Commercialisti - GDPR privacy

Consulente privacy
Ugo Carlo Chiolerio
Sito in costruzione
Vai ai contenuti
Privacy - Regolamento UE - Studio di commercialista - obblighi
1)      Elencare le categorie di interessati e i dati personali raccolti e conservati ( dipendenti , clienti ,fornitori ,…)
2)      Obbligo di informativa e richiesta di consenso all'interessato
a)      Stiamo raccogliendo noi i dati o li raccolgono terzi ?
b)      Quali dati raccogliamo ?
c)       Quale base giuridica applichiamo ?
d)      Condividiamo i dati con terzi ?
e)      Come utilizzeremo i dati ?
f)       Per quanto li conserviamo ?
g)      Conosciamo i diritti dell’interessato e li descriviamo nella informativa ?
h)      Esistono procedure per dimostrare il consenso ottenuto ?
i)        Esistono procedure per consentire all’interessato la revoca, oblio , rettifica dei dati e del consenso ?
j)        Esistono procedure , in caso di minori , per verifica età e ottenere consenso da genitore/tutore ?
k)      Esiste una procedura per il diritto di accesso ai dati personali su richiesta dell’interessato ?
l)        Esiste una procedura per la portabilità dei dati in formato strutturato ?
m)    Lo studio utilizza processi automatizzati o di profilazione ?
3)      Creare organigramma relativo allo studio di commercialista
4)      Tutti gli incarichi e le designazioni effettuate necessitano di documentazione scritta
5)      Effettuare la valutazione del rischio
a)      Il titolare assume la funzione di responsabile generale per la sicurezza dei dati
b)      Il titolare assume la funzione di custode delle credenziali o nomina un referente apicale
c)       Lettere di incarico per i responsabili  dei dati all’interno della struttura
d)      Verifica della messa in regola dei fornitori del software utilizzato per la gestione dei dati
e)      Nominare i responsabili esterni ( consulente del lavoro , studio legale , cloud )
f)       Impegno scritto  dell’impresa di pulizia alla riservatezza
g)      Verifica messa norma eventuale sito web con informative e consensi
h)      qualora lo studio disponga di telecamere (con o senza registrazione delle immagini) dovrà essere specificato che sono stati assolti tutti gli obblighi previsti in materia di videosorveglianza ed allegata copia della documentazione inoltrata e dell'autorizzazione rilasciata dalla Direzione Provinciale del Lavoro
i)        Creare area sul server aziendale dove inserire il dossier privacy  , consultabile da responsabili , referenti , autorizzati
j)        Preparare documentazione per data breach
k)      Preparare verifica adeguate misure di sicurezza tecniche ed organizzative ( pseudonimizzazione, cifratura, riservatezza, integrità, disponibilità, resilienza, ripristino procedura di test )
l)        Attrezzarsi per la formazione
m)    Videosorveglianza
n)      Trasferimento dati al di fuori della UE ( es. cloud )
Nel caso di studio associato , variare :
a)      lo studio associato designa quale responsabile del trattamento l'associato XXX con apposita lettera di incarico
b)      l'associato YYY viene designato, con apposita lettera di incarico, custode delle credenziali
o)      Stilare  informative ed acquisire il consenso scritto degli associati ai fini del trattamento dei loro dati da parte dello studio associato
p)      Valutare nomina DPO ( se non si nomina , motivare la scelta )
La normativa va applicata in base alla realtà dello studio e che gli adempimenti in materia di trattamento di dati personali non possono essere assolti unicamente inserendo dei dati su moduli precompilati, essendo appunto necessaria un'attenta analisi della realtà dello studio e delle procedure adottate.
Nel caso di variazioni sostanziali degli strumenti informatici e/o del software, delle procedure di salvataggio dei dati, di variazioni relative a quanto sopra indicato (variazione dello studio esterno che si occupa dell'elaborazione delle buste paga, variazioni del soggetto che si occupa del servizio di pulizia, variazione del responsabile e/o del sostituto delle copie di back up etc. la documentazione dovrà essere costantemente aggiornata)
Nel caso in cui presso lo studio vengano elaborati i dati e questi vengano trasmessi e conservati presso terzi (ad es. elaboro la dichiarazione dei redditi e questa viene memorizzata e conservata su server esterno alla struttura dello studio, di solito su server di proprietà del fornitore del software) dovranno essere indicate le misure adottate circa la sicurezza nella trasmissione dei dati, oltre ad acquisire dalla ditta esterna apposita dichiarazione circa l'adozione di misure di sicurezza ritenute idonee a garantire l'integrità dei dati, il loro corretto trattamento e la loro corretta conservazione; nell'informativa e richiesta di consenso all'interessato dovrà essere precisato che la conservazione avviene presso un responsabile esterno: si tratta di quella che alcuni definiscono "tracciabilità" dei dati, nel senso che l'interessato viene informato di dove e presso chi sono conservati i propri dati.
Nell’attività quotidiana dello studio professionale, il dottore commercialista si trova a gestire dati particolarmente “sensibili”, ossia informazioni che, secondo l’approccio interpretativo del GDPR, meritano una protezione più elevata, in quanto dalla loro diffusione illecita potrebbero derivare danni ingenti ai clienti e ai loro diritti. A tal fine, alcuni dati vengono appositamente individuati come “particolari”. Due dei dati più delicati che potrebbero essere trattati dal professionista, secondo il regolamento europeo sulla privacy, riguardano i dati personali relativi alla salute e i dati relativi ai minori. L’attività “tipica” di uno studio di dottori commercialisti comporta il trattamento quasi quotidiano di dati particolarmente “sensibili”, ossia di informazioni che, secondo l’approccio interpretativo del GDPR, meritano una protezione più elevata in quanto la loro diffusione illecita potrebbe comportare dei danni ingenti ai clienti e ai loro diritti. Si pensi, tanto per fare qualche esempio, a dati relativi a spese mediche (e relative visite effettuate, o patologie correlabili), a versamenti a favore di comunità religiose, a informazioni correlate a infortuni o a dati che possano evidenziare spiacevoli vicende giudiziarie o, addirittura, condanne. Nel testo del Regolamento alcuni dati vengono, a tal fine, appositamente individuati come “particolari”. Sono dati che devono essere protetti esattamente come gli altri, sia chiaro, ma che, per la loro natura, richiedono una maggiore attenzione e, in alcuni casi, un rafforzamento di tale protezione.
Nel Considerando n. 15 è precisato che la protezione delle persone fisiche si deve applicare sia al trattamento “automatizzato” sia al trattamento “manuale” dei dati personali (se i dati personali sono contenuti o destinati a essere contenuti in un archivio). Non dovrebbero, allora, rientrare nell’ambito di applicazione del Regolamento i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, così come le rispettive copertine.
Obbligo di nomina del Responsabile della protezione dei dati, il RPD/DPO.
Per verificare l’esistenza del presupposto di obbligatorietà della nomina del RPD parliamo dei  concetti di: larga scala, regolare e sistematico monitoraggio e attività principali .
Gli studi professionali trattano dati personali degli interessati (i clienti intesi come persone fisiche) su larga scala? In assenza di una chiara, univoca ed inequivocabile definizione di “larga scala” riporto il considerando 91 che a riguardo vi ricomprende i “trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”. E ancora, è stabilito che: “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”. Il secondo inciso porta agevolmente a ritenere che laddove il trattamento riguardi dati personali di interessati effettuato NON dal singolo professionista bensì da un’organizzazione in qualsiasi modo diversamente strutturata (Studio associato, Associazione fra professionisti, CED, ecc.) l’obbligo di nomina del RPD è assolutamente presente.
DECALOGO BASE
1)      Ho predisposto la modulistica per procedere, durante il primo incontro con il Cliente, alla raccolta dei dati fornendo al medesimo una informativa completa, con un linguaggio semplice e chiaro?   ( informativa e consenso )
2)      Ho organizzato le mie attività in modo da raccogliere e trattare solo ed esclusivamente i dati che mi sono necessari o utili in vista del miglior espletamento del mandato professionale ricevuto? ( minimizzazione dei dati )
3)      Ho organizzato la conservazione dei documenti relativi alle varie pratiche in modo da averne sempre, al momento giusto, la disponibilità ed in modo che i dati siano accessibili al solo personale autorizzato? ( adozione misure organizzative )
4)      Ho nominato e adeguatamente istruito i miei collaboratori ed altresì ho formalizzato i rapporti con i professionisti ai quali mi rivolgo per la gestione e lo sviluppo delle attività dello studio? ( nomine responsabili, referenti, autorizzati )
5)      I miei pc sono protetti dalle minacce esterne? Dispongo, in caso di bisogno, del nominativo di un tecnico-informatico di fiducia al quale chiedere la soluzione di specifici problemi? ( adozione misure tecniche )
6)      Pc portatili e altri strumenti informatici rimovibili sono utilizzati nelle attività al di fuori dello studio in modo da minimizzare i rischi di perdita accidentale, sottrazione fraudolenta e similari? ( Trasporto dei dati esclusivamente necessari con protezione da password )
7)      Provvedo ad eseguire un salvataggio integrale (back up) di tutti i dati su pc perlomeno 1 volta alla settimana? ( regole relative alla perdita dei dati )
8)      Ho definito un tempo di conservazione dei dati personali in linea con le finalità dei trattamenti? ( conservazione dei dati per il tempo necessario)
9)      Quando devo rottamare pc, notebooks e altri strumenti elettronici utilizzati per le attività dello studio, mi assicuro che la dismissione avvenga nel rispetto della esigenza di protezione dei dati? ( distruzione dei dati non necessari )
10)   Mi sono preoccupato della sicurezza fisica dello studio, nel senso di adottare misure o cautele atte ragionevolmente a prevenire accessi indesiderati e azioni concretantesi nella lesione della riservatezza, della disponibilità, della integrità delle banche dati?  ( adozione misure organizzative )
INFORMATIVE RELATIVE ALLE DICHIARAZIONI DEI REDDITI
Le disposizioni contenute nel paragrafo 5 del provvedimento dell'Agenzia delle Entrate del 10 giugno 2009 sottolineano che gli utenti hanno l'obbligo di adottare le misure organizzative, fisiche e logistiche previste dal Codice al fine di assicurare la riservatezza e la sicurezza dei dati.  Le disposizioni in materia di osservanza sulle disposizioni in materia di trattamento di dati personali sono inoltre contenute:
  • nell'articolo 6     delle condizioni generali di adesione al servizio del cassetto fiscale,     con riferimento anche alle misure di sicurezza
  • nell'articolo 5 della convenzione per l'addebito dei modelli F24     "....conformarsi alle norme di cui al D.lgs. 196/2003 anche in tema     di misure di sicurezza.....ad impartire precise e dettagliate istruzioni     agli incaricati del trattamento"
  • nella richiesta di abilitazione al servizio telematico ENTRATEL
L'Agenzia delle Entrate può inoltre disporre controlli sull'osservanza delle norme del Codice da parte degli UST (nella provincia di Cuneo ho notizia di un solo controllo effettuato qualche anno fa).
L'obbligo di riservatezza rammenta che gli UST si configurano quali autonomi titolari del trattamento dei dati personali, ai sensi dell'articolo 4, comma 1, lettera f del Codice. Le avvertenze sulla privacy riportate nel modello Redditi 2017 testualmente riportano quanto segue.
I dati definiti SENSIBILI nelle istruzioni alla dichiarazione Redditi 2017
L'effettuazione della scelta per la destinazione dell'otto per mille dell'Irpef è facoltativa e viene richiesta ai sensi dell'art. 47 della legge 20 mag-gio 1985 n. 222 e delle successive leggi di ratifica delle intese stipulate con le confessioni religiose.L'effettuazione della scelta per la destinazione del cinque per mille dell'Irpef è facoltativa e viene richiesta ai sensi dell'art.1, comma 154 del-la legge 23 dicembre 2014 n. 190.
L'effettuazione della scelta per la destinazione del due per mille a favore dei partiti politici è facoltativa e viene richiesta ai sensi dell'art. 12 del decreto legge 28 dicembre 2013, n. 149, convertito, con modificazioni, dall'art. 1 comma 1, della legge 21 febbraio 2014, n.13.Tali scelte, secondo il d.lgs. n. 196 del 2003, comportano il conferimento di dati di natura "sensibile". Anche l'inserimento delle spese sanitarie tra gli oneri deducibili o per i quali è riconosciuta la detrazione d'imposta, è facoltativo e richiede il conferimento di dati sensibili.
Il paragrafo CONSENSO nelle istruzioni alla dichiarazione Redditi 2017
L'Agenzia delle Entrate, in quanto soggetto pubblico, non deve acquisire il consenso degli interessati per trattare i loro dati personali. Anche gli intermediari che trasmettono la dichiarazione all'Agenzia delle Entrate non devono acquisire il consenso degli interessati per il trattamento dei dati cosiddetti comuni (codice fiscale, redditi etc.) in quanto il loro trattamento è previsto per legge. Per quanto riguarda invece i dati cosiddetti sensibili, relativi a particolari oneri deducibili o per i quali è riconosciuta la detrazione d'imposta, alla scelta dell'otto per mille, del cinque per mille e del due per mille dell'Irpef, il consenso per il trattamento da parte degli intermediari viene acquisito attraverso la sottoscrizione della dichiarazione e con la firma apposta per la scelta dell'otto per mille dell'Irpef, del cinque per mille e del due per mille dell'Irpef.
La presente informativa viene data in via generale per tutti i titolari del trattamento sopra indicati.
Il D.L. 9 febbraio 2012 n. 5 ha abolito la redazione e l'aggiornamento del Documento Programmatico sulla Sicurezza previsto tra le misure da adottare ai sensi dell'allegato B al Codice, ma lo studio è obbligato ad osservare tutte le altre norme in materia di trattamento di dati personali ed a fornire la prova di averle osservate.  Premesso quanto sopra, si riepilogano sinteticamente di seguito gli obblighi che si reputa facciano carico ad uno studio di commercialista che non si occupi di consulenza in materia di lavoro e che rediga - tra l'altro - dichiarazioni dei redditi di persone fisiche.
  1. Obbligo di     informativa - richiesta di consenso e acquisizione del consenso
        lo studio del commercialista non può utilizzare la sola informativa     contenuta nel modello Redditi, in quanto - ma non solo - la dichiarazione     viene stampata dopo l'inserimento dei dati, cioè dopo la consultazione e     l'immissione dei dati, quindi dopo aver effettuato fasi del trattamento     dei dati. L'informativa dovrà essere quindi resa ai clienti in forma     separata e, ad esempio, all'atto della consegna della documentazione allo     studio; trattandosi di trattamento di dati "sensibili" occorrerà     rendere l'informativa in forma scritta e acquisire il consenso     dell'interessato -. Nell'informativa sarebbe opportuno informare il     Cliente, acquisendone il consenso, a che i dati della dichiarazione dei     redditi, a fine trattamento (cioè assolto il compito della trasmissione     della dichiarazione) saranno conservati comunque sul sistema informatico     dello studio ma che saranno oggetto di "blocco". Consiglio     inoltre di inserire il consenso al trattamento dei dati ad esempio nei     contratti, utilizzando una dicitura sullo stile "le parti, ove     occorra, prestano il proprio reciproco consenso al trattamento dei dati     personali anche da parte di Loro consulenti ed incaricati di questi, per     tutto ciò che concerne la stipula del presente contratto e per     l'esecuzione di quanto previsto nel medesimo", oppure sul retro della     Procura utilizzata per le pratiche telematiche al registro imprese etc.     Nel consegnare una copia cartacea della dichiarazione al Cliente per uso     "banca" - o il trasmettere il file della dichiarazione al Cliente     od alla Banca - è opportuno non trasmettere anche la copia della Scheda,     in quanto si sarebbe in presenza di trattamento di dati sensibili da parte     anche della Banca. L'informativa potrebbe essere inoltre essere riportata     nella "dichiarazione del cliente" utilizzata ai fini     antiriciclaggio, in modo da adempiere con un unico documento a due     obblighi distinti. Rammentiamo che il Codice prevede misure minime di     sicurezza(8) e che è quantomeno necessario superare il solo livello minimo     di tali misure, ponendo il caso di uno studio di commercialista che si non     si occupi di adempimenti in materia di lavoro si riepilogano, di seguito,     i relativi obblighi:
  2. Facoltà di nomina - scritta - del responsabile del trattamento
  3. Designazione scritta degli incaricati del trattamento e ambito del/dei     trattamento/i loro consentiti - istruzioni agli incaricati -     istruzioni su supporti rimovibili - istruzioni scritte sul     trattamento dei dati cartacei
  4. accesso controllato agli archivi contenenti dati sensibili -     autorizzazione scritta per accesso
  5. Password - credenziali di accesso
  6. Installazione e funzionamento dell'antivirus
  7. Installazione e funzionamento del firewall
  8. Aggiornamento delle patches almeno semestrale
  9. Sistema di salvataggio dei dati (e modalità di custodia dei supporti)
  10. Ripristino dei dati in tempi non superiori ai 7 giorni
  11. Designazione del Consulente del Lavoro che redige le buste paga dello     studio a responsabile esterno del trattamento dei dati
  12. Il mio studio ha richiesto, inoltre, alla società che si occupa     dell'assistenza informatica, previa verifica annuale, il rilascio di una     dichiarazione che attesti la rispondenza dei sistemi informatici     all'allegato B del Codice (in particolare per quanto riguarda i punti     5-6-7-8-9-10 - per quest'ultimo punto la stessa società ha assunto l'impegno     di poter ripristinare i dati sul sistema informatico o su nuovo sistema     informatico, entro 7 giorni)
In aggiunta a quanto sopra si rammenta che in materia di Antiriciclaggio è necessario designare per iscritto gli incaricati dell'identificazione del cliente, i quali debbono forzatamente consultare i documenti di identità dei Clienti che si reputa - ed è mia opinione personale - che non costituiscano in alcun modo dato sensibile, pur evidenziando che la sentenza della Cassazione Civile sez. 2 n. 13663 del 19/04/2016 pubblicata il 05 luglio 2016 conferma che l'immagine di una persona costituisce dato personale.
 
P.IVA : 06744350015 Codice Fiscale : CHLGRL57M20H270Y
Piazzale Risorgimento 1 10082 Cuorgné (TO)
Ugo Carlo Chiolerio
Telefono: 0124-650565 Cellulare : 335-8180244
Socio Membro FEDERPRIVACY FP-8085
Torna ai contenuti