Privacy -
Regolamento UE - Studio di commercialista - obblighi
1)Elencare le
categorie di interessati e i dati personali raccolti e conservati ( dipendenti , clienti ,fornitori ,…)
2)Obbligo di informativa e richiesta di
consenso all'interessato
a)Stiamo raccogliendo
noi i dati o li raccolgono terzi ?
b)Quali
dati raccogliamo ?
c)Quale
base giuridica applichiamo ?
d)Condividiamo
i dati con terzi ?
e)Come
utilizzeremo i dati ?
f)Per
quanto li conserviamo ?
g)Conosciamo
i diritti dell’interessato e li descriviamo nella informativa ?
h)Esistono
procedure per dimostrare il consenso ottenuto ?
i)Esistono
procedure per consentire all’interessato la revoca, oblio , rettifica dei dati
e del consenso ?
j)Esistono
procedure , in caso di minori , per verifica età e ottenere consenso da
genitore/tutore ?
k)Esiste
una procedura per il diritto di accesso ai dati personali su richiesta
dell’interessato ?
l)Esiste
una procedura per la portabilità dei dati in formato strutturato ?
m)Lo studio
utilizza processi automatizzati o di profilazione ?
3)Creareorganigramma relativo allo studio di commercialista
4)Tutti gli incarichi e le designazioni
effettuate necessitano di documentazione scritta
5)Effettuare la valutazione del rischio
a)Il
titolare assume la funzione di responsabile generale per la sicurezza dei dati
b)Il
titolare assume la funzione di custode delle credenziali o nomina un referente
apicale
c)Lettere
di incarico per i responsabilidei dati
all’interno della struttura
d)Verifica della
messa in regola dei fornitori del software utilizzato per la gestione dei dati
e)Nominare i
responsabili esterni ( consulente del lavoro , studio legale , cloud )
f)Impegno
scritto dell’impresa di pulizia alla
riservatezza
g)Verifica messa
norma eventuale sito web con informative e consensi
h)qualora
lo studio disponga di telecamere (con o senza registrazione delle immagini)
dovrà essere specificato che sono stati assolti tutti gli obblighi previsti in
materia di videosorveglianza ed allegata copia della documentazione inoltrata e
dell'autorizzazione rilasciata dalla Direzione Provinciale del Lavoro
i)Creare
area sul server aziendale dove inserire il dossier privacy, consultabile da responsabili , referenti ,
autorizzati
j)Preparare
documentazione per data breach
k)Preparare verifica adeguate misure di sicurezza tecniche
ed organizzative ( pseudonimizzazione,
cifratura, riservatezza, integrità, disponibilità, resilienza, ripristino
procedura di test )
l)Attrezzarsi per
la formazione
m)Videosorveglianza
n)Trasferimento
dati al di fuori della UE ( es. cloud )
Nel caso
di studio associato , variare :
a)lo studio
associato designa quale responsabile del
trattamento l'associato XXX con apposita lettera di incarico
b)l'associato
YYY viene designato, con apposita lettera di incarico, custode delle
credenziali
o)Stilareinformative ed acquisire il consenso scritto
degli associati ai fini del trattamento dei loro dati da parte dello studio
associato
p)Valutare
nomina DPO ( se non si nomina , motivare
la scelta )
La normativa va applicata in base alla realtà dello studio e che gli
adempimenti in materia di trattamento di dati personali non possono essere
assolti unicamente inserendo dei dati su moduli precompilati, essendo appunto
necessaria un'attenta analisi della realtà dello studio e delle procedure
adottate.
Nel caso di variazioni sostanziali degli strumenti informatici e/o del
software, delle procedure di salvataggio dei dati, di variazioni relative a
quanto sopra indicato (variazione dello studio esterno che si occupa dell'elaborazione
delle buste paga, variazioni del soggetto che si occupa del servizio di
pulizia, variazione del responsabile e/o del sostituto delle copie di back up
etc. la documentazione dovrà essere costantemente aggiornata)
Nel caso in cui presso lo studio vengano elaborati i dati e questi vengano
trasmessi e conservati presso terzi (ad es. elaboro la dichiarazione dei
redditi e questa viene memorizzata e conservata su server esterno alla
struttura dello studio, di solito su server di proprietà del fornitore del
software) dovranno essere indicate le misure adottate circa la sicurezza nella
trasmissione dei dati, oltre ad acquisire dalla ditta esterna apposita
dichiarazione circa l'adozione di misure di sicurezza ritenute idonee a
garantire l'integrità dei dati, il loro corretto trattamento e la loro corretta
conservazione; nell'informativa e richiesta di consenso all'interessato dovrà
essere precisato che la conservazione avviene presso un responsabile esterno:
si tratta di quella che alcuni definiscono "tracciabilità" dei dati,
nel senso che l'interessato viene informato di dove e presso chi sono
conservati i propri dati.
Nell’attività
quotidiana dello studio professionale, il dottore commercialista si trova a
gestire dati particolarmente “sensibili”, ossia informazioni che, secondo
l’approccio interpretativo del GDPR, meritano una protezione più elevata, in
quanto dalla loro diffusione illecita potrebbero derivare danni ingenti ai
clienti e ai loro diritti. A tal fine, alcuni dati vengono appositamente individuati
come “particolari”. Due dei dati più delicati che potrebbero essere trattati
dal professionista, secondo il regolamento europeo sulla privacy, riguardano i
dati personali relativi alla salute e i dati relativi ai minori. L’attività
“tipica” di uno studio di dottori commercialisti comporta
il trattamento quasi quotidiano di dati particolarmente “sensibili”, ossia di
informazioni che, secondo l’approccio interpretativo del GDPR, meritano una
protezione più elevata in quanto la loro diffusione illecita potrebbe
comportare dei danni ingenti ai clienti e ai loro diritti. Si pensi, tanto per
fare qualche esempio, a dati relativi a spese mediche (e
relative visite effettuate, o patologie correlabili), a versamenti a favore di
comunità religiose, a informazioni correlate a infortuni o a dati
che possano evidenziare spiacevoli vicende giudiziarie o, addirittura, condanne. Nel testo del Regolamento alcuni dati vengono, a
tal fine, appositamente individuati come “particolari”. Sono dati
che devono essere protetti esattamente come gli altri, sia chiaro, ma che, per
la loro natura, richiedono una maggiore attenzione e, in alcuni casi, un rafforzamento di tale protezione.
Nel
Considerando n. 15 è precisato che la protezione delle persone fisiche si deve
applicare sia al trattamento “automatizzato” sia al
trattamento “manuale” dei dati personali (se i dati personali sono
contenuti o destinati a essere contenuti in un archivio). Non dovrebbero,
allora, rientrare nell’ambito di applicazione del Regolamento i fascicoli o le
serie di fascicoli non strutturati secondo criteri specifici, così come le
rispettive copertine.
Obbligo di nomina del Responsabile della
protezione dei dati, il RPD/DPO.
Per verificare l’esistenza del presupposto di
obbligatorietà della nomina del RPD parliamo dei concetti di: larga scala, regolare e
sistematico monitoraggio e attività principali .
Gli studi
professionali trattano dati personali degli interessati (i clienti intesi come
persone fisiche) su larga scala? In assenza di una chiara, univoca ed
inequivocabile definizione di “larga scala” riporto il considerando 91 che a
riguardo vi ricomprende i “trattamenti
su larga scala, che mirano al trattamento di una notevole quantità di dati
personali a livello regionale, nazionale o sovranazionale e che potrebbero
incidere su un vasto numero di interessati e che potenzialmente presentano un
rischio elevato”. E ancora, è stabilito che: “Il trattamento di dati personali non dovrebbe essere considerato un
trattamento su larga scala qualora riguardi dati personali di pazienti o
clienti da parte di un singolo medico, operatore sanitario o avvocato”.
Il secondo inciso porta agevolmente a ritenere che laddove il trattamento
riguardi dati personali di interessati effettuato
NON dal singolo professionista bensì da un’organizzazione in qualsiasi modo
diversamente strutturata (Studio associato, Associazione fra professionisti,
CED, ecc.) l’obbligo di nomina del RPD è assolutamente presente.
DECALOGO
BASE
1)
Ho predisposto la modulistica per
procedere, durante il primo incontro con il Cliente, alla raccolta dei dati
fornendo al medesimo una informativa completa, con un linguaggio semplice e
chiaro? ( informativa e consenso )
2)
Ho organizzato le mie attività in modo
da raccogliere e trattare solo ed esclusivamente i dati che mi sono necessari o
utili in vista del miglior espletamento del mandato professionale ricevuto? ( minimizzazione dei dati )
3)
Ho organizzato la conservazione dei
documenti relativi alle varie pratiche in modo da averne sempre, al momento
giusto, la disponibilità ed in modo che i dati siano accessibili al solo
personale autorizzato? ( adozione misure
organizzative )
4)
Ho nominato e adeguatamente istruito i
miei collaboratori ed altresì ho formalizzato i rapporti con i professionisti
ai quali mi rivolgo per la gestione e lo sviluppo delle attività dello studio? ( nomine responsabili, referenti, autorizzati
)
5)
I miei pc sono protetti dalle minacce
esterne? Dispongo, in caso di bisogno, del nominativo di un tecnico-informatico
di fiducia al quale chiedere la soluzione di specifici problemi? ( adozione misure tecniche )
6)
Pc portatili e altri strumenti
informatici rimovibili sono utilizzati nelle attività al di fuori dello studio
in modo da minimizzare i rischi di perdita accidentale, sottrazione fraudolenta
e similari? ( Trasporto dei dati
esclusivamente necessari con protezione da password )
7)
Provvedo ad eseguire un salvataggio
integrale (back up) di tutti i dati su pc perlomeno 1 volta alla settimana? ( regole relative alla perdita dei dati )
8)
Ho definito un tempo di conservazione
dei dati personali in linea con le finalità dei trattamenti? ( conservazione dei dati per il tempo
necessario)
9)
Quando devo rottamare pc, notebooks e
altri strumenti elettronici utilizzati per le attività dello studio, mi
assicuro che la dismissione avvenga nel rispetto della esigenza di protezione
dei dati? ( distruzione dei dati non
necessari )
10) Mi
sono preoccupato della sicurezza fisica dello studio, nel senso di adottare
misure o cautele atte ragionevolmente a prevenire accessi indesiderati e azioni
concretantesi nella lesione della riservatezza, della disponibilità, della
integrità delle banche dati? (
adozione misure organizzative )
INFORMATIVE
RELATIVE ALLE DICHIARAZIONI DEI REDDITI
Le
disposizioni contenute nel paragrafo 5 del provvedimento dell'Agenzia delle
Entrate del 10 giugno 2009 sottolineano che gli utenti hanno l'obbligo di
adottare le misure organizzative, fisiche e logistiche previste dal Codice al
fine di assicurare la riservatezza e la sicurezza dei dati. Le
disposizioni in materia di osservanza sulle disposizioni in materia di
trattamento di dati personali sono inoltre contenute:
nell'articolo 6
delle condizioni generali di adesione al servizio del cassetto fiscale,
con riferimento anche alle misure di sicurezza
nell'articolo 5 della convenzione per l'addebito dei modelli F24
"....conformarsi alle norme di cui al D.lgs. 196/2003 anche in tema
di misure di sicurezza.....ad impartire precise e dettagliate istruzioni
agli incaricati del trattamento"
nella richiesta di abilitazione al servizio telematico ENTRATEL
L'Agenzia
delle Entrate può inoltre disporre controlli sull'osservanza delle norme del
Codice da parte degli UST (nella provincia di Cuneo ho notizia di un solo
controllo effettuato qualche anno fa).
L'obbligo
di riservatezza rammenta che gli UST si configurano quali autonomi titolari del
trattamento dei dati personali, ai sensi dell'articolo 4, comma 1, lettera f
del Codice. Le avvertenze sulla privacy riportate nel modello Redditi 2017
testualmente riportano quanto segue.
I dati definiti SENSIBILI nelle istruzioni
alla dichiarazione Redditi 2017
L'effettuazione
della scelta per la destinazione dell'otto per mille dell'Irpef è facoltativa e
viene richiesta ai sensi dell'art. 47 della legge 20 mag-gio 1985 n. 222 e
delle successive leggi di ratifica delle intese stipulate con le confessioni
religiose.L'effettuazione della scelta per la destinazione del cinque per mille
dell'Irpef è facoltativa e viene richiesta ai sensi dell'art.1, comma 154
del-la legge 23 dicembre 2014 n. 190.
L'effettuazione
della scelta per la destinazione del due per mille a favore dei partiti
politici è facoltativa e viene richiesta ai sensi dell'art. 12 del decreto
legge 28 dicembre 2013, n. 149, convertito, con modificazioni, dall'art. 1
comma 1, della legge 21 febbraio 2014, n.13.Tali scelte, secondo il d.lgs. n.
196 del 2003, comportano il conferimento di dati di natura
"sensibile". Anche l'inserimento delle spese sanitarie tra gli oneri
deducibili o per i quali è riconosciuta la detrazione d'imposta, è facoltativo
e richiede il conferimento di dati sensibili.
Il paragrafo CONSENSO nelle istruzioni alla
dichiarazione Redditi 2017
L'Agenzia
delle Entrate, in quanto soggetto pubblico, non deve acquisire il consenso
degli interessati per trattare i loro dati personali. Anche gli intermediari che
trasmettono la dichiarazione all'Agenzia delle Entrate non devono acquisire il
consenso degli interessati per il trattamento dei dati cosiddetti comuni
(codice fiscale, redditi etc.) in quanto il loro trattamento è previsto per
legge. Per quanto riguarda invece i dati cosiddetti sensibili, relativi
a particolari oneri deducibili o per i quali è riconosciuta la detrazione
d'imposta, alla scelta dell'otto per mille, del cinque per mille e del due per
mille dell'Irpef, il consenso per il trattamento da parte degli intermediari
viene acquisito attraverso la sottoscrizione della dichiarazione e con la firma
apposta per la scelta dell'otto per mille dell'Irpef, del cinque per mille e
del due per mille dell'Irpef.
La
presente informativa viene data in via generale per tutti i titolari del
trattamento sopra indicati.
Il D.L. 9 febbraio 2012 n. 5 ha abolito la redazione e l'aggiornamento del
Documento Programmatico sulla Sicurezza previsto tra le misure da adottare ai
sensi dell'allegato B al Codice, ma lo studio è obbligato ad osservare tutte le
altre norme in materia di trattamento di dati personali ed a fornire la prova
di averle osservate. Premesso quanto sopra, si riepilogano sinteticamente
di seguito gli obblighi che si reputa facciano carico ad uno studio di
commercialista che non si occupi di consulenza in materia di lavoro e che
rediga - tra l'altro - dichiarazioni dei redditi di persone fisiche.
Obbligo di
informativa - richiesta di consenso e acquisizione del consenso
lo studio del commercialista non può utilizzare la sola informativa
contenuta nel modello Redditi, in quanto - ma non solo - la dichiarazione
viene stampata dopo l'inserimento dei dati, cioè dopo la consultazione e
l'immissione dei dati, quindi dopo aver effettuato fasi del trattamento
dei dati. L'informativa dovrà essere quindi resa ai clienti in forma
separata e, ad esempio, all'atto della consegna della documentazione allo
studio; trattandosi di trattamento di dati "sensibili" occorrerà
rendere l'informativa in forma scritta e acquisire il consenso
dell'interessato -. Nell'informativa sarebbe opportuno informare il
Cliente, acquisendone il consenso, a che i dati della dichiarazione dei
redditi, a fine trattamento (cioè assolto il compito della trasmissione
della dichiarazione) saranno conservati comunque sul sistema informatico
dello studio ma che saranno oggetto di "blocco". Consiglio
inoltre di inserire il consenso al trattamento dei dati ad esempio nei
contratti, utilizzando una dicitura sullo stile "le parti, ove
occorra, prestano il proprio reciproco consenso al trattamento dei dati
personali anche da parte di Loro consulenti ed incaricati di questi, per
tutto ciò che concerne la stipula del presente contratto e per
l'esecuzione di quanto previsto nel medesimo", oppure sul retro della
Procura utilizzata per le pratiche telematiche al registro imprese etc.
Nel consegnare una copia cartacea della dichiarazione al Cliente per uso
"banca" - o il trasmettere il file della dichiarazione al Cliente
od alla Banca - è opportuno non trasmettere anche la copia della Scheda,
in quanto si sarebbe in presenza di trattamento di dati sensibili da parte
anche della Banca. L'informativa potrebbe essere inoltre essere riportata
nella "dichiarazione del cliente" utilizzata ai fini
antiriciclaggio, in modo da adempiere con un unico documento a due
obblighi distinti. Rammentiamo che il Codice prevede misure minime di
sicurezza(8) e che è quantomeno necessario superare il solo livello minimo
di tali misure, ponendo il caso di uno studio di commercialista che si non
si occupi di adempimenti in materia di lavoro si riepilogano, di seguito,
i relativi obblighi:
Facoltà di nomina - scritta - del responsabile del trattamento
Designazione scritta degli incaricati del trattamento e ambito del/dei
trattamento/i loro consentiti - istruzioni agli incaricati -
istruzioni su supporti rimovibili - istruzioni scritte sul
trattamento dei dati cartacei
accesso controllato agli archivi contenenti dati sensibili -
autorizzazione scritta per accesso
Password - credenziali di accesso
Installazione e funzionamento dell'antivirus
Installazione e funzionamento del firewall
Aggiornamento delle patches almeno semestrale
Sistema di salvataggio dei dati (e modalità di custodia dei supporti)
Ripristino dei dati in tempi non superiori ai 7 giorni
Designazione del Consulente del Lavoro che redige le buste paga dello
studio a responsabile esterno del trattamento dei dati
Il mio studio ha richiesto, inoltre, alla società che si occupa
dell'assistenza informatica, previa verifica annuale, il rilascio di una
dichiarazione che attesti la rispondenza dei sistemi informatici
all'allegato B del Codice (in particolare per quanto riguarda i punti
5-6-7-8-9-10 - per quest'ultimo punto la stessa società ha assunto l'impegno
di poter ripristinare i dati sul sistema informatico o su nuovo sistema
informatico, entro 7 giorni)
In
aggiunta a quanto sopra si rammenta che in materia di Antiriciclaggio è
necessario designare per iscritto gli incaricati dell'identificazione del cliente,
i quali debbono forzatamente consultare i documenti di identità dei Clienti che
si reputa - ed è mia opinione personale - che non costituiscano in alcun
modo dato sensibile, pur evidenziando che la sentenza della
Cassazione Civile sez. 2 n. 13663 del 19/04/2016 pubblicata il 05 luglio 2016
conferma che l'immagine di una persona costituisce dato personale.