Element Logo

Gli adempimenti per la Privacy & GDPR per Commercialisti e Consulenti del Lavoro

Quali sono gli adempimenti privacy e GDPR per i commercialisti e consulenti del lavoro, cioè i professionisti sottoposti anche alla normativa sul antiriciclaggio e contrasto al finanziamento del terrorismo D.LGS 231/07?

 

Introduzione 

In questo articolo andremo ad analizzare gli adempimenti per la privacy e nello specifico gli obblighi in materia di tutela dei dati personali per i professionisti – commercialisti e consulenti del lavoro – sottoposti anche ai vincoli previsti in materia di antiriciclaggio e contrasto al finanziamento al terrorismo. 

In modo particolare vedremo:

 

Categoria degli interessati

Nello svolgimento della prestazione professionale commercialisti e consulenti del lavoro trattano i dati dei seguenti soggetti:

  • Clienti
  • Dipendenti e collaboratori;
  • Fornitori 

In tutti questi casi la base giuridica, cioè il motivo che rende legittimo il trattamento da parte dei professionisti, è da individuare nel contratto (verbale o scritto) che lega il rapporto con ciascuna categoria interessata.  

Pertanto non sarà necessario recepire alcuna forma di consenso, ma sarà obbligatorio fornire comunque un’informativa che in modo dettagliato e semplice spieghi in maniera inequivocabile:

  • L’oggetto del trattamento;
  • Le finalità del trattamento e la base giuridica;
  • Le modalità di trattamento;
  • La durata del trattamento;
  • Il conferimento dei dati;
  • I soggetti terzi che potrebbero venire a conoscenza dei dati;
  • La comunicazione dei dati;
  • I diritti dell’interessato
  • I processi di aggiornamento della politica del trattamento dati.

L’impianto del GDPR 2016/679, concede una certa libertà sui metodi di diffusione delle informative. Pertanto, per ogni studio professionale, deve essere effettuata un’attenta analisi del contesto e stabilire quali sono le procedure più adeguate a diffondere in modo corretto l’informativa. 

Veniamo ora alla particolarità che riguarda i professionisti in trattazione. Cioè la categoria di interessati che non hanno diretto rapporto con il professionista, ma i cui dati sono trattati dallo stesso in forza proprio del contratto sottoscritto con il cliente. 

Il riferimento è all’utenza (o clienti) dell’assistito dal professionista. Per svolgere la propria prestazione il commercialista ed il consulente del lavoro entrano in contatto con i dati che l’assistito gli comunica per le finalità connesse al servizio. 

Ad esempio un commercialista può venire in contatto con i dati dei clienti del suo assistito per l’elaborazione delle fatture, per la tenuta della contabilità etc..

Allo stesso modo il consulente del lavoro entra in contatto con i dati dei dipendenti del suo cliente, con le connesse, se vogliamo anche maggiori, responsabilità.

Vedremo in seguito come il ruolo del professionista cambi in relazione al trattamento dei dati del suo assistito e dei clienti di quest’ultimo (cfr par.4). Per ora si ribadisce solo che il professionista tratta oltre ai dati sopra descritti, anche quelli della clientela del suo assistito

Schematicamente potremmo riassumere la categoria degli interessati come segue:

 

Quali sono i dati trattati dal professionista

 

Prima di approfondire quale sia l’oggetto del trattamento dei dati del professionista è importante fornire la definizione di dato comune e dato particolare:  

Dato Comune

  • i dati che permettono l’identificazione diretta – come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc.  
  • i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa);

Dato particolare

  • dati c.d. “sensibili”, cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale.

Alla luce di quanto appena riportato in merito alla categoria di dati trattati è di sicuro interesse precisare le differenze che intercorrono tra le due figure professionali. 

Nello specifico:

  • Il commercialista per lo svolgimento della sua prestazione professionale, tratta quasi esclusivamente il dato comune del suo cliente e dei fornitori, mentre nell’ipotesi in cui questo sia affiancato da dipendenti, al dato comune, si possono affiancare i seguenti trattamenti:
  • Idoneità alla prestazione lavorativa;
  • Iscrizione ad organizzazione sindacale;
  • Richieste di permessi ex Lege 104/92
  • Etcc.

La categoria di dati appena elencati, rientra nel novero dei dati particolari, per cui da trattare con maggiore attenzione, specie nella predisposizione delle misure tecniche organizzative volte a tutelare tali dati. 

Con riferimento al dato dell’utenza del proprio assistito, il commercialista per lo svolgimento della propria prestazione professionale tratterà esclusivamente il dato comune.

  • Il Consulente del Lavoro condivide con il commercialista le medesime categorie di trattamento riguardante i clienti, fornitori e dipendenti, con le specificità sopra segnalate.

Discorso differente merita invece il dato trattato per conto del proprio cliente, in quanto in tali ipotesi il professionista, al fine di elaborare correttamente le buste paga ed esprimere le proprie consulenze, può entrare in contatto con i dati particolari del dipendente del suo assistito. 

Trattandosi di dato particolare il Consulente del Lavoro dovrà prestare una maggiore attenzione nella predisposizione delle misure tecniche organizzative andando ad implementare procedimenti che garantiscano il trasferimento dei dati con suo cliente in modo sicuro (come ad esempio fattore a doppia identificazione).  

Schematicamente la categoria di dati trattati si può sintetizzare come segue:

 

Commercialista:

 

 

Consulente del lavoro:

 

Ruolo ricoperto dal professionista

Anche in questo caso l’impianto normativa ci impone una breve premessa riguardante la figura del Titolare e quella di Responsabile del trattamento:

  • Titolare del trattamento: Titolare è la persona fisica, l’autorità pubblica, l’impresa, l’ente pubblico o privato, l’associazione, ecc., che adotta le decisioni sugli scopi e sulle modalità del trattamento (articolo 4, paragrafo 1, punto 7), del Regolamento UE 2016/679);
  • Responsabile del trattamento: è la persona fisica o giuridica alla quale il titolare richiede di eseguire per suo conto specifici e definiti compiti di gestione e controllo per suo conto del trattamento dei dati (articolo 4, paragrafo 1, punto 8), del Regolamento UE 2016/679). Il Regolamento medesimo ha introdotto la possibilità che un responsabile possa, a sua volta e secondo determinate condizioni, designare un altro soggetto c.d. “sub-responsabile” (articolo 28, paragrafo 2).

In base alle definizioni sopra riportate e a quanto illustrato nei paragrafi precedenti è evidente che i professionisti svolgono un duplice ruolo:

Titolare del trattamento per i dati dei propri

  1. clienti;
  2. dipendenti;
  3.  fornitori.

Responsabile: per i dati degli utenti dei propri clienti o dei lavoratori.

Il ruolo di responsabile è particolarmente importante, perché obbliga il professionista ha garantire ai propri clienti non solo di essersi adeguato alla normativa in materia di dati personali, ma anche di aver predisposto un Modello Organizzativo Privacy idoneo a tutelare i dati che gli vengono comunicati. In altre parole, in professionista deve ancora una volta guadagnarsi la fiducia del proprio cliente. 

 

Quali sono le misure tecniche ed organizzative da adottare

Ci occupiamo in questa parte di quella che possiamo considerare l’aspetto rivoluzionario introdotto dal GDPR 2016/679, cioè il riferimento a misure tecniche organizzative idonee a tutelare i dati trattati.

Tali misure non vengono elencate dalla norma, per cui è compito del titolare del trattamento e del Responsabile, adottare i presidi che siano consoni alla tipologia di dato trattato e alla propria organizzazione (principio di accountability)

Ciò comporta per il professionista – come del resto per tutti i Titolari e Responsabili, del trattamento – la predisposizione di un Modello Organizzativo Privacy che sia efficace ed efficiente e che garantisca anche i propri assistiti. 

Cosa prevede un Modello organizzativo Privacy:

  • La predisposizione di tutti i documenti necessari
  • Informative;
  • Nomina ad Autorizzato;
  • Nomine di Responsabili e sub responsabili;
  • Nomina amministratore di sistema;
  • Accordi di riservatezza;
  • Etcc…
  • La messa in sicurezza degli archivi informatici e cartacei;
  • La compilazione del registro delle attività di trattamento per il ruolo di titolare e per quello di responsabile. 

Ma soprattutto è importante che il Professionista disponga di Procedure e di una organizzazione che disciplini l’accesso al dato minimizzo il rischio di perdita, diffusione, manomissione dei dati. Per questo parliamo di modello organizzativo privacy

 

La privacy e l’antiriciclaggio: due procedure contrapposte.

Veniamo ora al rapporto tra l’adempimento privacy e l’adempimento in materia di antiriciclaggio. 

L’ adempimento alle due normative, si basa sul bilanciamento di interessi contrapposti. 

Da una parte abbiamo il GDPR 2016/679, tramite il principio di minimizzazione postula di trattare il minor numero di dati personali. 

In modo diametralmente opposto il contrasto al riciclaggio prevede per il professionista l’obbligo di collaborazione con lo Stato e di conseguenza di approfondire la conoscenza nel cliente raccogliendo quante più informazioni possibili da far riportare nell’Adeguata Verifica della clientela. 

Quali sono le fasi dell’adeguata verifica:

  • Identificazione cliente, esecutore, titolare effettivo= dati personali;
  • Analisi del rischio;
  • Procedura di controllo costante= eventuale acquisizione di altri dati personali;

Oltre all’obbligo appena citato la normativa antiriciclaggio prevede l’Obbligo di conservazione, cioè l’obbligo di conservare per 10 anni tutti i dati acquisiti nella fase precedente. 

Ed infine il terzo obbligo è quello di Segnalazione di Operazione Sospetta (SOS) cioè a dire, in estrama sintesi, l’obbligo di segnalare eventuali operazioni che il cliente ha posto in essere in essere che sono a rischio di riciclaggio o finanziamento del terrorismo. 

È evidente che tutte le fasi sopra descritte devono essere sottoposte ad un sistema di procedure che oltre a realizzare gli obblighi previsti dalla normativa antiriciclaggio, consente la tutela dei dati personali in essa raccolti. 

In altre parole è necessario che il Modello organizzativo Antiriciclaggio si conpenetri con il Modello Organizzativo Privacy andando ad individuare gli autorizzati che fanno parte anche della Funzione antiriciclaggio, predisponendo l’eventuale nomina del Responsabile antiriciclaggio ma soprattutto elaborando procedure che consentano l’adempimento agli obblighi senza ingessare troppo il lavoro dello studio professionale. 

 

Conclusione

Quanto sopra esposto, testimonia quanto gli studi professionali nello svolgimento della propria attività trattano una considerevole mole di dati personali anche particolari. È, per cui, opportuno che l’accesso agli stessi sia regolamentato nel rispetto delle norme in materia di tutela dei dati personali senza tralasciare gli quanto previsto in tema di riciclaggio e contrasto al finanziamento del terrorismo. 

La predisposizione di corretti Modelli Organizzativi è sicuramente la chiave per non incorrere in sanzioni e soprattutto mantenere la fiducia del cliente.  

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *