Privacy, due vie per gli studi

di Antonio Ciccio Messina

Due strade per disciplinare il rapporto cliente-commercialista in base alla nuova normativa sulla privacy. Il professionista potrebbe essere un titolare del trattamento oppure un responsabile del trattamento. È quanto emerso alla tavola rotonda dedicata agli adempimenti «privacy» ieri a Milano alla giornata conclusiva del Forum nazionale dei commercialisti ed esperti contabili, organizzato da ItaliaOggi. Il 2018 è l’anno della privacy a tinte Ue, e questo grazie all’inizio di efficacia del regolamento Ue 2916/679 (dal 25 maggio 2018). Un regolamento che ormai fa sistema con il codice della privacy italiano (dlgs 196/2003), ancorché ridimensionato e adeguato al regolamento europeo con il decreto legislativo 101/2018 (entrato in vigore il 19 settembre 2018). I più importanti temi all’ordine del giorno nell’agenda dei professionisti contabili sono tre: se, nei confronti dei loro clienti, sono titolari o responsabili del trattamento; se devono nominare un responsabile della protezione dei dati; se possono essere nominati responsabili della protezione dei dati dai lori clienti.

La tavola rotonda ha fornito risposte allo stato dell’arte, considerato che il quadro normativo potrebbe essere integrato con provvedimenti di semplificazione, che potranno riguardare anche il mondo delle professioni. Giovanna Bianchi Clerici, componente del garante per la protezione dei dati personali ha delineato due possibilità: il professionista contabile è titolare del trattamento nei rapporti con un cliente persona fisica, mentre è responsabile esterno se il cliente è una persona giuridica. Rocco Panetta, avvocato fondatore dello Studio Panetta e associati, ha distinto due ipotesi. Se il commercialista svolge attività per conto del cliente (titolare) e non ha autonoma capacità decisionale sulle informazioni trasmesse (ad esempio gestione libri paga) deve essere nominato responsabile ai sensi dell’articolo 28 del Regolamento Ue. Se il professionista ha, in relazione alle attività concretamente da svolgere, ampio margine di manovra nell’utilizzo dei dati personali (come, per esempio, quando deve difendere un cliente davanti alla Commissione tributaria) non può essere nominato, poiché agisce come autonomo titolare. È una linea interpretativa che risale alle linee guida dei Garanti europei (WP29) n. 1/2010, che mantiene la sua validità.

Sta di fatto che questo ruolo multiforme implica una flessibilità gestionale e conseguenti accorgimenti nei rapporti con la clientela. La nomina a responsabile implica la sottoscrizione di un apposito contratto e la stesura, da parte del professionista, del registro del trattamento del responsabile esterno (articolo 30 regolamento Ue). Un tema da dibattere è, invece, se vi sia spazio per individuare il singolo professionista come designato esterno ai sensi dell’articolo 2-quaterdecies del codice della privacy (figura ritenuta, però, solo come interna a un assetto organizzativo).

Sul fronte dell’obbligo di nomina di un Dpo (responsabile della protezione dei dati) il garante della privacy ha dato un’indicazione di massima per cui lo studio singolo non deve nominare il Dpo. Sul punto Panetta ha distinto il caso in cui lo studio professionale lavori con persone giuridiche: allora non deve essere nominato un Dpo; altro caso è quello cui lo studio lavori con persone fisiche, allora bisogna valutare la necessità di nominare un Dpo (specialmente le grandi aziende). Il dato dimensionale è, dunque, il criterio distintivo. In materia sarebbe utile una linea guida o una regola deontologica, che scendesse più in concreto e individuasse soglie più certe. Il professionista, poi, ha le competenze per essere nominato Dpo, ma deve stare attento a non essere coinvolto in processi decisionali del cliente, in quanto il Dpo deve mantenere una posizione di terzietà, in quanto incaricato di compiti di sorveglianza sul titolare del trattamento. Un’ultima considerazione, svolta da Panetta, ha riguardato i commercialisti che fanno parte di organi di vigilanza (Odv): è tale organo che deve essere considerato titolare del trattamento, mentre i suoi componenti agiscono in rappresentanza dell’odv.

Fonte: