Consulenza GDPR per commercialisti

 

Consulenza GDPR

Consulenza GDPR – Quali sono nello specifico i principi e gli obblighi a cui una figura professionale in particolare, come il commercialista, deve conoscere e rispettare?

Quando figure lavorative indipendenti e autonome si occupano di trattare nella loro attività dati e informazioni personali di soggetti altri, è fondamentale essere consapevoli e coscienti delle modalità con cui questi dati vengono trattati e conservati.

Vediamo allora come deve comportarsi la figura del commercialista e quali normative deve osservare per evitare di incorrere in sanzioni.

 

Consulenza GDPR – Riferimenti per i commercialisti

Senza dubbio, anche per i commercialisti vale il principio di accountability.

Secondo questo principio si riconosce ad ogni titolare del trattamento una responsabilità nella scelta di adozione di misure adeguate e funzionali alla propria attività e al proprio contesto.

Ma nel concreto, quindi, quali riferimenti può osservare un commercialista?

Per un supporto davvero funzionale il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili ha messo a disposizione un apposito documento: “Il regolamento UE/2016/679 General data Protection Regulation (GDPR): nuove regole comunitarie e precisazioni in materia di protezione dei dati personali”. Si tratta di un appoggio molto utile perché, oltre ad avere una prima parte di sintesi sulla GDPR e sulle novità introdotte, permette di consultare facilmente una lista di adempimenti specifici per questa categoria professionale.

La checklist in questione proposta si sofferma principalmente sui rischi dovuti a una mancata conformità a livello normativo.
I campi presi in esame sono:

  1. I dati personali trattati
  2. I diritti degli interessati a cui appartengono i dati trattati
  3. Accuratezza e conservazione dei dati
  4. I requisiti di trasparenza
  5. Ulteriori obblighia cui il titolare deve rispondere
  6. La sicurezza del trattamento
  7. La gestione e protezione nell’ottica di data breaches (violazione dei dati personali)
  8. L’eventualità di un trasferimento dei dati personali a livello extra europeo

Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Vediamo anello specifico come analizzare questi campi e fare le verifiche per la propria attività.

Consulenza GDPR – Dati personali trattati dati personali ed interessati coinvolti

Un primo passo per la gestione privacy dei clienti consiste nell’ordinare le categorie dei soggetti interessati con i relativi dati personali.
Ad essi andrebbe correlato il flusso dei dati trattati, le fonti da cui provengono, specificando in particolar modo se si tratta di una risorsa diretta o indiretta (quindi da terze parti).
Associare poi ai dati personali il loro scopo di raccolta, indicando motivi di conservazione e base giuridica su cui ci si basa per farlo.

Concentrarsi in questo passaggio soprattutto su eventuali categorie di dati speciali, specificandone la natura.

Altro elemento indispensabile è il periodo per il quale i dati saranno conservati, coerente con lo scopo e la finalità di raccolta.

Infine occorre definire le attività che si devono mettere in pratica al fine di garantire un trattamento che sia privacy compliant e che si interessi, quindi, a proteggere i dati in prima istanza.

Proviamo a domandarci:

  • ho attivato procedure per permettere ad un soggetto di revocare il proprio consenso al trattamento dei propri dati personali?
  • Esistono procedure che siano in grado di provare che un soggetto ha dato il proprio consenso al trattamento dei propri dati personali?

Consulenza GDPR – Diritti degli interessati

Bisogna essere consapevoli dei diritti a cui i clienti hanno accesso, perciò sarà necessario predisporre una politica con la quale gestire le richieste di accesso ai dati di ognuno, cercando di farlo in modo celere, strutturato e facilmente leggibile.

Devono essere attivati però non solo sistemi di portabilità dei dati, ma anche di gestione di richieste di cancellazione di quest’ultimi, includendo anche la possibilità di rettifica.

Proviamo a domandarci:

  • ci sono delle forme di controllo e delle pratiche con le quali è possibile bloccare il trattamento dei dati nel momento in cui l’interessato si oppone al trattamento stesso?
  • Nell’eventualità di sistemi automatizzati, è presente un consenso su cui si basa il trattamento attivo? Si tratta di un consenso esplicito?

Consulenza GDPR – Accuratezza e conservazione

La raccolta dei dati implica che vengano rispettate delle necessità e dei bisogni. Se non c’è una giustificazione valida per la raccolta questa non può avvenire.

Allo stesso tempo, la raccolta deve essere fatta con attenzione e precisione, cercando di aggiornare quanto più spesso possibile i dati.

Anche il periodo di conservazione va determinato sulla base dello scopo, in questo caso è bene tenere conto anche di eventuali obblighi specifici a cui si potrebbe incorrere, ad esempio periodo minimi di conservazione di certi dati.

Proviamo a domandarci:

  • I dati personali raccolti sono limitati a quanto necessario per gli scopi per cui sono trattati?
  • Sono state previste delle azioni a garanzia della distruzione dei dati trascorso il tempo necessario di conservazione?

Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Consulenza GDPR – Trasparenza

Il principio di trasparenza implica che tanto i collaboratori di studio quanto i clienti vengano informati in maniera appropriata ed esaustiva sull’utilizzo dei dati. In questo modo informerà proattivamente l’interessato dei suoi diritti (previsti dal GDPR).

Estremamente utile è redigere una policy: essa permetterà di chiarire le modalità d’uso dei dati e gli strumenti informatici di raccolta.  

Proviamo a domandarci:

  • qualora dovessero esserci dei dati raccolti direttamente dall’interessato, sono attive procedure che informino l’interessato delle informazioni elencate all’art. 13 del GDPR?
  • Nell’eventualità in cui i dati non sia raccolti direttamente ma ci fosse un ulteriore passaggio gestito da parti terze, sono presenti le procedure informative di quanto previsto dall’Art. 14 del GDPR?

Consulenza GDPR – Obblighi

Altri obblighi a cui rispondere sono la definizione degli accordi con i fornitori e le parti terze coinvolte nel trattamento dei dati personali per conto del commercialista. In questo modo si potrà garantire il totale rispetto dei requisiti per la protezione e la sicurezza dei dati.

Una figura importante nella gestione privacy è il Data Protection Officer.
Ricopre un ruolo fondamentale per la sicurezza in termini di aderenza alla normativa.

Non è sempre però obbligatoria, perciò occorre valutare ogni singola casistica.

Un ulteriore considerazione riguarda il rischio correlato al trattamento dei dati. Bisogna valutare correttamente il livello di pericolo a cui i dati raccolti vengono sottoposti per mezzo di studi appositi.

Proviamo a domandarci:

  • è stata fatta una valutazione sulla necessità di nominare un DPO?
    Nel caso in cui non fosse obbligatorio, sono stati archiviati i motivi che ne giustificano tale scelta?
  • Qualora ci fosse un alto rischio nel trattamento dei dati, è stato predisposto un processo che inquadri la valutazione d’impatto?  

Consulenza GDPR – Sicurezza

Un aspetto fondamentale è la tutela dei dati. Valutando in anticipo il rischio a cui vengono sottoposti i dati si potranno predisporre misure adeguate per mitigarli.

Programmi di sicurezza appositi, formazione del personale, responsabili incaricati di sorvegliare e curare i trattamenti saranno le soluzioni migliori per evitare di incorrere in errori.

Proviamo a domandarci:

  • esiste una persona riconosciuta come responsabile della prevenzione e indagine sulla violazione della sicurezza?   
  • Sono state attivate delle procedure basate su tecnologie crittografiche per le attività che coinvolgono trasferimenti, archiviazione e ricevimento delle informazioni personali e riservate?

Consulenza GDPR – Data breach

I data breach sono dei fenomeni di violazione della privacy. Si tratta di occorrenze che stanno aumentando sempre più, causando danni economici consistenti.

Difendersi dai data breach implica strategie predisposte in anticipo, funzionali a prevenire e proteggere.

Nonostante questo, non si riuscirà mai ad essere immuni, perciò è comunque necessario predisporre documentazioni e piano di notifica di eventuali attacchi agli interessati, procedendo ad informare quanto prima o con i mezzi ritenuti più funzionali i soggetti a cui appartengono i dati coinvolti nel data breach.

Proviamo a domandarci:

  • sono state predisposte procedure apposite in caso di data breach?
  • Quali sono le azioni da compiere per avvisare il Garante e gli interessati in caso si verificasse un data breach?

Consulenza GDPR – Trasferimento dati extra-europeo

Un ultimo aspetto di cui tener conto coinvolge il trasferimento dei dati al di fuori del territorio europeo. Poiché il GDPR ha una valenza europea, sarà necessario prevedere un’analisi e una documentazione nel momento in cui questi vengano comunicati fuori Europa.

Anche in questo caso sarà obbligatorio definire ed informare gli interessati degli scopi e dei destinatari del trasferimento.

Proviamo a domandarci:

  • sono inclusi anche particolari categorie di dati nel trasferimento?
  • Il trasferimento è stabilito e regolamentato da una base legale?

 

Il commercialista dovrebbe partire da queste indicazioni per poi andarle ad integrare con misure di sicurezza informatica applicate, al fine di valutare l’effettiva idoneità e correttezza nell’attività di protezione i dati personali.

Una consulenza GDPR completa ed esaustiva implica competenze solide e specifiche.
Kruzer offre servizi in grado di adattarsi ai bisogni di ognuno e alle realtà più diverse.
Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

 


CONDIVIDI:      
Stai riavviando la tua attività dopo il lockdown. Hai già adempiuto agli obblighi per la privacy?

 

Per prevenire il contagio da Covid-19 devi gestire i dati sanitari di chi entra in azienda, scopri quali sono gli obblighi di legge in relazione alle norme sulla privacy ed avrai un fantastico omaggio.

 

Voglio saperne di più