Press

Professione Economica e Sistema Sociale Testata Ufficiale del Consiglio Nazionale
dei Dottori Commercialisti e degli Esperti Contabili

Primo Piano

La checklist dei commercialisti per l’adeguamento alla privacy

Uno strumento per una prima autovalutazione del livello di adeguamento degli studi professionali alla nuova disciplina GDPR

di Annalisa De Vivo, Maria Adele Morelli

L’imminente entrata in vigore del Regolamento europeo 2016/679 (GDPR) e la necessità di valutarne l’impatto negli studi professionali hanno indotto il CNDCEC a soffermarsi sui nuovi adempimenti in materia di privacy, elaborando una checklist da fornire ai Commercialisti per una prima autovalutazione del livello di adeguamento degli studi professionali alla nuova disciplina.

La checklist è allegata ad un documento nel quale il gruppo di lavoro “Privacy” del CNDCEC ripercorre sinteticamente l’evoluzione della normativa (a partire dalla legge 675/1996 che per la prima volta ha introdotto il tema nel nostro ordinamento), soffermandosi su alcuni aspetti del GDPR di rilevante interesse per la professione di Commercialista.

Il documento inquadra i nuovi adempimenti Privacy nell’ambito delle procedure organizzative che, sempre più spesso, i professionisti sono chiamati ad adottare nei propri studi (si pensi anche agli obblighi antiriciclaggio). Alla luce della disciplina del GDPR, infatti, l’esigenza di proteggere i dati personali si traduce nell’adozione di adeguati assetti e modelli organizzativi che consentono la reale applicabilità del c.d. principio di accountability. Le sanzioni previste dal GDPR in caso di inadempimento sono molto elevate: dunque, è necessaria un’adeguata formazione e preparazione in modo da pervenire, entro la scadenza di legge, alla conformità richiesta dalla norma.

In tale ottica si è mosso il CNDCEC con la checklist in commento, la cui compilazione - è superfluo precisarlo - non è di per sè sufficiente per ottenere la conformità dell’organizzazione dello studio alle disposizioni del GDPR, essendo a tal fine necessario che ciascun professionista dimostri di avere valutato con ragionevolezza la propria posizione in termini di esposizione al rischio e, conseguentemente, l’adozione dei necessari presidi organizzativi.
Con riguardo alla checklist, la sua compilazione si articola nei seguenti tre passaggi fondamentali:

1) mappatura delle categorie di dati raccolti, trattati e conservati
Tale mappatura deve essere effettuata con riferimento ai più importanti processi che interessano le principali attività di studio, in quanto i dati personali detenuti dal professionista devono essere distinti e trattati con modalità appropriate a seconda della tipologia di attività professionale svolta. Le informazioni, che devono essere completate anche con la stima del periodo di conservazione dei dati, non si limitano ai clienti, dovendo essere mappate anche quelle relative ai fornitori e, ove presenti in studio, a dipendenti e tirocinanti.

2) Compilazione (risposte «Sì» o «No»), con possibilità di commenti, ad ogni check di azioni possibili
La compilazione della checklist investe i diversi ambiti in relazione ai quali occorre raggiungere la conformità dell’organizzazione dello studio rispetto alle previsioni del GDPR. Al riguardo, vengono individuate alcune sotto-sezioni che richiamano gli articoli del regolamento: dati personali trattati; diritti degli interessati; accuratezza e conservazione; requisiti di trasparenza; altri obblighi del titolare; sicurezza del trattamento; data breaches; trasferimento dati personali.
La compilazione di tali sotto-sezioni consente al professionista di individuare, tramite autovalutazione, gli ambiti di intervento necessari per conformarsi al regolamento e corrispondenti alle misure assenti (emergenti dalla colonna “NO”), pianificando le azioni di rimedio da porre tempestivamente in essere in ottemperanza al GDPR.

3) Individuazione, al termine della compilazione, delle misure relative all’adeguato trattamento dei dati non ancora attuate
Il risultato complessivo dell’analisi, desunto dalle varie sotto-sezioni, conduce al completamento della tabella di cui al punto 1), la cui corretta e completa compilazione può costituire il punto di partenza per la redazione del registro delle attività di trattamento (disciplinato dall’art. 30 del GDPR).

Il documento che accompagna la checklist mette poi in evidenza alcuni elementi ritenuti di precipuo interesse in relazione all’attività svolta dagli studi professionali, tra cui si segnalano in modo non esaustivo: l’elencazione delle categorie di interessati e dei dati personali raccolti e conservati; l’individuazione delle basi legittime tipiche sulle quali è fondato il trattamento dei dati (es. contratto, obbligo normativo, consenso, interesse legittimo); il focus sui diritti degli interessati; la chiara individuazione delle procedure da porre in essere in caso di data breaches; la garanzia della sicurezza del trattamento e la dimostrazione di aver posto in essere le misure idonee a tal fine; e, infine, l’adempimento degli altri obblighi del titolare, che riveste un’importanza cruciale al fine di evitare le pesanti sanzioni previste dal regolamento.

Da ultimo, varrà evidenziare che le procedure adottate in ossequio alle prescrizioni del GDPR dovranno essere costantemente monitorate e aggiornate in base all’evoluzione delle norme regolamentari, da un lato, e alle modifiche degli assetti organizzativi dei singoli studi, dall’altro.