Nuova Privacy 2018

16 aprile 2018

Commercialisti e privacy: una cyber security necessaria

privacy policy dati personali sicurezza
Fra gli adempimenti a cui dare priorità assoluta, nel processo di adeguamento al nuovo Regolamento Ue 679/2016, in uno studio professionale è sicuramente la messa in sicurezza dei dati personali da attacchi cibernetici e non solo, attraverso l’utilizzo di nuovi strumenti informatici o attraverso la definizione di misure organizzative interne.

Basti pensare alle conseguenze nefaste e l’impatto di non poco conto che potrebbe avere un attacco di un virus informatico, un furto di un pc contenente informazioni relative ai clienti o conversazioni, mail private, ecc., la perdita di una chiavetta USB o la sottrazione di documenti con dati personali.

Può, infatti, accadere in qualsiasi studio professionale un incidente di sicurezza in cui i dati sensibili, protetti o riservati vengano consultati, copiati, trasmessi, rubati o utilizzati da un soggetto autorizzato.

I dati violati potrebbero ad esempio riguardare:
  • l’ambito finanziario, ad esempio dati di carte di credito e di conti correnti;
  • l’ambito sanitario, come informazioni sulla salute personale e malattie (il commercialista conserva e tratta i dati sensibili dei clienti, si pensi ai dati relativi a spese mediche, infortuni ecc.);
  • proprietà industriale, quali documentazione riservata, lista clienti, progetti aziendali ecc. (che potrebbero essere utilizzati se in mani diverse per pratiche di concorrenza sleale);
  • personali, ad esempio dati di documenti di identità, codici personali ecc.

Il commercialista, per adempiere al proprio lavoro, fa un uso di innumerevoli dati personali dei propri clienti ed è obbligato sia alla riservatezza dei dati acquisiti che alla tutela dei dati personali per il codice deontologico della professione a cui appartiene oltre che per il nuovo obbligo del Regolamento privacy, quale il porre in essere tutte le misure necessarie per scongiurare qualsiasi rischio collegato all’utilizzo di tali dati.

Riportando l’art. 10 del Codice deontologico, gli obblighi a cui è richiamato il commercialista infatti son ben chiari e distinti: “1. Il professionista, fermi restando gli obblighi del segreto professionale e di tutela dei dati personali, previsti dalla legislazione vigente, deve mantenere l’assoluto riserbo e la riservatezza delle informazioni acquisite nell’esercizio della professione e non deve diffondere tali informazioni ad alcuno, salvo che egli abbia il diritto o il dovere di comunicarle in conformità alla legge”.

Se ne deduce quindi che il professionista è obbligato non solo alla riservatezza e quindi deve far particolare attenzione alle norme per evitare di far trapelare informazioni riguardanti tutto ciò che è la sfera del cliente ma anche alla tutela e alla protezione dei dati personali secondo la normativa vigente, che attualmente è il codice della privacy ma che presto diventerà obsoleto con la piena attuazione a partire dal 25 maggio del Regolamento Ue e dal Decreto che verrà approvato in via definitiva il 19 maggio (proprio a ridosso della data imposta per l’adeguamento).

Mentre, per quanto riguarda la tutela dei dati nel Regolamento Ue, viene esplicitamente richiamato anche il metodo a cui poter fare affidamento per mantenere la sicurezza e prevenire trattamenti in violazione al Regolamento.

Nel Considerando 83 viene indicata infatti la cifratura delle informazioni quale sistema di sicurezza da adottare: “Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere”.

In relazione, quindi, ai metodi da adottare per la sicurezza dei dati per evitare che siano persi, alterati, distrutti o comunque trattati illecitamente e onde evitare sanzioni e risarcimenti, analizziamo i due metodi chiave che potrebbero essere utilizzati all’interno di uno studio professionale: la pseudonomizzazione e la cifratura dei dati.

La pseudonomizzazione dei dati prevede che le informazioni debbano essere conservate in una forma che ne impedisca l’identificazione dell’utente. In tal modo, qualora si verificasse un incidente come quelli sopra descritti, chi ne venisse in possesso non potrebbe utilizzarli o comunque essere in grado di consultarli o associarli ad alcuno senza avere informazioni aggiuntive.

Illustriamo le caratteristiche di tale metodo:
  • il trattamento dei dati personali è eseguito in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive;
  • le informazioni aggiuntive sono conservate separatamente;
  • i dati NON sono attribuiti a una persona fisica identificata o identificabile;
  • l’utilizzo di codici e pseudonimi.

Per quanto riguarda il metodo consigliato anche dal considerando 83 sopra riportato, ossia la cifratura, essa è da considerarsi un ottimo metodo per proteggere le informazioni sensibili. In termini molto semplici la cifratura non è altro che una modalità di conversione del testo originale in una sequenza apparentemente casuale di lettere, numeri e segni speciali che solo la persona in possesso della corretta chiave di decifratura potrà riconvertire nel file di testo originale.

Andrebbe comunque effettuata un’attenta analisi dei rischi (risk analisis) a cui è soggetta l’organizzazione, analizzando le vulnerabilità e identificando le possibili salvaguardie (backup periodico dei dati, sicurezza password, crittografia, pseudonimizzazione dati, ecc..) per minimizzare al massimo l'esposizione ai rischi collegati al trattamento dei dati personali, anche per non incorrere in pesanti sanzioni a cui si sottopone l’intera disciplina.

Sempre nel considerando 83 viene specificato a tal riguardo che: “Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale”.

Un eventuale danno materiale o immateriale, lo ricordiamo, secondo l’art. 82 del Regolamento va risarcito dal titolare o dal responsabile del trattamento direttamente all’interessato.

Nello specifico nella suddivisione delle responsabilità tra il titolare e il responsabile, il Regolamento precisa che il titolare “risponde per il danno cagionato dal suo trattamento che violi il presente regolamento”, mentre il responsabile “risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento”.

Anche se il nuovo Regolamento obbligherà molte aziende ad adeguarsi e ad essere conformi per evitare i rischi di una violazione dei dati, sicuramente tutto ciò contribuirà anche a generare un’ondata di innovazione tecnologica, informatica e organizzativa che porterebbe senz’altro un migliore utilizzo dei dati per far fronte alle sfide quotidiane dell’era digitale in cui viviamo.
Autore: Redazione Fiscal Focus
 © Informati S.r.l. – Riproduzione Riservata
Categorie: Privacy > Disposizioni generali

Per inserire i vostri commenti dovete registrarvi.