Linee guida per l’adempimento degli obblighi privacy negli Ordini professionali

---

Condividi l'articolo:

---

Il Consiglio Nazionale dei Commercialisti ha pubblicato le “Linee guida per l’adempimento degli obblighi privacy negli Ordini professionali”, un documento elaborato dalla Commissione “Privacy Ordini professionali” sotto la direzione della Consigliera Nazionale Eliana Quintili, come annunciato dal presidente Elbano de Nuccio con l’informativa 90/2024.

Il documento è il risultato di un'indagine condotta dal Consiglio Nazionale presso gli Ordini territoriali per valutare la loro conformità alla normativa sulla protezione dei dati personali. L'obiettivo è fornire soluzioni specifiche per le problematiche ricorrenti nella gestione degli adempimenti privacy da parte degli Ordini, inclusi moduli pratici riportati nell’appendice.

Ordini professionali e obblighi privacy

A sei anni dall’entrata in vigore del Regolamento europeo in materia di protezione dei dati personali, il bilancio del percorso di compliance degli Ordini professionali evidenzia risultati variabili e, nonostante gli sforzi, non sempre rivela una conformità sostanziale. La ratio del disallineamento tra compliance formale ed effettiva è in larga parte riconducibile alla percezione talvolta incompleta, da parte degli Ordini professionali, dei rischi e dei potenziali danni conseguenti ad una gestione non corretta dei dati comunemente trattati, da quelli relativi agli Albi professionali ai dati previdenziali e di giustizia interna, fino alla gestione delle caselle di posta elettronica ordinaria e certificata.

Sul tema, fin dal suo insediamento, il Consiglio Nazionale di categoria ha manifestato la propria volontà di fornire un supporto operativo agli Ordini territoriali: a tal scopo, verso la fine del 2022 è stata predisposta una check list, al fine di ottenere un primo riscontro in merito al grado di conformità degli Ordini territoriali alla normativa privacy. La check list è stata compilata da 101 Ordini territoriali e i dati raccolti sono stati elaborati dalla suddetta Commissione di studio “Privacy Ordini professionali”.

L’analisi delle informazioni ricevute ha consentito di individuare e calibrare le più efficaci attività di supporto da fornire agli Ordini territoriali per consentire il corretto assolvimento degli obblighi privacy, tra cui l’elaborazione, da parte della predetta Commissione di studio, di Linee Guida finalizzate ad agevolare l’implementazione, all’interno degli Ordini, di un vero e proprio modello organizzativo privacy.

In particolare, nella predisposizione del presente documento si è tenuto ben presente l’obiettivo di fornire soluzioni specifiche a problematiche ricorrenti nella gestione degli adempimenti privacy da parte degli Ordini; alla medesima esigenza risponde la modulistica riportata nell’appendice del documento: dal fac-simile del registro dei trattamenti alle informative privacy, fino ai moduli per l’esercizio dei diritti degli interessati e per le nomine dei soggetti autorizzati al trattamento dei dati personali.

Tutto ciò nel presupposto che, al netto dei comprensibili errori sul campo, per essere davvero conforme alla privacy un Ordine professionale dovrebbe innanzi tutto comprendere la rilevanza della disciplina, degli adempimenti di sicurezza da porre in essere, delle regole da osservare e della formazione da erogare, a salvaguardia di tutti i soggetti interessati ai vari trattamenti dei dati.

Cndcec, il documento sugli obblighi privacy

Il Documento elaborato dal Cndcec si compone di cinque parti e da una appendice

Le cinque sezioni del documento sono dedicate a:

1. Il trattamento dei dati personali – aspetti operativi;
2. I diritti degli iscritti (interessati al trattamento dei dati);
3. Gli aspetti privacy e i dipendenti degli Ordini professionali;
4. I rapporti privacy con i soggetti esterni fornitori di beni e/o servizi;
5. Focus operativi.

Trattamento dei dati da parte degli Ordini professionali

Gli Ordini professionali trattano dati personali per svolgere le loro funzioni istituzionali, rispettando le leggi e i regolamenti. Il "trattamento" include qualsiasi operazione sui dati personali, automatizzata o meno, basata su disposizioni normative che ne stabiliscono la liceità.

Il trattamento dei dati è lecito se necessario per adempiere a obblighi legali o per l'esecuzione di compiti legati ai pubblici poteri, come indicato negli articoli 6, par. 1, lett. c) ed e) del GDPR. Gli Ordini sono regolati dal d.lgs. 28 giugno 2005, n. 139 e dal d.P.R. 7 agosto 2012 n. 137, oltre che dai regolamenti del CNDCEC.

Le finalità del trattamento includono:

• gestione dell'iscrizione e aggiornamento degli albi;
• amministrazione degli aspetti finanziari dell'iscrizione;
• regolamentazione e gestione della formazione continua;
• comunicazioni istituzionali agli iscritti.

Gli Ordini possono trattare dati anche per altri obblighi legali, come la gestione del personale e il rispetto delle normative anticorruzione e sicurezza sul lavoro. Non è richiesto il consenso per il trattamento dei dati degli iscritti, ma gli Ordini devono informare gli iscritti secondo l’art. 13 del GDPR.

Gli Ordini devono valutare i rischi e implementare misure di sicurezza adeguate per proteggere i dati dalla violazione della riservatezza, integrità e disponibilità. È importante adottare misure di sicurezza IT per prevenire danni da attacchi informatici, inclusa la nomina di un amministratore di sistema responsabile del trattamento dei dati personali. Gli standard ISO 27701 e 27002 forniscono ulteriori linee guida sulla sicurezza delle informazioni.

Responsabile per la protezione dati

Gli Ordini professionali, in quanto enti pubblici non economici, sono obbligati a designare un Responsabile per la Protezione dei Dati (RPD) secondo l’art. 37, par. 1, lett. a), del GDPR. Questa designazione deve essere notificata al Garante per la protezione dei dati personali.

Il RPD può essere un soggetto interno all’organizzazione o un soggetto esterno, a seconda delle esigenze e delle dimensioni dell'Ordine.

I soggetti nominati devono garantire l’adempimento dei compiti previsti dal GDPR. Se interno, il RPD sarà designato tramite un atto specifico (es. lettera d’incarico); se esterno, attraverso un contratto di servizi. Questi documenti devono essere scritti e specificare i compiti, le risorse assegnate e altre informazioni pertinenti.

La mancata comunicazione della nomina o delle variazioni della nomina del RPD espone l’Ordine a sanzioni. Tuttavia, il RPD non è personalmente responsabile per il mancato rispetto del GDPR. La responsabilità di assicurare la conformità alle normative ricade sul titolare o sul responsabile del trattamento dei dati.