Applicazione del GDPR Regolamento Europeo Privacy UE negli Studi Professionali

 

In base a quanto viene previsto dal Regolamento GDPR (UE) 2016/679 del Parlamento Europeo il prossimo 25 di maggio 2018 tutti coloro che esercitano un’attività di natura libero-professionale saranno tenuti ad adeguarsi alle nuova normativa europea in materia di trattamento dei dati personali, anche se operano singolarmente o sono organizzati in piccoli studi.

Fondamentale comprendere quali sono gli adempimenti di base necessari al professionista per rendere le modalità con cui si svolgono le sue attività coerenti non solo con quanto già stabilito dal Legislatore Nazionale (Garante Privacy) in materia di tutela dei dati personali ma anche con quanto previsto dal Regolamento GDPR

Caso tipico è quello di chi si trova a dover raccogliere e trattare dati personali esclusivamente per finalità connesse al servizio che gli è stato richiesto da parte del cliente. Per esempio il caso del commercialista che fornisce consulenza in materia contabile o fiscale ai propri clienti, oppure dell’avvocato che deve curare una difesa in giudizio o redigere contratti o pareri, del consulente del lavoro che amministra pratiche in materia di diritto del lavoro per conto di un’impresa cliente o dell’ingegnere edile che si trova a curare progetti relativi ad iniziative urbanistiche.

Prima ancora di iniziare qualunque attività che coinvolga la componente della sicurezza informatica o del trattamento automatizzato dei dati, risulta necessario verificare che il trattamento sia fondato sui principi fondamentali del Regolamento (UE) 2016/679, ovvero principi di liceità, correttezza, trasparenza ed adeguatezza: quindi sarà opportuno verificare che i dati raccolti e trattati siano esclusivamente quelli strettamente necessari, pertinenti ed adeguati a svolgere la finalità per cui sono stati richiesti, che siano state adottate le misure necessarie per aggiornarli o rettificarli tempestivamente al bisogno, che siano conservati esclusivamente per il tempo necessario ad espletare l’incarico conferito sulla base del principio di Data Retention (salvo il tempo ulteriore necessario a rispettare le norme amministrative e/o di prescrizione) e che siano adeguatamente protetti appunto sotto il profilo della sicurezza informatica.

Ulteriore passo è quello di accertarsi che le Informative, già necessariamente utilizzate per adempiere al precedente Codice per la tutela dei dati personali Dlgs. 196/2003, debbano essere sostanzialmente modificate per renderle conformi all’articolo 13 del Regolamento GDPR (UE) 2016/679, anche perché le nuove caratteristiche dell’art.13 del GDPR prevedono che nell’Informativa dovrebbero essere specificati i nuovi diritti degli interessati e l’opportunità di dotarsi di strumenti che assicurino al cliente, in maniera effettiva, il facile esercizio degli stessi (ricorso al Garante)

Il tipico esempio dello Studio Associato (anche di fatto), ed è il caso in cui più professionisti si trovino ad operare all’interno del medesimo studio, sarà invece opportuno verificare se alla propria compagine organizzativa debba essere applicato quanto viene previsto dall’articolo 26 del Regolamento (UE) 2016/679 e quindi verificare se i professionisti operano in qualità di contitolari del trattamento, determinando di comune accordo modalità e finalità del trattamento dei dati (in tal caso si dovrà sottoscrivere un accordo interno in cui i professionisti disciplinano le proprie responsabilità e obblighi in materia di dati personali) oppure se, diversamente, per essi operano gli articoli 28 e 29 del Regolamento e quindi se i collaboratori dello studio gestiscono dati personali per conto di un titolare che fissa finalità e modalità del trattamento

In tal caso sarà necessario provvedere, mediante opportune lettere di incarico, che tali collaboratori vengano adeguatamente informati del loro compito e responsabilizzati, anche mediante l’obbligatorio corso su sicurezza e privacy come prevede il GDPR, corso che effettuato da consulente esterno allo studio, ed il cui risultato verrà allegato agli atti della lettera di incarico.

Le nomine dei responsabili sono parte essenziale del processo di accountability, per cui lo stesso si dovrà fare con il fornitore provider del servizio di hosting, nel quale è alloggiato l’eventuale sito web e su cui transitano le email e con l’eventuale consulente od azienda ICT che si occupa di “aggiornare o manutenere il software gestionale e la rete informatica dello studio” e con tutti gli altri eventuali soggetti cui si trasferiscono dati di clienti o collaboratori fuori dallo studio (si pensi ad esempio a coloro che forniscono il servizio di fatturazione elettronica in outsourcing).

Nel caso di specie, quello dello studio in cui operano più professionisti in cui vengono trattati dati esclusivamente connessi all’adempimento dell’obbligazione contrattuale relativa all’esecuzione degli obblighi fiscali o del lavoro, i dipendenti che hanno accesso ai dati trattati nell’ambito dell’attività dell’ufficio dovranno essere designati come “incaricati del trattamento” (Data Handler) o comunque autorizzati a gestire i dati limitatamente a ciò che ad essi compete ed ai collaboratori dovranno essere impartite, inoltre, istruzioni operative o linee guida su come gestire i dati di terzi e proteggerli adeguatamente.

Sarà quindi necessario impiegare meccanismi che permettano di evitare accessi abusivi ai dati, alterazioni o modifiche degli stessi, cancellazioni, divulgazioni non autorizzate o violazioni di altro tipo

Sarà quindi necessario impiegare meccanismi di protezione come i firewall e utilizzare password sicure per accedere ai sistemi informatici dello studio in cui sono archiviati dati personali, provvedendo a redigere opportune best practices su come tali password dovranno essere custodite e amministrate e prevedendo, se si dispone di un sito web, procedure con cui ad esempio è possibile inviare richieste mediante la compilazione di form sul sito con l’impiego di obbligatori protocolli SSL di sicurezza, anche perché il professionista, in qualità di titolare del trattamento, dovrà essere in grado di dimostrare di aver messo in atto misure adeguate che provino che il trattamento viene effettuato conformemente a quanto viene dettato da parte del Regolamento GDPR

Particolarmente importante per interscambio dei dati è l’uso di chiavette USB dotate di password o anche chiavette che consentono di criptare i dati ivi contenuti (il Regolamento, infatti all’articolo 32 consiglia proprio l’impiego di strumenti che consentano di cifrare i dati o comunque usare la pseudonimizzazione). Occorrerà poi ricorrere a strumenti che permettano di effettuare il backup di sicurezza, meglio se continuo dei dati, come ad esempio potrebbe essere un servizio di cloud fornito da un soggetto terzo ed in ambito UE di cui sarà necessario vagliare l’affidabilità e il grado di sicurezza offerto prima di sottoscrivere il contratto, designando, tra l’altro, anch’esso, responsabile del trattamento.

Obbligo di mantenere i sistemi operativi ed i firmware degli apparati hardware sempre aggiornati, e per i vari programmi e le applicazioni utilizzata prevedere una manutenzione periodica.

Si consiglia inoltre di controllare i vari devices, come smartphone o tablet, impostando una limitazione all’uso in rete dei dati contenuti, se su di essi sono conservati o transitano in qualche modo anche dati relativi a clienti.

Si tenga poi presente che anche il professionista, in qualità di titolare del trattamento (o contitolare, mentre il responsabile dovrà in ogni caso comunicare un’eventuale violazione al titolare che lo ha incaricato) è chiamato a comunicare al Garante eventuali violazioni sui dati personali entro 72 ore dal momento in cui ne viene a conoscenza, pertanto, occorrerà pensare anche a procedure preventive che consentano di intervenire velocemente sulla violazione e procedere tempestivamente alla comunicazione all’Autorità

È chiaro che se, ad esempio uno studio ha il server in uno Stato estero fuori dall’Unione (come negli USA), su cui vengono archiviati dati personali, ad esso si applicano anche le norme relative al trasferimento di dati all’estero, mentre se si tratta di uno studio dotato di un numero elevato di professionisti e collaboratori suddiviso per settori di attività, si dovrà pensare anche di effettuare una DPIA, ovvero una “Data Protection Impact Assessment” o “valutazione d’impatto sulla protezione dei dati” (il considerando n. 91 del Regolamento esclude l’obbligatorietà della valutazione d’impatto sulla protezione dei dati per singoli professionisti, quali il singolo avvocato o medico) e nominare un DPO/RPD ovvero un “Data Protection Officier”.

Nuove Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato

A tale riguardo le recenti linee guida del Garante Italiano Privacy riguardo la nomina del DPO/RPD ha chiarito che ricorrendo i suddetti presupposti della nomina come da GDPR, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento

O.L.I.T. Informatica

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Condividi allo stesso modo 4.0 Internazionale.

Annunci