Dati personali. Documento di Consiglio nazionale e Fondazione dei commercialisti sull’applicazione del regolamento europeo

Privacy, check list per gli studi. La gestione del sistema può rappresentare anche un’opportunità professionale.
Il conto alla rovescia è iniziato: il 25 maggio sarà operativo il regolamento europeo sulla privacy e il Consiglio nazionale dei dottori commercialisti ha messo a punto, insieme alla Fondazione della categoria, un vademecum completo di check list per farsi trovare preparati all’appuntamento.
Non si tratta, però, solo di adempimenti. Il documento, infatti, prospetta al professionista anche la possibilità di lavorare nel settore della privacy. Lo fa nella parte relativa alla nuova figura del Dpo (data protection officer o responsabile della protezione dei dati), ricordando che la tutela della riservatezza rientra tra le materie della formazione professionale e che già da anni «una moltitudine di iscritti all’Albo» svolge attività di consulenza nel campo della privacy. Tanto basta per consentire a quei professionisti di cimentarsi anche nel ruolo di Dpo, perché al momento non sono previste particolari certificazioni. Fondamentale è, invece, che gli aspiranti Dpo tengano «in apposita considerazione i requisiti di indipendenza» prescritti dal regolamento per tale profilo. Per questo «dovranno essere valutate attentamente eventuali situazioni potenzialmente idonee a generare un conflitto di interesse».
Il Dpo non è solo opportunità professionale, ma anche adempimento: la sua nomina non è obbligatoria per i liberi professionisti che operano in forma individuale, tuttavia il Garante - ricorda il vademecum - ne raccomanda la designazione. Indicazione che si unisce alle altre che il documento fornisce per consentire al titolare dello studio di organizzare l’attività in linea con le nuove regole europee. Tutto deve ruotare intorno al principio di accountability, ovvero la predisposizione di modelli organizzativi che consentano l’applicazione del regolamento e, al contempo, riducano al minimo il rischio delle salate sanzioni. Un traguardo che si può raggiungere attraverso una check list che permette un’auto-valutazione del proprio studio. Con l’avvertenza, però, che la sua mera compilazione «non va intesa come strumento sufficiente per ottenere la conformità dell’organizzazione dello studio alle disposizioni del Gdpr» (l’acronimo inglese che indica il regolamento europeo). In attesa, infatti, di un sistema di certificazione della privacy (che il regolamento prevede anche attraverso l’adozione di sigilli e marchi: una sorta di “bollino di qualità”) il titolare dello studio dovrà dimostrare di aver valutato tutti gli aspetti della propria attività e progettato la tutela dei dati di conseguenza.
La check list è di ausilio in questo compito. Si parte con la ricognizione dei dati personali trattati (quelli dei clienti, dei fornitori e dei dipendenti, tirocinanti compresi) e della loro tipologia; si prosegue con le finalità di quei trattamenti e delle basi che li legittimano (per esempio, all’interno di un contratto o dietro un consenso esplicito); si accerta se risultano assicurati i diritti degli interessati (ovvero, dei “proprietari” dei dati, che possono chiedere, per esempio, la rettifica o la portabilità delle informazioni); si verifica se sono state predisposte in modo corretto le autorizzazioni da parte del titolare nei confronti degli incaricati del trattamento (dipendenti, collaboratori e tirocinanti dello studio); si predispongono le misure di protezione (per esempio: antivirus, armadi chiusi a chiave, dispositivi anti-intrusione); si disegna un piano in caso di violazione dei dati (data breach), così da poter valutare con rapidità se il danno deve essere comunicato al Garante (lo si deve fare entro 72 ore).
Il vademecum ricorda, infine, i criteri per la messa a punto dell’informativa da fornire al momento della raccolta dei dati e della richiesta del consenso, nonché dei tempi di conservazione delle informazioni. Ammonendo, da ultimo, che il sistema della privacy va costantemente aggiornato e adeguato all’assetto dello studio.
Fonte: il sole 24 ore autore Antonello Cherchi

Commenti