Il Regolamento UE 2016/679 (GDPR) impone ai professionisti un cambiamento culturale nell'approccio al modello di gestione della Privacy, che deve essere adeguatamente affrontato anche al fine di evitare l'assoggettamento a gravi sanzioni. La normativa europea richiede infatti un ripensamento delle misure di sicurezza da adottarsi negli studi professionali, che devono essere adeguate al singolo contesto organizzativo ed elaborate caso per caso attraverso una preventiva, consapevole e responsabile mappatura dei rischi di trattamento dei dati gestiti. Ciò in quanto, diversamente dal passato, il nuovo modello proposto dal legislatore comunitario non è più basato su un disciplinare tecnico delle misure minime di sicurezza, essendo posta a carico del titolare dello studio professionale la responsabilità (c.d. principio di Accountability) di definire, all'esito di un'attenta analisi dei rischi, le misure di sicurezza idonee a garantire la privacy dei dati personali trattati dal Titolare stesso o dal Responsabile del trattamento.
In ciò risiede la principale criticità, ma anche la possibile opportunità insita in questo nuovo adempimento che, richiedendo un processo valutativo dinamico basato sulla Risk Analisys tipico dei sistemi di gestione di Internal Auditing, da onere per gli studi professionali può trasformarsi in una occasione per ampliare il perimetro delle attività di consulenza offerte dai Commercialisti.
L'attività di valutazione del rischio Privacy, infatti, è prima di tutto un'attività di interpretazione giuridica finalizzata a verificare che l'impianto di regole e documenti adottato sia sufficiente ad adempiere agli obblighi del GDPR in tema di dati trattati, di diritti degli interessati, di modalità di trattamento, di finalità di trattamento, di tempi di conservazione e di cancellazione, di sistemi di sicurezza, di requisiti di trasparenza. E poiché il Regolamento europeo richiede misure sufficienti, ma non fornisce indicazioni specifiche, la valutazione è una attività complessa che viene rimessa alla responsabilità del Titolare, il quale verosimilmente dovrà ricorrere all'ausilio di professionisti qualificati.
Le attività di seguito descritte rientrano a pieno titolo tra le competenze proprie delle professioni economico-giuridiche. Per tale motivo l'adeguamento alle nuove misure del GDPR, che pure costituisce l'ennesimo onere per gli studi professionali, può essere considerato al contempo quale opportunità di sviluppo per la consulenza in materia di Privacy, in relazione alla quale i Commercialisti possono porsi, da un lato, quali validi interlocutori verso le Autorità Competenti e, dall'altro, quali professionisti esperti verso la pubblica amministrazione, il mondo delle imprese e delle altre professioni.
