Il Commercialista quale Titolare del trattamento

Nello svolgimento delle proprie attività, i commercialisti possono trovarsi ad essere, alternativamente o simultaneamente, titolari, contitolari e/o responsabili del trattamento dei dati personali.

Nessun dubbio vi è quando il professionista tratta i dati personali dei propri clienti (soprattutto se sono persone fisiche) o dei propri dipendenti/collaboratori, nel qual caso egli sarà identificabile quale Titolare del trattamento, con il compito di adottare le più adeguate misure di sicurezza e organizzative per la governance del trattamento dei dati, tra cui sinteticamente:

  • il rilascio di idonea informativa ex art. 13 del Regolamento UE n. 2016/679 (GDPR) a tutti i soggetti interessati;
  • la tenuta e l’aggiornamento del Registro delle attività di trattamento, così come previsto dall’art. 30 GDPR;
  • la designazione dei soggetti autorizzati al trattamento dei dati, quali dipendenti, tirocinanti e collaboratori, con l’indicazione dei rispettivi permessi di accesso alle banche dati in funzione delle diverse attività da essi svolte;
  • la consegna di istruzioni ai propri soggetti autorizzati circa il trattamento dei dati personali e l’uso degli strumenti informatici connessi alle attività di lavoro;
  • il riscontro dei diritti degli interessati;
  • la tenuta di un registro dei data breach.

All’interno dello studio di consulenza il titolare del trattamento sarà, in funzione dell’organizzazione dello Studio:

  • il singolo commercialista,
  • lo studio associato,
  • o la società tra professionisti.

Il commercialista sarà in ogni caso titolare per tutto quanto riguarda l’organizzazione e la gestione del proprio studio, per tutti quei trattamenti che rientrano quindi nell’ambito della propria attività (gestione contabile, gestione personale, ecc.).

Il Commercialista quale Contitolare del trattamento

Ci sono dei casi in cui il potere decisionale è condiviso tra più titolari, ossia mezzi e finalità del trattamento sono definiti da più commercialisti.

Avviene ad esempio quando un incarico è condiviso. Si parla a tal proposito di contitolarità, prevista dall’art. 26 GDPR. Tale situazione si concretizza quando più professionisti, non uniti da un rapporto associativo o societario, decidono di condividere il trattamento dei dati.

Occorre prestare particolare attenzione alle situazioni in cui più professionisti autonomi che collaborano nelle prestazioni e “condividono” la struttura (unica segreteria, unico software, unico server, ecc.).

I rapporti tra i contitolari devono essere definiti in un accordo ai sensi dell’art. 26 del GDPR, e tale accordo di contitolarità interno tra professionisti deve definire:

  • le responsabilità dei diversi professionisti in merito all’osservanza degli obblighi derivanti dal GDPR;
  • la modalità per l’esercizio dei diritti dell’interessato comprese le modalità di comunicazione delle informazioni di cui agli articoli 13 e 14 del GDPR (Informative).

Il contenuto essenziale dell’accordo deve essere messo a disposizione degli interessati. L’interessato può esercitare i propri diritti nei confronti di, e contro ciascun, titolare del trattamento.

Il Commercialista quale Responsabile del trattamento

Il commercialista sarà nominato responsabile del trattamento dai propri clienti nei casi in cui “per una società, che fornisce istruzioni molto dettagliate, ad esempio commissionando uno specifico audit, per cui il contabile non ha margine di discrezionalità, deve essere considerato come responsabile del trattamento”.

Si intendono, quindi, tutte quelle attività di data entry, elaborazione dati e controllo contabile che non richiedono delle decisioni del professionista, in tal caso il contratto di tenuta della contabilità oppure nell’elaborazione dei cedolini paga dei dipendenti del cliente presenta le seguenti caratteristiche in materia di trattamento di dati personali:

  • i dati personali sono quelli relativi ai clienti, fornitori e dipendenti del soggetto committente;
  • il commercialista tratta i dati per conto del committente;
  • il commercialista tratta i dati assumendo proprie decisioni sempre nell’ambito delle istruzioni ricevute (istruzioni relative al trattamento dei dati personali).

In conclusione

Considerando varie decisioni dell’Autorità Garante, non è comunque possibile delineare un confine netto tra i casi in cui il commercialista agisce quale titolare autonomo o quale responsabile del trattamento.

Tale scelta dovrebbe essere sempre fatta valutando concretamente le effettive attività che il professionista svolge a favore dei propri clienti, esaminando quindi in dettaglio le singole operazioni di trattamento e le relative modalità e mezzi utilizzati, evitando così di adottare soluzioni uniformi che non sarebbero in linea con il rispetto del principio di accountability (“obbligo di dare conto”) previsto dal GDPR.

La figura del commercialista, come avviene per altre figure professionali, può prestare attività di consulenza eterogenee e diversificate, in cui ci si deve muovere nel rispetto della protezione dei dati personali.

Alla base di ogni scelta di un Titolare del trattamento, devono esserci ponderate analisi e valutazioni basate sulla “sostanza” delle cose e non su una mera catalogazione in categorie formali o schemi predefiniti: si può tra l’altro sostenere che questa sia la filosofia che permea tutto il Regolamento Europeo. Alla fine tali scelte saranno sì riportate in dei documenti, che però rappresenteranno solo l’aspetto “formale” della normativa, utile per “dar conto” delle scelte effettuate e delle motivazioni che sono alla base delle stesse.

Responsabilità e sanzioni

Non deve essere dimenticato o sottovalutato però, che il titolare del trattamento deve adottare misure tecniche e organizzative adeguate al fine di garantire, ed essere in grado di dimostrare, la conformità del trattamento al Regolamento (principio di accountability) tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.

Le dette misure debbono essere periodicamente riesaminate e aggiornate.

Il responsabile del trattamento è il soggetto che elabora i dati personali per conto del titolare del trattamento e in base alle sue istruzioni e, inoltre, lo assiste nell’adempimento degli obblighi previsti.

Qualora incorrano in violazione del GDPR, il titolare del trattamento, o il responsabile, possono essere sanzionati fino a €.10.000.000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, in caso di mancato rispetto degli obblighi previsti dagli articoli 8, 11, da 25 a 39, 42 e 43 (art. 83, 4° Comma, let. a), GDPR).