È una domanda sempre più frequente tra clienti e professionisti: il commercialista che gestisce contabilità, buste paga o adempimenti fiscali per un’azienda è da considerarsi titolare del trattamento o responsabile esterno? La distinzione, apparentemente tecnica, ha conseguenze molto concrete in termini di privacy, obblighi contrattuali e responsabilità giuridica.
Con l’entrata in vigore del Regolamento (UE) 2016/679 (GDPR), ogni trattamento di dati personali deve essere inquadrato in modo chiaro in termini di ruoli: chi è il titolare del trattamento (cioè chi determina “finalità e mezzi”), e chi agisce per conto del titolare, ossia come responsabile esterno. Quando un’azienda o un altro titolare del trattamento si affida a uno studio professionale per servizi di consulenza fiscale, contabile o paghe, entra in gioco la relazione titolare–responsabile del trattamento prevista dagli articoli 4 e 28 del Regolamento (UE) 2016/679 (GDPR). In sostanza, ogni volta che il commercialista tratta dati personali per conto di un cliente e su istruzioni di quest’ultimo, non decide finalità e mezzi, e quindi agisce come responsabile esterno del trattamento.
Nel caso più tipico, un’azienda si affida a uno studio per la gestione delle paghe, della contabilità ordinaria o della dichiarazione dei redditi dei dipendenti. In questi contesti, il professionista non decide né perché né come trattare i dati: esegue attività tecniche e amministrative sulla base di istruzioni ricevute. È quindi un responsabile del trattamento, ai sensi dell’art. 4, comma 8 e dell’art. 28 del GDPR.
Per esempio:
- quando uno studio elabora le buste paga dei dipendenti di un cliente e trasmette i flussi Uniemens o le CU;
- quando gestisce i modelli F24 dell’azienda, con dati anagrafici, contributivi e talvolta anche sensibili (es. agevolazioni per disabilità);
- o ancora, quando redige e invia le dichiarazioni 730 precompilate per conto del datore di lavoro.
In tutti questi casi, lo studio tratta dati personali anche molto delicati, ma non ne è il titolare: lo è l’azienda committente. Di conseguenza, è necessario che questa nomini formalmente lo studio come “responsabile esterno del trattamento”, stipulando un contratto scritto conforme all’art. 28 GDPR.
Ci sono però anche situazioni in cui il commercialista non agisce “per conto” di un cliente, ma in totale autonomia decisionale: ad esempio quando tiene la propria contabilità, gestisce direttamente i dati dei propri dipendenti, o fornisce consulenza fiscale o tributaria senza trattare dati per conto di terzi. In questi casi, lo studio è titolare autonomo e non è tenuto a ricevere istruzioni o a essere nominato da altri.
Un caso pratico: se un professionista invia un modello 730 per un cliente persona fisica che gli ha conferito incarico diretto, il commercialista è titolare autonomo del trattamento. Al contrario, se invia il 730 per conto di un’azienda che ha incaricato lo studio a supportare i propri dipendenti, è responsabile esterno.
La giurisprudenza e i pareri delle autorità europee (in particolare il Parere 2/2019 dell’EDPB) sottolineano che la definizione dei ruoli non dipende dalla forma contrattuale, ma dalla sostanza del rapporto. Se un soggetto esercita un controllo effettivo sulle finalità e i mezzi del trattamento, è titolare. Se invece si limita a eseguire quanto stabilito da altri, è responsabile esterno.
È quindi fondamentale che i commercialisti analizzino caso per caso la natura del servizio offerto, ed eventualmente chiedano al cliente una nomina scritta, specie quando gestiscono dati dei dipendenti, dei fornitori o dei clienti dell’azienda committente.
Per i commercialisti, la corretta definizione del ruolo privacy non è solo una questione teorica, ma un elemento cruciale di compliance. Essere qualificati come “responsabili esterni del trattamento” richiede una nomina formale, dettagliata e coerente con le attività effettivamente svolte. Ignorare questa distinzione può portare a responsabilità condivise in caso di violazione dei dati o ispezioni del Garante.
Anche su questo fronte, quindi, la precisione e l’attenzione al dettaglio che caratterizzano la professione contabile diventano strumenti fondamentali per lavorare in sicurezza, nel rispetto del GDPR.
Alice Colussi – Centro Studi CGN
