Il GDPR prevede alcuni adempimenti a carico dei commercialisti che comprendono ad esempio:

  • la revisione delle informative da fornire ai clienti al trattamento di dati “particolari” cioè meritevoli di una protezione più elevata
  • cifratura e pseudonimizzazione delle informazioni
  • misure di sicurezza per fronteggiare un data breach

Come i commercialisti possono agire per non arrivare impreparati all’appuntamento del 25 maggio con la privacy 4.0? Cerchiamo di fare un pò di chiarezza.

GDPR E COMMERCIALISTI: COME CREARE UN STUDIO SICURO

In questa ottica bisogna garantire una protezione realmente efficace dei dati dei clienti e, in generale, degli archivi eliminando i rischi legati al transito dei dati da e per uffici pubblici.
Il regolamento europeo sulla protezione dei dati (GDPR), che sarà applicabile dal 25 maggio 2018, pone il commercialista di fronte ad una serie di adempimenti tra cui:

  • revisione delle informative (presenti sia su moduli cartacei, sia sui siti web del professionista), finalizzate ad informare il cliente prima della raccolta dei dati e a far conoscere non solo le modalità di trattamento ma anche i diritti che il cliente stesso può esercitare
  • trattamento di dati “particolari”, meritevoli di una protezione più elevata per i danni che la loro diffusione illecita potrebbe comportare ai clienti e ai loro diritti
  • cifratura dei dati e la pseudonimizzazione delle informazioni (che il GDPR individua come il miglior strumento tecnico per garantire una vera protezione delle informazioni)
  • trasparenza di tutte le procedure e il tracking delle informazioni
  • in caso di outsourcing dei dati, la verifica dei rapporti contrattuali o di servizio che lega il commercialista o lo studio professionale a uno o più soggetti esterni che trattano i dati
  • le misure di sicurezza da adottare se si perde il controllo del flusso dei dati, soprattutto nel caso in cui avvenga un data breach

Alla luce del precedente elenco, adeguare uno studio professionale alle misure di sicurezza previste dal GDPR può richiedere valutazioni molto eterogenee tra loro. Infatti il commercialista dovrebbe essere sempre in grado di identificare e gestire correttamente i tipi di dati che si trova a dover trattare, avendo ben chiaro, sin dall’inizio, la loro gravità e la loro correlazione necessaria ad alcuni adempimenti specifici.
Questo tipo di approccio pone il problema dei costi infatti, qualsiasi attività di compliance deve essere comunque correlata anche alle capacità di spesa del titolare.

COMMERCIALISTI: GESTIRE GLI ADEMPIMENTI PRIVACY 4.0?

Proprio sul trattamento dei dati dei clienti che si basa la principale attività di uno studio commercialista. Sulla base di questa considerazione, oltre ai dati contabili, o dati delle persone giuridiche, transitano sulla scrivania (e sempre di più sui computer) del professionista i dati connessi alla parte più delicata delle persone fisiche coinvolte che vanno dalla:

  • dichiarazioni dei redditi
  • donazioni a enti religiosi
  • certificati medici
  • polizze assicurative
  • scontrini o ricevute per visite mediche

In questa ottica il GDPR pone particolare attenzione al trattamento e alla protezione di tali dati con l’intenzione di far rispettare alcune regole tra cui:

  • individuazione di dati particolari e la valutazione del loro “peso”, ossia il livello di rischio per la persona in caso di diffusione non autorizzata di dati che sono sempre stati utilizzati per discriminare le persone in società e sul posto di lavoro
  • revisione documentale degli elementi che servono a informare i clienti
  • cifratura delle informazioni più importanti
  • misure di protezione adeguate da adottare in contesti professionali, con la conseguente corretta gestione di eventuali incidenti informatici
  • controllo costante del flusso dei dati verso uffici pubblici e privati.