Professionisti titolari o responsabili del trattamento dati.

Il 26 settembre u.s. si è svolta a Milano la giornata conclusiva del Forum nazionale dei commercialisti ed esperti contabili. In tale occasione, la tavola rotonda dedicata agi adempimenti "privacy" ha fornito importanti risposte allo stato dell'arte, che potranno riguardare anche il mondo delle professioni. In particolare, è emersa per il professionista la possibilità di essere, nel rapporto con il cliente, un titolare del trattamento oppure un responsabile del trattamento. Si rammenta, a tal proposito, che i più importanti temi riguardanti l'attività svolta dai professionisti contabili sono tre: se, nei confronti dei loro clienti, sono titolari o responsabili del trattamento; se devono nominare un responsabile della protezione dei dati dai loro clienti; se possono essere nominati responsabili della protezione dai loro clienti. Nell'occasione, è intervenuta Giovanna Bianchi Clerici, componente del garante per la protezione dei dati personali, che ha delineato due possibilità: il professionista contabile è titolare del trattamento nei rapporti con un cliente persona fisica, mentre è responsabile esterno se il cliente è una persona giuridica. Gli esperti sull'applicazione del regolamento Gdpr per i lavoratori autonomi hanno poi delineato due ipotesi: se il commercialista svolge attività per conto del cliente (titolare) e non ha autonoma capacità decisionale sulle informazioni trasmesse (ad esempio gestione libri paga), deve essere nominato responsabile ai sensi dell'articolo 28 del Regolamento (UE) 2016/679. Diversamente, se il professionista ha, in relazione alle attività concretamente da svolgere, ampio margine di manovra all'utilizzo dei dati personali (come, per esempio, quando deve difendere un cliente innanzi alla Commissione tributaria) non può essere nominato, poiché agisce come autonomo titolare. Trattasi di una linea interpretativa che risale alle linee guida dei Garanti europei (WP29) n. 1/2010, che mantiene la sua validità. In ottemperanza all'articolo 30 del Gdpr, la nomina a responsabile implica necessariamente la sottoscrizione di un apposito contratto e la stesura, da parte del professionista, del registro del trattamento del responsabile esterno. Quanto invece all'obbligo di nomina di un Dpo (responsabile della protezione dei dati), il garante della privacy ha dato un'indicazione di massima per cui lo studio singolo non deve nominare il Dpo. Più precisamente, è il dato dimensionale a fungere da criterio distintivo: se lo studio professionale lavora con persone giuridiche, non deve essere nominato un Dpo; al contrario, se lo studio lavora con persone fisiche, allora bisogna valutare la necessità di nominare un Dpo.