Privacy, nuove direttive dal Consiglio nazionale per gli iscritti all’Albo

Per i professionisti iscritti agli Albi dei Dottori Commercialisti ed Esperti Contabili arrivano preziose precisazioni in merito alla nuova disciplina in materia di privacy (Regolamento UE n. 679 del 2016) da parte del Consiglio nazionale e della Fondazione Nazionale dei Commercialisti.

Infatti, il 27 aprile 2018 è stato pubblicato un documento con allegata una check list per gli studi professionali con l’obiettivo di chiarire come (e se) modificare l’organizzazione dello studio professionale tenendo conto delle regole dettate dal suddetto Regolamento.


Di seguito riassumiamo le principali interpretazioni del documento sopra individuato:

  • Tenuta dei fascicoli relativi ai clienti. Dal documento della Fondazione si evince che “non occorre depennare, per motivi attinenti alla privacy, il nome dei clienti dalla copertina dei fascicoli cartacei, utilizzando numeri identificativi”. Resta ferma, tuttavia, la necessità di adottare tutte le modalità più opportune affinché i dati contenuti nei suddetti fascicoli siano trattati soltanto da soggetti autorizzati così come prevede la disciplina ai fini privacy. È questa la conclusione a cui si giunge esaminando la risposta del Garante con parere del 3 giugno 2004 al Consiglio nazionale forense.
  • Periodo di conservazione. L’articolo 5 del Regolamento UE 2016/679 ribadisce il principio già espresso dal Garante con il D.Lgs. n. 196/2013 stabilendo che i documenti devono essere conservati “per un tempo non eccedente quello strettamente necessario per raggiungere le finalità per cui i dati sono trattati”. Se si considerano le regole stabilite dalla disciplina civilistica in materia di scritture contabili, dalla disciplina fiscale e nondimeno dalla disciplina in materia di antiriciclaggio, si può concludere che il periodo di conservazione deve essere di dieci anni e che lo stesso debba essere inserito nel contratto con il cliente prevedendo alternativamente:
    • un compenso ad hoc per il professionista;
    • la restituzione al cliente dei documenti.
  • Nomina del Data Protection Officer (DPO) nello Studio Professionale. Sebbene il regolamento raccomandi la sua introduzione, il professionista che opera in forma individuale non avrà l’obbligo di nominare il DPO. Nel documento redatto dal Consiglio Nazionale, tuttavia viene suggerito di “indicare per ciascuno studio professionale almeno un “Referente GDPR” al quale fare riferimento”.
  • Adozione del Registro dei trattamenti. Considerato il principio della “responsabilizzazione” secondo cui il titolare del trattamento è tenuto a porre in essere tutte le misure tecniche e organizzative per garantire ed essere in grado di dimostrare che il trattamento dei dati personali degli interessati è effettuato nel rispetto dei principi dettati dall’art. 5, par. 1 e delle altre norme del GDPR, il Consiglio nazionale invita ugualmente l’adozione del registro dei trattamenti da parte degli studi professionali sebbene detto registro dei trattamenti (previsto dal GDPR) non sia obbligatorio per gli studi professionali.
  • Adeguamenti documentali. Ai fini del rispetto della nuova disciplina, il Consiglio nazionale invita i professionisti a:
    • adeguare l’informativa ai clienti alle nuove indicazioni previste dal Regolamento sopra citato;
    • chiedere il consenso, ad esempio, per il trattamento delle spese mediche prodotte dal cliente per la detrazione o deduzione;
    • fornire l’autorizzazione per iscritto ai propri collaboratori di studio e ai tirocinanti per il trattamento dei dati personali dei clienti.

Da ultimo, il documento del Consiglio nazionale si concentra anche sulle opportunità professionali in favore degli iscritti all’Albo dei Dottori Commercialisti e degli Esperti Contabili che possono derivare dalla disciplina privacy. In merito, considerato che la disciplina che regolamenta la privacy non prevede particolari obblighi formativi ovvero specifici requisiti professionali, il Consiglio nazionale ritiene che gli iscritti agli Albi possano fornire sia la loro consulenza in materia di privacy sia assumere anche l’incarico di Data Protection Officer (DPO) così come previsto dall’articolo 37 Regolamento UE n. 679 del 2016.

Massimo D’Amico – Centro Studi CGN