GDPR per commercialisti: la check list proposta dal Consiglio Nazionale

Aggiornamento del 20 Novembre 2019

In attesa della pubblicazione delle regole tecniche in materia di antiriciclaggio ecco che, lo scorso 27 aprile, il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili e la Fondazione Nazionale dei Commercialisti, ha pubblicato il documento “Il regolamento Ue/2016/679 General data Protection Regulation (GDPR): nuove regole comunitarie e precisazioni in materia di protezione dei dati personali”, che analizza la normativa europea ed il suo ambito di applicazione. In particolare, l’organo rappresentativo della categoria ha individuato una check list per aiutare i propri iscritti a conformarsi al GDPR.

Il Regolamento UE 2016/679 comporta per aziende e professionisti, non solo nuovi adempimenti, ma, come ha evidenziato il vicepresidente del Consiglio Nazionale, Davide Di Russo, un vero e proprio “cambiamento culturale nell’approccio al modello di gestione della Privacy” per i professionisti e per gli studi professionali.

E’ quindi necessario prepararsi e mostrarsi pronti ad adottare misure idonee che consentano di evitare le eventuali sanzioni, che potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo.

La normativa europea richiede che le misure di sicurezza adottate negli studi professionali debbano essere adeguate al singolo contesto organizzativo ed elaborate attraverso un “test di autovalutazione”. Si tratta di una preventiva, consapevole e responsabile mappatura da parte degli studi professionali dei rischi connessi al trattamento di dati dei clienti gestiti.

Il regolamento, a differenza del passato, pone infatti l’accento sul principio di Accountability, ovvero di responsabilità del professionista di adottare delle concrete misure di sicurezza idonee a garantire la privacy dei dati personali dei clienti trattati.

La check list del CNDCEC

Il Consiglio Nazionale traccia vere e proprie linee guida per orientare gli Studi professionali ed i professionisti. Viene offerta una prima lettura delle maggiori novità introdotte dal Regolamento per poi, nella check list elaborata, indicare le modalità applicative.

Il documento esordisce inquadrando normativamente il Regolamento ed evidenzia la diretta applicabilità e vincolatività del GDPR anche per gli Studi professionali.

Come è noto, la materia della privacy è disciplinata dal d.lgs.196/2003 che ha subito delle modiche ed integrazioni nel corso degli anni. In tutto ciò deve tenersi presente che sono numerosi i provvedimenti emanati dall’Autorità Garante per la Privacy. In particolare, si sottolinea, come la l. 163 del 25.10.2017 abbia delegato il Governo ad adottare uno o più decreti legislativi, entro il 21 maggio 2018, per adeguare il quadro normativo nazionale alle disposizioni europee.

Vale la pena ricordare che il legislatore europeo chiede all’Italia di modificare il d.lgs. 196/2003 secondo criteri ben definiti, che impongono:

  • l’espressa abrogazione delle disposizioni incompatibili con quelle contenute nel regolamento;
  • la modifica del Codice stesso limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento. Più specificamente, nell’ambito delle suddette modifiche, dovrà prevedersi l’adeguamento del sistema sanzionatorio penale e amministrativo vigente alle disposizioni del GDPR, introducendo sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse;
  • coordinamento delle disposizioni vigenti in materia di protezione dei dati personali con quelle del regolamento (UE) 2016/679.

Nella disamina viene mostrato come un primo tentativo di uniformare la disciplina interna alle disposizioni del GDPR sembra essere stato compiuto dalla legge di delegazione europea n. 167/2017, la quale ha modificato soltanto alcune disposizioni del Codice della privacy.
Le modifiche riguardano diversi temi, tra i quali quelli di responsabile del trattamento, di riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici, di conservazione dei dati relativi al traffico telefonico e telematico e di ruolo organico del personale alle dipendenze del Garante.

Ebbene si legge nel documento che, in questa fase transitoria ed in attesa dei decreti legislativi delegati, in caso di eventuale contrasto tra il GDPR ed il Codice della Privacy, d.lgs. 196/2003, prevarrà il GDPR sul diritto interno che dovesse risultare incompatibile con le disposizioni previste dal regolamento medesimo.

A quali principi deve attenersi il commercialista?

Conformemente al testo del regolamento, il Consiglio Nazionale evidenzia che anche al professionista, quale destinatario, viene chiesto di attenersi ai principi di liceità, correttezza e trasparenza del trattamento, minimizzazione, limitazione della conservazione, finalità del trattamento.

Tra tutti i principi, uno però è il più importante: il cosiddetto “principio di accountability”. Tale principio costituisce il vero elemento di novità del regolamento.

Secondo questo principio, il professionista, quale titolare del trattamento è tenuto a porre in essere tutte le misure tecniche e organizzative per garantire ed essere in grado di dimostrare che il trattamento dei dati personali dei clienti sia conforme.

Il documento ribadisce che ogni trattamento deve trovare un’idonea base giuridica che è individuata nella sussistenza di alcune condizioni:

  • Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte, o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  • Il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del medesimo;
  • Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  • Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  • Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del medesimo o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali.

RICHIEDI INFORMAZIONI

L’importanza del consenso dell’interessato

Elemento imprescindibile per garantire la tutela dei dati e della libertà delle persone fisiche è il consenso dell’interessato. In particolare, secondo il CNDCEC, anche il professionista e gli studi professionali devono raccogliere il consenso dell’interessato/cliente.

In tale contesto, si aprirebbe la strada alla possibilità che la dichiarazione del consenso non risulti necessariamente da una documentazione resa per iscritto, purché tale documentazione sia stata prestata in maniera inequivocabile.

In merito alla nozione di consenso il GDPR definisce il consenso dell’interessato come una qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante una dichiarazione o azione positiva inequivocabile, che i dati personali lo riguardano siano oggetto di trattamento. Al riguardo si legga l’art. 4 del GDPR.

Secondo il principio di accountability, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato inequivocabilmente il proprio consenso al trattamento dei suoi dati personali, con la conseguenza che è necessario porre particolare attenzione a tale onere probatorio nell’ipotesi in cui il consenso non venga acquisito per iscritto.

Qualora il consenso sia prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Si legge nel documento che nessuna parte di tale dichiarazione che costituisca una violazione del GDPR è vincolante.

Precisa il CNDCEC che, quando il trattamento è basato sul consenso, l’interessato ha diritto di revocare il proprio consenso in qualsiasi momento. La revoca non pregiudica la liceità del trattamento già effettuato e basato sul consenso precedentemente prestato. Il diritto di revocare il consenso prestato deve essere indicato nell’informativa comunicata all’interessato prima di esprimere il consenso del medesimo.

Da ricordare, poi, la regola in base alla quale il consenso deve poter essere revocato con la stessa facilità con cui è accordato, comportando l’obbligo di prevedere le medesime forme e/o misure tecniche per la revoca del consenso già utilizzate al momento della raccolta del medesimo. ll CNDCEC, pertanto, invita i propri iscritti a fare attenzione a stabilire delle procedure interne per il rilascio e la revoca del consenso da parte degli interessati/clienti.

Scarica il white paper su GDPR Privacy e Cyber Security

Con la piena applicazione del Regolamento Europeo 2016/679 (GDPR) per Aziende e Professionisti è obbligatorio adottare misure tecniche e organizzative adeguate a proteggere
i dati personali. Compila il form e scarica gratuitamente il white paper Alavie dedicato al GDPR e alla Cyber Security.



L’ambito di applicazione del GDPR

Come già evidenziato, il documento del Consiglio Nazionale Dottori Commercialisti ed Esperti Contabili fornisce delle indicazioni sulle novità previste dal GDPR che ci permettiamo di riassumere in quanto utili per i professionisti. In particolare, si chiarisce e si evidenzia che oggetto di tutela del regolamento GDPR sono solo i dati personali, ovvero i dati delle persone fisiche.

Al riguardo, si ricorda che, il considerando 14 chiarisce che la protezione dei dati si applica alle persone fisiche a prescindere dalla nazionalità o dal luogo di residenza.

Quindi, sono esclusi dall’ambito di applicazione delle disposizioni del regolamento i trattamenti dei dati relativi alle persone giuridiche. Sul punto il CNDCEC precisa che nelle società, tali norme, trovano applicazione con riferimento al trattamento dei dati personali del rappresentante legale. La nozione di dato personale, disciplinata all’art. 4 de GDPR, risulta particolarmente ampia. Per maggiori dettagli si veda qui.

Uno degli scopi del legislatore europeo, sostiene il CNDCEC, è quello dell’estensione dell’ambito di applicazione delle sue disposizioni. Infatti, dal punto di vista dell’ambito di applicazione materiale, il Regolamento, si applica al trattamento interamente o parzialmente autorizzato di dati personali, al trattamento non automatizzato di dati personali che siano contenuti in un archivio.

Quanto all’ambito di applicazione territoriale il documento si sofferma sull’importanza del principio di stabilimento.

Ne consegue che i trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento, stabiliti nel territorio dell’Unione Europea (a prescindere dalla circostanza che il trattamento sia o meno concretamente effettuato e a prescindere dalla nazionalità o dal luogo di residenza dei soggetti cui si riferiscono i dati personali trattati) dovranno rispettare le regole imposte dal GDPR.

Infine, nell’ipotesi in cui sorga un dubbio se ad una determinata fattispecie si applichi o meno il regolamento europeo, per questioni che riguardano l’ambito territoriale e materiale si applicherà il solo il GDPR. Pertanto l’indicazione del documento del CNDCEC è chiaro: occorre adeguare gli Studi professionali al nuovo GDPR.

L’importanza di adeguarsi al GDPR

In conclusione, dunque, è necessario procedere necessariamente ad una autovalutazione del livello di adeguamento del proprio studio professionale. Per quanto le norme privacy possano essere viste da alcuni professionisti come l’ennesimo onere burocratico da sostenere, occorre conoscere ed essere preparati ai nuovi adempimenti previsti dal GDPR. Le autorità competenti, nella propria attività di monitoraggio, giustamente non faranno sconti a nessuna categoria, compresa quella dei dottori commercialisti ed esperti contabili.

Scopri i nostri servizi in materia di GDPR e Privacy

Gestione degli obblighi previsti dal GDPR Privacy per la protezione dei dati e del business di Professionisti e aziende, formazione e adozione di misure adeguate di Data Protection e Cybersecurity.

GDPR e principio di accountability