Dal prossimo 25 maggio entrerà in vigore il nuovo regolamento europeo per la protezione dei dati, il cosiddetto GDPR (Regolamento Privacy UE/2016/679). A doversi adeguare saranno tutte le imprese ed i professionisti, soprattutto quelli che trattano informazioni sensibili come i commercialisti.
Compliance, trasparenza e accountability
Uno studio professionale, per adeguarsi alle nuove norme UE sulla privacy, dovrà valutare attentamente le attività svolte in precedenza in tema di tutela della privacy.
Il GDPR prevede che qualsiasi attività di compliance sia sempre correlata anche alle capacità di spesa del titolare è che il processo di trattamento dei dati sia guidato dal principio della trasparenza (Considerando del GDPR n. 58, 59 e 60), in questo modo esso diventa anche sicuro.
Si tratta di un approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili, ossia sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.
Il principio della trasparenza si concretizza in un obbligo da parte titolare del trattamento di informativa privacy con informazioni concise, facilmente accessibili e di facile comprensione, ma anche di prevedere modalità che vivevano all’interessato di esercitare agevolmente i diritti che gli spettano, come l’accesso ai dati, la loro rettifica e cancellazione e il diritto di opposizione.
Deve inoltre essere previsto un meccanismo per l’inoltro delle richieste per via elettronica, in particolare qualora i dati personali siano trattati con mezzi elettronici.
Sicurezza
Lo studio professionale dovrebbe trattare solo dati cifrati così da garantire una protezione efficace delle informazioni.
Le misure di sicurezza che professionisti ed aziende sono descritte nei Considerando del GDPR nn. 74, 75 e 76:
(74) È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.
(75) I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare:
- se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo;
- se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza;
- in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori;
- se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.
(76) La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato.