Il recente decreto attuativo n. 101 del 10 agosto 2018, contenente le disposizioni per l’adeguamento della normativa nazionale al Regolamento (UE) 2016/679 (GDPR), coinvolge senza dubbio tutti i professionisti, operanti sia in forma individuale che all’interno di studi professionali, che si trovano quotidianamente a raccogliere e trattare una mole considerevole di dati personali, per finalità connesse al servizio richiesto dai clienti. Si pensi al commercialista che fornisce consulenza in materia fiscale o contabile, all’avvocato che deve curare la difesa del cliente, redigere pareri o contratti e ancora al consulente che gestisce le questioni in materia di diritto del lavoro.
Quali saranno gli effetti che il Regolamento dispiegherà sull’attività dei professionisti? Quali i passi che dovranno essere effettuati per l’attuazione di un corretto processo di compliance?
Gli effetti del GDPR sui professionisti
Come detto, in prima battuta, i professionisti saranno chiamati ad adeguare i propri studi professionali; sotto altro profilo, non deve essere tuttavia sottovalutata la potenzialità del Regolamento che può rappresentare un’importante occasione per offrire consulenza ai propri clienti, a loro volta chiamati all’adeguamento.
Il professionista dovrà, anzitutto, valutare l’impatto della nuova disciplina sulla propria organizzazione e provvedere al coordinamento di quest’ultima con la normativa previgente.
Prima di procedere all’attuazione degli adempimenti imposti dal GDPR, si renderà necessaria una valutazione preliminare sulla categoria di dati trattati in seno all’organizzazione professionale e, in particolare, se vengono trattati dati sensibili, per poi individuare quali siano i soggetti preposti al trattamento dei dati medesimi, del loro ruolo e della loro responsabilità. Successivamente dovranno essere individuate le finalità per le quali i dati sono raccolti e, quindi, verificare se il trattamento si fondi sui principi di correttezza, trasparenza e liceità; infine dovranno essere individuati gli ambiti di diffusione e comunicazione dei dati.
Il professionista dovrà inoltre verificare che i dati che raccoglie siano esclusivamente quelli necessari, pertinenti ed adeguati alle finalità per le quali sono trattati, di conservarli solo per il tempo necessario al conseguimento delle finalità e di prevederne adeguata protezione (art. 5 GDPR).
Dopo questo primo screening si dovranno gestire i singoli adempimenti, senza trascurare l’aspetto, parimenti importante, della sicurezza informatica.
L’adeguamento dovrà essere sempre condotto alla luce dei principi cardine del Regolamento, in particolare quelli della privacy by design e della privacy by default (art. 25) che impongono di garantire la protezione dei dati fin dalla progettazione e per impostazione predefinita ed il principio di accountability (art. 24) che prescrive al titolare del trattamento di mettere in atto misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare, che il trattamento è effettuato in maniera conforme al GDPR.
Quali sono gli adempimenti da mettere in atto
Il Regolamento quale documento programmatico non enuncia, tuttavia, in maniera puntuale quali siano gli adempimenti da porre in atto, fornendo solo una direzione nella quale muoversi.
Il professionista, quale titolare del trattamento e dunque soggetto che ne determina le finalità e i mezzi (art.4) ha quindi maggiore discrezionalità nel decidere come conformarsi alla normativa, ma ha l’onere di dimostrare le ragioni a supporto di tali decisioni e le motivazioni per cui ritiene che le medesime siano conformi con il Regolamento.
In prima approssimazione ed in maniera sommaria, il professionista dovrà rivedere le informative rilasciate ai propri clienti, dipendenti e fornitori onde renderle conformi ai contenuti dell’art. 13. In particolare dovrà essere specificato il nuovo nucleo di diritti riconosciuti agli interessati che, con il Regolamento, si vedono aumentare il proprio potere di opposizione verso quei trattamenti ritenuti non più opportuni o legittimi.
Dal punto di vista soggettivo sarà di fondamentale importanza individuare i soggetti coinvolti nel trattamento dei dati personali, con precisa distinzione dei ruoli e, soprattutto, delle conseguenti responsabilità.
Titolarità e contitolarità del trattamento
In linea generale, il professionista rivestirà il ruolo di titolare del trattamento, ovvero quel soggetto, persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità ed i mezzi del trattamento dei dati personali. Nel caso di più professionisti operanti all’interno della stessa struttura occorrerà verificare l’applicazione dell’art. 26 sulla contitolarità del trattamento, vale a dire indagare se i professionisti operino determinando congiuntamente le finalità e i mezzi del trattamento e, in caso affermativo, predisporre un accordo interno nel quale sono individuate le rispettive responsabilità e gli obblighi circa il trattamento dei dati personali. Diversamente, nel caso in cui ciascun professionista riceva un incarico per specifiche attività o prestazioni, egli sarà autonomo titolare del trattamento, elaborando personalmente le modalità del medesimo.
Sarà poi necessario procedere alle nomine, mediante lettera di incarico, degli autorizzati al trattamento (art. 29), quei soggetti che all’interno della struttura gestiscono i dati per conto del titolare – che definisce le modalità e le finalità del trattamento – e che devono ricevere adeguate istruzioni operative sulla gestione e sulla protezione dei i dati.
Atti di nomina dovranno essere predisposti anche per tutti quei soggetti ai quali vengono trasferiti i dati (si pensi al fornitore del servizio di hosting nel quale è alloggiato il sito web dello studio professionale) c.d. responsabili del trattamento (art. 28), che effettuano il trattamento per conto del titolare e che devono presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, di modo che il trattamento stesso sia conforme ai principi del GDPR e garantisca la tutela dei diritti degli interessati.
Gestione degli archivi cartacei e Registro delle attività
Neppure deve essere trascurato l’aspetto della gestione degli archivi cartacei: la semplice raccolta di fascicoli relativi alla causa di un cliente o alla sua posizione retributiva, svolto senza l’ausilio di strumenti automatizzati, è un trattamento di dati personali ai sensi dell’art. 4.2 del GDPR.
I risultati ottenuti al termine dell’assessment sopra descritto dovranno essere trasposti nel registro delle attività di trattamento (art. 30), strumento operativo di pianificazione e controllo dell’organizzazione, che consente di censire i trattamenti in essere riducendo il rischio di quelli illeciti. Seppur non gravi un obbligo di adozione del registro in capo ai professionisti, il Garante ne raccomanda l’adozione, quale elemento fondamentale di un sistema di corretta gestione dei dati personali.
Le misure di sicurezza
Non da ultimo, come già anticipato, è opportuno ribadire come le prescrizioni giuridico-normative si intreccino a quelle tecnologiche e di sicurezza informatica, al fine di un corretto processo di adeguamento.
L’art. 32 prescrive al titolare del trattamento l’adozione di misure tecniche ed organizzative adeguate per garantire un livello di sicurezza corrispondente al rischio, assicurare la disponibilità, l’integrità e la riservatezza dei dati e prevenirne gli accessi abusivi, la divulgazione non autorizzata, la dispersione, l’alterazione o la modifica. L’efficacia di tali misure dovrà essere regolarmente verificata dal titolare del trattamento.
A titolo meramente esemplificativo si consiglia, ove possibile, di adottare le misure della pseudonimizzazione e della cifratura dei dati personali, di aggiornare periodicamente i sistemi operativi, le applicazioni e i programmi, di installare meccanismi antielusione come i firewall, effettuare il backup continuo dei dati ed utilizzare chiavette USB protette da password o che consentano di criptare i dati ivi contenuti. Di non minor importanza è l’utilizzo e l’aggiornamento periodico di password per l’accesso ai sistemi informatici in cui vengono archiviati i dati, redigendo un vademecum da divulgare all’interno dello studio professionale su come le password debbano essere custodite ed amministrate.
Il professionista dovrà anche pensare a procedure preventive in caso di scoperta di violazioni dei dati personali (data breach), dal momento che ogni titolare del trattamento deve darne comunicazione all’Autorità tempestivamente e, in ogni caso, entro 72 ore dalla scoperta.
Certamente tali adempimenti potranno essere più o meno onerosi a seconda della complessità organizzativa dello studio professionale e dell’attività in esso svolta, della categoria e della quantità di dati che vengono trattati: tanto più complessa sarà la struttura, tanto più complessi saranno gli adempimenti richiesti.
La nomina di un DPO
Si pensi, ad esempio, alla valutazione sulla la nomina di un Data Protection Officer (DPO o Responsabile per la protezione dei dati). La nomina è da escludere – come più volte ribadito dagli Ordini di categoria – per i professionisti singoli o operanti in piccole strutture mentre può essere valutata in caso di studi dotati di un numero elevato di professionisti, divisi per settori di attività e, soprattutto, se l’attività prevede relazioni internazionali.
E ancora allo studio che si avvale di un provider con server localizzato in uno Stato extra-UE, sul quale vengono archiviati i dati personali dei clienti: in tal caso sarà necessario ragionare sul trasferimento dei dati all’estero e prevedere delle apposite clausole contrattuali che lo facoltizzino.
Gli Ordini rappresentativi delle varie categorie professionali si sono già più volte pronunciati sui risvolti che il GDPR esplicherà sui loro iscritti, fornendo linee guida su come condurre l’adeguamento (sul punto Documento del Consiglio Nazionale dei Dottori Commercialisti ed Esperti Contabili e della Fondazione Nazionale dei Commercialisti sull’applicazione del GDPR del 27 aprile 2918, Linee guida per gli avvocati sulla privacy del Consiglio Nazionale Forense del 22 aprile 2018 e Guida all’utilizzo delle nuove regole in materia di privacy del Consiglio Nazionale dell’Ordine dei consulenti del lavoro del 2 maggio 2018).
Si tratta, in ogni caso, di consigli operativi e di check list di autovalutazione del proprio studio che non devono essere considerate sufficienti per ottenere la conformità della propria organizzazione alle disposizioni del GDPR.
Anche per gli studi professionali, come si è visto, vige il principio di accountability e, pertanto, a prescindere dall’adozione di quanto suggerito dalle check list, ciascun professionista dovrà dimostrare di avere valutato con discernimento la propria posizione in termini di adozione di adeguati modelli organizzativi ed adeguate misure di sicurezza, tramite procedure trasparenti nei confronti degli interessati.
