Il tuo studio è pronto per il nuovo regolamento privacy? Intervista con Theodora Dragan

di Cristina Bosi

Il 25 maggio 2018 è una data da segnare in rosso nel calendario: è la data in cui inizia ad applicarsi il nuovo Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (più semplicemente il “Regolamento Privacy”).

Non vi sarà un ulteriore periodo di adeguamento al Regolamento, che è già entrato in vigore a maggio 2016. Pertanto, tutte le aziende e gli studi professionali che svolgono attività di trattamento di dati personali negli Stati Membri o che offrono prodotti o servizi a persone che si trovano nell’Unione Europea dovranno adeguarsi alle nuove regole entro i prossimi sei mesi…

I nuovi obblighi introdotti dal Regolamento e gli adempimenti che dovranno essere compiuti sono stati presentati lo scorso 5 ottobre, durante un Convegno organizzato da Valore Studio Zucchetti con l’Odcec di Piacenza.

Ecco la breve intervista alla relatrice, Dott.ssa Theodora Dragan, laureata in giurisprudenza alla “University College London” e specialista in materia di privacy.

Perché è così importante l’impatto del Regolamento Privacy? 

A differenza della precedente Direttiva 95/46/EC in materia di protezione dei dati, la quale richiedeva un intervento legislativo per la sua implementazione in ogni Stato membro, il Regolamento Privacy si applicherà direttamente in tutti gli Stati membri dell’Unione Europea. Tutte le disposizioni dell’attuale d. lgs. 196/2003 (cd. “Codice Privacy”) che non sono in linea con quelle del Regolamento non saranno più valide a partire dal giorno 25 maggio 2018. Questo interessa verosimilmente tutte le aziende e gli studi professionali poiché è difficile (se non impossibile) pensare oggi ad una struttura che non tratti dati personali. Infatti, la definizione di “dato personale” prevista dal Regolamento (“qualsiasi informazione riguardante una persona fisica identificata o identificabile”) è volutamente ampia.

Oltre al nome, cognome e ai dati di contatto, molte altre informazioni possono costituire “dati personali” ai sensi del Regolamento laddove essi consentono l’identificazione di una persona (ad es., l’indirizzo IP, la posizione geografica rilevata attraverso il telefonino, le valutazioni soggettive su una persona ecc.). Per maggiori dettagli consiglio di consultare il Parere 4/2007 sul concetto di dati personali redatto dal Gruppo di Lavoro sArt. 29.

Il dato personale è ormai diventato elemento fondamentale dell’economia moderna e tante attività all’interno degli studi professionali sono qualificabili come trattamento di dati personali. Ad esempio, le attività di sviluppo commerciale (come attività di marketing, l’invio di newsletter, la profilazione dei clienti) o l’affidamento dei dati dei dipendenti della società ad un fornitore esterno (ad esempio per la gestione di assicurazioni o payroll) costituiscono trattamenti di dati personali che dal 25 maggio 2018 dovranno essere in conformità con le disposizioni del Regolamento Privacy.

Quali sono le principali novità del Regolamento?

Direi che la novità principale è la cd. responsabilizzazione (“accountability“) del titolare del trattamento, che potrà svolgere in autonomia determinate attività che prima dell’entrata in vigore del Regolamento erano di competenza dell’Autorità per la Protezione dei Dati Personali (es. la valutazione d’impatto sulla protezione dei dati personali, la decisione relativa all’utilizzo del legittimo interesse come base legale per il trattamento dei dati, ecc.). Di fatto, con il nuovo Regolamento le società che trattano dati personali avranno più autonomia, fermo restando il rispetto dei principi sanciti nel Regolamento e l’adozione di misure adeguate per tutelare i diritti degli interessati.

Le novità riguardano anche i requisiti per la raccolta di un consenso valido, l’ampiamento delle definizioni delle diverse categorie di dati, la procedura di notifica in caso di violazione dei dati personali, i concetti di “privacy by default” e “privacy by design”, il requisito di mantenere aggiornato un registro per il trattamento dei dati per le aziende con oltre 250 dipendenti, l’introduzione della figura del Responsabile per la Protezione dei Dati, i nuovi diritti degli interessati, ed altro ancora.

In realtà vale la pena notare che molte delle “novità” erano delle “best practice” già prima dell’entrata in vigore del Regolamento. Ad esempio, alcune società utilizzavano già un registro di tutte le attività di trattamento dei dati personali per tenere traccia delle varie attività svolte, dei soggetti interessati e degli eventuali fornitori coinvolti – basti pensare al famoso “Documento Programmatico per la Sicurezza”, che aveva una funzione simile e che era tenuto da alcune società su base volontaria.

Anche il ruolo di Data Protection Officer, che è stato “ufficialmente” introdotto dal Regolamento, era già previsto in alcune organizzazioni che avevano già in precedenza individuato una figura responsabile per tutte le attività che riguardano i trattamenti dei dati personali. Il Garante per la protezione dei dati personali ha creato sul proprio sito uno spazio dedicato agli aggiornamenti e alle linee guida per l’individuazione del DPO, accessibile a questo indirizzo.

Quali sono i principali obblighi per gli Studi Commercialisti?

Gli obblighi derivanti dal Regolamento sono diversi per ogni realtà, in base all’ampiezza e alla varietà delle attività di trattamento di dati, ma anche in base alla tipologia di clienti che si affidano allo studio e al volume dei dati personali trattati.

Alcuni adempimenti saranno applicabili a tutti gli studi commercialisti:

  1. Fornire un’informativa adeguata che contenga tutti gli elementi previsti dall’Art. 13 del Regolamento – tali requisiti sono più numerosi rispetto a quelli previsti dal Codice privacy, e includono, ad esempio, la necessità di specificare il periodo per cui saranno conservati i dati e le modalità di esercizio dei nuovi diritti degli interessati;
  2. Trattare i dati personali sul presupposto di una base legale valida e solo per le finalità per le quali sono stati raccolti o per finalità con esse compatibili;
  3. Identificare i soggetti ai quali i dati personali potranno essere comunicati e gestire i rapporti con essi attraverso Accordi per il trattamento dei dati, come richiesto dall’Art. 28 del Regolamento(ai sensi della nuova Legge 20 novembre 2017, n. 167 (Legge Europea 2017), che è entrata in vigore il 12 dicembre 2017 modificando, tra l’altro, l’Art. 28 del Codice Privacy, il Garante potrebbe predisporre schemi tipo per tali accordi; si consiglia di monitorare gli sviluppi in merito);
  4. Identificare eventuali trasferimenti di dati fuori dall’UE e assicurarsi che essi vengano effettuati correttamente, adottando misure idonee per garantire la sicurezza dei dati;
  5. Adottare misure di sicurezza idonee secondo la tipologia del dato personale: il Regolamento non contiene un elenco specifico di “misure minime di sicurezza” (come attualmente previsto dall’Allegato B del Codice privacy) e quindi dette misure dovranno essere valutate caso per caso e essere adeguate al trattamento posto in essere, alla tipologia di dati trattati e alle tecnologie disponibili;
  6. Cancellare i dati in modo corretto al termine del trattamento: occorrerà separare i dati che devono essere conservati per finalità di legge da quelli che invece non sono più necessari (e che devono pertanto essere cancellati).

Quali sono le principali domande che uno studio dovrebbe porsi?

Direi, innanzitutto, che la compliance con il nuovo Regolamento va intesa come un processo continuativo e non come un’attività “one-off”. Pertanto, gli studi professionali potrebbero cogliere l’occasione per effettuare un’analisi completa dei flussi di dati all’interno della propria realtà. Si potrebbe partire dal punto di “ingresso” dei dati (ad es. come sono raccolti i dati? Direttamente dal cliente? Anche da altre fonti? Se sì, quali?) e proseguire con i dettagli relativi al trattamento (ad es. con quali strumenti sono trattati? Che misure di sicurezza sono necessarie? Come si potrebbero valorizzare i dati?), arrivando al punto di “uscita” del dato dallo studio (ad es. quando lo cancello? Lo restituisco al cliente? Quali sono le modalità adeguate per cancellare il dato?).

Le sanzioni cambieranno rispetto al passato?

Il Codice Privacy prevede attualmente delle sanzioni amministrative specifiche per diverse violazioni. Anche se gli importi possono essere ridotti o aumentati fino a quattro volte se considerati eccessivi ovvero inefficaci in relazione alla realtà a cui andrebbero applicati, risulta comunque abbastanza chiaro quale livello di rischio corrisponde a quale violazione. Questo cambierà con il Regolamento, poiché non sono previste sanzioni specifiche, essendo indicata solo la soglia massima ossia il 4% del fatturato globale di un’impresa. Pertanto, è difficile anticipare quale potrebbe essere la sanzione applicata per una determinata violazione. Occorrerà sicuramente monitorare gli ulteriori sviluppi in materia, partendo anche dalle linee guida sull’applicazione delle sanzioni amministrative pubblicate recentemente dal Gruppo di Lavoro Articolo 29 (disponibili a questo indirizzo).

Come potrebbe essere valorizzata l’attività di adeguamento al Regolamento?

Acquisire il controllo reale ed effettivo sui dati personali può portare maggiori opportunità per lo studio, soprattutto per quanto riguarda la gestione dei contatti con i propri clienti. Ad esempio, raccogliendo e analizzando i dati dei clienti in modo corretto, lo studio potrebbe comprendere meglio le loro esigenze e sviluppare dei servizi mirati alle loro necessità specifiche. Inoltre, un approccio responsabile alla privacy e un trattamento corretto dei dati personali porteranno ad una minimizzazione dei rischi derivanti da accessi non autorizzati o da potenziali violazioni dei dati. Di conseguenza, si creerà una maggior fiducia nei confronti dello studio da parte dei clienti, i quali conoscono sempre di più i rischi associati al trattamento dei dati personali e che quindi prestano sempre più attenzione alla selezione delle realtà professionali a cui affidano mansioni che richiedono tale trattamento.

Da vent’anni mi occupo di marketing e comunicazione per gli studi professionali. Attualmente coordino il team Valore Studi Zucchetti organizzando eventi accreditati.

2018-04-10T12:33:40+00:00

Leave A Comment