Il 25 maggio 2018 è diventato operativo il Regolamento generale sulla Protezione dei dati, (RGPD, General Data Protection Regulation – Regolamento UE 2016/679).
Sono state pertanto abrogate le disposizioni del Decreto Legislativo n.196/2003 (l’attuale Codice Privacy) che sono in contrasto o comunque incompatibili con la nuova disciplina europea in tema di trattamento di dati personali; è stata prevista al riguardo l’emanazione di decreti legislativi di raccordo (L.163, 25 ottobre 2017).
Tuttavia, essendo il Regolamento europeo direttamente applicabile in tutti gli Stati membri, dal 25 maggio 2018 la nuova disciplina in materia di privacy è comunque entrata in vigore. Ne deriva che, nelle more del completamento del nuovo assetto ordinamentale in materia, si forniscono dei contributi utili alla attuazione della nuova disciplina vigente in materia di protezione dei dati personali.
Il CNAPPC, per finalità pratiche, ha predisposto i seguenti allegati:
–facsimile lettera professionista singolo da sottoporre al cliente;
–facsimile lettera studio associato da sottoporre al cliente.
Si aggiunge che i facsimili di informativa, per studio singolo ed associato, prevedono, a fronte della lettura dell’informativa, che:
– nel proprio studio da parte di ogni professionista dovranno essere messe in atto misure tecniche ed organizzative all’interno dello studio adeguate per garantire un livello di sicurezza con sistemi di autenticazione, sistemi di autorizzazione, sistemi di protezione
(antivirus e firewall), sistemi di copiatura e conservazione di archivi elettronici, e sistemi informatici per ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
– è necessario l’adempimento di obblighi contabili, fiscali e previdenziali, a seguito di fatture emesse, e tali dati verranno necessariamente trasmessi per tali finalità ai soggetti deputati a svolgere le conseguenti attività, nonchè a soggetti pubblici interessati (enti previdenziali ed assistenziali, uffici finanziari, uffici comunali, ecc.);
– i dati personali sono soggetti ad un obbligo di conservazione, con le cautele sopra elencate, per il periodo temporale legato allo svolgimento dell’incarico professionale nonché agli obblighi di legge (contabili, fiscali e previdenziali) connessi all’espletamento
dell’incarico.
Oltre a ciò, si osserva che l’obbligo del registro delle attività di trattamento, che elenca le informazioni sulle caratteristiche dei trattamenti effettuati dal titolare del trattamento, non vige per le organizzazioni con meno di 250 dipendenti.
Va altresì aggiunto, per chiarezza, che il professionista effettuerà un trattamento dei dati personali anche nell’ambito dei rapporti di collaborazione o di lavoro (ad esempio con una segretaria, un collaboratore, il tecnico del computer, ecc) della gestione del libro paga e la gestione amministrativa del personale, e dovrà attenersi anche in questo caso ad una corretta gestione dei dati personali acquisiti in tali contesti.
I ruoli previsti dal Regolamento UE 2016/679 sono i seguenti:
– Ai sensi dell’art 4 comma. 7 del Regolamento UE 2016/679, il professionista sarà titolare del trattamento di tutte le informazioni che vengono allo stesso fornite dai clienti.
– Ai sensi dell’art. 4, par. 8 il responsabile del trattamento è invece la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che “tratta dati personali per conto del titolare del trattamento”. In pratica, è la persona che tratta dati personali per conto dello studio, ed è da considerarsi solo “esterno” allo studio. I soggetti a cui lo studio comunica i dati personali trattati sono considerati responsabili del trattamento (es.: commercialista, consulente del lavoro, consulente, fornitori di servizi digitali, conservatori di documenti informatici, ecc.).
– Il responsabile della protezione dei dati vi sarà poi ogniqualvolta il trattamento sia effettuato da un’autorità, un organismo ovvero un ente pubblico, le attività principali del titolare del trattamento e del responsabile del trattamento richiedano il monitoraggio
regolare e sistematico degli interessati su larga scala e se le loro attività principali (core business) li portano a trattare (su larga scala) categorie specifiche di dati, noti come dati “sensibili”. Tale figura, pertanto, sarà prevista solo nei casi così elencati.
(Fonte CNAPPC prot. 1278/18)