Privacy e adempimenti GDPR i temi della terza giornata del forum dei commercialisti

Nella terza ed ultima giornata del Forum Nazionale dei Commercialisti ed Esperti Contabili svoltosi a Milano nei tre giorni scorsi, ha aperto i lavori il tema degli “Adempimenti privacy”.

Il confronto tra gli intervenuti – coordinato e moderato da Marino Longoni, Direttore ItaliaOggi Sette – ha preso il via con le relazioni di Antonio Ciccia Messina, Esperto privacy, Rocco Panetta, Country leader IAPP Italia e Giovanna Bianchi Clerici, Componente Autorità garante per la protezione dei dati personali.
Quello della privacy è un tema di grande attualità, a seguito dell’entrata in vigore – lo scorso 25 maggio - del nuovo Regolamento europeo ad essa relativo (Regolamento UE n. 2016/679, noto altresì con l’acronimo inglese GDPR- General Data Protection Regulation) e dell’ancor più recente entrata in vigore (19 settembre u.s.) del decreto legislativo di adeguamento - D.lgs. 10 agosto 2018, n. 101, recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” - che avrebbe dovuto rendere più chiari gli adempimenti privacy.

In realtà, l’intero complesso normativo di nuovo conio ha di fatto reso più complesso l’approccio dei professionisti e delle imprese alla nuova disciplina sulla privacy, aggravando anche i relativi adempimenti. L’incontro ideato in occasione del Forum di Milano ha, pertanto, cercato di fare chiarezza sugli aspetti ancora dubbi della nuova disciplina.
Di grande spessore l’intervento d’apertura, affidato a Giovanna Bianchi Clerici, che ha, anzitutto, voluto sottolineare come organizzazione e continuità nel trattamento dei dati siano essenziali ai fini di una corretta e valida applicazione della normativa sulla privacy.
L’approccio all’uopo suggerito è, secondo la Bianchi Clerici, quello del “privacy by design”, basato su tre principi: coscienza dei trattamenti effettuati; analisi dei rischi; scelta consapevole delle soluzioni. Secondo tale visione, in sostanza, il concetto di base del GDPR diventa quello dell’accountability, cioè della responsabilizzazione: è il titolare del trattamento dati che deve prendere coscienza dei dati trattati ed avere consapevolezza delle soluzioni da adottare caso per caso, in relazione al contesto aziendale in cui opera. Ciò, dunque, comporta che non sia possibile l’utilizzo di misure di sicurezza predefinite ma la valutazione deve essere contestualizzata con la specifica situazione.

Cambia, dunque, anche il ruolo dell’Autorità Garante della Privacy, che non fungerà da “balia”, in quanto la valutazione delle misure idonee a garantire il rispetto della privacy dovrà essere effettuata autonomamente dai titolari del trattamento dati, secondo una modalità “dinamica”, ossia adeguata al contesto di riferimento. Conseguentemente, i professionisti, gli studi e tutti coloro che si occupano di dati sensibili dovranno preliminarmente effettuare una mappatura dei dati trattati e, quindi considerarne la natura (se si tratta di dati sensibili, dati giudiziari o altro), analizzandola in maniera preventiva, cioè valutando il livello rischi in caso di comunicazione o diffusione non autorizzata dei dati e anche i costi.
Sempre secondo la Bianchi Clerici, la trasparenza è il principio fondamentale del nuovo Regolamento privacy e, pertanto, ciò cui uno studio professionale deve prestare primaria attenzione è, oltre alla mappatura dei dati, la revisione dell’informativa privacy.

Tanto ai fini di mantenere il rapporto di fiducia tra professionisti e clienti quanto in funzione di eventuali verifiche ed ispezioni da parte della Guardia di Finanza, è, inoltre, necessario che il professionista sia in grado di dimostrare la liceità e l’adeguatezza delle misure di sicurezza adottate per evitare incidenti informatici, accessi abusivi ai dati o data breach.
Ancora, secondo la Bianchi Clerici, l’obbligo di tenuta del registro dei trattamenti, pur non essendo esplicitamente previsto per le aziende che hanno meno di 250 dipendenti (a meno che il trattamento effettuato possa presentare un rischio per i diritti e le libertà degli interessati, non sia occasionale, o includa il trattamento di categorie particolari di dati o i dati personali relativi a condanne penali e a reati), è, tuttavia, fondamentale per dimostrare la correttezza dell’azienda nel rispetto delle norme sostanziali che disciplinano la protezione dei dati e, dunque, necessita in tutti i casi in cui si trattano, seppur occasionalmente, dati sensibili.
Il registro del trattamento dei dati è uno degli strumenti aziendali consigliati dal Garante mediante il quale il quale effettuare un tracking costante, per non perdere il controllo delle informazioni trattate. In caso di controlli, sarà attraverso il tale registro che si potrà dimostrare di aver operato in conformità al GDPR. Altri strumenti da utilizzare per il corretto adempimento degli obblighi sulla privacy sono: il codice di condotta; le certificazioni; le clausole standard.

In tema di sanzioni, la Bianchi Clerici ha chiarito che Il Decreto legislativo di adeguamento al GDPR non ne prevede deroghe od esoneri in caso di violazione delle nuove regole sulla privacy. Tuttavia è previsto un periodo transitorio (di 8 mesi) per l’avvio graduale del nuovo sistema sanzionatorio, oltre che procedure semplificate per le micro, piccole o medie imprese (su tale aspetto, anzi, il Garante per la Privacy sta elaborando delle linee guida per rendere più semplice la procedura di applicazione del regolamento).
E sulla vaghezza delle indicazioni contenute nel GDPR e nel decreto di adeguamento in tema di sanzioni si è espresso anche Antonio Ciccia Messina, Esperto privacy, che ha, peraltro, sottolineato come – più in generale - la normativa sulla privacy sia ancora disorganica e generica, nonostante un percorso ormai ventennale. Difatti ha ricordato, per esempio, che riguardo alla nomina del DPO negli studi professionali non esiste alcun obbligo né esiste una norma specifica sulla nomina del DPO per gli studi associati.

In chiusura della tavola rotonda, Rocco Panetta, Country Leader IAPP Italia, ha trattato alcuni aspetti operativi, tra i quali la possibilità che il commercialista possa essere nominato DPO esterno di uno o più dei propri clienti.
Panetta a riguardo ha rilevato come, in tal caso, la questione vada valutata secondo criteri di opportunità: pur non esistendo, nella normativa nazionale e comunitaria, un divieto specifico in tal senso è tuttavia evidente che, in talune situazioni, il commercialista DPO del proprio cliente potrebbe trovarsi in evidenti situazioni di conflitto di interessi.
Difatti, nell’esercizio della funzione di fornitore di servizi economico-contabili o di consulenza, il commercialista prende decisioni a favore del proprio cliente. Il DPO, secondo quanto previsto dal Regolamento, deve invece essere un soggetto terzo, con autonomia professionale e di giudizio.

Quindi, nel caso di richiesta di nomina come DPO, il commercialista - così come qualsiasi professionista in possesso di adeguate competenze - dovrà essere in grado di valutare quello che può essere il proprio grado di autonomia e indipendenza.
È comunque più opportuno ritenere che sia meglio evitare la nomina dei commercialisti a DPO esterno.
A livello internazionale, invece, la questione è risolta dall’l’Information Commissioner’s Office, che prevede esplicitamente che i commercialisti non possano essere nominati DPO esterni poiché ciò minerebbe la tutela dell’integrità ed indipendenza professionale.

La giornata è poi proseguita con la tavola rotonda sugli “Adempimenti antiriciclaggio”, con gli interventi - ancora moderati da Marino Longoni – di: Giovanni Padula, Comandante nucleo speciale Polizia valutaria del GdF, Roberto Ciciani, Direttore Ministero Economia, Raffaele Marcello, Consigliere Nazionale Cndcec con delega ai sistemi di controllo, Luca Criscuolo, Titolare Divisione Normativa e Rapporti Istituzionali della Unità di Informazione Finanziaria, Roberto Tasca, Assessore Bilancio e Demanio Comune di Milano, Annalisa De Vivo, Ufficio di Presidenza Cndcec, Fabrizio Vedana, Vicedirettore Unione fiduciaria.

In chiusura, è stata la volta di un intervento sul tema “La rivoluzione digitale e le sue conseguenze sull’organizzazione dello studio professionale”, con gli interventi - moderati da Michele Damiani, Giornalista ItaliaOggi - di: Emilio Baselice, Direttore Generale In.te.s.a, Giuseppe Virgone, Agid, Gilberto Gelosa, Consigliere Nazionale Cndcec delegato alla fiscalità, Maurizio Grosso, Consigliere Nazionale Cndcec delegato innovazione e organizzazione degli studi, Corrado Mandirola, Mpo, Michela Zampiccoli, Filosofia Fiscale Srl, Fulvio Talucci, Chief Solution Officer di TeamSystem.