Il
Regolamento UE 2016/679 (GDPR) impone ai professionisti un cambiamento
culturale nell'approccio al modello di gestione della Privacy, che deve
essere adeguatamente affrontato anche al fine
di evitare l'assoggettamento a gravi sanzioni. La normativa europea
richiede infatti un ripensamento delle misure di sicurezza da adottarsi
negli studi professionali, che devono essere adeguate al singolo
contesto organizzativo ed elaborate caso per caso attraverso
una preventiva, consapevole e responsabile mappatura dei rischi di
trattamento dei dati gestiti. Ciò in quanto, diversamente dal passato,
il nuovo modello proposto dal legislatore comunitario non è più basato
su un disciplinare tecnico delle misure minime
di sicurezza, essendo posta a carico del titolare dello studio
professionale la responsabilità (c.d. principio di
Accountability) di definire, all'esito di un'attenta analisi dei
rischi, le misure di sicurezza idonee a garantire la privacy dei dati
personali trattati dal Titolare stesso o dal Responsabile del
trattamento.
In ciò
risiede la principale criticità, ma anche la possibile opportunità
insita in questo nuovo adempimento che, richiedendo un processo
valutativo dinamico basato sulla
Risk Analisys tipico dei sistemi di gestione di Internal Auditing,
da onere per gli studi professionali può trasformarsi in una occasione
per ampliare il perimetro delle attività di consulenza offerte dai
Commercialisti.
L'attività
di valutazione del rischio Privacy, infatti, è prima di tutto
un'attività di interpretazione giuridica finalizzata a verificare che
l'impianto di regole e documenti adottato sia sufficiente
ad adempiere agli obblighi del GDPR in tema di dati trattati, di
diritti degli interessati, di modalità di trattamento, di finalità di
trattamento, di tempi di conservazione e di cancellazione, di sistemi di
sicurezza, di requisiti di trasparenza. E poiché
il Regolamento europeo richiede misure sufficienti, ma non fornisce
indicazioni specifiche, la valutazione è una attività complessa che
viene rimessa alla responsabilità del Titolare, il quale verosimilmente
dovrà ricorrere all'ausilio di professionisti qualificati.
Le
attività di seguito descritte rientrano a pieno titolo tra le competenze
proprie delle professioni economico-giuridiche. Per tale motivo
l'adeguamento alle nuove misure del GDPR, che pure costituisce
l'ennesimo onere per gli studi professionali, può essere considerato al
contempo quale opportunità di sviluppo per la consulenza in materia di
Privacy, in relazione alla quale i Commercialisti possono porsi, da un
lato, quali validi interlocutori verso le
Autorità Competenti e, dall'altro, quali professionisti esperti verso
la pubblica amministrazione, il mondo delle imprese e delle altre
professioni.