La figura del dottore commercialista è centrale per la gestione della privacy e quindi anche per gli adeguamenti necessari alla conformità al GDPR: infatti, tutti i soggetti giuridici devono necessariamente ricorrervi per gli adempimenti contabili e fiscali, e poiché questi quasi sicuramente includono dati personali, ecco che il commercialista è il Responsabile del Trattamento per eccellenza. Inoltre, specie per le piccole realtà, il commercialista rappresenta la figura di riferimento per quanto riguarda le innumerevoli normative a cui le aziende sono soggette, e quindi oltre ad essere coinvolto direttamente nei trattamenti (come appena accennato), spesso è anche colui che indirizza la sua clientela verso la nuova normativa sui dati personali.
I trattamenti del commercialista
Nonostante quanto detto in premessa, può capitare di sentirsi raccontare che il commercialista rifiuta la nomina a Responsabile del Trattamento, tipicamente perché “io non tratto dati sensibili”. Una risposta del genere già da sola fa scadere il commercialista stesso perché evidenzia una completa ignoranza sulla nuova normativa. Ecco perchè.
Non è vero che non tratta dati sensibili (o più correttamente, categorie particolari di dati personali): se è vero che in questa definizione non ricadono i dati finanziari e tributari (che comunque racchiudono un certo grado di criticità per l’interessato), nella documentazione che gli viene passata per adempiere al proprio incarico è facile che incidentalmente siano presenti dati sensibili, come per esempio dati relativi allo stato di salute che possono essere estrapolati dalle fatture di prestazioni sanitarie.
Anche se fosse vero che non tratta dati sensibili (in linea teorica potrebbe essere vero per un commercialista che ha come clienti solo aziende o enti di una certa dimensione), ciò non implica il non essere un Responsabile del Trattamento: lo si è in presenza di trattementi di dati personali di qualsiasi tipo.
Di conseguenza, l’atto di nomina è dovuto. Rifiutandolo, il commercialista rischia di (anzi, dovrebbe) vedersi annullare l’incarico.
Gli adempimenti formali
Dal punto di vista formale, gli adempimenti a cui è soggetto il commercialista sono i consueti: informative, documentazione dei trattamenti, delle autorizzazioni (nomine degli addetti), delle analisi di rischi, eventuali Valutazioni di Impatto, tenuta del registro delle violazioni, etc. Solo se dovesse lavorare da solo, cioè senza dipendenti, verrebbe meno l’obbligo del Registro delle attività di Trattamento (che comunque, è bene ricordarlo, è sempre consigliato).
Nell’utilizzo dei software a supporto della sua attività, dovrebbe verificare l’avvenuto adeguamento del fornitore e la documentazione relativa (valutazioni di impatto e nomine a responsabili del trattamento); ma è probabile che non ci siano difficoltà in proposito, almeno con i grandi player del settore. Sull’opportunità o meno di usare software locali o in cloud, valgono le stesse considerazioni già fatte per altre categorie di soggetti, come gli avvocati.
Come sottolineato prima, il commercialista è sempre Responsabile del Trattamento nei confronti dei propri clienti. Dovrebbero essere quati ultimi a procedere alla nomina; tuttavia, raramente ciò accade, e quindi in questi casi è opportuno che sia il commercialista stesso a sottoporre ai clienti una bozza dell’atto di nomina, che possa essere aggiustata secondo le necessità particolari del cliente e poi ovviamente firmata da entrambi. Per il prossimo futuro, questa nomina dovrebbe entrare a far parte della documentazione contrattuale di conferimento dell’incarico.
Misure di sicurezza
In virtù delle tipologia di dati trattati (come detto, sia categorie particolari, che dati comuni ma cartamente con un certo grado di criticità), è opportuno pensare ad implementare misure di sicurezza che vadano oltre il minimo. Per i dati digitali, ciò significa crittografare i dati (con gestione adeguata delle relative chiavi) ed implementare le corrette autorizzazioni agli addetti, nel modo più granulare possibile, a seconda della propria organizzazione interna. Per gli archivi cartacei, ciò significa limitazione dell’accesso fisico ed anche una efficace organizzazione che faccia uso della pseudonimizzazione, almeno per i contenitori (faldoni/cartelline).
Gli obblighi di legge applicabili prevedono tempi di conservazione lunghi; di conseguenza, si dovrebbe disporre di archivi cartacei di dimensioni adeguate; senza dimenticare l’opportunità di digitalizzare tutta la documentazione, che però comporta anche la necessità di un archivio digitale adeguatamente organizzato e delle relative procedure di backup e disaster recovery.
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.