Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016: gli adempimenti di base per i piccoli studi professionali al fine di adeguarsi alle novitร normative in materia.
In base a quanto viene previsto dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 il prossimo 25 di maggio tutti coloro che esercitano unโattivitร di natura libero-professionale saranno tenuti ad adeguarsi a nuove regole in materia di trattamento dei dati personali, anche se operano singolarmente o sono organizzati in piccoli studi.
1) Due casi pratici in cui si applica la normativa privacy negli studi professional
2) Regolamento e Codice Privacy concordi nelle modalitร di protezione dei dati
3) Lo studio deve dotarsi di corrette metodologie per proteggere i dati
4) Guida breve agli adempimenti privacy per il professionista
5) Un esempio di adeguata verifica della clientela
Dello stesso autore dell’articolo ti puo’ interessare l’ebookย Le norme in materia di tutela della privacyย 123 domande e risposte per capire in pratica come adempiere agli obblighi Privacy
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
L’ebook รจ disponibile anche in un Pacchetto con ilย Commento breve al Regolamento europeo per la privacy
Segui anche ilย Dossier gratuito dedicato alla Privacy
Due casi pratici in cui si applica la normativa privacy negli studi professional
La normativa in materia di tutela dei dati personali, inoltre, organizza un โterritorioโ operativo in cui non รจ la sola ad operare: e vedremo, anche se sommariamente, in che modo coopera con legislazioni caratterizzate da ambiti che solo apparentemente sono distinti. Vediamo quindi, attraverso lโanalisi di un paio di casi pratici quali sono gli adempimenti di base necessari al professionista per rendere le modalitร con cui si svolgono le sue attivitร coerenti non solo con quanto giร stabilito dal Legislatore nazionale in materia di tutela dei dati personali ma anche con quanto previsto dal citato Regolamento e con complessi di norme regolanti ambiti distinti ma connessi.
Poniamo ad esempio due casi che possono essere definiti come piuttosto comuni:ย nel primo quello del singolo professionista che si trova a dover raccogliere e trattare dati personali esclusivamente per finalitร connesse al servizio che gli รจ stato richiesto da parte del cliente. Quindi, ad esempio, il caso del commercialista che fornisce consulenza in materia contabile o fiscale ai propri clienti, dellโavvocato che deve curare difese (ma anche accuse) in giudizio o redigere contratti o pareri, del consulenteย che amministra pratiche in materia di diritto del lavoro per conto di unโimpresa cliente o dellโingegnere edile che si trova a curare progetti relativi ad iniziative edificatorie.
Il secondo caso che tratteremo sarร invece quello del professionista, che volendo utilizzare il sito web dello studioย (magari diย consulenza del lavoro o commerciale),ย a scopo informativo e di acquisizione di clientela, si pone il problema della necessitร di provvedere allโidentificazione del cliente. In questa fattispecie quali saranno gli obblighi che occorre rispettare nel caso in cui si volesse, ad esempio, fornire una consulenza sulla ricostruzione di un rapporto di lavoro o su di un contratto o in merito all’assunzione di un lavoratore?
Regolamento e Codice Privacy concordi nelle modalitร di protezione dei dati
Innanzitutto, una delle prime operazioni da compiere, sia nel primo che nel secondo caso, รจ quella di verificare che il trattamento sia fondato sui principi (in prospettiva) del Regolamento (UE) 2016/679, principi di liceitร , correttezza, trasparenza (comportamento, questo che, viene giร ampiamente previsto e prescritto dal Codice per la Tutela dei dati personali, codice che, รจ bene tenerlo presente, รจ tuttora vigente e tale resterร , almeno, sino al 25 di maggio).
Sarร , quindi, opportunoย verificare che i dati raccolti e trattati siano esclusivamente quelli strettamente necessari,ย pertinenti ed adeguati a svolgere la finalitร per cui sono stati richiesti, che siano state adottate le misure necessarie per aggiornarli o rettificarli tempestivamente al bisogno, che siano conservati esclusivamene per il tempo necessario ad espletare lโincarico conferito (salvo il tempo ulteriore necessario a rispettare le norme amministrative) e che siano adeguatamente protetti.
Intermezzo promozionale ... continua la lettura dopo il box:
Alla luce di questi principi, si ritiene che le informative, giร necessariamente utilizzate per adempiere al giร citato Codice per la tutela dei dati personali, debbano essere sostanzialmente modificate per renderle conformi allโarticolo 13 del Regolamento (UE) 2016/679, in quanto sia il Regolamento che il Codice condividono in questo caso le medesime finalitร seguendo il medesimo โmodus operandiโ.
Anche la precisazione secondo cui nellโinformativa dovrebbero essere specificati i diritti degli interessati e lโopportunitร di dotarsi di strumenti che assicurino al cliente, in maniera effettiva, il facile esercizio degli stessi erano previsioni che il Codice giร conteneva sia nella lettera che nello spirito.
Nel caso in cui piรน professionisti si trovino ad operare allโinterno del medesimo studio, sarร invece opportuno verificare se alla propria compagine organizzativa debba essere applicato quanto viene previsto dallโarticolo 26 del Regolamento (UE) 2016/679 e quindi verificare se i professionisti operano in qualitร di contitolari del trattamento, determinando di comune accordo modalitร e finalitร del trattamento dei dati (in tal caso si dovrร sottoscrivere un accordo interno in cui i professionisti disciplinano le proprie responsabilitร e obblighi in materia di dati personali) oppure se, diversamente, per essi operano gli articoli 28 e 29 del Regolamento e quindi se i collaboratori dello studio gestiscono dati personali per conto di un titolare che fissa finalitร e modalitร del trattamento.
In tal caso sarร necessario provvedere, mediante opportune lettere di incarico, che tali collaboratori vengano adeguatamente informati del loro compito e responsabilizzati.
Lo stesso si dovrร fare con il fornitore del servizio di hosting, nel quale รจ alloggiato lโeventuale sito web e su cui transitano le email e con lโeventuale consulente IT che si occupa di aggiornare o manutenere il software gestionale dello studio (che magari รจ stato concesso in licenza) e con tutti gli altri eventuali soggetti cui si trasferiscono dati di clienti o collaboratori fuori dallo studio (si pensi ad esempio a coloro che forniscono il servizio di fatturazione elettronica in outsourcing).
A questo proposito, per il momento, non si provvede ad un approfondito esame (come sarebbe necessario) della questione relativa alla definizione precisa di tali soggetti alla luce sia del Codice per la tutela dei dati personali (attualmente operante) sia del Regolamento (UE) 2016/679 e delle responsabilitร che, di conseguenza, ad essi competono.
Tale questione sarร argomento di un successivo contributo limitandoci, in questa sede, a chiarire che non si tratta semplicemente di una questione semantica ma che laย distinzione tra โresponsabile dei dati personaliโ ed โincaricato del trattamentoโ corrisponde ad una precisa distinzione di ruoli e responsabilitร ย del soggetto cui il ruolo viene conferito, responsabilitร che puรฒ essere, come nel caso del responsabile del trattamento, assai pesante.
Nel caso di specie, quello dello studio in cui operano piรน professionisti in cui vengono trattati dati esclusivamente connessi allโadempimento dellโobbligazione contrattuale relativa allโesecuzione degli obblighi fiscali (lo stesso puรฒ dirsi in merito alle distinte operativitร che sono state citate in apertura), i dipendenti che hanno accesso ai dati trattati nellโambito dellโattivitร dellโufficio dovranno essere designati come โincaricati del trattamentoโย o comunque autorizzati a gestire i dati limitatamente a ciรฒ che ad essi compete.
Ai collaboratori dovranno essere impartite, inoltre, istruzioni operative o linee guida su come gestire i dati di terzi e proteggerli (anche in questo caso non vi รจ nulla di particolarmente innovativo rispetto a quanto era giร previsto del Codice per la Tutela dei dati personali di cui al Decreto Legislativo 30 giugno 2003, n. 196, pubblicato in Gazzetta Ufficiale il 29 luglio 2003).
Lo studio deve dotarsi di corrette metodologie per proteggere i dati
A questo proposito รจ opportuno sottolineare che le prescrizioni giuridico-normative si intrecciano strettamente con quelle tecnologiche in quanto le metodologie di trattamento, conservazione e trasmissione dei dati sono in continua, rapida, evoluzione acquisendo capacitร che portano a stravolgere in poco tempo prassi apparentemente consolidate.
Alla luce di queste considerazioni,ย lo studio dovrร ovviamente essere dotato di tutti quegli strumenti tecnici e organizzativi adeguati e proporzionati al tipo di dati trattati, alla finalitร del trattamento,ย alle modalitร , al contesto organizzativo e ai rischi potenziali che il trattamento puรฒ provocare sui diritti e le libertร degli interessati, misure che consentano di garantire, lโintegritร dei dati personali trattati e la disponibilitร , dei sistemi utilizzati nonchรฉ un elevato grado di protezione dei dati stessi (in questo senso รจ opportuno confrontare lโarticolo del Regolamento con quanto veniva โ e viene tuttโora previsto โ dal Codice per la Tutela dei dati personali), in particolare, di quelli che transitano sui vari device (pc, smartphone, tablet, wi-fi strumenti innovativi che, in buona sostanza, giustificano le differenze esistenti tra il nuovo Regolamento ed il vecchio Codice).
Sarร quindi necessarioย impiegare meccanismi che permettano di evitare accessi abusivi ai dati, alterazioni o modifiche degli stessi, cancellazioni, divulgazioni non autorizzate o violazioni di altro tipo.
In tal caso, ad esempio, molto si puรฒ fare impiegando meccanismi antielusione come iย firewallย e anche utilizzando (e facendo utilizzare)ย password sicureย per accedere ai sistemi informatici dello studio in cui sono archiviati dati personali, provvedendo aย redigere opportune best practiceย su come tali password dovranno essere custodite e amministrate e prevedendo, se si dispone di un sito web, con cui ad esempio รจ possibile inviare richieste mediante la compilazione di form, lโimpiego di protocolli SSL.
Particolarmente, importante per il transito dei dati รจ lโuso di chiavette USB dotate di password o anche chiavette che consentono di criptare i dati ivi contenuti (il Regolamento, infatti allโarticolo 32 consiglia proprio lโimpiego di strumenti che consentano di cifrare i dati o comunque usare la pseudonimizzazione). Occorrerร poi ricorrere a strumenti che permettano di effettuare il backup, meglio se continuo dei dati, come ad esempio potrebbe essere un servizio di cloud fornito da un soggetto terzo di cui sarร necessario vagliare lโaffidabilitร e il grado di sicurezza offerto prima di sottoscrivere il contratto, designando, tra lโaltro, anchโesso, responsabile del trattamento.
Di fondamentale importanza รจ il fatto, anche se una raccomandazione di questo tipo dovrebbe rispondere piรน a criteri di buon senso che a specifici obblighi normativi, diย mantenere i sistemi operativi sempre aggiornatiย ed i vari programmi e le applicazioni utilizzate, determinando, a priori, una manutenzione periodica. si consiglia inoltre di controllare i vari devices, come smartphone o tablet, impostando una limitazione allโuso dei dati contenuti, se su di essi sono conservati o transitano in qualche modo anche dati relativi a clienti.
Il Regolamento, peraltro, รจ opportuno provvedere a sottolinearlo, allโarticolo 32, lettera d), prevede lโimpiego di una procedura per testare, verificare e valutare regolarmente lโefficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Si tenga poi presente che ancheย il professionista, in qualitร di titolare del trattamentoย (o contitolare, mentre il responsabile dovrร comunicare unโeventuale violazione al titolare)ย รจ chiamato a comunicare al Garante eventuali violazioni sui dati personali entro 72 oreย dal momento in cui ne viene a conoscenza, pertanto, occorrerร pensare anche a procedure preventive che consentano di intervenire velocemente sulla violazione e procedere tempestivamente alla comunicazione allโautoritร .
Guida breve agli adempimenti privacy per il professionista
Questi sono, in linea di massima, gli adempimenti fondamentali previsti da parte del Legislatore europeo, adottati (in prospettiva) da quello italiano e definiti nel Regolamento, che dovranno essere effettivi, in quantoย il professionista, in qualitร di titolare del trattamento, dovrร essere in grado di dimostrare di aver messo in atto misure adeguate che provino che il trattamento viene effettuato conformemente a quanto viene dettato da parte del regolamento.
ร ovvio che molto della pervasivitร e sofisticazione delle metodiche di realizzazione di quanto viene previsto nel Regolamento dipende sia dal tipo di organizzazione, che dalla tipolgia dei dati che vengono trattati cosรฌ come dalle eventuali ulteriori finalitร del trattamento, dai modi in cui i dati sono trattati e, quindi, dagli strumenti impiegati. Altrettanto ovvio รจ che tanto piรน รจ complessa lโorganizzazione, maggiori saranno gli adempimenti per essere adempienti.
ร chiaro cheย se, ad esempio uno studio ha il server in uno Stato estero fuori dallโUnione, su cui vengono archiviati dati personali, ad esso si applicano anche le norme relative al trasferimento di dati allโestero,ย mentre se si tratta di uno studio dotato di un numero elevato di professionisti e collaboratori suddiviso per settori di attivitร , si dovrร pensare anche di effettuare una DPIA, ovvero una “data protection impact assesment” o “valutazione d’impatto sulla protezione dei dati” (il considerando n. 91 del Regolamento esclude lโobbligatorietร della valutazione dโimpatto sulla protezione dei dati per singoli professionisti, quali il singolo avvocato o medico) e nominare un DPO ovvero un โdata protection officierโ.
Un esempio di adeguata verifica della clientela
Svolte queste considerazioni in merito alle necessarie misure che i professionisti allโinterno delle strutture in cui svolgono le proprie attivitร sono tenuti ad assumere passiamo al secondo ambito della nostra esposizione, ovvero al caso in cui si debbano affrontare le problematiche relativeย allaย gestione dei rapporti tra professionista e clientela, attuale o potenziale, in relazione ai trattamenti di dati che, nellโambito di questa fattispecie, occorre effettuare.
Il caso che verrร trattato รจ tipico di una certa commistione che ci si trova dover fronteggiare nel momento in cui si รจ chiamati a verificare quali precauzioni รจ opportuno prendere in ambiti operativi distinti ma in qualche modo โconfinantiโ.
In primissima battuta, occorre sottolineare che, come spesso avviene nellโambito delle norme in materia di protezione dei dati personali, le problematiche da affrontare non riguardano solo gli obblighi in materia di tutela dei dati quanto, appunto, anche altri aspetti normativamente disciplinati.
Nel caso che ci si รจ riproposti di affrontare si rientra infatti in una fattispecie che non รจ tanto regolata dal Decreto Legislativo n. 196/2003 (Codice Privacy) e dal regolamento che gli succederร a partire dal 25 maggio p.v. (ammesso che il legislatore italiano non ritenga, e trovi lo spazio, per una proroga del termine) quanto dal Decreto Legislativo n. 231/2007 che, allโarticolo 12, stabilisce che i soggetti iscritti nellโalbo dei consulenti del lavoro (questa รจ la fattispecie che si intende trattare) rientrano tra i professionisti destinatari dellโobbligo di adeguata verifica della clientela di cui allโarticolo 18 del decreto medesimo e, in particolare, dellโonere di identificare il cliente e verificarne lโidentitร sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente.
La circostanza che la consulenza venga prestata a distanza, mediante lโimpiego di strumenti telematici, non implica il venir meno di tale obbligo. Tantโรจ vero che, ai sensi del successivo articolo 28, quando il cliente non sia fisicamente presente, i destinatari del decreto sono tenuti ad adottare misure specifiche ed adeguate per compensare il rischio piรน elevato, applicando una o piรน fra le seguenti misure:
a) accertare lโidentitร del cliente tramite documenti, dati o informazioni supplementari;
b) adottare misure supplementari per la verifica o la certificazione dei documenti forniti o richiedere una certificazione di conferma di un ente creditizio o finanziario;
c) assicurarsi che il primo pagamento relativo allโoperazione sia effettuato tramite un conto intestato al cliente presso un ente creditizio. Con riferimento alla fattispecie trattata, non vale ad escludere il suddetto onere in capo al consulente nemmeno la previsione di cui allโarticolo 12, comma 3 del decreto antiriciclaggio, in base alla quale lโadeguata verifica non รจ dovuta esclusivamente in relazione allo svolgimento degli adempimenti in materia di amministrazione del personale previsti dalla legge sullโordinamento della professione di consulente del lavoro.
Qualora il professionista non sia in grado di rispettare gli obblighi di adeguata verifica della clientela, a questi non รจ consentito di instaurare il rapporto continuativo nรฉ di eseguire operazioni o prestazioni professionali.
Va, tuttavia, osservato come i professionisti siano soggetti allโobbligo di identificazione della clientela soltanto in alcune ipotesi ben determinate, ovvero laddove:
a) la prestazione professionale abbia ad oggetto mezzi di pagamento, beni od utilitร di valore pari o superiore a 15.000 euro;
b) eseguano prestazioni professionali occasionali che comportino la trasmissione o la movimentazione di mezzi di pagamento di importo pari o superiore a 15.000 euro, indipendentemente dal fatto che siano effettuate con una operazione unica o con piรน operazioni che appaiano tra di loro collegate per realizzare unโoperazione frazionata;
c) lโoperazione sia di valore indeterminato o non determinabile;
d) vi sia sospetto di riciclaggio o di finanziamento del terrorismo, indipendentemente da qualsiasi deroga, esenzione o soglia applicabile;
e) vi siano dubbi sulla veridicitร o sullโadeguatezza dei dati precedentemente ottenuti ai fini dellโidentificazione di un cliente.
Qualora, nel caso di specie, non dovessero ricorrere le suddette condizioni, il consulente non sarebbe, pertanto, tenuto allโobbligo di identificazione del cliente di cui allโarticolo 18 del Decreto Legislativo n. 231/2007.
Quanto abbiamo esposto vale a ribadire la complessitร del terreno in cui ci si deve muovere nellโambito dellโesercizio dellโattivitร professionale della tutela dei dati personali e delle correlate obbligazioni che fanno perรฒ riferimento ad ambiti normativi distinti anche se in qualche modo cooperanti con le norme in materia di privacy.
https://www.fiscoetasse.com/approfondimenti/13039-la-privacy-negli-studi-professionali.html
