Speciale Pubblicato il 26/03/2018

Tempo di lettura: 14 minuti

La privacy negli studi professionali

di Dott. Massimo Pipino

Gli adempimenti di base per i piccoli studi professionali al fine di adeguarsi alle novità normative in materia di privacy dal 25 maggio 2018



Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016: gli adempimenti di base per i piccoli studi professionali al fine di adeguarsi alle novità normative in materia.

In base a quanto viene previsto dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 il prossimo 25 di maggio tutti coloro che esercitano un’attività di natura libero-professionale saranno tenuti ad adeguarsi a nuove regole in materia di trattamento dei dati personali, anche se operano singolarmente o sono organizzati in piccoli studi.

L'articolo continua dopo la pubblicità

Due casi pratici di applicazione normativa privacy negli studi professionali

La normativa in materia di tutela dei dati personali, inoltre, organizza un “territorio” operativo in cui non è la sola ad operare: e vedremo, anche se sommariamente, in che modo coopera con legislazioni caratterizzate da ambiti che solo apparentemente sono distinti. Vediamo quindi, attraverso l’analisi di un paio di casi pratici quali sono gli adempimenti di base necessari al professionista per rendere le modalità con cui si svolgono le sue attività coerenti non solo con quanto già stabilito dal Legislatore nazionale in materia di tutela dei dati personali ma anche con quanto previsto dal citato Regolamento e con complessi di norme regolanti ambiti distinti ma connessi.

Poniamo ad esempio due casi che possono essere definiti come piuttosto comuni: nel primo quello del singolo professionista che si trova a dover raccogliere e trattare dati personali esclusivamente per finalità connesse al servizio che gli è stato richiesto da parte del cliente. Quindi, ad esempio, il caso del commercialista che fornisce consulenza in materia contabile o fiscale ai propri clienti, dell’avvocato che deve curare difese (ma anche accuse) in giudizio o redigere contratti o pareri, del consulente  che amministra pratiche in materia di diritto del lavoro per conto di un’impresa cliente o dell’ingegnere edile che si trova a curare progetti relativi ad iniziative edificatorie.

Il secondo caso che tratteremo sarà invece quello del professionista, che volendo utilizzare il sito web dello studio (magari di  consulenza del lavoro o commerciale), a scopo informativo e di acquisizione di clientela, si pone il problema della necessità di provvedere all’identificazione del cliente. In questa fattispecie quali saranno gli obblighi che occorre rispettare nel caso in cui si volesse, ad esempio, fornire una consulenza sulla ricostruzione di un rapporto di lavoro o su di un contratto o in merito all'assunzione di un lavoratore?

Regolamento e Codice Privacy concordi nelle modalità di protezione dei dati

Innanzitutto, una delle prime operazioni da compiere, sia nel primo che nel secondo caso, è quella di verificare che il trattamento sia fondato sui principi (in prospettiva) del Regolamento (UE) 2016/679, principi di liceità, correttezza, trasparenza (comportamento, questo che, viene già ampiamente previsto e prescritto dal Codice per la Tutela dei dati personali, codice che, è bene tenerlo presente, è tuttora vigente e tale resterà, almeno, sino al 25 di maggio).

Sarà, quindi, opportuno verificare che i dati raccolti e trattati siano esclusivamente quelli strettamente necessari, pertinenti ed adeguati a svolgere la finalità per cui sono stati richiesti, che siano state adottate le misure necessarie per aggiornarli o rettificarli tempestivamente al bisogno, che siano conservati esclusivamene per il tempo necessario ad espletare l’incarico conferito (salvo il tempo ulteriore necessario a rispettare le norme amministrative) e che siano adeguatamente protetti.

Alla luce di questi principi, si ritiene che le informative, già necessariamente utilizzate per adempiere al già citato Codice per la tutela dei dati personali, debbano essere sostanzialmente modificate per renderle conformi all’articolo 13 del Regolamento (UE) 2016/679, in quanto sia il Regolamento che il Codice condividono in questo caso le medesime finalità seguendo il medesimo “modus operandi”.

Anche la precisazione secondo cui nell’informativa dovrebbero essere specificati i diritti degli interessati e l’opportunità di dotarsi di strumenti che assicurino al cliente, in maniera effettiva, il facile esercizio degli stessi erano previsioni che il Codice già conteneva sia nella lettera che nello spirito.

Nel caso in cui più professionisti si trovino ad operare all’interno del medesimo studio, sarà invece opportuno verificare se alla propria compagine organizzativa debba essere applicato quanto viene previsto dall’articolo 26 del Regolamento (UE) 2016/679 e quindi verificare se i professionisti operano in qualità di contitolari del trattamento, determinando di comune accordo modalità e finalità del trattamento dei dati (in tal caso si dovrà sottoscrivere un accordo interno in cui i professionisti disciplinano le proprie responsabilità e obblighi in materia di dati personali) oppure se, diversamente, per essi operano gli articoli 28 e 29 del Regolamento e quindi se i collaboratori dello studio gestiscono dati personali per conto di un titolare che fissa finalità e modalità del trattamento.

In tal caso sarà necessario provvedere, mediante opportune lettere di incarico, che tali collaboratori vengano adeguatamente informati del loro compito e responsabilizzati.

Lo stesso si dovrà fare con il fornitore del servizio di hosting, nel quale è alloggiato l’eventuale sito web e su cui transitano le email e con l’eventuale consulente IT che si occupa di aggiornare o manutenere il software gestionale dello studio (che magari è stato concesso in licenza) e con tutti gli altri eventuali soggetti cui si trasferiscono dati di clienti o collaboratori fuori dallo studio (si pensi ad esempio a coloro che forniscono il servizio di fatturazione elettronica in outsourcing).

A questo proposito, per il momento, non si provvede ad un approfondito esame (come sarebbe necessario) della questione relativa alla definizione precisa di tali soggetti alla luce sia del Codice per la tutela dei dati personali (attualmente operante) sia del Regolamento (UE) 2016/679 e delle responsabilità che, di conseguenza, ad essi competono.

Tale questione sarà argomento di un successivo contributo limitandoci, in questa sede, a chiarire che non si tratta semplicemente di una questione semantica ma che la distinzione tra “responsabile dei dati personali” ed “incaricato del trattamento” corrisponde ad una precisa distinzione di ruoli e responsabilità del soggetto cui il ruolo viene conferito, responsabilità che può essere, come nel caso del responsabile del trattamento, assai pesante.

Nel caso di specie, quello dello studio in cui operano più professionisti in cui vengono trattati dati esclusivamente connessi all’adempimento dell’obbligazione contrattuale relativa all’esecuzione degli obblighi fiscali (lo stesso può dirsi in merito alle distinte operatività che sono state citate in apertura), i dipendenti che hanno accesso ai dati trattati nell’ambito dell’attività dell’ufficio dovranno essere designati come “incaricati del trattamento”  o comunque autorizzati a gestire i dati limitatamente a ciò che ad essi compete.

Ai collaboratori dovranno essere impartite, inoltre, istruzioni operative o linee guida su come gestire i dati di terzi e proteggerli (anche in questo caso non vi è nulla di particolarmente innovativo rispetto a quanto era già previsto del Codice per la Tutela dei dati personali di cui al Decreto Legislativo 30 giugno 2003, n. 196, pubblicato in Gazzetta Ufficiale il 29 luglio 2003).

Lo studio deve dotarsi di corrette metodologie per proteggere i dati

A questo proposito è opportuno sottolineare che le prescrizioni giuridico-normative si intrecciano strettamente con quelle tecnologiche in quanto le metodologie di trattamento, conservazione e trasmissione dei dati sono in continua, rapida, evoluzione acquisendo capacità che portano a stravolgere in poco tempo prassi apparentemente consolidate.

Alla luce di queste considerazioni, lo studio dovrà ovviamente essere dotato di tutti quegli strumenti tecnici e organizzativi adeguati e proporzionati al tipo di dati trattati, alla finalità del trattamento, alle modalità, al contesto organizzativo e ai rischi potenziali che il trattamento può provocare sui diritti e le libertà degli interessati, misure che consentano di garantire, l’integrità dei dati personali trattati e la disponibilità, dei sistemi utilizzati nonché un elevato grado di protezione dei dati stessi (in questo senso è opportuno confrontare l’articolo del Regolamento con quanto veniva – e viene tutt’ora previsto – dal Codice per la Tutela dei dati personali), in particolare, di quelli che transitano sui vari device (pc, smartphone, tablet, wi-fi strumenti innovativi che, in buona sostanza, giustificano le differenze esistenti tra il nuovo Regolamento ed il vecchio Codice).

Sarà quindi necessario impiegare meccanismi che permettano di evitare accessi abusivi ai dati, alterazioni o modifiche degli stessi, cancellazioni, divulgazioni non autorizzate o violazioni di altro tipo.

In tal caso, ad esempio, molto si può fare impiegando meccanismi antielusione come i firewall e anche utilizzando (e facendo utilizzare) password sicure per accedere ai sistemi informatici dello studio in cui sono archiviati dati personali, provvedendo a redigere opportune best practice su come tali password dovranno essere custodite e amministrate e prevedendo, se si dispone di un sito web, con cui ad esempio è possibile inviare richieste mediante la compilazione di form, l’impiego di protocolli SSL.

Particolarmente, importante per il transito dei dati è l’uso di chiavette USB dotate di password o anche chiavette che consentono di criptare i dati ivi contenuti (il Regolamento, infatti all’articolo 32 consiglia proprio l’impiego di strumenti che consentano di cifrare i dati o comunque usare la pseudonimizzazione). Occorrerà poi ricorrere a strumenti che permettano di effettuare il backup, meglio se continuo dei dati, come ad esempio potrebbe essere un servizio di cloud fornito da un soggetto terzo di cui sarà necessario vagliare l’affidabilità e il grado di sicurezza offerto prima di sottoscrivere il contratto, designando, tra l’altro, anch’esso, responsabile del trattamento.

Di fondamentale importanza è il fatto, anche se una raccomandazione di questo tipo dovrebbe rispondere più a criteri di buon senso che a specifici obblighi normativi, di mantenere i sistemi operativi sempre aggiornati ed i vari programmi e le applicazioni utilizzate, determinando, a priori, una manutenzione periodica. si consiglia inoltre di controllare i vari devices, come smartphone o tablet, impostando una limitazione all’uso dei dati contenuti, se su di essi sono conservati o transitano in qualche modo anche dati relativi a clienti.

Il Regolamento, peraltro, è opportuno provvedere a sottolinearlo, all’articolo 32, lettera d), prevede l’impiego di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Si tenga poi presente che anche il professionista, in qualità di titolare del trattamento (o contitolare, mentre il responsabile dovrà comunicare un’eventuale violazione al titolare) è chiamato a comunicare al Garante eventuali violazioni sui dati personali entro 72 ore dal momento in cui ne viene a conoscenza, pertanto, occorrerà pensare anche a procedure preventive che consentano di intervenire velocemente sulla violazione e procedere tempestivamente alla comunicazione all’autorità.

Guida breve agli adempimenti privacy per il professionista

Questi sono, in linea di massima, gli adempimenti fondamentali previsti da parte del Legislatore europeo, adottati (in prospettiva) da quello italiano e definiti nel Regolamento, che dovranno essere effettivi, in quanto il professionista, in qualità di titolare del trattamento, dovrà essere in grado di dimostrare di aver messo in atto misure adeguate che provino che il trattamento viene effettuato conformemente a quanto viene dettato da parte del regolamento.

È ovvio che molto della pervasività e sofisticazione delle metodiche di realizzazione di quanto viene previsto nel Regolamento dipende sia dal tipo di organizzazione, che dalla tipolgia dei dati che vengono trattati così come dalle eventuali ulteriori finalità del trattamento, dai modi in cui i dati sono trattati e, quindi, dagli strumenti impiegati. Altrettanto ovvio è che tanto più è complessa l’organizzazione, maggiori saranno gli adempimenti per essere adempienti.

È chiaro che se, ad esempio uno studio ha il server in uno Stato estero fuori dall’Unione, su cui vengono archiviati dati personali, ad esso si applicano anche le norme relative al trasferimento di dati all’estero, mentre se si tratta di uno studio dotato di un numero elevato di professionisti e collaboratori suddiviso per settori di attività, si dovrà pensare anche di effettuare una DPIA, ovvero una "data protection impact assesment" o "valutazione d'impatto sulla protezione dei dati" (il considerando n. 91 del Regolamento esclude l’obbligatorietà della valutazione d’impatto sulla protezione dei dati per singoli professionisti, quali il singolo avvocato o medico) e nominare un DPO ovvero un “data protection officier”.

Un esempio di adeguata verifica della clientela

Svolte queste considerazioni in merito alle necessarie misure che i professionisti all’interno delle strutture in cui svolgono le proprie attività sono tenuti ad assumere passiamo al secondo ambito della nostra esposizione, ovvero al caso in cui si debbano affrontare le problematiche relative  alla gestione dei rapporti tra professionista e clientela, attuale o potenziale, in relazione ai trattamenti di dati che, nell’ambito di questa fattispecie, occorre effettuare.

Il caso che verrà trattato è tipico di una certa commistione che ci si trova dover fronteggiare nel momento in cui si è chiamati a verificare quali precauzioni è opportuno prendere in ambiti operativi distinti ma in qualche modo “confinanti”.

In primissima battuta, occorre sottolineare che, come spesso avviene nell’ambito delle norme in materia di protezione dei dati personali, le problematiche da affrontare non riguardano solo gli obblighi in materia di tutela dei dati quanto, appunto, anche altri aspetti normativamente disciplinati.

Nel caso che ci si è riproposti di affrontare si rientra infatti in una fattispecie che non è tanto regolata dal Decreto Legislativo n. 196/2003 (Codice Privacy) e dal regolamento che gli succederà a partire dal 25 maggio p.v. (ammesso che il legislatore italiano non ritenga, e trovi lo spazio, per una proroga del termine) quanto dal Decreto Legislativo n. 231/2007 che, all’articolo 12, stabilisce che i soggetti iscritti nell’albo dei consulenti del lavoro (questa è la fattispecie che si intende trattare) rientrano tra i professionisti destinatari dell’obbligo di adeguata verifica della clientela di cui all’articolo 18 del decreto medesimo e, in particolare, dell’onere di identificare il cliente e verificarne l’identità sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente.

La circostanza che la consulenza venga prestata a distanza, mediante l’impiego di strumenti telematici, non implica il venir meno di tale obbligo. Tant’è vero che, ai sensi del successivo articolo 28, quando il cliente non sia fisicamente presente, i destinatari del decreto sono tenuti ad adottare misure specifiche ed adeguate per compensare il rischio più elevato, applicando una o più fra le seguenti misure:

a) accertare l’identità del cliente tramite documenti, dati o informazioni supplementari;

b) adottare misure supplementari per la verifica o la certificazione dei documenti forniti o richiedere una certificazione di conferma di un ente creditizio o finanziario;

c) assicurarsi che il primo pagamento relativo all’operazione sia effettuato tramite un conto intestato al cliente presso un ente creditizio. Con riferimento alla fattispecie trattata, non vale ad escludere il suddetto onere in capo al consulente nemmeno la previsione di cui all’articolo 12, comma 3 del decreto antiriciclaggio, in base alla quale l’adeguata verifica non è dovuta esclusivamente in relazione allo svolgimento degli adempimenti in materia di amministrazione del personale previsti dalla legge sull’ordinamento della professione di consulente del lavoro.

Qualora il professionista non sia in grado di rispettare gli obblighi di adeguata verifica della clientela, a questi non è consentito di instaurare il rapporto continuativo né di eseguire operazioni o prestazioni professionali.

Va, tuttavia, osservato come i professionisti siano soggetti all’obbligo di identificazione della clientela soltanto in alcune ipotesi ben determinate, ovvero laddove:

a) la prestazione professionale abbia ad oggetto mezzi di pagamento, beni od utilità di valore pari o superiore a 15.000 euro;

b) eseguano prestazioni professionali occasionali che comportino la trasmissione o la movimentazione di mezzi di pagamento di importo pari o superiore a 15.000 euro, indipendentemente dal fatto che siano effettuate con una operazione unica o con più operazioni che appaiano tra di loro collegate per realizzare un’operazione frazionata;

c) l’operazione sia di valore indeterminato o non determinabile;

d) vi sia sospetto di riciclaggio o di finanziamento del terrorismo, indipendentemente da qualsiasi deroga, esenzione o soglia applicabile;

e) vi siano dubbi sulla veridicità o sull’adeguatezza dei dati precedentemente ottenuti ai fini dell’identificazione di un cliente.

Qualora, nel caso di specie, non dovessero ricorrere le suddette condizioni, il consulente non sarebbe, pertanto, tenuto all’obbligo di identificazione del cliente di cui all’articolo 18 del Decreto Legislativo n. 231/2007.

Quanto abbiamo esposto vale a ribadire la complessità del terreno in cui ci si deve muovere nell’ambito dell’esercizio dell’attività professionale della tutela dei dati personali e delle correlate obbligazioni che fanno però riferimento ad ambiti normativi distinti anche se in qualche modo cooperanti con le norme in materia di privacy.



TAG: Privacy 2024