Discutere sul tema della privacy è sempre stato un tallone d’Achille per i professionisti che lavorano con i dati delle persone che finora hanno risposto principalmente in due modi: il fai da te, adottato in particolare negli studi legali, più versati agli aspetti giuridici della riservatezza; oppure ricorrendo a consulenze esterne, alle quali, di solito, si affida l’intero pacchetto-privacy: dalla predisposizione della modulistica alla vera e propria protezione dei dati.

Ci sono poi studi che vanno più in là e stipulano una polizza per tutelarsi contro rischi particolari, come un atto di pirateria informatica con conseguente richiesta di riscatto per la restituzione dei dati trafugati. Oppure c’è chi, per non doversi occupare in prima persona delle misure di protezione, trasferisce i dati sulla “nuvola”, delegando al gestore la loro tutela. «Uno strumento che sta prendendo sempre più piede. I gestori, come per esempio Google, vendono pacchetti per conformarsi al regolamento UE trasferendo i dati sul cloud».

È in atto una corsa contro il tempo perché, anche se le nuove norme europee sulla riservatezza si conoscono da quasi due anni, è in questi mesi che si sta affrontando il problema. Per garantire una maggiore tutela e protezione dei dati personali, dal 25 Maggio 2018 entrerà in vigore il nuovo regolamento Europeo in materia di Privacy che vedrà protagonista il GDPR.

MA cos’è questo GDPR??
Il GDBR o General Data Protection Regulation è il nuovo regolamento sulla Privacy che da Maggio 2018 sostituirà il vecchio codice della Privacy attualmente in vigore.
Il nuovo regolamento si fonda su principi chiave per garantire maggiore diritti ai cittadini e responsabilizzare coloro che utilizzano i dati sensibili attraverso l’applicazione di una disciplina uniforme a livello europeo in materia di obblighi informativi, di consenso al trattamento dei dati e il rafforzamento dei diritti.
I principi sono:
Privacy by default ovvero la tutela della vita privata del singolo come impostazione di default;
Privacy by design ovvero la tutela della privacy intesa come valutazione preventiva dei rischi inerenti al trattamento dei dati personali per evitare impatti negativi sulla libertà e sui diritti degli interessati.

Ma… quali sono gli obiettivi e i diritti degli interessati?
Facciamo un punto dettagliato del regolamento che andrà in vigore a maggio che ha principalmente le seguenti finalità e i seguenti diritti:

 Esclusione di ogni ipotesi di consenso tacito: con la nuova normativa, il titolare del trattamento dovrà non solo richiedere il consenso
all’uso dei dati, ma dovrà anche specificare l’utilizzo che ne farà (ad es. marketing, di profilazione, di geolocalizzazione, o altro);

 Consenso per i minorenni: introduzione, per i minori di 16 anni, dell’obbligo di richiedere il consenso al trattamento dei dati personali a chi esercita la responsabilità genitoriale;

 Gestione del DATA BREACH: introduzione di misure idonee a gestire il “data breach“, principio in base al quale il quale il titolare del trattamento dovrà comunicare eventuali violazioni esterne dei dati personali dei propri utenti al Garante nazionale ed eventualmente anche agli interessati.

 Dati a scadenza: “In ogni informativa sulla privacy dovrà essere specificato il tempo entro il quale il dato sensibile andrà trattato, scaduto il quale il trattamento diventerà illegittimo”;

 Diritto di accesso ai propri dati: Capita sovente di ricevere e-mail da soggetti a cui non ricordiamo di aver fornito il consenso e con il nuovo regolamento i consumatori potranno rivolgersi alle società chiedendo che gli vengano forniti i dettagli sui dati che hanno comunicato loro, chiedendo anche di chiarire come vengono trattati e come sono stati ottenuti. Le aziende, dal canto loro, saranno soggette all’obbligo di risposta;

 Diritto all’oblio: maggiore rilevanza viene data al diritto di richiedere la cancellazione dei propri dati personali in caso di violazione, purché non venga violata la libertà di espressione e l’utilizzo dei dati per finalità scientifiche o statistiche;

 Diritto di limitazione: consiste nel limitare l’accesso ai dati forniti attraverso la rettifica o l’opposizione al trattamento;

 Linguaggio semplice e chiaro: adozione di un linguaggio chiaro e comprensibile, senza vocaboli tecnici o giuridici, per la richiesta di consenso al trattamento, in modo da consentire a tutti di comprendere il contenuto dell’informativa. Saranno bandite anche le clausole tecniche e quelle scritte in caratteri troppo piccoli.

Cosa cambierà in pratica?

I titolari di partita IVA (società, liberi professionisti e ditte individuali) e le Amministrazioni Pubbliche che utilizzano i dati personali delle persone fisiche dovranno adeguarsi alla normativa. In previsione quindi dell’entrata in vigore del nuovo Regolamento Privacy sono previste in particolare le seguenti novità:

 Istituzione del Responsabile della Protezione dei Dati Personali (o DPO), obbligatoria soltanto in alcuni casi specifici. Il DPO è la figura in possesso di specifici requisiti che avrà il compito di verificare la corretta applicazione del Regolamento attraverso la formazione del personale, la regolare applicazione delle norme etc;

 Notifica delle violazioni dei dati personali al Garante della Privacy (NB: la segnalazione non è obbligatoria ma deve essere effettuata se si ritiene che possa ledere i diritti degli interessati);

 Accesso limitato nel tempo ai dati personali: al contrario di quanto accade oggi, le aziende potranno usufruire dei dati personali per un periodo di tempo limitato;

 Predisposizione del Registro dei Trattamenti, ossia un documento in cui devono essere riportate le operazioni relative alla raccolta, alla conservazione e trasmissione dei dati, i soggetti coinvolti e le finalità del trattamento, in modo da permettere al Garante una corretta supervisione.

Occhio all’organigramma!
Tutti gli incarichi e le designazioni effettuate necessitano di documentazione scritta e dovranno essere indicati nel documento relativo alla valutazione del rischio, oppure in quello che si è soliti definire faldone privacy come
riportato in calce ad ogni organigramma.
La normativa va applicata in base alla realtà dello studio e che gli adempimenti in materia di trattamento di dati personali non possono essere assolti unicamente inserendo dei dati su moduli precompilati, essendo appunto necessaria un’attenta analisi della realtà dello studio e delle procedure adottate.
Nel documento di valutazione del rischio o in altro separato documento dovrà essere quindi specificato che:

a) il titolare dello studio assume in proprio la funzione di responsabile generale per la sicurezza dei dati

b) il titolare dello studio assume la funzione di custode delle credenziali

c) è stata redatta apposita lettera di incarico con relative istruzioni per il responsabile cartaceo dei dati dei dipendenti

d) sono state redatte le informative ed acquisito il consenso scritto dei dipendenti ai fini degli obblighi derivanti dal rapporto di lavoro

e) è stata redatta apposita lettera di incarico con relative istruzioni per il responsabile delle copie di back up

f) è stata redatta apposita lettera di incarico con relative istruzioni per il sostituto del responsabile delle copie di back up

g) sono state redatte le designazioni degli incaricati del trattamento, con indicati i dati cui hanno accesso

h) sono state fornite agli incaricati del trattamento istruzioni scritte sulle modalità di trattamento dei dati

i) è stata acquisita dalla ditta esterna che si occupa della manutenzione hardware e software la documentazione attestante la realizzazione ed il funzionamento delle misure di sicurezza sopra indicate

j) lo studio esterno che si occupa dell’elaborazione delle buste paga dei dipendenti dello studio è stato designato quale responsabile esterno nel trattamento dei dati ed ha rilasciato apposita dichiarazione attestante che il trattamento avviene nel rispetto delle norme in vigore, con adozione di misure di sicurezza ritenute idonee a garantire la correttezza del trattamento stesso

k) nel caso di dipendente che si occupa del servizio di pulizia dei locali viene redatta apposita comunicazione relativa alla non designazione quale incaricato del trattamento ed istruzioni circa le modalità di svolgimento dei compiti

l) nel caso in cui il servizio di pulizia dei locali avvenga da parte di un’impresa terza viene redatta un’apposita comunicazione circa il divieto di consultazione di dati da parte dei dipendenti dell’impresa terza

m) qualora lo studio abbia un proprio sito internet e vengano pubblicati dati relativi ai dipendenti e/o collaboratori, anche con fotografie degli stessi, deve essere fatta sottoscrivere agli interessati apposito consenso per la pubblicazione di quanto sopra

n) qualora lo studio disponga di telecamere (con o sena registrazione delle immagini) dovrà essere specificato che sono stati assolti tutti gli obblighi previsti in materia di videosorveglianza ed allegata copia della documentazione inoltrata e dell’autorizzazione rilasciata dalla Direzione Provinciale del Lavoro

o) creare un’apposita cartella sul server, consultabile da parte di responsabili ed incaricati, nella quale inserire la normativa, documentazione sul trattamento dei dati, il modello con il quale si richiede il consenso all’interessato etc.

Nel caso di assunzione di nuovo personale dovrà essere redatta l’informativa di cui al punto d), la designazione di cui al punto g), così come nel caso di presso lo studio.

Nel caso di installazione di telecamere (in via preventiva) occorrerà assolvere gli obblighi di cui alla lettera n). Nel caso di variazioni sostanziali degli strumenti informatici e/o del software, delle procedure di salvataggio dei dati, di variazioni relative a quanto sopra
indicato (variazione dello studio esterno che si occupa dell’elaborazione delle buste paga, variazioni del soggetto che si occupa del servizio di pulizia, variazione del responsabile e/o del sostituto delle copie di back up etc. la documentazione dovrà essere costantemente aggiornata)

Ma io sono “piccolo” e quindi faccio la conservazione dei dati presso terzi.

Nel caso in cui presso lo studio vengano elaborati i dati e questi vengano trasmessi e conservati presso terzi (ad es. elaboro la dichiarazione dei redditi e questa viene memorizzata e conservata su server esterno alla struttura dello studio, di solito su server di proprietà del fornitore del software) dovranno essere indicate le misure adottate circa la sicurezza nella trasmissione dei dati, oltre ad acquisire dalla ditta esterna apposita dichiarazione circa l’adozione di misure di sicurezza ritenute idonee a garantire l’integrità dei dati, il loro corretto trattamento e la loro corretta conservazione; nell’informativa e richiesta di consenso all’interessato dovrà essere precisato che la conservazione avviene presso un responsabile esterno: si tratta di quella che alcuni definiscono tracciabilità dei dati, nel senso che l’interessato viene informato di dove e presso chi sono conservati i propri dati.

Quindi: Seccatura o Valore Aggiunto?

Dopo un’interminabile articolo incentrato al discernere gli aspetti peculiari della nuova Privacy la domanda che sorge è: Sarà solo una seccatura o potrà essere oggetto di Valore aggiunto??

Definiamo un attimo cosa significa valore aggiunto.
Il valore aggiunto in economia è la misura dell’incremento di valore che si verifica nell’ambito della produzione e distribuzione di beni e servizi finali grazie all’intervento dei fattori produttivi (capitale e lavoro) a partire da beni e risorse primarie iniziali.

In uno scenario volto al cambiamento bisogna capire che, come dico spesso, la figura del commercialista classico sta scomparendo per lasciare spazio alla nuova figura di Consulente Aziendale (che poi di nuovo non c’è nulla, anzi stiamo tornando alle origini e per chi ha qualche anno come il sottoscritto può ricordare che il commercialista di una volta si occupava di dare sostegno all’imprenditore nelle scelte e nelle nuove opportunità che il mercato dava, NON faceva solo il fiscalista), quindi avere un studio ben progettato anche su
una tematica così delicata come i Dati Sensibili dei clienti non può far altro che aumentare la percezione ed il valore del servizio erogato.