GDPR: dal CNDCEC una check list di autovalutazione per la privacy

Il CNDCEC/FNC, in data 27 aprile 2018, ha reso disponibile il documento “Il regolamento Ue/2016/679 General Data Protection Regulation (GDPR): nuove regole comunitarie e precisazioni in materia di protezione dei dati personali”, redatto dal “Gruppo di lavoro Privacy”.

In pratica, il documento analizza la nuova normativa europea in materia di privacy - che diventerà pienamente applicativa il prossimo 25 maggio 2018 - ed in allegato si trova una check list di base per una auto-valutazione preventiva degli studi professionali.

Più nello specifico il Consiglio, dopo aver inquadrato la normativa, si sofferma su:

• ambito di applicazione materiale e territoriale del GDPR;
• principi applicabili al trattamento dei dati personali e condizioni di liceità del trattamento;
• formazione e consulenza in materia di privacy;
• interpretazioni, esempi e casi di interesse.

Periodo di conservazione dei dati

Interessante è la specifica relativa al periodo di conservazione dei dati che, si rammenta, potrà estendersi ad un arco temporale non superiore a quello strettamente necessario per il raggiungimento delle finalità per cui i dati sono trattati.

Il documento suggerisce che il criterio più affidabile per la determinazione del periodo di conservazione consiste nel riferirsi alle norme di settore dell’ordinamento che impongono, direttamente o indirettamente, obblighi di conservazione in capo ai professionisti.

Per assicurare che i dati personali non siano conservati più a lungo del necessario, il professionista dovrebbe stabilire ex ante un termine per la cancellazione o per la verifica periodica del rispetto del principio di limitazione.

Il documento ritiene condivisibile il criterio civilistico che individua in dieci anni il periodo di conservazione dei documenti rilevanti ai fini contabili, tributari e antiriciclaggio, in conformità con quanto previsto dalle norme di riferimento anche in relazione alla decorrenza dell’obbligo.

In linea generale viene, inoltre, suggerito di evidenziare sempre, nel contratto concluso con il cliente, il periodo di conservazione e, in assenza di riferimenti normativi, i criteri necessari ai fini dell’individuazione del periodo di conservazione.

Così - si legge nel documento - si potrà provvedere periodicamente alla restituzione dei documenti secondo quanto concordato con il cliente (es. consegna della denuncia dei redditi o di situazioni contabili, ecc.), con espressa manleva dall’obbligo di custodia degli stessi, eventualmente previsto dal contratto, ed evidenziando altresì al cliente i costi dell’eventuale servizio di conservazione per la durata del mandato professionale, con riferimento sia alla modalità di conservazione cartacea che alla modalità digitale.

Check list

La check list si articola nei seguenti tre passaggi:

1. mappatura delle categorie di dati raccolti, trattati e conservati;
2. compilazione (risposte «Sì» o «No»), con possibilità di commenti, ad ogni check di azioni possibili;
3. individuazione, al termine della compilazione, delle misure relative all’adeguato trattamento dei dati non ancora attuate.

In particolare, con riferimento all’attività svolta generalmente dagli studi professionali, va prestata particolare attenzione a:

1. elencazione delle categorie di interessati e delle categorie di dati personali raccolti e conservati;
2. individuazione delle basi legittime tipiche sulle quali è fondato il trattamento dei dati nello studio professionale (es. contratto, obbligo normativo, consenso, interesse legittimo) e tipo di trattamento effettuato, con particolare attenzione ai minori;
3. focus sui diritti degli interessati;
4. individuazione delle finalità del trattamento;
5. adempimento degli altri obblighi del titolare;
6. garanzia di trasparenza;
7. garanzia della sicurezza del trattamento e dimostrazione di aver posto in essere le misure idonee a tal fine;
8. chiara individuazione delle procedure da mettere in atto in caso di Data breaches, al fine di adempiere agli obblighi imposti dal GDPR;
1. comunicazione del trasferimento di dati personali a titolari extra UE.

Ricorda il documento che, per mantenere nel tempo la conformità alle prescrizioni del GDPR, le procedure devono essere costantemente monitorate ed integrate in relazione all’evoluzione delle norme regolamentari e alle modifiche degli assetti organizzativi dei singoli studi.