale documentazione sia stata prestata in maniera inequivocabile.

In merito alla nozione di consenso il GDPR definisce il consenso dell’interessato come una qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante una dichiarazione o azione positiva inequivocabile, che i dati personali lo riguardano siano oggetto di trattamento. Al riguardo si legga l’art. 4 del GDPR.

Nello specifico dunque, secondo il principio di accountability, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato inequivocabilmente il proprio consenso al trattamento dei suoi dati personali, con la conseguenza che è necessario porre particolare attenzione a tale onere probatorio nell’ipotesi in cui il consenso non venga acquisito per iscritto. Qualora il consenso sia prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Si legge nel documento che nessuna parte di tale dichiarazione che costituisca una violazione del GDPR è vincolante.

Precisa il CNDCEC che, quando il trattamento è basato sul consenso, l’interessato ha diritto di revocare il proprio consenso in qualsiasi momento. Tuttavia, la revoca non è idonea a pregiudicare la liceità del trattamento già effettuato e basato sul consenso precedentemente prestato. Il diritto di revocare il consenso prestato deve essere indicato nell’informativa comunicata all’interessato prima di esprimere il consenso del medesimo.

Da ricordare, poi, la regola in base alla quale il consenso è revocato con la stessa facilità con cui è accordato, comportando l’obbligo di prevedere le medesime forme e/o misure tecniche per la revoca del consenso già utilizzate al momento della raccolta del medesimo. ll CNDCEC, pertanto, invita i propri iscritti a fare attenzione a stabilire delle procedure interne per il rilascio e la revoca del consenso da parte degli interessati/clienti.

L’importanza di adeguarsi al GDPR

In conclusione, dunque, è necessario procedere necessariamente ad una autovalutazione del livello di adeguamento del proprio studio professionale. Per quanto le norme privacy possano essere viste da alcuni professionisti come l’ennesimo onere burocratico da sostenere, occorre conoscere ed essere preparati ai nuovi adempimenti previsti dal GDPR. Le autorità competenti, nella propria attività di monitoraggio, giustamente non faranno sconti a nessuna categoria, compresa quella dei dottori commercialisti ed esperti contabili.