Indipendentemente dalla dimensione organizzativa, gli studi professionali di commercialisti e consulenti del lavoro sono, per la natura dell’attività svolta, una delle realtà più complesse nelle quali creare una compliance privacy.
I motivi di tale complessità sono riconducibili ad almeno tre elementi:
- il primo è che si possono configurare diversi soggetti privacy in ragione delle diverse tipologie di attività svolte e della relativa autonomia decisionale;
- il secondo è che vengono trattati continuamente e simultaneamente sia dati personali comuni che dati particolari (o dati sensibili);
- il terzo è che spesso all’interno degli studi professionali, operano contemporaneamente diverse tipologie di collaboratori: dipendenti con contratto di tipo subordinato e collaboratori con P.Iva.
Da dove partire quindi per creare compliance privacy in uno studio professionale?
Titolari, Responsabili, Contitolari, DPO
Il primo elemento può essere sicuramente quello di identificare la tipologia di soggetti privacy coinvolti, in relazione ai diversi trattamenti svolti e al diverso potere decisionale esercitato.
Lo studio associato è prima di tutto un Titolare del trattamento verso i propri dipendenti e collaboratori nel rapporto contrattuale finalizzato alla collaborazione e verso i propri clienti, in qualità di fornitore di servizio, nel momento in cui esercita un potere decisionale in ordine a modalità e finalità di trattamento totalmente autonome e non di semplice esecuzione di un’attività delegata, ovvero “per conto di” qualcuno.
Le attività di consulenza finanziaria, tributaria, di dichiarazione dei redditi, o in qualità di sindaco o revisore all’interno di una società, sono tipicamente attività svolte in qualità di titolare autonomo di trattamento.
Protezione dei dati: il responsabile di trattamento e la differenza con il titolare
Diversa è la figura del Responsabile del trattamento (soggetto sempre esterno e non più anche interno a un’organizzazione, come invece era previsto dal D.lgs 196/03) che agisce su incarico di un terzo che gli affida dei trattamenti da svolgere con indicazioni specifiche, dettagliate in un contratto. È il caso, per esempio, di elaborazione di dati contabili per conto dei clienti, attività di data entry, elaborazione di cedolini paga, ecc.
La differenza tra un titolare di trattamento e un responsabile è proprio nell’avere l’autonomia decisionale in ordine a modalità e finalità di trattamento, piuttosto che nell’esecuzione di un trattamento affidato da un terzo, con indicazioni specifiche.
In linea di massima uno studio commercialista è qualificabile come Titolare autonomo di trattamento, in ragione dell’incarico per la gestione contabile e di gestione di pratiche amministrative sovente affidate ad uno studio.
Mentre uno studio di consulenza del lavoro viene più spesso configurato come un responsabile esterno del trattamento, in quanto un’azienda di piccole/medie dimensioni si affida a questa tipologia di studio per la gestione di trattamenti di cui è titolare (nello specifico gli adempimenti con i dipendenti), per un adempimento che spesso non è in grado di coprire con proprie competenze e/o strumenti interni.
Diverso è il caso delle grandi organizzazioni che, nella maggior parte de casi, hanno un ufficio del personale interno in cui gestiscono la registrazione presenze, la stesura cedolini, la gestione assenze, la malattia, le detrazioni familiari, ecc.
Fino a qui potrebbe essere tutto abbastanza lineare da gestire.
Tuttavia ci troviamo spesso di fronte a studi professionali in cui sono presenti più professionisti Titolari del trattamento, che direttamente o tramite propri dipendenti lavorano a più mani sulle medesime pratiche, all’interno di uffici condivisi su una rete condivisa.
Come gestire quindi questo tipo di situazione, in mancanza di uno studio associato quale unica entità giuridica?
La Controtitolarità di trattamento
Dove di fatto non sono presenti professionisti singoli, con propri collaboratori identificabili e proprie attività (tanto da essere tutti singoli Titolari del trattamento) e non è presente neanche uno studio associato (quindi come unico Titolare di trattamento), potrebbe essere necessario configurare una Contitolarità di trattamento, ovvero una modalità che permetta di decidere congiuntamente in merito a finalità e modalità di trattamento, anche tra soggetti che svolgono attività diverse e necessarie per erogare attività specifiche. Il caso in cui, per esempio, la consulenza di un commercialista e quella di un consulente del lavoro fossero necessarie per lavorare contestualmente su un’unica pratica.
La gestione delle contitolarità non è tuttavia così semplice da gestire. Dove esiste un contitolare del trattamento è necessario applicare tutti gli adempimenti di chi ha una titolarità, con la complessità di doverli effettuare tra più soggetti che devono creare una sorta di “soggetto terzo” per la gestione di trattamenti specifici.
Ognuno dei soggetti menzionati dovrà poi occuparsi di:
- redigere e consegnare le informative verso gli interessati (comprensive di tutti gli elementi necessari ai sensi artt. 13 e 14 del Reg. EU2016/679); in caso di Contitolarità, l’accordo tra le parti dovrà essere reso pubblico (vedi art. 26 GDPR) per il principio di trasparenza nelle informative e pubblicato sul sito internet dello Studio Associato.
- redigere e consegnare le autorizzazioni al trattamento per gli incaricati (sia dipendenti che collaboratori a P.Iva), rilascio di istruzioni circa il trattamento dei dati e l’utilizzo dei sistemi informativi;
- redigere dei registri dei trattamenti (sia in qualità di Titolare che di Responsabile, dove un unico soggetto ricoprisse entrambi i ruoli);
- produrre una valutazione dei rischi (e DPIA dove se ne ravvisasse la necessità) e tenere un registro dei data breach;
- predisporre ed eventualmente gestire una richiesta di esercizio dei diritti degli interessati;
- gestire (tipicamente tramite un terzo identificato e incaricato) tutta la parte relativa alla sicurezza informatica, gestione profili di autorizzazione, backup, ecc.
Nei diversi ruoli ricoperti dai commercialisti, quello di revisore dei conti e membro del collegio sindacale, è sempre un ruolo da Titolare del trattamento per la completa autonomia e indipendenza con le quali tratta anche dati relativi al personale, ai clienti e ai fornitori. È questo un aspetto sul quale spesso anche le aziende che devono identificare i propri Responsabili esterni, non hanno piena chiarezza.
L’altro soggetto privacy del quale non dobbiamo dimenticarci è il DPO (Data Protection Officer) per il quale il Garante ha dato qualche indicazione rispetto alla mancanza di necessità di nomina per uno studio singolo, che diventa invece quasi sempre necessario, in particolare quando si è in presenza di significativi trattamenti di dati particolari derivanti dall’elaborazione delle paghe, dalla raccolta di documenti per le dichiarazioni dei redditi e dalla gestione di contenziosi per conto di persone fisiche.
Tipologie di dati trattati e soggetti autorizzati
Gli altri elementi ai quali porre attenzione sono poi le diverse tipologie di dati trattati e i diversi soggetti da autorizzare.
Per la gestione di questo aspetto, la stesura dei registri dei trattamenti (necessari ai sensi dell’art. 30 del GDPR) è sicuramente un adempimento che porta ogni Titolare del trattamento (e anche ogni Responsabile, anche se con qualche semplificazione) a procedere con una mappatura dei trattamenti molto dettagliata, così da identificare quali dati si rendono necessari per ogni trattamento, come trattarli, per quanto tempo conservarli ecc., nonché permettono una più facile identificazione anche dei soggetti (o delle categorie di soggetti) autorizzati ai rispettivi trattamenti.
Si tratta di un’attività impegnativa e rigorosa, che tuttavia permetterà una adeguata stesura anche di autorizzazioni al trattamento, individuali o di mansionari (più funzionali su realtà di medie/grandi dimensioni), che seguiti da adeguata formazione per ogni incaricato, può creare quel grado di consapevolezza all’interno degli studi, necessaria per concorrere al principio di accountability e per raggiungere una situazione di compliance.
I dati trattati dagli studi professionali sono innumerevoli e molto delicati: si pensi ad esempio alle attività relative alle dichiarazioni dei redditi, per le quali sono necessarie fatture relative a visite mediche, indicazioni di terapie farmacologiche, scontrini di farmaci ecc., nonché i dati relativi a detrazioni familiari e molto altro.
Misure di sicurezza e incarichi al trattamento
Come proteggere quindi queste tipologie di dati? Nell’All. B del D.lgs 196/03 alcune indicazioni venivano date in modo specifico rispetto a dati comuni e dati particolari e riguardavano ad esempio l’obbligo di conservazione in armadi o cassetti con le chiavi o ad accesso controllato per i dati sensibili (o particolari), rispetto a contenitori anche senza chiavi, purché accessibili solamente ai relativi incaricati a quei trattamenti, per i dati comuni.
Nell’art. 32 del Reg. EU 2016/679 invece il riferimento è “allo stato dell’arte e dei costi di attuazione nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (…)” rispetto all’adozione di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio.
Non quindi misure già pre-definite e specifiche, bensì misure atte a garantire la reale sicurezza del dato in ragione della sua “delicatezza” e quindi dell’analisi del rischio.
I principi di necessità di trattamento e di pertinenza e non eccedenza, nonché di accountability (ovvero di responsabilizzazione), sono sempre quelli che dovrebbero costituire il riferimento principale, che dovrebbero guidare nella definizione di una situazione di compliance.
Quindi assolutamente vietato lasciare plichi di documenti incustoditi contenenti dati anche delicati delle persone, in sale riunioni in cui si ricevono e sostano clienti, nonché in uffici in cui risiedono più dipendenti di diversi titolari o ai quali hanno accesso persone non autorizzate al trattamento di quei dati; lasciare nelle stampanti condivise, prove di stampa con dati personali sensibili (es. bozze di buste paga, dichiarazioni di redditi ecc).
Per quanto riguarda la diversa tipologia di incaricati, una particolare attenzione va posta su quei collaboratori, non in rapporto subordinato, che per qualche motivo, dovessero utilizzare personal computer propri, con accesso alla rete dello studio. In questo caso sarebbe necessario mettere in atto una serie di accorgimenti ai fini della tutela dei trattamenti affidati, anche rispetto alla strumentazione informatica.
Il presente articolo non si pone l’obiettivo di essere esaustivo rispetto ad un tema tanto complesso e articolato, quale è la compliance privacy degli studi professionali, quanto piuttosto quello di alzare il livello di attenzione all’interno di realtà che ogni giorno si occupano della gestione e della comunicazione di trattamenti estremamente delicati di una moltitudine di soggetti.
Un ulteriore supporto alla tematica viene offerto direttamente dal consiglio Nazionale dei Dottori Commercialisti ed Esperti contabili (ODCEC) e la Fondazione Nazionale dei Commercialisti, che hanno redatto e pubblicato una guida per supportare gli studi.
Vuoi saperne di più sulla protezione dati personali negli studi professionali??