Skip links

Dal CNDCEC le indicazioni operative sul GDPR

Il CNDCEC e la FNC, con il documento “Il regolamento Ue/2016/679 General Data Protection Regulation (GDPR): nuove regole comunitarie e precisazioni in materia di protezione dei dati personali”, pubblicato ieri, hanno analizzato le principali novità della nuova normativa europea. Al documento, a cura del “Gruppo di Lavoro PRIVACY”, è allegata una check list di base da utilizzare per la valutazione del livello di adeguamento degli studi professionali.

Precisa innanzitutto il documento che il Regolamento Ue 679/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, troverà applicazione diretta a decorrere dal 25 maggio 2018 in tutti gli Stati membri, determinando l’abrogazione della direttiva 95/46/CE. La sua entrata a regime ne comporterà l’applicazione diretta in maniera “prevalente” rispetto al diritto interno, eventualmente ancora vigente, incompatibile con le disposizioni in esso previste.
Con riguardo al nostro ordinamento, ad oggi, non sono stati ancora emanati i decreti legislativi che l’art. 13 della L. 163/2017 (Legge di delegazione europea 2016-2017) ha delegato ad adottare al fine dell’adeguamento del quadro normativo nazionale. L’art. 1 commi 1020-1025 della L. 205/2017 ha previsto, fra l’altro, in capo al Garante per la protezione dei dati personali alcuni poteri di carattere regolamentare, di vigilanza e inibitori.

Venendo al contenuto del Regolamento, rispetto al Codice della privacy (di cui al DLgs. 196/2003), vengono ribaditi alcuni dei principi in tema di trattamento dei dati personali (fra i quali, liceità e finalità nel trattamento), con l’aggiunta del nuovo principio di responsabilizzazione (“accountability”). Tale principio prevede in capo al titolare del trattamento l’obbligo di mettere in atto – nonché riesaminare ed aggiornare – tutte le misure tecniche e organizzative adeguate volte a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato in maniera conforme al Regolamento (artt. 5 e 24, par. 1).

In forza di tale principio, è importante – così come sottolineato nel documento – adottare adeguati assetti e modelli organizzativi. Uno strumento utile a tali fini per lo studio professionale è la check list fornita in allegato al documento per la valutazione del livello di adeguamento al GDPR, ma con la precisazione che, alla luce del principio di responsabilizzazione, ciascun titolare dovrà comunque dimostrare, a prescindere dall’adozione delle misure indicate dalla stessa, di aver provveduto ad una attenta valutazione della propria posizione.
La compilazione della stessa si articola nella mappatura delle categorie di dati raccolti, trattati e conservati, nella compilazione in autovalutazione, con possibilità di commenti, ad ogni check di azioni e, infine, nell’individuazione delle misure relative al trattamento non ancora attuate.

Passando ai profili più operativi, il documento fornisce alcuni esempi e casi rilevanti nell’organizzazione dello studio. Si segnala, in particolare, che, con riguardo ai fascicoli di studio non occorre utilizzare numeri identificativi per i proprio clienti (al posto del nome), quanto piuttosto adottare opportune modalità per l’accesso ai soggetti autorizzati al trattamento nei casi e per le finalità previsti.

Per la determinazione del periodo di conservazione dei dati, che deve essere limitato ad “un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. e) del Regolamento), occorre riferirsi alle norme di settore dell’ordinamento che impongono obblighi di conservazione in capo ai professionisti. Il documento richiama il criterio civilistico che individua in 10 anni il periodo di conservazione dei documenti rilevanti ai fini contabili, tributari e antiriciclaggio.

Circa il Responsabile della protezione dei dati personali (RPD), il documento riprende quanto già chiarito dal Garante, nelle FAQ del 26 marzo 2018: la sua nomina per i trattamenti effettuati dai “liberi professionisti operanti in forma individuale” non è obbligatoria, ma la sua designazione, alla luce del principio di “accountability”, potrebbe essere opportuna. Viene “suggerito” nel documento almeno l’indicazione di un Referente GDPR, al fine, fra l’altro, di consentire un migliore e agevole esercizio dei diritti degli interessati.
Si raccomanda, poi, l’adozione del registro dei trattamenti, anche se non obbligatorio per gli studi professionali.

In tema, infine, di formazione e consulenza in materia di privacy, il documento precisa che, non essendo attualmente previsti specifici requisiti professionali e/o obblighi formativi, neanche per assumere l’incarico di RPD, ad oggi l’iscritto all’Albo può proseguire la propria attività di consulenza e ricoprire l’incarico di RPD.
Come evidenziato nella premessa del documento – a firma del Vice Presidente del CNDCEC, Davide Di Russo – se, da un lato il GDPR determina per i professionisti un vero e proprio “cambiamento culturale nell’approccio al modello di gestione della Privacy”, dall’altro, i nuovi adempimenti possono anche costituire un’occasione per ampliare le attività di consulenza offerte ai commercialisti.

approfondisci

from Eutekne.info
via IFTTT