GDPR e commercialisti, tutte le regole per la data protection nelle attività fiscali | Agenda Digitale

La guida

GDPR e commercialisti, tutte le regole per la data protection nelle attività fiscali

Approfondiamo l’impatto del regolamento sulla data protection nel lavoro dei commercialisti e il loro inquadramento secondo l’organigramma previsto dal GDPR, considerando le attività professionali e i loro relativi aspetti privacy

21 Gen 2021

La definizione del ruolo privacy del commercialista dovrebbe essere argomento ben definito ed affrontato da numerosi giuristi ed esperti in materia di protezione dati personali. Gli aspetti fondamentali sono senza dubbio chiari, ma nonostante l’ampia letteratura sul tema, il tema continua a destare qualche dubbio nelle aziende che si avvalgono di questa figura professionale e devono definire il relativo ruolo privacy.

Tanto che anche l’EDPB ha realizzato un’ulteriore analisi delle casistiche che si possono presentare nella definizione dei ruoli come Titolare (“Controller”) e Responsabile (“Processor”). Approfondiamo come alla luce del GDPR come cambia il ruolo del commercialista in funzione del tipo di consulenza svolto in qualità di consulente fiscale o contabile, di revisore dei conti, nello studio associato e nella società tra professionisti.

Organigramma privacy nello studio del commercialista

Nel momento in cui è necessario definire i ruoli attraverso un atto, un accordo o un addendum alle clausole contrattuali, spesso si accende il dibattito tra commercialisti ed aziende, in base alle diverse declinazioni dell’attività in materia fiscale o contabile, espletata come singolo commercialista, società di professionisti o studio associato.

WHITEPAPER
Cosa fare per trovare, classificare e analizzare i dati in tempo reale?
Big Data
Cybersecurity

Prima di capire il ruolo del commercialista rispetto alle aziende clienti, vediamo quali sono gli attori che ruotano attorno al trattamento dei dati all’interno degli studi dei commercialisti. È molto importante capire la funzione rivestita dal commercialista rispetto ad un determinato trattamento, analizzare il contesto e definire a monte quali sono i soggetti presenti all’interno dello studio professionale che saranno coinvolti nel trattamento dei i dati.

Senza dubbio, il percorso da compiere affinché uno studio professionale possa dire di essere conforme al Regolamento Europeo per la protezione dei dati personali 2016/679 è molto faticoso ed impegnativo, proprio perché il commercialista si trova a trattare quotidianamente dati personali sia comuni che particolari. Consapevoli delle difficoltà di molti professionisti ad approcciarsi a questa materia, anche il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili (ODCEC) e la Fondazione Nazionale dei Commercialisti hanno ritenuto importante supportare i propri iscritti sul tema, pubblicando alcuni documenti utili[1] ed erogando formazione specifica sul tema, inserendola tra le materie oggetto della formazione professionale continua.

Come primo passo, il commercialista deve definire l’organigramma privacy dello studio, che sarà composto da:

  • il commercialista in qualità di Titolare del trattamento;
  • i dipendenti e collaboratori di studio che devono essere designati come Autorizzati del trattamento;
  • tutti i vari fornitori di servizi di cui il commercialista potrà avvalersi e che saranno Responsabili del trattamento o titolari “autonomi” a seconda delle situazioni; ed infine l’eventuale Data Protection Officer (DPO).

Le Linee guida EDPB

Il 7 settembre 2020 sono state pubblicate le linee guida[2] n. 7/2020 dell’EDPB[3] sui concetti di titolare e responsabile del trattamento, che sostituiscono l’opinione 1/2010 dell’ex Gruppo di lavoro art.29. Oltre alle fonti primarie del diritto abbiamo, dunque, anche questo documento interpretativo che è stato in pubblica consultazione fino al 19 ottobre 2020. L’EDPB, con l’emanazione di queste Linee Guida, ha inteso ribadire quali siano i ruoli dei soggetti coinvolti nei trattamenti dei dati personali, fornendo anche dei criteri per la loro corretta classificazione.

Andiamo a ricordare le caratteristiche dei vari soggetti, andando a calare tali definizioni nell’ambito dello studio del commercialista:

  • Il Titolare del trattamento è il soggetto che determina le finalità e le modalità di trattamento dei dati personali, cioè il perché e il come del trattamento. Il Commercialista, quindi, è Titolare del trattamento ogniqualvolta non si limita ad effettuare un’attività meramente esecutiva di trattamento, “per conto” del cliente, bensì esercita un potere decisionale del tutto autonomo sulle finalità e i mezzi del trattamento. Lo status giuridico di un soggetto come “titolare del trattamento” o “responsabile del trattamento” deve essere determinato, in linea di principio, dalle sue attività effettive in una situazione specifica, piuttosto che dalla designazione formale come “titolare del trattamento” o “responsabile del trattamento”, ad esempio tramite un contratto. Si sottolinea il fatto che per alcuni aspetti più pratici dell’attuazione dei trattamenti di cui il commercialista è titolare per la gestione del proprio studio, potranno, eventualmente, essere “esternalizzati” a propri fornitori, che saranno, se del caso, nominati responsabili del trattamento.
  • Il Contitolare del trattamento è colui che partecipa congiuntamente ad altri soggetti alla determinazione delle finalità e delle modalità di un trattamento di dati personali. La partecipazione congiunta può assumere la forma di una decisione comune presa da due o più soggetti o risultare dalle loro decisioni convergenti, quando le decisioni si completano vicendevolmente e sono necessarie affinché il trattamento avvenga in modo tale da avere un impatto determinante sulle finalità e sulle modalità del trattamento. Un criterio importante da considerate per individuare i casi di contitolarità, è che il trattamento non sarebbe possibile senza la partecipazione di entrambe le parti, nel senso che il trattamento da parte di ciascuna di esse è inscindibile.
  • Il Responsabile del trattamento è rappresentato dal soggetto che deve trattare i dati “per conto” e soltanto secondo le istruzioni del titolare del trattamento. Le istruzioni del titolare del trattamento possono comunque lasciare un certo margine di discrezionalità al responsabile su come assolvere al meglio i propri compiti, consentendo allo stesso di scegliere i mezzi tecnici e organizzativi più idonei. Non è una novità che le linee guida abbiano ribadito che il responsabile è entità giuridica “separata” dal titolare del trattamento (era già stato enunciato nell’opinion 1/2010 del WP29). Ne consegue che un dipendente non potrà essere responsabile del trattamento: tramonta definitivamente la nozione di responsabile “interno”, che resisteva ancora in parte della dottrina.

Sempre in tema di responsabili di trattamento, si registra una precisazione di fondamentale importanza: fornire un servizio non equivale a porsi nel ruolo di responsabile. Non bisogna pertanto applicare automaticamente il ruolo di responsabile del trattamento ad ogni fornitore di servizi. In particolare, relativamente alla nozione di responsabile, si evidenzia che la sua esistenza “dipende” da una decisione presa dal titolare del trattamento. Quest’ultimo può decidere se trattare i dati all’interno della propria organizzazione o se delegare tutte o una parte delle attività di trattamento a un’organizzazione esterna.

I trattamenti da parte di un responsabile del trattamento devono essere disciplinati da un contratto o altro atto giuridico che vincoli il responsabile del trattamento al titolare del trattamento, ai sensi dell’art. 28 del GDPR.

  • Gli Autorizzati sono tipicamente i dipendenti e i collaboratori che agiscono sotto l’autorità del titolare o del responsabile. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operino sotto la loro autorità. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta. Nell’ambito dello studio professionale sono “autorizzati”:
  • i dipendenti,
  • i praticanti,
  • i collaboratori dello studio con partita IVA con compiti di tenuta della contabilità, utilizzando le risorse dello studio e sotto le direttive del commercialista.

Nell’ambito dello studio possono essere individuati diversi livelli di autorizzazione a seconda delle mansioni svolte dai dipendenti/collaboratori, che saranno comunque designati ai sensi dell’art. 2-quaterdecies del Codice Privacy, come novellato dal d.lgs. 101/18. Come previsto dall’art. 29 del GDPR, inoltre, è fondamentale considerare che chiunque agisca sotto la l’autorità del titolare o del responsabile ed abbia accesso ai dati personali non possa trattare tali dati se non è istruito dal titolare del trattamento.

  • Il Responsabile della protezione dei dati (“RPD” o “DPO”) è il soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del GDPR (art. 37). Sul fronte dell’obbligo di nomina di un DPO per i commercialisti, il Garante della privacy ha dato un’indicazione di massima per cui lo studio singolo non deve nominare il DPO, mentre, per uno studio associato o società di professionisti il criterio distintivo è il dato dimensionale.

L’incarico di DPO può essere ricoperto sia da un dipendente/collaboratore del titolare o del responsabile, a patto che conosca la realtà operativa in cui avvengono i trattamenti, oppure può essere nominato un soggetto esterno, a condizione che garantisca l’effettivo assolvimento dei compiti che il GDPR assegna a tale figura.

I parametri della CNIL

Nel momento in cui è necessario fare delle valutazioni e dei ragionamenti su situazioni ambigue per la definizione dei ruoli, potrebbe essere d’aiuto fare delle riflessioni anche avvalendosi dei parametri individuati dalla CNIL[4] (Autorità francese per la protezione dei dati), che aveva effettuato un’analisi dei ruoli già prima del GDPR, invitando a considerare i seguenti criteri:

  • il livello di istruzioni preliminari e quindi il grado di autonomia del professionista;
  • il livello di monitoraggio da parte dell’azienda cliente sui servizi prestati;
  • la trasparenza tra cliente e professionista, ossia se la prestazione dei servizi da parte dei professionisti è accessibile da parte degli interessati;
  • livello di competenza richiesto, poiché quando il servizio richiede delle conoscenze e delle esperienze elevate tali che il cliente non potrebbe essere in grado di determinare essa stessa le modalità del trattamento e quindi dare delle istruzioni, in tal caso il professionista decide autonomamente come elaborare i dati.

La definizione del ruolo del commercialista

Al fine di inquadrare correttamente il commercialista quale soggetto titolare autonomo o responsabile del trattamento occorre analizzare due principali aspetti:

  • Le categorie dei soggetti i cui dati personali sono trattati dal professionista;
  • il grado di autonomia con il quale il professionista opera in relazione alle attività di trattamento connesse al lavoro di consulenza svolto.

Esaminiamo quali possono essere i criteri generali di inquadramento della figura del commercialista all’interno della normativa Privacy, anche relativamente ad alcune delle principali attività tipiche svolte. Il ruolo del commercialista può cambiare in base al tipo di consulenza svolta come consulente contabile e fiscale, consulente in materia di diritto del lavoro, membro del Collegio Sindacale o revisore dei conti, membro dell’Organismo di vigilanza. Sostanzialmente, per esporre la questione in maniera esemplificativa, le regole da seguire per inquadrare il ruolo sono almeno due:

  1. Verificare la tipologia di cliente e considerare il professionista contabile come titolare del trattamento nei rapporti con un cliente persona fisica, mentre come responsabile nel caso in cui il cliente sia una persona giuridica.
  2. Capire se l’azienda cliente possa, comunque, effettuare le attività oggetto del trattamento autonomamente, avvalendosi di personale interno, oppure se, al contrario, abbia necessariamente bisogno di un professionista abilitato dotato di autonomia decisionale ed indipendenza, ad esempio di una figura iscritta ad un albo, che attesti o certifichi con proprio parere o dichiarazione una particolare attività di trattamento.

Nello svolgimento delle proprie attività, il commercialista può trovarsi ad essere, alternativamente o simultaneamente, titolare e/o responsabile del trattamento dei dati personali. Nessun dubbio vi è quando il professionista tratta i dati personali dei propri clienti (persone fisiche) o dei propri dipendenti/collaboratori, nel qual caso egli sarà identificabile quale Titolare del trattamento, con il compito di adottare le più adeguate misure di sicurezza e organizzative per la governance del trattamento dei dati, tra cui sinteticamente:

  • il rilascio di idonea informativa ex art. 13 del Regolamento UE n. 2016/679 (GDPR) a tutti i soggetti interessati;
  • la tenuta e l’aggiornamento del Registro delle attività di trattamento, così come previsto dall’art. 30 GDPR;
  • la designazione dei soggetti autorizzati al trattamento dei dati, quali dipendenti, tirocinanti e collaboratori, con l’indicazione dei rispettivi permessi di accesso alle banche dati in funzione delle diverse attività da essi svolte;
  • la consegna di istruzioni ai propri soggetti autorizzati circa il trattamento dei dati personali e l’uso degli strumenti informatici connessi alle attività di lavoro;
  • il riscontro dei diritti degli interessati;
  • la tenuta di un registro dei data breach.

 Il Commercialista quale Titolare del trattamento

All’interno dello studio di consulenza il titolare del trattamento sarà, in funzione dell’organizzazione dello Studio: il singolo commercialista, lo studio associato, o la società tra professionisti. Il commercialista sarà in ogni caso titolare per tutto quanto riguarda l’organizzazione e la gestione del proprio studio, per tutti quei trattamenti che rientrano quindi nell’ambito della propria attività (gestione contabile, gestione personale, ecc.).

Nel caso di uno studio associato o società tra professionisti, il titolare del trattamento è la persona giuridica. Il titolare del trattamento sarà lo studio o la società, ossia il soggetto al quale competono le scelte sul trattamento dati. Non devono, quindi, essere considerate come “titolari” le singole persone fisiche che prestano la consulenza. L’informativa, ad esempio, dovrà essere resa dalla Società tra professionisti ai clienti. Nei casi in cui, al contrario, i dati dei clienti non fossero trattati dalla società ma dal singolo consulente, quest’ultimo dovrà rilasciare l’informativa, in quanto autonomo titolare.

Il commercialista è Titolare autonomo per tutte quelle attività svolte direttamente a favore della persona che richiede la prestazione, fornendo servizi ai cittadini e piccoli imprenditori sulla base di istruzioni generiche, come ad esempio la predisposizione dichiarazioni fiscali ed altri adempimenti alla persona fisica (elaborazione ed invio telematico modello Unico PF e 730, addebito F24/F23; elaborazione ed invio telematico modello IMU; elaborazione modello ISEE; richiesta rateazione di avvisi bonari e cartelle Agenzia della Riscossione; registrazione contratti d’affitto, etc).

Una fattispecie rilevante da considerare è quella in cui il professionista ricopre il ruolo da titolare nel trattamento nello svolgimento di incarichi come revisore dei conti o membro del collegio sindacale, così come nello svolgimento di incarichi disciplinati da leggi o regolamenti[5] che prevedano il rilascio di pareri, relazioni, perizie asseverate o visti da parte del professionista. L’inquadramento del ruolo è sicuramente di titolare autonomo in quanto queste attività vengono svolte in piena e completa autonomia e indipendenza.

Gli incarichi da revisore consistono essenzialmente nell’analisi dei bilanci, nella raccolta ed esame di documentazione probatoria relative alle poste di bilancio: sulla base degli elementi raccolti il revisore esegue e verbalizza le verifiche trimestrali, raggiunge le proprie conclusioni e formula i propri giudizi. Nell’esecuzione del proprio compito, il commercialista, nelle su indicate funzioni, può trattare dati personali relativi al personale, clienti e fornitori, contenuti nei dati gestionali, contabili, documentazione legale relativa a conteziosi, documenti di soggetti da identificare ai fini antiriciclaggio, etc.

Considerando che il sindaco/revisore, ottiene i dati che lui ritiene necessari, effettua scelte autonome sui trattamenti da svolgere, deve archiviare obbligatoriamente le copie dei propri “documenti di lavoro” per poterli esibire eventualmente alle Autorità competenti, è tenuto al segreto professionale, definendo autonomamente le finalità e le modalità di trattamento e fissando i tempi di conservazione, appare chiaro che il suo ruolo sia quello di titolare autonomo. Le attività descritte ovviamente non possono essere esaustive, in quando i campi d’azione possono essere numerosi; si pensi a tutti gli incarichi ricoperti nell’ambito delle procedure concorsuali, nelle successioni oppure in attività di consulenza in altre materie (analisi di bilancio, business planning, controllo di gestione, operazioni straordinarie, etc). L’obiettivo non è quello di fare un’elencazione completa, ma di esporre la ratio da applicare nella definizione dei ruoli.

Il Commercialista quale Contitolare del trattamento

Ci sono dei casi in cui il potere decisionale è condiviso tra più titolari, ossia mezzi e finalità del trattamento sono definiti da più commercialisti. Avviene ad esempio quando un incarico è condiviso. Si parla a tal proposito di contitolarità, prevista dall’art. 26 GDPR. Tale situazione si concretizza quando più professionisti, non uniti da un rapporto associativo o societario, decidono di condividere il trattamento dei dati. Occorre prestare particolare attenzione alle situazioni in cui più professionisti autonomi che collaborano nelle prestazioni e “condividono” la struttura (unica segreteria, unico software, unico server, ecc.).

I rapporti tra i contitolari devono essere definiti in un accordo ai sensi dell’art. 26 del GDPR, e tale accordo di contitolarità interno tra professionisti deve definire:

  • le responsabilità dei diversi professionisti in merito all’osservanza degli obblighi derivanti dal GDPR;
  • la modalità per l’esercizio dei diritti dell’interessato comprese le modalità di comunicazione delle informazioni di cui agli articoli 13 e 14 del GDPR (Informative).

Il contenuto essenziale dell’accordo deve essere messo a disposizione degli interessati. L’interessato può esercitare i propri diritti nei confronti di, e contro ciascun, titolare del trattamento.

Il Commercialista quale Responsabile del trattamento

Il commercialista sarà nominato responsabile del trattamento dai propri clienti nei casi in cui “per una società, che fornisce istruzioni molto dettagliate, ad esempio commissionando uno specifico audit, per cui il contabile non ha margine di discrezionalità, deve essere considerato come responsabile del trattamento”[6]. Si intendono, quindi, tutte quelle attività di data entry, elaborazione dati e controllo contabile che non richiedono delle decisioni del professionista, in tal caso il contratto di tenuta della contabilità oppure nell’elaborazione dei cedolini paga dei dipendenti del cliente presenta le seguenti caratteristiche in materia di trattamento di dati personali:

  • i dati personali sono quelli relativi ai clienti, fornitori e dipendenti del soggetto committente;
  • il commercialista tratta i dati per conto del committente;
  • il commercialista tratta i dati assumendo proprie decisioni sempre nell’ambito delle istruzioni ricevute (istruzioni relative al trattamento dei dati personali).

Il Commercialista quale Soggetto autorizzato del trattamento

In alcuni casi, il commercialista deve essere considerato come soggetto autorizzato o designato[7], si pensi a quando ad esempio ricopra un incarico come membro dell’Organismo di Vigilanza (“OdV”), istituito ai sensi del D.lgs 231/2001. In questo secondo caso, la definizione del ruolo ha sollevato molte perplessità e dibattiti.

L’intervento del Garante privacy

Il Garante, nel Parere del 21 maggio 2020 sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza, previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231, ha precisato il ruolo e le responsabilità degli Organismi di Vigilanza riguardo ai trattamenti dei dati personali svolti nelle loro funzioni, determinando che i singoli membri dell’OdV dovranno essere designati quali soggetti autorizzati al trattamento dei dati personali.

Prima del parere del Garante, tale figura era stata talvolta definita da parte della dottrina come titolare autonomo, essendo lo stesso dotato di autonomi poteri di iniziativa e controllo. Un’altra fazione, invece, lo considerava come responsabile del trattamento esterno, si tratta di tutti coloro che sostenevano che le finalità non fossero definite dall’OdV, ma determinate a norma di legge. C’era chi poi, valutava l’OdV “un organismo dell’ente”, un organo interno della società, una parte integrante per la quale non fosse necessaria alcuna designazione o autorizzazione dell’Organismo, ma semmai la “nomina dei suoi membri quali autorizzati del trattamento dei dati personali ai sensi dell’art. 26 GDPR e dell’art. 2-quaterdecies Codice Privacy[8]”.

Le attività contabili analizzate dall’EDPB

Tornando alle Linee Guida dell’EDPB, sui ruoli nelle attività di trattamento, l’obiettivo del rilascio di tale documento è quello di assicurare un approccio coerente e armonizzato in tutti i Paesi dell’Unione europea in materia di trattamento dei dati personali, attraverso una definizione dei ruoli ed una disamina di numerose fattispecie e situazioni che aiutano a fugare alcuni dubbi sui casi pratici che possono indurre in errore nella definizione dei ruoli dei soggetti coinvolti.

Attività di consulenza contabile

Si analizza il caso in cui un’azienda decida di rivolgersi ad uno studio di consulenza contabile esterno all’azienda per effettuare dei controlli sulla contabilità e pertanto trasferisce a quest’ultimo i dati relativi alle operazioni finanziarie (compresi i dati personali). Se la società di consulenza tratta questi dati senza istruzioni dettagliate da parte dell’azienda, operando quindi con un elevato grado di autonomia definendo mezzi e finalità del trattamento, allora deve essere considerata come un Titolare autonomo. Tuttavia, bisogna ben valutare il contesto ed il tipo di istruzioni ricevute dal committente, perché nel caso in cui, la società di consulenza svolgesse un’attività limitata e sulla scorta di istruzioni molto dettagliate del titolare, potrebbe agire come responsabile.

Dunque, se il commercialista svolge attività per conto del cliente (titolare del trattamento) e non ha alcuna autonomia decisionale sulle informazioni trattare, lo stesso deve essere nominato responsabile ai sensi dell’articolo 28 del GDPR. Se il professionista non riceve specifiche istruzioni a cui attenersi, conserva ampio margine di manovra ed autonomia su come utilizzare i dati personali che gli sono starti trasmessi, allora può essere considerato un autonomo titolare (ad esempio, analogamente a come avviene per gli avvocati, nel caso in cui il professionista si trovi a dover difendere un cliente davanti alla Commissione tributaria).

Attività di gestione cedolini paga

Si analizza il caso in cui un’azienda decida di rivolgersi ad uno studio di consulenza per il pagamento delle retribuzioni del proprio personale dipendente. L’azienda fornisce istruzioni chiare su chi pagare, quali importi accreditare, entro quale data effettuare gli accrediti, da quale banca, per quanto tempo conservare i dati, quali dati è possibile comunicare alle autorità fiscali, ecc. In questo caso, il trattamento dei dati è effettuato per perseguire la finalità dettate dall’azienda cliente, ovvero effettuare il pagamento degli stipendi ai propri dipendenti e la società di payroll non può utilizzare i dati per propri scopi diversi. Il modo in cui la società che ha in carico la gestione dei pagamenti dovrebbe effettuare il trattamento è in sostanza chiaramente e nettamente definito. In ogni caso, la società di consulenza può prendere alcune decisioni in merito a questioni secondarie relative al trattamento, come ad esempio di quale software avvalersi, come assegnare gli accessi all’interno della propria organizzazione, ecc. Queste scelte non vanno, comunque, ad alterare il suo ruolo di responsabile, almeno fino a quando la società di payroll non vada contro o oltre le istruzioni impartite dall’azienda.

In questo esempio si parla di gestione dei pagamenti degli stipendi, ma in generale è possibile allargare la visuale, considerando l’inquadramento del ruolo valido anche per l’elaborazione delle buste paga, e quindi quella parte di consulenza in materia di lavoro, che avvenga rispettando istruzioni ben precise dettate dall’azienda. Quali sono, infatti, le possibili analogie interpretative con il ruolo privacy del consulente del lavoro?

I fronti critici della classificazione

Alcune criticità in tale classificazione sono state esaminate dal Garante Privacy, in risposta ad uno specifico quesito sottoposto all’Autorità da parte del Consiglio Nazionale dei Consulenti del Lavoro. Con la nota del 22 gennaio 2019, il Garante ha precisato che i consulenti del lavoro che trattano i dati dei dipendenti dei propri clienti devono essere identificati quali responsabili del trattamento ex art. 28 GDPR, rimarcando il fatto che il titolare, per lo svolgimento di determinate attività, “può individuare un soggetto particolarmente qualificato allo svolgimento delle stesse (in termini di conoscenze specialistiche, di affidabilità, di struttura posta a disposizione), delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare”.

Con tali argomentazioni, il Garante ha voluto mettere in evidenza i margini di autonomia della figura del Responsabile del trattamento rispetto a quella dei soggetti identificati quali “soggetti autorizzati al trattamento”, i quali invece operano unicamente sotto l’autorità del Titolare o del Responsabile, come previsto dall’art. 29 del GDPR. L’identificazione del consulente del lavoro quale responsabile, così come delineato dal Garante, si riflette anche nell’individuazione della corretta base giuridica del trattamento dei dati c.d. particolari (ex sensibili) dei clienti del datore di lavoro, per i quali si applica l’art. 9, comma 2, lett. b) del GDPR.

In tal caso, infatti, la legittimità del trattamento si “trasferisce” alle operazioni svolte dal consulente del lavoro in ragione del contratto di sua designazione a responsabile del trattamento. Tali osservazioni dell’Autorità potrebbero, quindi, essere interpretate in via analogica anche in relazione ad altre figure professionali, quali la categoria dei commercialisti, che presenta tratti comuni con quella dei consulenti del lavoro e che comunque hanno competenza ed abilitazione a prestare consulenza in materia di lavoro, sia per tipologia di trattamenti, sia per il grado di autonomia con cui entrambe le categorie professionali operano.

Anche tenendo in considerazione quanto affermato dalla Autorità Garante circa il ruolo dei consulenti del lavoro, non è comunque possibile delineare un confine netto tra i casi in cui il commercialista agisce quale titolare autonomo o quale responsabile del trattamento. Tale scelta dovrebbe essere sempre fatta valutando concretamente le effettive attività che il professionista svolge a favore dei propri clienti, esaminando quindi in dettaglio le singole operazioni di trattamento e le relative modalità e mezzi utilizzati, evitando così di adottare soluzioni uniformi che non sarebbero in linea con il rispetto del principio di accountability (“obbligo di dare conto”) previsto dal GDPR.

La prassi diffusa è tuttavia quella di cristallizzare le categorie professionali (avvocato, commercialista, consulente del lavoro) entro i ruoli di titolare o di responsabile. I concetti di titolare, contitolare e di responsabile del trattamento, alla luce delle definizioni ai sensi dell’art. 4 del GDPR, svolgono una funzione cruciale nell’applicazione della normativa Privacy. Individuano, innanzitutto, i soggetti chiamati in prima persona al rispetto della disciplina sulla protezione dei dati personali, ma anche i soggetti nei confronti dei quali gli interessati possono esercitare i loro diritti, nonché delineano l’attribuzione delle rispettive responsabilità. Gli schemi generali possono essere utili per dare indicazioni di massima, ma devono essere filtrati con il criterio “funzionale”, che mira anche a ripartire le responsabilità in base ai ruoli effettivi delle parti, anche in funzione dell’eventuale risarcimento dei danni e delle possibili sanzioni.

Principali trattamenti del commercialista 

Tenendo sempre a mente che:

  • qualsiasi operazione che coinvolga un dato personale configura un’attività di trattamento;
  • le finalità del trattamento consentono di definire il trattamento;
  • i trattamenti sono stati individuati facendo riferimento alle diverse tipologie di attività nell’ambito delle quali vengono trattati i dati personali.

Di seguito si fornisce un suggerimento di “tipologie” dei trattamenti tipici del commercialista che non può essere considerata esaustiva, ma può essere di aiuto per capire come identificare il ruolo del consulente.

Tipologia di trattamentoRuolo del commercialista
Contabilità dello studio

Titolare del trattamento

Contabilità Clienti e Fornitori
Selezione del personale
Gestione dei dipendenti/collaboratori dello Studio
Gestione adempimenti sicurezza e salute sui luoghi di lavoro e sorveglianza sanitaria
Formazione del personale
Dichiarazione dei redditi persone fisiche
Consulenza finanziaria società di persone e ditte individuali e professionisti
Attività di Sindaco/Revisione
Obblighi di adeguata verifica della clientela[9]
Consulenza in materia tributaria
Invio newsletter
Gestione IT studio
Sito internet studio
Invii telematici delle dichiarazioni fiscali
Elaborazione dati contabili per conto dei clientiResponsabile del trattamento
Elaborazioni paghe per conto clienti
Trattamento dati quale membro di un ODVAutorizzato al trattamento

Conclusione

La nostra analisi è stata effettuata allo scopo di ribadire la complessità del terreno su cui spesso è chiamata ad operare la figura del commercialista, che come avviene per altre figure professionali, può prestare attività di consulenza eterogenee e diversificate, in cui ci si deve muovere nel rispetto della protezione dei dati personali.

Alla base di ogni scelta di un Titolare del trattamento, devono esserci ponderate analisi e valutazioni basate sulla “sostanza” delle cose e non su una mera catalogazione in categorie formali o schemi predefiniti: si può tra l’altro sostenere che questa sia la filosofia che permea tutto il Regolamento Europeo. Alla fine tali scelte saranno sì riportate in dei documenti, che però rappresenteranno solo l’aspetto “formale” della normativa, utile per “dar conto” delle scelte effettuate e delle motivazioni che sono alla base delle stesse.

_

Note

  1. Il Regolamento UE/2016/679 “General Data Protection Regulation” (GDPR): nuove regole comunitarie e precisazioni in materia di protezione dei dati personali; Checklist di base per gli studi professionali ).
  2. Guidelines 07/2020: “Guidelines on the concepts of controller and processor in the GDPR”.
  3. Comitato Europeo per la Protezione dei Dati.
  4. CNIL – “Les question posees pour la protection des donnees personnelles par l’externalization hors de l’Union Europeenne de traitements informtiques” del 9 settembre 2010.
  5. Documento di Ricerca n.227 Assirevi di Febbraio 2019.
  6. Codice della Disciplina Privacy, Bolognini- Pelino, Giuffrè Francis Lefebvre (2019).
  7. Ex. Art. 29 GDPR, Art. 2-quaterdecies Codice Privacy.
  8. Codice della Disciplina Privacy, Bolognini- Pelino, Giuffrè Francis Lefebvre (2019)
  9. Art. 12 D.Lgs. n. 231/2007.

Digital event, 15 giugno
CyberSecurity360Summit: come rispondere alle necessità di aziende e PA?
@RIPRODUZIONE RISERVATA

Articolo 1 di 2