Professionisti titolari o responsabili del trattamento dati.

Il 26 settembre u.s. si è svolta a Milano la giornata conclusiva del Forum nazionale dei commercialisti ed esperti contabili. In tale occasione, la tavola rotonda dedicata agi adempimenti "privacy" ha fornito importanti risposte allo stato dell'arte, che potranno riguardare anche il mondo delle professioni. In particolare, è emersa per il professionista la possibilità di essere, nel rapporto con il cliente, un titolare del trattamento oppure un responsabile del trattamento. Si rammenta, a tal proposito, che i più importanti temi riguardanti l'attività svolta dai professionisti contabili sono tre: se, nei confronti dei loro clienti, sono titolari o responsabili del trattamento; se devono nominare un responsabile della protezione dei dati dai loro clienti; se possono essere nominati responsabili della protezione dai loro clienti. Nell'occasione, è intervenuta Giovanna Bianchi Clerici, componente del garante per la protezione dei dati personali, che ha delineato due possibilità: il professionista contabile è titolare del trattamento nei rapporti con un cliente persona fisica, mentre è responsabile esterno se il cliente è una persona giuridica. Gli esperti sull'applicazione del regolamento Gdpr per i lavoratori autonomi hanno poi delineato due ipotesi: se il commercialista svolge attività per conto del cliente (titolare) e non ha autonoma capacità decisionale sulle informazioni trasmesse (ad esempio gestione libri paga), deve essere nominato responsabile ai sensi dell'articolo 28 del Regolamento (UE) 2016/679. Diversamente, se il professionista ha, in relazione alle attività concretamente da svolgere, ampio margine di manovra all'utilizzo dei dati personali (come, per esempio, quando deve difendere un cliente innanzi alla Commissione tributaria) non può essere nominato, poiché agisce come autonomo titolare. Trattasi di una linea interpretativa che risale alle linee guida dei Garanti europei (WP29) n. 1/2010, che mantiene la sua validità. In ottemperanza all'articolo 30 del Gdpr, la nomina a responsabile implica necessariamente la sottoscrizione di un apposito contratto e la stesura, da parte del professionista, del registro del trattamento del responsabile esterno. Quanto invece all'obbligo di nomina di un Dpo (responsabile della protezione dei dati), il garante della privacy ha dato un'indicazione di massima per cui lo studio singolo non deve nominare il Dpo. Più precisamente, è il dato dimensionale a fungere da criterio distintivo: se lo studio professionale lavora con persone giuridiche, non deve essere nominato un Dpo; al contrario, se lo studio lavora con persone fisiche, allora bisogna valutare la necessità di nominare un Dpo.

Il 19 settembre entra in vigore il D.Lgs. n. 101/2018 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale dei dati)”. A partire da tale data, tutti gli operatori pubblici e privati avranno a disposizione gli elementi necessari ai fini del corretto adempimento agli obblighi di cui al Regolamento Privacy già pienamente efficace dal 25 maggio 2018. In particolare, in ambito sanzionatorio, il termine per usufruire del “condono” - ovvero per effettuare il pagamento in misura ridotta (due quinti del minimo edittale) delle sanzioni che, al 25 maggio 2018 (data di operatività del Gdpr), non erano state ancora definite con ordinanza-ingiunzione -  è fissato per il 18 dicembre p.v.. Diversamente, per effettuare il pagamento nel caso non si sia aderito al “condono”, ci sarà tempo fino al 16 febbraio 2019.

Il termine del 18 dicembre 2018 è fissato anche per l’autorità giudiziaria al fine di trasmettere a quella amministrativa competente, gli atti dei procedimenti penali relativi ai reati trasformati in illeciti amministrativi. Nei prossimi mesi e sempre entro la data sopra citata, infine, il Garante verificherà  la compatibilità con il Gdpr delle autorizzazioni generali ed eventualmente le aggiornerà, per poi sottoporle a consultazione pubblica. Tali autorizzazioni dovranno essere adottate entro 60 giorni dalla chiusura della consultazione e pubblicate sulla Gazzetta Ufficiale; da quel momento cesseranno di produrre effetti le vecchie autorizzazioni generali.