E’ comune sentire colleghi che considerano il GDPR l’ennesimo adempimento posto a carico dei commercialisti che dovranno occuparsene sia per propri studi che per dei clienti.

Già il termine utilizzato “adempimento” fa emergere quanta poca informazione (non osiamo scrivere formazione, troppo sarebbe preteso) sia stata fatta sul regolamento 2016/679 a due anni dalla sua emanazione, soprattutto considerando che esso dal 25 maggio sarà pienamente applicabile anche nella parte relativa alle sanzioni e controlli.

Confrontandoci con l’esperienza di altri paesi europei, come Germania, Austria o Francia, l’informazione fornita fino ad oggi in Italia è stata davvero scarsa: sul sito del garante troviamo solo una scarna guida con indicazioni che possono facilmente indurre in errore.

Ma i commercialisti e tutti i professionisti devono fare i conti con questa mal e scarna informazione.

In questo silenzio il CNDCEC ha gettato un sasso nello stagno producendo un documento che, se non altro, pone all’attenzione del professionista l’esistenza del GDPR.

 Il vero problema è valutare la bontà di tale documento che appare informativo ma lacunoso in molte parti e privo di una documentazione adeguata a quanto prevista in materia di informativa e acquisizione del consenso dal GDPR.

Vediamo quali sono i punti salienti che vanno evidenziati del documento prodotto dal CNDCEC in modo da fornire una breve panoramica sui controlli da fare per verificare la propria posizione:

  • Identificare correttamente i soggetti i cui dati devono essere trattati secondo il GDPR: soggetti interessati sono esclusivamente le persone fisiche;
  • Valutare quando siamo titolari del trattamento e quando invece responsabili, in modo da produrre un’adeguata informativa. Spesso saremo responsabili del trattamento e l’azienda cliente sarà la titolare.
  • Elencare i trattamenti svolti ed eseguire un’analisi dei rischi a cui sono soggetti i dati, per quanto tempo verranno conservati i e come verranno gestite le richieste da parte degli interessati in merito ad essi; attrezzarsi per consentire la portabilità dei dati. Questa fase comporta l’analisi di tutta la filiera del dato dalla sua provenienza fino alla sua eventuale cancellazione.
  • Controllare che la struttura hardware e software sia compliant al GDPR, come politiche di protezione, di aggiornamento dei sistemi e delle infrastrutture e sostituire, ove possibile, software (ad. esempio windows xp) non aggiornabili o adottare in tali casi misure di sicurezza tali da impedire perdite di dati (ad esempio non collegarli alla rete internet e fare una politica di accesso alla macchina molto rigida). In questa fase sarà necessario acquisire dai fornitori del software applicativo le informazioni necessarie;
  • Curare le informative rivolte alla clientela e valutare in base al trattamento il tipo di consenso che il soggetto interessato deve prestare. Per il consenso preso secondo le informative fornite della vecchia norma 196/2003 se queste hanno le caratteristiche previste dal GDPR si ritengono ancora valide e di conseguenza anche il consenso prestato.
  • Approntare un piano di formazione sia per i titolari che per i dipendenti dello studio che saranno incaricati del trattamento, in base ai ruoli effettivamente svolti e conformemente al GDPR.
  • Curare la conservazione dei dati cartacei (che confluiranno anch’essi nel registro dei trattamenti) e il loro trattamento.
  • Il registro dei trattamenti del titolare, obbligatorio per imprese con più di 250 dipendenti, è uno strumento prezioso e consigliabile sempre nei nostri studi in quanto rende evidente come avviene la filiera del trattamento e come abbiamo valutato i rischi connessi ad un trattamento.

 Tutte queste indicazioni si trovano nella checklist  fornita dal Consiglio Nazionale.

Il 25 maggio è ormai vicinissimo ed è necessario almeno cominciare il cammino di adeguamento al GDPR, anche alla luce delle discordanti esternazioni fatte dal Garante della privacy Antonello Soro, che dopo aver dichiarato che non avrebbe concesso alcun  un periodo di grazia ( diversamente dal CNIL autorità garante francese, che ha stabilito che per i primi mesi qualora il titolare dimostri di aver  intrapreso un processo di GDPR compliance non verranno elevate sanzioni), sembra aver fatto parzialmente retromarcia, dichiarando in un’ intervista rilasciata il 3  maggio al Sole24ore che accompagnerà «le imprese italiane e i soggetti pubblici in questo passaggio con un approccio equilibrato e pragmatico, facendo appello alla categoria della saggezza». «Naturalmente – prosegue Soro – la nostra attenzione si rivolgerà in modo prioritario alle grandi strutture, nelle quali maggiore è la concentrazione dei dati».   E’ vero che prioritariamente non significa esclusivamente, ma fa  sperare in un atteggiamento, in caso di controllo, di orientamento e non punitivo  per realtà come gli studi professionali. La legge delega che deve armonizzare il regolamento (che ricordiamo dal 25 maggio sarà esecutivo in ogni sua parte) attraverso un provvedimento di attuazione da approvarsi entro il 19 maggio a oggi non ha ancora completato l’iter di approvazione, e non si sa come si coordineranno le norme esistenti, quando compatibili, col GDPR.  Da parte sua ADC sta elaborando un documento con maggiori approfondimenti in merito alle misure per valutare la situazione interna degli studi in merito all’adeguamento al GDPR.

Di seguito alcuni link a documentazione e software:

Testo integrale del regolamento 679/2016 aggiornato all’ultima revisione:

https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ITA

Documento CNDCEC :

http://www.cndcec.it/Portal/News/NewsDetail.aspx?id=5c6326d2-860c-49be-b51f-d59798a66601

Software  valutazione d’impatto gratuito fornito dal CNIL anche in lingua italiana:

https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment