L’imminente entrata in vigore del Regolamento europeo 2016/679 (GDPR) e la necessità di valutarne l’impatto negli studi professionali hanno indotto il CNDCEC a soffermarsi sui nuovi adempimenti in materia di privacy, elaborando una checklist da fornire ai Commercialisti per una prima autovalutazione del livello di adeguamento degli studi professionali alla nuova disciplina.
La checklist è allegata ad un documento nel quale il gruppo di lavoro “Privacy” del CNDCEC ripercorre sinteticamente l’evoluzione della normativa (a partire dalla legge 675/1996 che per la prima volta ha introdotto il tema nel nostro ordinamento), soffermandosi su alcuni aspetti del GDPR di rilevante interesse per la professione di Commercialista.
Il documento inquadra i nuovi adempimenti Privacy nell’ambito delle procedure organizzative che, sempre più spesso, i professionisti sono chiamati ad adottare nei propri studi (si pensi anche agli obblighi antiriciclaggio). Alla luce della disciplina del GDPR, infatti, l’esigenza di proteggere i dati personali si traduce nell’adozione di adeguati assetti e modelli organizzativi che consentono la reale applicabilità del c.d. principio di accountability. Le sanzioni previste dal GDPR in caso di inadempimento sono molto elevate: dunque, è necessaria un’adeguata formazione e preparazione in modo da pervenire, entro la scadenza di legge, alla conformità richiesta dalla norma.
In tale ottica si è mosso il CNDCEC con la checklist in commento, la cui compilazione – è superfluo precisarlo – non è di per sè sufficiente per ottenere la conformità dell’organizzazione dello studio alle disposizioni del GDPR, essendo a tal fine necessario che ciascun professionista dimostri di avere valutato con ragionevolezza la propria posizione in termini di esposizione al rischio e, conseguentemente, l’adozione dei necessari presidi organizzativi.
Con riguardo alla checklist, la sua compilazione si articola nei seguenti tre passaggi fondamentali:
1) mappatura delle categorie di dati raccolti, trattati e conservati
Tale mappatura deve essere effettuata con riferimento ai più importanti processi che interessano le principali attività di studio, in quanto i dati personali detenuti dal professionista devono essere distinti e trattati con modalità appropriate a seconda della tipologia di attività professionale svolta. Le informazioni, che devono essere completate anche con la stima del periodo di conservazione dei dati, non si limitano ai clienti, dovendo essere mappate anche quelle relative ai fornitori e, ove presenti in studio, a dipendenti e tirocinanti.
2) Compilazione (risposte «Sì» o «No»), con possibilità di commenti, ad ogni check di azioni possibili
La compilazione della checklist investe i diversi ambiti in relazione ai quali occorre raggiungere la conformità dell’organizzazione dello studio rispetto alle previsioni del GDPR. Al riguardo, vengono individuate alcune sotto-sezioni che richiamano gli articoli del regolamento: dati personali trattati; diritti degli interessati; accuratezza e conservazione; requisiti di trasparenza; altri obblighi del titolare; sicurezza del trattamento; data breaches; trasferimento dati personali.
La compilazione di tali sotto-sezioni consente al professionista di individuare, tramite autovalutazione, gli ambiti di intervento necessari per conformarsi al regolamento e corrispondenti alle misure assenti (emergenti dalla colonna “NO”), pianificando le azioni di rimedio da porre tempestivamente in essere in ottemperanza al GDPR.
3) Individuazione, al termine della compilazione, delle misure relative all’adeguato trattamento dei dati non ancora attuate
Il risultato complessivo dell’analisi, desunto dalle varie sotto-sezioni, conduce al completamento della tabella di cui al punto 1), la cui corretta e completa compilazione può costituire il punto di partenza per la redazione del registro delle attività di trattamento (disciplinato dall’art. 30 del GDPR).
Il documento che accompagna la checklist mette poi in evidenza alcuni elementi ritenuti di precipuo interesse in relazione all’attività svolta dagli studi professionali, tra cui si segnalano in modo non esaustivo: l’elencazione delle categorie di interessati e dei dati personali raccolti e conservati; l’individuazione delle basi legittime tipiche sulle quali è fondato il trattamento dei dati (es. contratto, obbligo normativo, consenso, interesse legittimo); il focus sui diritti degli interessati; la chiara individuazione delle procedure da porre in essere in caso di data breaches; la garanzia della sicurezza del trattamento e la dimostrazione di aver posto in essere le misure idonee a tal fine; e, infine, l’adempimento degli altri obblighi del titolare, che riveste un’importanza cruciale al fine di evitare le pesanti sanzioni previste dal regolamento.
Da ultimo, varrà evidenziare che le procedure adottate in ossequio alle prescrizioni del GDPR dovranno essere costantemente monitorate e aggiornate in base all’evoluzione delle norme regolamentari, da un lato, e alle modifiche degli assetti organizzativi dei singoli studi, dall’altro.
di Annalisa De Vivo e Maria Adele Morelli
Allegati
Dottore commercialista e revisore legale dei conti, con specializzazione universitaria in diritto commerciale. Già ricercatrice nell’area giuridica della Fondazione Nazionale Commercialisti e poi nel Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili, dove attualmente svolge la propria attività nelle aree dell’ordinamento professionale e del diritto penale dell’economia (responsabilità amministrativa degli enti, normativa antiriciclaggio e normativa anticorruzione). Su tali materie svolge attività formativa e ha pubblicato negli anni numerosi contributi, sia in opere monografiche, sia in riviste specializzate
CNDCEC
Revisione enti locali 2022, su Concerto il corso del Ministero dell’InternoA renderlo fruibile Consiglio e Fondazione nazionali dei commercialisti dal 27 marzo al 30 novembre 2023. Valido per l’iscrizione nell’Elenco revisori degli enti locali 2024
fisco
Superbonus: commercialisti, per sblocco crediti F24 fondamentaleRegalbuto in audizione alla Camera: “Prorogare almeno al 28 aprile il termine per presentare le comunicazioni per l’opzione della cessione del credito e lo sconto in fattura”
CNDCEC
Revisori legali, adottato dal MEF il programma formativo per il 2023Nuove materie previste per gli iscritti nel Registro: contabilità pubblica, crisi d’impresa e diritto tributario, con un tetto massimo ai crediti conseguibili, per rispondere alle esigenze di un aggiornamento diversificato