Privacy: registro trattamenti anche sotto i 250 dipendenti

Alessio Mauro - Leggi e prassi

Forum commercialisti 2018: adempimenti privacy protagonisti della terza giornata del convegno organizzato da ItaliaOggi. Il Garante “consiglia” il registro trattamenti anche per le aziende con meno di 250 dipendenti.

Privacy: registro trattamenti anche sotto i 250 dipendenti

Gli adempimenti sulla privacy sono protagonisti della terza ed ultima giornata del forum nazionale commercialisti 2018 organizzato a Milano da ItaliaOggi.

Partecipano alla tavola rotonda:

  • Antonio Ciccia Messina, esperto privacy;
  • Giovanna Bianchi Clerici, componente Autortà garante per la protezione dei dati personali;
  • Avv. Rocco Panetta, country Leader IAPP Italia;
  • Marino Longoni, direttore di ItaliaOggi 7 e moderatore del dibattito.

Riportiamo di seguito l’interessante intervento della dottoressa Clerici, componente Autortà garante per la protezione dei dati personali.

Giovanna Bianchi Clerici: ecco come adempiere ai nuovi obblighi sulla privacy

Giovanna Bianchi Clerici, componente Autortà garante per la protezione dei dati personali, esordisce sottolineando l’importanza dell’organizzazione e la continuità nel trattamento dei dati.

L’approccio da utilizzare è quello del privacy by design, che si basa su tre pilastri:

  • coscienza dei trattamenti effettuati;
  • analisi dei rischi;
  • scelta consapevole delle soluzioni.

Non si può più approcciare la questione privacy considerando il Garante come una sorta di balia; non è più possibile, inoltre, utilizzare misure di sicurezza predefinite. La valutazione, infatti, deve essere autonoma e individuale, adattandola al contesto aziendale.

Quali sono i rischi che uno studio professionale può correre per effetto del mancato rispetto della normativa sulla privacy? I rischi sono diversi, quello su cui occorre soffermarsi è l’organizzazione delle informazioni. In caso di controllo, infatti, occorre sapere dimostrare in modo razionale quali sono i mezzi che lo studio/azienda ha messo in campo per proteggere i dati aziendali e, soprattutto, quello dei propri clienti.

C’è poi la questione sicurezza, che va analizzata considerando le diverse tipologie di incidenti oltre ai mezzi che consentono di ridurre e/o eliminare i rischi.

Registro dei trattamenti privacy anche per le aziende con meno di 250 dipendenti. Ecco quali sono gli strumenti da utilizzare per dimostrare la propria correttezza nel rispetto degli adempimenti sulla privacy e la protezione dei dati personali

Il registro trattamenti va tenuto anche per le aziende al di sotto dei 250 dipendenti.

Appare questo il passaggio più interessante di cui ha parlato la dottoressa Clerici. Infatti, pur non essendo esplicitamente previsto per le aziende che hanno meno di 250 dipendenti, il registro trattamenti è assolutamente fondamentale per dimostrare la correttezza dell’azienda nel rispetto delle norme sostanziali che disciplinano la protezione dei dati.

Gli strumenti aziendali da utilizzare per il corretto adempimento degli obblighi sulla privacy e consigliati dal Garante sono i seguenti:

  • registro dei trattamenti;
  • codice di condotta;
  • certificazioni;
  • clausole standard.

Si ricorda ai lettori che la normativa vigente dopo il GDPR prevede l’esenzione dall’obbligo di tenuta del registro per le imprese o le organizzazioni con meno di 250 dipendenti, a meno che il trattamento effettuato:

  • possa presentare un rischio per i diritti e le libertà degli interessati,
  • non sia occasionale,
  • o includa il trattamento di categorie particolari di dati di o i dati personali relativi a condanne penali e a reati (cioé dati sensibili o giudiziari).

Garante Privacy: sanzioni senza deroghe

Sulle sanzioni - molto pesanti e calcolate sul fatturato dell’azienda - la componente del Garante ricorda che è previsto un periodo transitorio, oltre che procedure semplificate per le micro imprese.

Tuttavia, sia il periodo transitorio che le procedure semplificate non significano deroghe alle sanzioni ordinariamente previste

Avvocato Messina: norme poco chiare. DPO non obbligatorio per gli studi associati

Subito sopo l’intervento della dottoressa Clerici è intervenuto l’avvocato Messina, esperto di Privacy.

L’avvocato e firma di punta di ItaliaOggi ha evidenziato come la normativa sulla privacy sia ancora disorganica e generica, nonostante un percorso ormai ventennale (considerando la Legge del 1996).

In ordine alla nomina del DPO studi professionali, per esempio, l’Avvocato Messina ha ricordato che:

  • per lo studio individuale non esiste alcun obbligo di DPO;
  • per gli studi associati ad oggi non esiste una norma specifica sulla nomina del DPO. Tuttavia - spiega Messina - non si può pensare che uno studio associato con due soli professionisti sia obbligato alla nomina del DPO. Ma siamo nel campo delle interpretazioni di norme generiche (puzzle o groviera sono i termini utilizzati dall’avvocato per spiegarci l’attuale situazione della normativa sulla privacy).

I commercialisti possono essere nominati DPO esterni dei propri clienti?

L’avvocato Rocco Panetta, Country Leader IAPP Italia, ha chiuso la tavola rotonda in materia di privacy, trattando alcuni aspetti operativi.

Fra le altre cose, per esempio, Panetta ha trattato il tema della possibilità che il commercialista possa essere nominato DPO esterno di uno o più dei propri clienti.

Da questo punto di vista - sottolinea il Country Leader IAPP Italia - ci sono stringenti questioni di opportunità da valutare. Non esiste un divieto specifico della normativa nazionale e comunitaria in questo senso; tuttavia, ci sono delle situazioni in cui il commercialista DPO del proprio cliente potrebbe trovarsi in evidenti situazioni di conflitto di interessi. Quindi, pur in assenza si esplicito divieto, la valutazione di opportunità porta a ritenere che la nomina a DPO esterno dei commercialisti sia da evitare.

A livello internazionale, invece, l’Information Commissioner’s Office prevede esplicitamente che i commercialisti non possano essere nominati DPO esterni poiché ciò minerebbe la tutela dell’integrità ed indipendenza professionale.