Per il professionista che opera in ambito fiscale e contabile, assicurare la conformità del proprio operato al GDPR non è così semplice, soprattutto se, oltre alla consulenza fiscale e contabile, viene fornita al cliente anche la consulenza del lavoro (con aggravio della quantità e delicatezza dei dati trattati). Le novità introdotte dal GDPR sono tante, così come gli adempimenti da porre in essere per adeguare la propria attività agli obblighi in materia privacy (anche per il commercialista). Per fortuna interviene spesso il Garante a fugare i dubbi e fornire l’interpretazione corretta della normativa europea in materia di protezione dei dati. Le ultime FAQ sul Registro delle Attività dei Trattamenti, infatti, aiutano il professionista nel suo percorso di “Accountability”.
Indice degli argomenti
Gli adempimenti del commercialista
- garantire la trasparenza verso i clienti e i propri dipendenti relativamente alle attività di trattamento espletate (mediante informative adeguate nel caso in cui i clienti siano persone fisiche);
- verificare e integrare gli accordi con i fornitori (o altre terze parti) che trattano dati personali per conto dello Studio, al fine di garantire che siano inserite clausole di protezione dei dati reali e non meramente formali;
- adottare adeguate misure di sicurezza tecniche ed organizzative;
- gestire gli incidenti sulla sicurezza (data breach) e adottare una specifica procedura che sia documentabile;
- verificare se i dati personali trattati sono trasferiti al di fuori dell’Europa (ad esempio nel caso in cui si utilizzano soluzioni in cloud o strumenti che delocalizzano il dato in territorio extra europeo) e, in caso positivo, avere cura che ciò avvenga nel rispetto nei requisiti di legittimità previsti dal GDPR;
- garantire l’esercizio dei diritti degli interessati (clienti) e adottare una politica o procedura documentata per la gestione delle relative richieste;
- garantire i diritti elencati all’articolo 5 del GDPR, tra cui quello che introduce l’obbligo di definizione di un periodo minimo di conservazione decorso il quale i dati dovranno essere cancellati o resi anonimi;
- tenere un aggiornato Registro delle attività di trattamento.
Se si tratta di un singolo professionista, non è necessario nominare un Data Protection Officer (DPO) o Responsabile della protezione dei dati personali.
L’Informativa sul trattamento dei dati
In tema di informativa ex art. 13 del GDPR, oggetto di perplessità sollevate in quest’ultimo periodo dai professionisti è stata l’individuazione della corretta base giuridica da indicare ai propri clienti. Se è vero, infatti, che nei confronti delle persone giuridiche tale adempimento è superfluo, per quanto concerne i clienti “persone fisiche” (quali ad esempio i professionisti), l’informativa e l’indicazione della relativa base giuridica è un adempimento obbligatorio.
Oltre che porre attenzione alla base giuridica da indicare, sarebbe opportuno calibrare il contenuto dell’informativa e focalizzare gli adempimenti da porre in essere a seconda del tipo di dati del cliente trattati e perfino della tipologia dell’attività da quest’ultimo svolta.
Scendendo nel dettaglio con riferimento al primo profilo (tipologia di dati del cliente trattati), se il professionista ad esempio si limita a trattare semplici dati personali identificativi (quali anagrafiche e dati di contatto, spese sostenute, dati patrimoniali o reddituali) non vi è dubbio che la relativa base giuridica sia l’esecuzione di obblighi contrattuali o pre-contrattuali e/o l’adempimento a obblighi di legge; ma, se ai fini, ad esempio, della compilazione del 730, il commercialista dovesse entrare in possesso di categorie particolari di dati di cui all’art. 9 del GDPR (es. stato di salute per le spese mediche sostenute o le convinzioni religiose) potrebbe essere necessario il consenso del cliente.
Il secondo profilo da esaminare (tipologia dell’attività svolta dal cliente), richiede un livello di analisi più accurato che non può prescindere da un’attenta verifica del ruolo privacy ricoperto dal commercialista. Ricorrerà tale fattispecie nell’ipotesi in cui oggetto di trattamento siano le categorie particolari di dati di soggetti terzi diversi dal cliente, come nel caso dell’odontoiatra che consegna al commercialista le fatture dei propri pazienti in cui vi è il dettaglio dell’attività sanitaria prestata o nel caso in cui il cliente del commercialista produca una fattura relativa ad una specifica cura effettuata dal figlio minore dal quale si possa evincere il suo stato di salute. In questi casi il problema dovrà essere affrontato in base alla funzione svolta dal commercialista con riferimento al trattamento dei dati privacy e risolto sulla base di una attenta regolamentazione contrattuale con il proprio cliente.
Il ruolo del commercialista nell’organigramma Privacy
Ai fini dell’individuazione del proprio ruolo relativamente al trattamento dei dati, il commercialista può trovarsi ad essere, in alternativa o anche simultaneamente, “titolare” o “responsabile del trattamento”.
Ciò dipende anzitutto dalla concreta distribuzione dei ruoli e delle responsabilità all’interno della propria organizzazione, ma anche dalle categorie di soggetti dei quali il professionista tratta dati personali.
Prima di addentrarsi nella tematica, è opportuno ricordare alcune imprescindibili definizioni che il GDPR ci offre per orientarci in materia.
Ai sensi dell’art. 4, co.7 del GDPR, il Titolare del trattamento è “la persona fisica o giuridica […]che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento”.
Nel caso in cui da solo il professionista possa determinare finalità e mezzi del trattamento, egli sarà titolare.
Il Responsabile, invece, ai sensi dell’art. 4 punto 8 è “la persona fisica o giuridica […] che tratta dati personali per conto del titolare del trattamento”.
Si tratta cioè di un soggetto esterno al titolare, al quale questo affida determinati compiti in ordine al trattamento di dati personali individuati, e ne impartisce le relative istruzioni.
Cercando di entrare nello specifico della realtà quotidiana del professionista, è probabile che il commercialista vestirà i panni del titolare del trattamento allorquando abbia alle proprie dipendenze del personale. Relativamente ai dati dei suoi dipendenti, infatti, a ben guardare dovrebbe essere l’unico soggetto che prende delle decisioni in ordine a finalità e mezzi del trattamento.
Con riferimento ai dati dei clienti, invece, la situazione appare più complessa e sono ipotizzabili più scenari.
Nel caso, infatti, in cui i clienti siano persone giuridiche o professionisti in genere:
- nell’ambito del trattamento dei dati che riguardano il legale rappresentante dell’azienda o il libero professionista, il commercialista si potrebbe atteggiare a titolare del trattamento. Ciò in quanto in tali contesti lo stesso agisce nell’interesse del cliente, ma non riceve da questi istruzioni sui mezzi del trattamento (ad esempio su quali software utilizzare) o sulle misure di sicurezza da mettere in atto; tali aspetti, in realtà, riguardano problematiche di cui, generalmente, il cliente non ha contezza. Diventa quindi di fondamentale importanza procedere a una verifica su chi sia concretamente il soggetto che decide in ordine alle finalità, mezzi e misure di sicurezza del trattamento.
- nell’ambito del trattamento dei dati di persone fisiche di titolarità del suo cliente (ad esempio pazienti di un laboratorio di analisi o di un professionista della sanità) vi è invece chi propende, per legittimare il trasferimento di dati da un soggetto a un altro, a inquadrare il commercialista come un responsabile del trattamento (ai sensi dell’art. 28 del GDPR). Tale configurazione, negli studi medici, ad esempio, porterebbe il titolare a non ricorrere alla raccolta del consenso alla cessione a terzi dei dati personali dei propri pazienti.
In conclusione, ai fini della corretta individuazione del ruolo che il professionista assume nella gestione dei dati personali, come più volte sottolineato dal Garante, è necessaria un’analisi del singolo caso concreto.
Per risolvere questa diatriba, può essere utile il ricorso a un vecchio parere (1/2010) del WP 29 sui concetti di “responsabile del trattamento” e “incaricato del trattamento” (leggasi “titolare” e “responsabile” nella nomenclatura della vecchia direttiva). Gli stessi Garanti europei avevano specificato che, sebbene vi fosse stata in passato una tendenza a far coincidere in generale l’esternalizzazione con la funzione del responsabile del trattamento, oggi le situazioni e le valutazioni sono spesso molto più complesse.
Portando come esempio proprio la figura del “contabile”, il WP 29 si era espresso sottolineando che la qualifica del contabile può variare a seconda del contesto: quando fornisce servizi ai cittadini e ai piccoli imprenditori sulla base di istruzioni molto generali (“mi prepari la dichiarazione dei redditi”), il contabile – come gli avvocati, che agiscono in condizioni analoghe e per ragioni comparabili – sarà un titolare del trattamento. Tuttavia, se lavora per una società, ed è vincolato alle dettagliate istruzioni del contabile interno, per effettuare, ad esempio un audit dettagliato, sarà, se non un dipendente, un responsabile del trattamento, dato che le istruzioni saranno molto chiare e il suo potere discrezionale di conseguenza limitato.
La tenuta del Registro delle attività di trattamento
L’art. 30 del GDPR include la tenuta del Registro delle Attività di Trattamento tra gli adempimenti imprescindibili del titolare e del responsabile del trattamento.
Il Registro costituisce uno dei principali elementi di accountability, poiché è in grado di fornire un’istantanea sempre aggiornata dei trattamenti in essere all’interno dell’organizzazione del titolare o del responsabile, e su di esso si basa l’analisi del rischio derivante dai trattamenti stessi.
Il Registro può avere forma scritta o anche elettronica e deve essere esibito su richiesta al Garante.
Ai sensi dell’art. 30, co.5 del GDPR, non sono obbligate alla tenuta del Registro le “imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’art. 9, par. 1 (si tratta degli ex “dati sensibili”, nonché i dati biometrici e genetici)”.
La disposizione normativa ha fatto insorgere numerosi dubbi tra i professionisti, tanto che da più parti si è ritenuto che il Registro non fosse obbligatorio per tutti i commercialisti, ma solo per gli studi più strutturati e con un’organizzazione complessa.
A chiarire la corretta interpretazione di questa norma è intervenuto il Garante italiano per la protezione dei dati, il quale, l’8 ottobre scorso, ha pubblicato sul proprio sito web le FAQ sul Registro delle attività di trattamento.
Alla luce di quanto precisato dall’Autorità, dunque, in ambito privato, i soggetti obbligati sono così individuabili:
- imprese o organizzazioni con almeno 250 dipendenti;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 Gdpr, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 Gdpr.
Il Garante ha ulteriormente chiarito che “sono tenuti all’obbligo di redazione del registro i liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale)”.
In conclusione, il commercialista è tenuto in ogni caso alla redazione e all’aggiornamento periodico del Registro.
Con riferimento a quest’ultimo aspetto, è importante notare che il Registro deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:“- scheda creata in data XY”; “- ultimo aggiornamento avvenuto in data XY”.
Il Registro del Titolare del trattamento
Il contenuto del Registro, ai sensi dell’art. 30 del GDPR, varia a seconda che il commercialista sia qualificabile come “titolare” o “responsabile” del trattamento. Nel primo caso, il registro è più “corposo”, ovvero deve riportare una serie di informazioni indispensabili affinché sia a norma.
Nel secondo caso, il registro ha una forma più “semplificata” nel senso che le sezioni da popolare sono meno numerose.
Il Registro del Titolare deve contenere obbligatoriamente:
- il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
- le finalità del trattamento;
- una descrizione delle categorie di interessati (es. clienti, fornitori, dipendenti) e delle categorie di dati personali (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi), compresi i destinatari di paesi terzi od organizzazioni internazionali;
- ove applicabile, i trasferimenti di dati personali verso un Paese Terzo o un’Organizzazione internazionale, unitamente all’indicazione relativa al/ai Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, etc.);
- i termini ultimi previsti per la cancellazione delle diverse categorie di dati (es: 10 anni per i dati contabili. Ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri – es. norme di legge, prassi settoriali- indicativi degli stessi;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative (da intendersi in senso dinamico, dopo aver svolto un’analisi di adeguatezza delle misure adottate o adottande in base al contesto specifico nel quale si opera).
Quello appena descritto rappresenta il contenuto minimo, ma il titolare può decidere di ampliare le informazioni contenute nel registro (indicando, ad esempio, le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento, gli strumenti informatici e gli applicativi utilizzati ecc.) ai fini del raggiungimento della “accountability” e per condurre in maniera più efficace l’analisi dei rischi su ciascun trattamento effettuato.
Il Registro del Responsabile del trattamento
Qualora il commercialista, dopo aver concretamente valutato il proprio ruolo e la propria autonomia decisionale in merito al trattamento dei dati, rivesta il ruolo di Responsabile esterno del trattamento, il Registro che dovrà redigere, conservare e aggiornare dovrà necessariamente contenere le seguenti informazioni:
- il nome e i dati di contatto del responsabile/i del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
- le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento (ai fini dell’indicazione di tali contenuti può essere utile partire proprio dai contratti o altri atti giuridici di designazione che abbia già eventualmente sottoscritto);
- ove applicabile, i trasferimenti di dati personali verso un Paese Terzo o un’Organizzazione internazionale, compresa l’identificazione del Paese Terzo o dell’Organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
Conclusioni
Il commercialista non è mai esonerato dall’obbligo della tenuta del registro delle attività di trattamento, né tantomeno dagli altri adempimenti introdotti dal Regolamento UE 2016/679. A seconda del ruolo che assume, potrà fare riferimento al modello previsto per il titolare del trattamento ovvero del responsabile esterno, tenendo presente però la possibilità di arricchire questo documento.
Per facilitare il compito al professionista, il Garante ha pubblicato sul proprio portale web due fac-simile di Registri, del titolare e del responsabile, sia in formato word che excel, entrambi editabili.