Privacy professionisti: quali obblighi con il nuovo Regolamento

Il GDPR ha rivoluzionato non solo la normativa ma anche l’approccio alla privacy per professionisti e imprese.

Dal 25 maggio 2018, data di operatività del Regolamento UE 679/2016 sono entrati in vigore nuovi obblighi e adempimenti che impongono di ripensare alle modalità di trattamento e di conservazione dei dati dei clienti.

Si pensi a commercialisti, avvocati, consulenti del lavoro e, in genere, a tutti quei professionisti o studi che quotidianamente si trovano a dover operare trattando dati sensibili non solo dei propri clienti ma anche di terzi.

In tal caso, bisognerà adottare tutte le misure per essere compliant rispetto alle regole e alle novità introdotte dal Regolamento UE.

Punto di partenza è impostare gli adempimenti sulla privacy per i professionisti e negli studi di modo che i dati siano trattati secondo i principi chiave del GDPR: liceità, correttezza e trasparenza.

Privacy professionisti: gli obblighi previsti dal GDPR

Uno degli obblighi principali introdotto dal GDPR è la tenuta del Registro dei trattamenti, documento all’interno del quale è tenuta traccia di tutte le operazioni effettuate che interessano i dati personali dei soggetti interessati.

Secondo quanto previsto dall’articolo 30 del nuovo regolamento UE sulla privacy, l’obbligo riguarda soltanto le organizzazioni con 250 dipendenti o più.

Tuttavia, la tenuta del Registro diventa obbligatoria in ogni caso anche quando l’attività di trattamento dei dati ha natura non occasionale, è suscettibile di comportare un rischio per i diritti e le libertà delle persone o coinvolgono dati particolari, relativi a condotte penali o dati giudiziari.

Tale specificazione assume particolare rilevanza per i professionisti in merito ad obblighi ed adempimenti previsti dalla nuova privacy. Si pensi ad avvocati o a consulenti del lavoro o commercialisti che trattano dati di clienti o di dipendenti di aziende (curriculum, buste paga, dati relativi ad infortuni ecc..).

In tutti questi casi la tenuta del Registro dei trattamenti assume natura obbligatoria anche per i professionisti.

Sarà utile inoltre in caso di ispezioni, in quanto come chiarito dalla stessa Guardia di Finanza, rappresenta lo strumento di partenza per l’attività ispettiva volta a valutare quali misure sono state messe in atto per la tutela della privacy.

Il Registro dovrà essere tenuto in forma cartacea o in formato elettronico e sarà obbligatorio effettuarne un costante aggiornamento.

Quando è obbligatorio il Registro dei trattamenti per i professionisti

Per capire quando diventa obbligatoria la tenuta del Registro anche per i professionisti può apparire utile riportare alcuni esempi.

Si ponga il caso di un avvocato che conserva i dati dei propri clienti in merito a processi e contenziosi oppure ad un consulente o un commercialista che per la propria attività di studio raccoglie dati relativi non soltanto al proprio cliente ma anche a terzi.

Stipendi, ferie o eventuali infortuni di dipendenti di un’azienda per la quale si fa consulenza: per il professionista questi costituiscono dati sensibili tali da far scattare l’obbligo di tenuta del Registro dei trattamenti.

Si ricorda che tra le novità introdotte dal GDPR vi sono anche le nuove sanzioni: in caso di violazione delle regole sulla privacy potranno arrivare fino a 20 milioni di euro e saranno pari al 2% o al 4% del fatturato.

Privacy professionisti: tra gli obblighi l’aggiornamento costante dei dati

Il Registro dei trattamenti, che dovrà essere redatto e tenuto dal titolare del trattamento e dal responsabile del trattamento, dovrà esser costantemente aggiornato.

Questo è una delle novità che rientra tra gli obblighi e gli adempimenti a carico di professionisti che operano come singoli o in studi. La necessità di aggiornare periodicamente i dati raccolti e trattati risponde all’esigenza di modificare e lasciare traccia della tipologia di attività di trattamento svolta.

L’obbligo di aggiornamento dei dati risponde alla necessità di rispettare i principi del GDPR: trattare i dati in materia lecita, corretta e trasparente. A tal proposito si ricorda che le nuove regole sulla privacy prevedono che i dati siano trattati esclusivamente sulla base di quanto necessario rispetto alle finalità per le quali sono stati raccolti.

In tal senso, quindi, l’attività di raccolta e tenuta degli stessi assume natura limitativa e l’eventuale eccesso potrebbe costituire un abuso. Si pensi, ad esempio, ai dati relativi ai curriculum inviati per la ricerca di personale: secondo il principio sopra esposto la loro tenuta dovrà essere limitata alla sola finalità originaria e quindi non anche in fase di conclusione della procedura di selezione di nuovo personale.