gdpr

Professionisti e privacy: breve guida agli adempimenti

Quali sono gli effetti dell’entrata in vigore del GDPR sugli studi professionali e sull’attività dei singoli professionisti: gli adempimenti da mettere in atto in fatto di trattamento dei dati, sicurezza e le procedure preventive in caso di data breach. Una breve guida

15 Nov 2018
privacy_405457639

Il recente decreto attuativo n. 101 del 10 agosto 2018, contenente le disposizioni per l’adeguamento della normativa nazionale al Regolamento  (UE) 2016/679 (GDPR), coinvolge senza dubbio tutti i professionisti, operanti sia in forma individuale che all’interno di studi professionali, che si trovano quotidianamente a raccogliere e trattare una mole considerevole di dati personali, per finalità connesse al servizio richiesto dai clienti. Si pensi al commercialista che fornisce consulenza in materia fiscale o contabile, all’avvocato che deve curare la difesa del cliente, redigere pareri o contratti e ancora al consulente che gestisce le questioni in materia di diritto del lavoro.

Quali saranno gli effetti che il Regolamento dispiegherà sull’attività dei professionisti? Quali i passi che dovranno essere effettuati per l’attuazione di un corretto processo di compliance?

Gli effetti del GDPR sui professionisti

Come detto, in prima battuta, i professionisti saranno chiamati ad adeguare i propri studi professionali; sotto altro profilo, non deve essere tuttavia sottovalutata la potenzialità del Regolamento che può rappresentare un’importante occasione per offrire consulenza ai propri clienti, a loro volta chiamati all’adeguamento.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Il professionista dovrà, anzitutto, valutare l’impatto della nuova disciplina sulla propria organizzazione e provvedere al coordinamento di quest’ultima con la normativa previgente.

Prima di procedere all’attuazione degli adempimenti imposti dal GDPR, si renderà necessaria una valutazione preliminare sulla categoria di dati trattati in seno all’organizzazione professionale e, in particolare, se vengono trattati dati sensibili, per poi individuare quali siano i soggetti preposti al trattamento dei dati medesimi, del loro ruolo e della loro responsabilità. Successivamente dovranno essere individuate le finalità per le quali i dati sono raccolti e, quindi, verificare se il trattamento si fondi sui principi di correttezza, trasparenza e liceità; infine dovranno essere individuati gli ambiti di diffusione e comunicazione dei dati.

Il professionista dovrà inoltre verificare che i dati che raccoglie siano esclusivamente quelli necessari, pertinenti ed adeguati alle finalità per le quali sono trattati, di conservarli solo per il tempo necessario al conseguimento delle finalità e di prevederne adeguata protezione (art. 5 GDPR).

Dopo questo primo screening si dovranno gestire i singoli adempimenti, senza trascurare l’aspetto, parimenti importante, della sicurezza informatica.

L’adeguamento dovrà essere sempre condotto alla luce dei principi cardine del Regolamento, in particolare quelli della privacy by design e della privacy by default (art. 25) che impongono di garantire la protezione dei dati fin dalla progettazione e per impostazione predefinita ed il principio di accountability (art. 24) che prescrive al titolare del trattamento di mettere in atto misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare, che il trattamento è effettuato in maniera conforme al GDPR.

Quali sono gli adempimenti da mettere in atto

Il Regolamento quale documento programmatico non enuncia, tuttavia, in maniera puntuale quali siano gli adempimenti da porre in atto, fornendo solo una direzione nella quale muoversi.

Il professionista, quale titolare del trattamento e dunque soggetto che ne determina le finalità e i mezzi (art.4) ha quindi maggiore discrezionalità nel decidere come conformarsi alla normativa, ma ha l’onere di dimostrare le ragioni a supporto di tali decisioni e le motivazioni per cui ritiene che le medesime siano conformi con il Regolamento.

In prima approssimazione ed in maniera sommaria, il professionista dovrà rivedere le informative rilasciate ai propri clienti, dipendenti e fornitori onde renderle conformi ai contenuti dell’art. 13. In particolare dovrà essere specificato il nuovo nucleo di diritti riconosciuti agli interessati che, con il Regolamento, si vedono aumentare il proprio potere di opposizione verso quei trattamenti ritenuti non più opportuni o legittimi.

Dal punto di vista soggettivo sarà di fondamentale importanza individuare i soggetti coinvolti nel trattamento dei dati personali, con precisa distinzione dei ruoli e, soprattutto, delle conseguenti responsabilità.

Titolarità e contitolarità del trattamento

In linea generale, il professionista rivestirà il ruolo di titolare del trattamento, ovvero quel soggetto, persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità ed i mezzi del trattamento dei dati personali. Nel caso di più professionisti operanti all’interno della stessa struttura occorrerà verificare l’applicazione dell’art. 26 sulla contitolarità del trattamento, vale a dire indagare se i professionisti operino determinando congiuntamente le finalità e i mezzi del trattamento e, in caso affermativo, predisporre un accordo interno nel quale sono individuate le rispettive responsabilità e gli obblighi circa il trattamento dei dati personali. Diversamente, nel caso in cui ciascun professionista riceva un incarico per specifiche attività o prestazioni, egli sarà autonomo titolare del trattamento, elaborando personalmente le modalità del medesimo.

Sarà poi necessario procedere alle nomine, mediante lettera di incarico, degli autorizzati al trattamento (art. 29), quei soggetti che all’interno della struttura gestiscono i dati per conto del titolare – che definisce le modalità e le finalità del trattamento – e che devono ricevere adeguate istruzioni operative sulla gestione e sulla protezione dei i dati.

Atti di nomina dovranno essere predisposti anche per tutti quei soggetti ai quali vengono trasferiti i dati (si pensi al fornitore del servizio di hosting nel quale è alloggiato il sito web dello studio professionale) c.d. responsabili del trattamento (art. 28), che effettuano il trattamento per conto del titolare e che devono presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, di modo che il trattamento stesso sia conforme ai principi del GDPR e garantisca la tutela dei diritti degli interessati.

Gestione degli archivi cartacei e Registro delle attività

Neppure deve essere trascurato l’aspetto della gestione degli archivi cartacei: la semplice raccolta di fascicoli relativi alla causa di un cliente o alla sua posizione retributiva, svolto senza l’ausilio di strumenti automatizzati, è un trattamento di dati personali ai sensi dell’art. 4.2 del GDPR.

I risultati ottenuti al termine dell’assessment sopra descritto dovranno essere trasposti nel registro delle attività di trattamento (art. 30), strumento operativo di pianificazione e controllo dell’organizzazione, che consente di censire i trattamenti in essere riducendo il rischio di quelli illeciti. Seppur non gravi un obbligo di adozione del registro in capo ai professionisti, il Garante ne raccomanda l’adozione, quale elemento fondamentale di un sistema di corretta gestione dei dati personali.

Le misure di sicurezza

Non da ultimo, come già anticipato, è opportuno ribadire come le prescrizioni giuridico-normative si intreccino a quelle tecnologiche e di sicurezza informatica, al fine di un corretto processo di adeguamento.

L’art. 32 prescrive al titolare del trattamento l’adozione di misure tecniche ed organizzative adeguate per garantire un livello di sicurezza corrispondente al rischio, assicurare la disponibilità, l’integrità e la riservatezza dei dati e prevenirne gli accessi abusivi, la divulgazione non autorizzata, la dispersione, l’alterazione o la modifica. L’efficacia di tali misure dovrà essere regolarmente verificata dal titolare del trattamento.

A titolo meramente esemplificativo si consiglia, ove possibile, di adottare le misure della pseudonimizzazione e della cifratura dei dati personali, di aggiornare periodicamente i sistemi operativi, le applicazioni e i programmi, di installare meccanismi antielusione come i firewall, effettuare il backup continuo dei dati ed utilizzare chiavette USB protette da password o che consentano di criptare i dati ivi contenuti. Di non minor importanza è l’utilizzo e l’aggiornamento periodico di password per l’accesso ai sistemi informatici in cui vengono archiviati i dati, redigendo un vademecum da divulgare all’interno dello studio professionale su come le password debbano essere custodite ed amministrate.

Il professionista dovrà anche pensare a procedure preventive in caso di scoperta di violazioni dei dati personali (data breach), dal momento che ogni titolare del trattamento deve darne comunicazione all’Autorità tempestivamente e, in ogni caso, entro 72 ore dalla scoperta.

Certamente tali adempimenti potranno essere più o meno onerosi a seconda della complessità organizzativa dello studio professionale e dell’attività in esso svolta, della categoria e della quantità di dati che vengono trattati: tanto più complessa sarà la struttura, tanto più complessi saranno gli adempimenti richiesti.

La nomina di un DPO

Si pensi, ad esempio, alla valutazione sulla la nomina di un Data Protection Officer (DPO o Responsabile per la protezione dei dati). La nomina è da escludere – come più volte ribadito dagli Ordini di categoria – per i professionisti singoli o operanti in piccole strutture mentre può essere valutata in caso di studi dotati di un numero elevato di professionisti, divisi per settori di attività e, soprattutto, se l’attività prevede relazioni internazionali.

E ancora allo studio che si avvale di un provider con server localizzato in uno Stato extra-UE, sul quale vengono archiviati i dati personali dei clienti: in tal caso sarà necessario ragionare sul trasferimento dei dati all’estero e prevedere delle apposite clausole contrattuali che lo facoltizzino.

Gli Ordini rappresentativi delle varie categorie professionali si sono già più volte pronunciati sui risvolti che il GDPR esplicherà sui loro iscritti, fornendo linee guida su come condurre l’adeguamento (sul punto Documento del Consiglio Nazionale dei Dottori Commercialisti ed Esperti Contabili e della Fondazione Nazionale dei Commercialisti sull’applicazione del GDPR del 27 aprile 2918, Linee guida per gli avvocati sulla privacy del Consiglio Nazionale Forense del 22 aprile 2018 e Guida all’utilizzo delle nuove regole in materia di privacy del Consiglio Nazionale dell’Ordine dei consulenti del lavoro del 2 maggio 2018).

Si tratta, in ogni caso, di consigli operativi e di check list di autovalutazione del proprio studio che non devono essere considerate sufficienti per ottenere la conformità della propria organizzazione alle disposizioni del GDPR.

Anche per gli studi professionali, come si è visto, vige il principio di accountability e, pertanto, a prescindere dall’adozione di quanto suggerito dalle check list, ciascun professionista dovrà dimostrare di avere valutato con discernimento la propria posizione in termini di adozione di adeguati modelli organizzativi ed adeguate misure di sicurezza, tramite procedure trasparenti nei confronti degli interessati.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati