Consulenza in materia di privacy anche per gli iscritti all’Albo
di Lucia Recchioni - Comitato Scientifico Master Breve 365Il CNDCEC e la Fondazione Nazionale dei Commercialisti hanno pubblicato, lo scorso 27 aprile, un documento finalizzato a fornire alcune precisazioni in materia di protezione dei dati personali alla luce del nuovo Regolamento UE 2016/679, allegato al quale è riportata una check list di base per gli studi professionali.
Il documento, tra l’altro, si concentra anche sulle nuove opportunità professionali che la disciplina privacy potrebbe offrire agli iscritti all’Albo dei Dottori Commercialisti e degli Esperti Contabili.
D’altra parte la privacy rientra già tra le materie oggetto della formazione continua dei Dottori Commercialisti ed Esperti Contabili, e sono molti i professionisti che da anni prestano la loro consulenza in questo ambito.
Pertanto, in considerazione del fatto che, ad oggi, non sono previsti specifici requisiti professionali o obblighi formativi può ritenersi che i professionisti possano non solo fornire la loro consulenza in materia di privacy, come già avviene, ma anche assumere l’incarico di Data Protection Officer (DPO) ai sensi dell’articolo 37 Regolamento UE 2016/679.
Più precisamente, quest’ultima disposizione di legge prevede che “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39. Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi”.
Sul punto, ovviamente, sarà necessario attendere l’emanazione dei previsti decreti delegati nonché l’elaborazione degli ulteriori chiarimenti da parte del Garante, ma, ad oggi, come chiarito nel richiamato documento del CNDCEC “si ritiene che l’iscritto all’Albo possa proseguire la propria attività di consulenza in materia di privacy e, in forza delle specifiche competenze maturate, ricoprire, in questa fase di iniziale applicazione del GDPR, l’incarico di DPO per società ed enti.”
Sicuramente, però, non può dimenticarsi che, ai sensi dell’articolo 38 Regolamento UE 2016/679, sebbene il DPO possa svolgere anche altri compiti e funzioni, è specifico compito del titolare del trattamento o del responsabile del trattamento verificare “che tali compiti e funzioni non diano adito a un conflitto di interessi”.
Tutto ciò premesso, il documento si concentra quindi su alcuni particolari chiarimenti in materia di privacy riguardanti l’organizzazione pratica dello studio professionale, che di seguito brevemente si riassumono:
- non è necessario eliminare il nome dei clienti dalla copertina dei fascicoli cartacei ed utilizzare esclusivamente numeri identificativi (Garante privacy, parere 03.06.2004);
- nel rispetto del principio di limitazione della conservazione dei dati (articolo 5 Regolamento UE 2016/679) il professionista dovrebbe conservare i documenti per un tempo non eccedente quello strettamente necessario per raggiungere le finalità per cui i dati sono trattati. Si ritiene che il miglior modo per individuare il periodo di conservazione consista nel far riferimento alla disciplina di settore applicabile (disciplina civilistica in materia di scritture contabili, disciplina fiscale e disciplina antiriciclaggio), indicando quindi un periodo di dieci anni. Il periodo di conservazione, così individuato, deve essere inserito nel contratto con il cliente, eventualmente prevedendo uno specifico compenso per il professionista; alternativamente, può essere prevista la restituzione dei documenti a determinate scadenze;
- la nomina del DPO non è obbligatoria per i liberi professionisti operanti in forma individuale, sebbene tale nomina sia comunque raccomandata. Il CNDCEC, nel suo documento, suggerisce di “indicare per ciascuno studio professionale almeno un “Referente GDPR” al quale fare riferimento”;
- si consiglia l’adozione del registro dei trattamenti da parte degli studi professionali, sebbene non obbligatoria;
- sempre ai fini della corretta predisposizione della documentazione, il CNDCEC richiama infine l’attenzione dei professionisti:
- sull’opportunità di adeguare l’informativa ai clienti (che potrebbe essere incompleta alla luce delle novità introdotte),
- sulla necessità di chiedere il consenso dell’interessato al trattamento di particolari categorie di dati come quelli desumibili dalla documentazione delle spese mediche prodotta ai fini della detrazione d’imposta e della deduzione dal reddito,
- sulla necessità di fornire l’autorizzazione scritta ai collaboratori di studio e tirocinanti ad effettuare il trattamento dei dati personali degli interessi.
Per approfondire questioni attinenti all’articolo vi raccomandiamo il seguente corso: