Privacy: da onere a opportunità per i commercialisti

Il Cndcec e la Fnc hanno pubblicato nella giornata di ieri un approfondimento dal titolo “Il regolamento Ue/2016/679 General Data Protection Regulation (GDPR): nuove regole comunitarie e precisazioni in materia di protezione dei dati personali”.

Un documento che si focalizza soprattutto sul cambiamento culturale nell’approccio al modello di gestione della Privacy, sugli obblighi del professionista e, infine, sul ruolo decisivo e centrale che potrebbe ricoprire la figura del commercialista in tutto il processo.

Ancora una volta infatti, secondo il documento curato dal gruppo di lavoro PRIVACY, un nuovo adempimento potrà trasformarsi da criticità per la professione a potenziale opportunità.

Come puntualizzato nell’introduzione dal Vicepresidente Davide Di Russo, questo nuovo cambiamento all’interno degli studi professionali e non solo - che sicuramente costituisce l’ennesimo onere per i professionisti – potrà, infatti, al contempo considerarsi per gli iscritti all’Albo un’opportunità di sviluppo per l’attività di consulenza in materia di privacy.

I commercialisti potranno considerarsi come il fulcro dell’intero sistema, in quanto da un lato potranno porsi come validi interlocutori verso le Autorità Competenti e, dall’altro, quali professionisti esperti verso la Pubblica Amministrazione, il mondo delle imprese e delle altre professioni.

Ulteriore leva per ampliare il perimetro delle attività di consulenza offerte dai Commercialisti potrebbe essere il ricoprire la figura di auditor in un processo valutativo dinamico basato sulla Risk Analisys tipico dei sistemi di gestione di Internal Auditing.

Allegata al documento vi è inoltre un’utile check list di base per gli studi professionali, un valido strumento in cui vengono analizzati i singoli aspetti del Regolamento, dai diritti degli interessati, all’individuazione dei dati personali trattati, alle modalità di conservazione, ai requisiti di trasparenza, alla sicurezza del trattamento fino anche alla gestione di un eventuale data breaches ovvero una violazione dei dati personali.

Tutti punti di analisi per una verifica interna agli studi e per una valutazione del livello di adeguamento raggiunto in relazione alle nuove regole.

Il contenuto della check list - In dettaglio, la compilazione della check si caratterizza e si articola per i seguenti tre aspetti:

1. Mappatura delle categorie di dati raccolti, trattati e conservati in modo tale da catalogare le varie tipologie di dati personali e trattarli secondo particolari e specifiche modalità. Tale disamina dovrà essere poi estesa a tutti gli interessati e, dunque, anche al comparto fornitori e, ove presenti, ai dipendenti e tirocinanti, seguendo le stesse modalità utilizzate per la mappatura dei trattamenti riferiti ai clienti.
2. Compilazione con possibilità di commenti, ad ogni check di azioni possibili - Vengono richiamati i singoli articoli del regolamento che coinvolgono l’azione di monitoraggio per facilitare la verifica della maggiore o minore adeguatezza della propria organizzazione al regolamento stesso. La compilazione in autovalutazione permette in primo luogo di individuare gli ambiti di intervento per conformarsi al regolamento stesso, andando ad analizzare tutte le misure mancanti. Attraverso ciò si potrà avere una prima sintetica individuazione delle azioni di rimedio da porre tempestivamente in essere.
3. Individuazione, al termine della compilazione, delle misure relative all’adeguato trattamento dei dati non ancora attuate - Il risultato complessivo dell’analisi, desunto dalle varie tabelle, conduce alla fine al completamento di un’ultima tabella che, se compilata in maniera corretta, può costituire una semplice base per la redazione del registro delle attività di trattamento di cui all’art. 30 del GDPR.

Opportunità per i commercialisti - Riguardo all’opportunità di sviluppo per la consulenza in materia di Privacy per i commercialisti, l’approfondimento dedica un intero paragrafo esponendo dettagliatamente i punti di forza della Professione.

In particolare, da ciò che si evince dal documento, i professionisti iscritti all’Albo dei Dottori Commercialisti e degli Esperti Contabili sono già esperti in materia di privacy avendo maturato esperienza professionale (ciascuno nel proprio ambito e grazie al proprio percorso formativo) già a partire dalla Legge 675/96, passando poi all’attuale D. Lgs. 196/03 e approfondendo anche l’analisi del GDPR (considerato che la privacy rientra tra le materie oggetto della formazione professionale continua a cura degli Ordini territoriali e degli altri enti accreditati).

Vi è già una moltitudine di professionisti esperti che da anni svolge attività di consulenza in tema di privacy, poiché ha seguito l’evolversi della norma accanto alle aziende clienti.

Di conseguenza, secondo il parere della FNC e del CNDCEC, in attesa di tali interventi normativi, si ritiene che l’iscritto all’Albo possa ricoprire - in forza delle specifiche competenze maturate - l’incarico di DPO per società ed enti, specificando allo stesso tempo come il Regolamento stesso puntualizza che in riferimento all’incarico da ricoprire dovranno essere valutate specifiche condizioni ovvero dovranno essere presi in considerazione i requisiti di indipendenza e valutate attentamente eventuali situazioni potenzialmente idonee a generare un conflitto di interesse.