Il nuovo regolamento per la tutela dei dati, diventerà pienamente operativo il 25 maggio 2018 e non mancano le criticità, dovute sia a un cambio di prospettiva nella gestione della privacy, sia alla mancata pubblicazione del decreto di coordinamento tra il Codice Privacy in vigore e il Nuovo Regolamento Europeo, sia al nuovo reparto sanzionatorio molto più severo di quello in vigore.
Il 2 maggio, la Fondazione Nazionale dei Commercialisti ha pubblicato le check-list per gli studi professionali. Come si legge nel comunicato, il Regolamento UE 2016/679 (GDPR) impone ai professionisti un cambiamento culturale nell'approccio al modello di gestione della Privacy, che deve essere adeguatamente affrontato anche al fine di evitare l'assoggettamento a gravi sanzioni. La normativa europea richiede infatti un ripensamento delle misure di sicurezza da adottarsi negli studi professionali, che devono essere adeguate al singolo contesto organizzativo ed elaborate caso per caso attraverso una preventiva, consapevole e responsabile mappatura dei rischi di trattamento dei dati gestiti. Ciò in quanto, diversamente dal passato, il nuovo modello proposto dal legislatore comunitario non è più basato su un disciplinare tecnico delle misure minime di sicurezza, essendo posta a carico del titolare dello studio professionale la responsabilità (c.d. principio di Accountability) di definire, all'esito di un'attenta analisi dei rischi, le misure di sicurezza idonee a garantire la privacy dei dati personali trattati dal Titolare stesso o dal Responsabile del trattamento.
In ciò risiede la principale criticità, ma anche la possibile opportunità insita in questo nuovo adempimento che, richiedendo un processo valutativo dinamico basato sulla Risk Analisys tipico dei sistemi di gestione di Internal Auditing, da onere per gli studi professionali può trasformarsi in una occasione per ampliare il perimetro delle attività di consulenza offerte dai Commercialisti.
L'attività di valutazione del rischio Privacy, infatti, è prima di tutto un'attività di interpretazione giuridica finalizzata a verificare che l'impianto di regole e documenti adottato sia sufficiente ad adempiere agli obblighi del GDPR in tema di dati trattati, di diritti degli interessati, di modalità di trattamento, di finalità di trattamento, di tempi di conservazione e di cancellazione, di sistemi di sicurezza, di requisiti di trasparenza. E poiché il Regolamento europeo richiede misure sufficienti, ma non fornisce indicazioni specifiche, la valutazione è una attività complessa che viene rimessa alla responsabilità del Titolare, il quale verosimilmente dovrà ricorrere all'ausilio di professionisti qualificati.
Le checklist sono disponibili sul sito www.fondazionenazionalecommercialisti.it