Il 25 maggio sarà operativo il regolamento operativo sulla privacy e il Consiglio Nazionale dei dottori commercialisti ha messo a punto, insieme alla Fondazione della categoria, un vademecum completo di check list per farsi trovare preparati.
La check list è di ausilio al professionista che vuole lavorare nel settore della privacy, in particolare nella figura del DPO (data protection officer o responsabile della protezione dei dati). I nove step per gestire al meglio i dati personali sono:
1) elencare le categorie di interessati (quelli dei clienti, dei fornitori e dei dipendenti, tirocinanti compresi) e dati personali raccolti e conservati, come i dati relativi al personale attivo di ufficio ed in congedo e i dati relativi alla clientela (informazioni sui servizi dallo studio ecc.);
2) il secondo passo è elencare ciascun tipo di dati personali all’interno di ciascuna categoria (nome, indirizzo, eventuali dettagli bancari, cronologia dei servizi acquistati, cronologia di navigazione online, immagini di spese sostenute, atti inerenti la persona, ecc.) e tracciarne il flusso;
3) il terzo passo per affrontare meglio il trattamento dei dati personali passa attraverso l’elencazione della fonte (o delle fonti, se sono di più) dei dati personali stessi e se sono raccolti direttamente o da terze parti;
4) la quarta attività è indicare all’interno di ciascuna categoria di dati personali, gli scopi per i quali i dati vengono raccolti e conservati (ad esempio, esecuzione del contratto, marketing, miglioramento del servizio, ecc..);
5) nel caso di categorie non speciali di dati personali, per ogni scopo per il quale vengono trattati i dati personali deve essere elencata la base giuridica su cui si basa (ad esempio consenso, contratto, basi legali). Il riferimento è l’articolo 6 del Gdpr;
6) nel caso in cui vengano raccolte e trattate speciali categorie di dati personali, il compito di chi gestisce il sistema della privacy all’interno degli studi professionali è specificare i dettagli della natura dei dati (ad esempio, dati sanitari, genetici, biometrici);
7) nel caso in cui debbano essere trattate categorie speciali di dati personali, è necessario elencare la base giuridica per la quale sono trattate (ad esempio consenso esplicito, liceità). Il punto di riferimento è l’articolo 9 del Gdpr, cioè il regolamento UE sulla gestione dei dati personali;
8) per ogni categoria di dati personali, va elencato il periodo per il quale saranno conservati. Come regola generale, i dati devono essere conservati per un periodo non superiore a quello necessario per lo scopo per il quale sono stati raccolti;
9) identificare le azioni necessarie per garantire che tutte le operazioni di trattamento dei dati personali siano conformi al Gdpr, ad esempio cancellazione dei dati laddove non vi siano ragioni in linea con lo scopo originario per conservarle.
Il sistema della privacy va costantemente aggiornato e adeguato all’assetto dello studio.
