I professionisti dell’ambito fiscale e contabile, devono prestare attenzione per assicurare la conformità del proprio operato al GDPR soprattutto se, oltre alla consulenza fiscale e contabile, viene fornita al cliente anche la consulenza del lavoro (con aggravio della quantità e delicatezza dei dati trattati). Le novità introdotte dal GDPR sono tante, così come gli adempimenti da porre in essere per adeguare la propria attività agli obblighi in materia privacy.

Il Garante Privacy è intervenuto per fornire l’interpretazione corretta della normativa europea in materia di protezione dei dati.

Di seguito andiamo ad esplicare alcuni dei punti principali che riguardano gli adempimenti privacy per gli studi commercialisti.

• garantire la trasparenza verso i clienti e i propri dipendenti relativamente alle attività di trattamento espletate (mediante informative adeguate nel caso in cui i clienti siano persone fisiche);
• verificare e integrare gli accordi con i fornitori (o altre terze parti) che trattano dati personali per conto dello Studio, al fine di garantire che siano inserite clausole di protezione dei dati reali e non meramente formali;
• adottare adeguate misure di sicurezza tecniche ed organizzative;
• gestire gli incidenti sulla sicurezza (data breach) e adottare una specifica procedura che sia documentabile;
• verificare se i dati personali trattati sono trasferiti al di fuori dell’Europa (ad esempio nel caso in cui si utilizzano soluzioni in cloud o strumenti che delocalizzano il dato in territorio extra europeo) e, in caso positivo, avere cura che ciò avvenga nel rispetto nei requisiti di legittimità previsti dal GDPR;
• garantire l’esercizio dei diritti degli interessati (clienti) e adottare una politica o procedura documentata per la gestione delle relative richieste;
• garantire i diritti elencati all’articolo 5 del GDPR, tra cui quello che introduce l’obbligo di definizione di un periodo minimo di conservazione decorso il quale i dati dovranno essere cancellati o resi anonimi;
• tenere un aggiornato Registro delle attività di trattamento.

Se si tratta di un singolo professionista, non è necessario nominare un Data Protection Officer (DPO) o Responsabile della protezione dei dati personali.

L’Informativa sul trattamento dei dati

L’informativa e l’indicazione della relativa base giuridica è un adempimento obbligatorio per quanto concerne i clienti “persone fisiche”. Oltre che porre attenzione alla base giuridica da indicare, sarebbe opportuno calibrare il contenuto dell’informativa e focalizzare gli adempimenti da porre in essere a seconda del tipo di dati del cliente trattati e perfino della tipologia dell’attività da quest’ultimo svolta. Per quanto riguarda la tipologia di dati del cliente trattati se il professionista ad esempio si limita a trattare semplici dati personali identificativi (quali anagrafiche e dati di contatto, spese sostenute, dati patrimoniali o reddituali) non vi è dubbio che la relativa base giuridica sia l’esecuzione di obblighi contrattuali o pre-contrattuali e/o l’adempimento a obblighi di legge; ma, se ai fini, ad esempio, della compilazione del 730, il commercialista dovesse entrare in possesso di categorie particolari di dati di cui all’art. 9 del GDPR (es. stato di salute per le spese mediche sostenute o le convinzioni religiose) potrebbe essere necessario il consenso del cliente.

In relazione invece alla tipologia dell’attività svolta dal cliente, è necessaria l’analisi più accurata che non può prescindere da un’attenta verifica del ruolo privacy ricoperto dal commercialista.

Ricorrerà tale fattispecie nell’ipotesi in cui oggetto di trattamento siano le categorie particolari di dati di soggetti terzi diversi dal cliente, come nel caso dell’odontoiatra che consegna al commercialista le fatture dei propri pazienti in cui vi è il dettaglio dell’attività sanitaria prestata o nel caso in cui il cliente del commercialista produca una fattura relativa ad una specifica cura effettuata dal figlio minore dal quale si possa evincere il suo stato di salute. In questi casi il problema dovrà essere affrontato in base alla funzione svolta dal commercialista con riferimento al trattamento dei dati privacy e risolto sulla base di una attenta regolamentazione contrattuale con il proprio cliente.

Organigramma Privacy e commercialista

Ai fini dell’individuazione del proprio ruolo relativamente al trattamento dei dati, il commercialista può trovarsi ad essere, in alternativa o anche simultaneamente, “titolare” o “responsabile del trattamento”.

Ciò dipende anzitutto dalla concreta distribuzione dei ruoli e delle responsabilità all’interno della propria organizzazione, ma anche dalle categorie di soggetti dei quali il professionista tratta dati personali.

Ai sensi dell’art. 4, co.7 del GDPR, il Titolare del trattamento è “la persona fisica o giuridica […]che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento”.

Nel caso in cui da solo il professionista possa determinare finalità e mezzi del trattamento, egli sarà titolare.

Il Responsabile, invece, ai sensi dell’art. 4 punto 8 è “la persona fisica o giuridica […] che tratta dati personali per conto del titolare del trattamento”.

Si tratta cioè di un soggetto esterno al titolare, al quale questo affida determinati compiti in ordine al trattamento di dati personali individuati, e ne impartisce le relative istruzioni.

Il commercialista vestirà i panni del titolare del trattamento allorquando abbia alle proprie dipendenze del personale.

Relativamente ai dati dei suoi dipendenti, infatti, a ben guardare dovrebbe essere l’unico soggetto che prende delle decisioni in ordine a finalità e mezzi del trattamento.

Con riferimento ai dati dei clienti, invece, la situazione appare più complessa e sono ipotizzabili più scenari.

L’art. 30 del GDPR include la tenuta del Registro delle Attività di Trattamento tra gli adempimenti imprescindibili del titolare e del responsabile del trattamento.

Il Registro costituisce uno dei principali elementi di accountability, poiché è in grado di fornire un’istantanea sempre aggiornata dei trattamenti in essere all’interno dell’organizzazione del titolare o del responsabile, e su di esso si basa l’analisi del rischio derivante dai trattamenti stessi.

Alla luce di quanto precisato dall’Autorità nella FAQ sul Registro delle attività di trattamento, dunque, in ambito privato, i soggetti obbligati sono così individuabili:

• imprese o organizzazioni con almeno 250 dipendenti;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 Gdpr, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 Gdpr.

Il Garante ha ulteriormente chiarito che “sono tenuti all’obbligo di redazione del registro i liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale)”.

In conclusione, il commercialista è tenuto in ogni caso alla redazione e all’aggiornamento periodico del Registro.

Il contenuto del Registro, ai sensi dell’art. 30 del GDPR, varia a seconda che il commercialista sia qualificabile come “titolare” o “responsabile” del trattamento. Nel primo caso, il registro è più “corposo”, ovvero deve riportare una serie di informazioni indispensabili affinché sia a norma.

Nel secondo caso, il registro ha una forma più “semplificata” nel senso che le sezioni da popolare sono meno numerose.

Il commercialista non è mai esonerato dall’obbligo della tenuta del registro delle attività di trattamento, né tantomeno dagli altri adempimenti introdotti dal Regolamento UE 2016/679. A seconda del ruolo che assume, potrà fare riferimento al modello previsto per il titolare del trattamento ovvero del responsabile esterno, tenendo presente però la possibilità di arricchire questo documento.