Il corretto inquadramento del Responsabile ex art 28 GDPR: il caso dei dottori commercialisti - Riskmanagement

Compliance

Il corretto inquadramento del Responsabile ex art 28 GDPR: il caso dei dottori commercialisti

A distanza di più di due anni dall’entrata in vigore del GDPR, la dibattuta questione sul corretto inquadramento del ruolo privacy ricoperto dai dottori commercialisti nell’ambito della loro attività professionale è ancora aperta

19 Ott 2020

Victoria Parise

avvocato giuslavorista in Firenze, DPO e consigliere ASSOdata

Chiara Bortolotti

libera professionista

Durante il Forum Nazionale dei Commercialisti ed Esperti Contabili del 2018, a Milano, si è discusso principalmente su tre temi importanti ancora non definitivamente risolti: l’inquadramento del professionista quale Titolare o Responsabile; l’obbligo o meno della nomina di un responsabile della protezione dei dati all’interno dello studio professionale; e dell’eventuale sussistenza di un conflitto di interessi quando il professionista incaricato sia nominato anche Responsabile della protezione dei dati di un suo cliente, eventuali Responsabili del Trattamento ex art. 28 GDPR (solitamente soggetti esterni all’organizzazione del Titolare). Segno che il tema è sentito da parte di questi professionisti e che un chiarimento su tali temi potrebbe aiutare la diffusione di un corretto adeguamento privacy e diminuire quel sentimento di diffidenza per la materia, scaturente dalla difficoltà interpretativa del testo normativo Europeo.e e

I dottori commercialisti rappresentano da sempre una figura chiave nel panorama italiano, sono di fatto professionisti a cui ogni imprenditore o libero professionista, più o meno strutturato, si affida per avere indicazioni sui propri adempimenti, non solo fiscali, e a cui si affida spesso anche in ambito privacy. Sono di fatto i primi ambasciatori del messaggio privacy che deve circolare in Italia per poter mettere in sicurezza uno sviluppo digitale sicuro del nostro paese.

Prima di esaminare le possibili soluzioni alla questione (quale sia il “ruolo privacy” dei dottori commercialisti, rispetto ai loro clienti) è bene precisare che ad avviso di chi scrive le ragioni sottese al problema possono individuarsi nell’incertezza del dettato normativo (la voluta genericità delle prescrizioni normative del GDPR, tesa a poter applicare immediatamente il Regolamento all’interno degli ordinamenti dei diversi Stati Membri destinatari è foriera di molti dubbi interpretativi) e, a seguire, il diffuso timore di molti professionisti di doversi assumere responsabilità di cui non hanno un’approfondita conoscenza, in quanto la materia oltre che ancora vissuta come “nuova” e sconta – in Italia – un poco sentito diritto alla Privacy che fino a poco tempo fa si traduceva in una serie di adempimenti soprattutto documentali.

Le definizioni di titolare e responsabile del trattamento del GDPR

Passando in rassegna le definizioni di Titolare e Responsabile del trattamento nel GDPR:

L’art. 4, par. 1, punto 7 del Regolamento UE n. 679/2016 (in seguito, per brevità, “Regolamento” o “GDPR”) definisce «Titolare del trattamento» (in seguito, per brevità, “Titolare”) “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.

In altre parole, Titolare è il soggetto che stabilisce le effettive modalità e lo scopo del trattamento.

È a questo punto opportuno ricordare che secondo il principio di c.d. accountability, principio cardine del Regolamento Europeo [1], il Titolare è tenuto all’ottemperanza degli obblighi previsti dalla normativa europea, fra cui la responsabilizzazione dei soggetti a cui viene affidata anche solo una porzione di trattamento dei dati personali di soggetti interessati. E ciò al fine di garantire l’applicazione, durante l’attività di tali soggetti, di misure tecniche ed organizzative idonee[2] alla tutela della riservatezza degli interessati del soggetto Titolare.

Appare evidente che fra i soggetti da “responsabilizzare” troviamo i c.d. incaricati del Trattamento (art. 2 quaterdecies Codice Privacy, in via generale i soggetti interni all’organizzazione del Titolare) e eventuali Responsabili del Trattamento ex art. 28 GDPR (solitamente soggetti esterni all’organizzazione del Titolare).

L’art. 4, par. 1, punto 8 GDPR, si occupa di dare una definizione, appunto, al c.d. «Responsabile del trattamento» (in seguito, per brevità, “Responsabile”) descrivendolo come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento”. Pertanto, il Responsabile del trattamento, è un soggetto diverso dal Titolare che svolge, per conto di quest’ultimo, trattamenti o fasi di trattamenti di dati personali così come indicati nella nomina ex art. 28 GDPR.

Ma quando un commercialista può definirsi Titolare e quando Responsabile, del trattamento ai sensi della normativa privacy odierna?

Il ruolo di titolare e di responsabile

Ad avviso di chi scrive sono da indagare, per una corretta disamina del problema, dapprima le diverse categorie di soggetti interessati del trattamento, come di seguito specificati, e immediatamente dopo un aspetto più fattuale dell’attività professionale svolta dal dottore commercialista, ovvero la peculiarità dell’incarico:

1. quanto alle diverse categorie di interessati è opportuno distinguere preliminarmente:

a) i dati personali del Cliente del professionista, ottenuti direttamente da quest’ultimo, per l’esecuzione dell’attività professionale (in particolare dati anagrafici, dati relativi strettamente necessari all’esecuzione di una determinata attività affidata: es. tenuta contabilità; trasmissione dichiarazione dei redditi; consulenza; etc.);

b) i dati personali di eventuali dipendenti, collaboratori, fornitori del professionista stesso (conferiti per l’esecuzione di contratti di lavoro o di forniture di beni o servizi);

c) dati personali di interessati del cliente che ha dato mandato al professionista dottore commercialista (ad esempio: dati personali dei c.d. clienti di clienti; dati personali di dipendenti di clienti; dati personali di eventuali fornitori di clienti e via discorrendo).

Altro aspetto da considerare, come anticipato, è l’effettiva attività svolta dal professionista – consulenza al Cliente, inoltro dichiarazione dei redditi, patrocinio dinnanzi a Commissioni Tributarie, etc. – alle quali corrispondono diversi scopi e modalità di trattamento dei dati personali e dunque diverse modalità di esecuzione del trattamento a cui corrispondono diversi rischi per la riservatezza dei dati.

Alcune precisazioni sono pervenute nel tempo sull’argomento anche da parte delle Autorità su casi analoghi al presente.

I pareri dell’Autorità di garanzia

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

Qualche spunto di riflessione sul ruolo del commercialista in ambito privacy può essere tratto dalla nota del 22 gennaio 2019 emessa dalla stessa Autorità in risposta a un quesito posto il 24 settembre 2018 dal Consiglio Nazionale dei Consulenti del Lavoro, proprio in ordine alla duplice identificazione dello stesso quale Titolare autonomo o Responsabile del trattamento.

Nella nota a chiarimento il Garante ha affermato che, in via preliminare, occorre distinguere il segmento di attività in cui il Consulente del Lavoro tratta i dati dei propri dipendenti ovvero dei propri clienti nella sua qualità di professionista, dalla diversa attività per la quale il medesimo soggetto tratta i dati dei dipendenti del proprio cliente.[3]

Nel primo caso il consulente del lavoro agisce in piena autonomia e indipendenza, determinando le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività. Per questa ragione egli ricopre il ruolo di Titolare del trattamento ai sensi dell’art. 4, par. 1, punto 7 del Regolamento.

Nel secondo caso, invece, il Consulente esercita un’attività affidatagli dal Titolare il quale, all’esito delle proprie scelte organizzative, individua un soggetto particolarmente qualificato allo svolgimento delle stesse, delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare.

Queste osservazioni dell’Autorità Garante potrebbero essere interpretate, in via analogica, anche in relazione alla categoria dei Dottori Commercialisti, che presenta tratti comuni con quella dei professionisti oggetto della nota citata, in particolare sotto il profilo del grado di autonomia tramite le quali opera.

I professionisti, in genere, ricoprono spesso entrambi i ruoli oggetto di questo approfondimento. Pertanto l’analisi non potrà che avvenire caso per caso anche in ossequio ai principi di privacy by design e by default.

Conseguentemente altra circostanza da tenere in considerazione in questa panoramica e che è stata oggetto di discussione è la natura del soggetto interessato, ossia quando il Cliente del professionista sia una persona fisica o giuridica:

Sul tema si ricorda quanto affermato dalla giornalista Giovanna Bianchi Clerici, componente dell’Autorità Garante per la protezione dei dati personali, la quale rispetto alla tematica in esame ha ritenuto, sinteticamente, che il professionista contabile è Titolare del trattamento nei rapporti con un cliente persona fisica, mentre è responsabile esterno se il cliente è una persona giuridica.[4]

Altri[5] invece, hanno distinto due diverse ipotesi:

a) quando il commercialista svolge attività per conto del Cliente e non ha autonoma capacità decisionale sulle informazioni trasmesse deve essere nominato Responsabile ai sensi dell’art. 28 GDPR;

b) quando il professionista, in relazione alle attività concretamente da svolgere, determina scopi e modalità di trattamento con alto grado di discrezionalità, non può rientrare nella definizione di Responsabile, poiché agisce di fatto come autonomo Titolare.

Tale indirizzo interpretativo è più risalente e in particolare è possibile rintracciarlo nelle Linee del Working Party, introdotte con la nota n. 1/2010, ma a tutt’oggi nessun altro provvedimento è intervenuto ad aggiornarlo.

Il parere del 2010 può essere in ogni caso utile a questa breve e sintetica disamina e in particolare l’esempio “del contabile” offerto dal Working Party ci invita a riflettere sui criteri adottati dalle Autorità chiamate a pronunciarsi.

L’esempio del “contabile”, che di seguito si riporta, evidenzia che le fattispecie debbono essere indagate caso per caso la qualifica può “variare a seconda del contesto”) e che rilevano sia la natura giuridica del soggetto interessato sia l’attività effettivamente prestata (in quanto comporta trattamenti tipici che aiutano a delineare correttamente il ruolo privacy dei professionisti in genere).

Es. “La qualifica del contabile può variare a seconda del contesto. Quando fornisce servizi ai cittadini e ai piccoli imprenditori sulla base di istruzioni molto generali (“Mi prepari la dichiarazione dei redditi”), il contabile – come gli avvocati, che agiscono in condizioni analoghe e per ragioni comparabili – sarà un responsabile del trattamento [oggi Titolare]. Tuttavia, se lavora per una società, ed è vincolato alle dettagliate istruzioni del contabile interno, per effettuare, ad esempio un audit dettagliato, sarà, se non un dipendente, un incaricato del trattamento [oggi Responsabile], dato che le istruzioni saranno molto chiare e il suo potere discrezionale di conseguenza limitato. Interviene tuttavia una riserva molto importante: quando ritiene di avere scoperto un’irregolarità che è obbligato a segnalare, allora, in virtù degli obblighi professionali cui è tenuto, agisce in modo indipendente in qualità di responsabile del trattamento [oggi Titolare].[6]

Appare evidente che ogni Stato Membro ha una diversa regolamentazione fiscale, diverse tipologie di professionisti che attendono a diversi adempimenti e che dunque anche detta nota interpretativa debba essere calata nel contesto dello stato italiano per trovare un’efficace soluzione interpretativa della questione. (sempre adattandola al nuovo panorama normativo, GDPR)

Il possibile orientamento interpretativo dell’art. 28 GDPR nel caso di specie

Adottando un approccio orientato alla prevenzione di pesanti sanzioni (per il Titolare del trattamento) e teso all’applicazione – il più possibile – aderente ai principi della materia è opportuno che ogni Titolare (o il consulente privacy incaricato dell’adeguamento) si ponga, ad avviso di chi scrive, ogni volta i seguenti interrogativi. Una sorta di suggerimento per cercare di comprendere la concreta esecuzione dei rapporti fra le parti e pertanto la relazione privacy fra cliente e professionista nonché come quest’ultimo possa essere inquadrato nel caso si trovi a trattare dati di soggetti che non siano suoi diretti interessati, ma siano interessati del proprio cliente.

Sarà opportuno pertanto chiedersi:

1. quali dati personali – del cliente persona fisica – sono trattati dal professionista e per quali adempimenti? Qualora i dati personali conferiti si limitino a quelli strettamente necessari all’esecuzione di una tipica attività professionale riservata al professionista, facilmente il professionista potrà essere qualificato come Titolare del trattamento (responsabile nel WP169 citato) ai sensi di quanto previsto dall’art 4 del GDPR; Diversamente se dovessero riguardare altri soggetti – es. dipendenti del Cliente – sarà bene eseguire le verifiche di cui al punto 2.

Quando per l’esecuzione dell’incarico il professionista si trovi a trattare di dati personali anche di altri soggetti, che siano interessati (come sopra indicato)[7] del Cliente, sarà opportuno chiedersi se la prestazione professionale sia svolta “per conto” del Titolare o meno.

2. verificare chi sia il soggetto effettivamente tenuto a rendere l’informativa in questo ultima ipotesi illustrata, e dunque chi sia il Titolare del trattamento così come definito dall’art 4 GDPR. Una cartina al tornasole per procedere all’inquadramento caso per caso può essere una domanda semplice: chi è tenuto a rendere l’informativa all’interessato (es. dipendente del Cliente) con riferimento al trattamento svolto dal professionista?

Ad avviso di chi scrive quando un interessato – ad esempio un collaboratore/fornitore/dipendente di un libero professionista – conferisce i propri dati personali per l’esecuzione di un contratto di lavoro ha diritto a ricevere da parte del proprio Titolare del trattamento (ossia il datore di lavoro) un’informativa ex art 13 del GDPR munita di tutte le informazioni previste dal Regolamento 2016/679 fra cui quanto precisato al paragrafo 1 lettera g) ossia “gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali” conferiti, fra cui si possono annoverare Responsabili (v. Consulente del Lavoro come nel parere citato) e/o altri Titolari autonomi (ad esempio un Ente pubblico o privato).

Le conseguenze sono note per gli esperti del settore:

Nel caso del Responsabile: questi non è tenuto a rendere alcuna informativa all’interessato del Titolare il quale ha già provveduto a informare l’interessato al momento della raccolta-conferimento dei dati, anche mettendo a disposizione di quest’ultimo l’elenco dei soggetti nominati Responsabili e eventualmente subresponsabili (v. esempio del Consulenti del Lavoro che non sono tenuti a rendere alcuna informativa ai dipendenti dei propri clienti per l’attività di elaborazione delle buste paga). Il Responsabile svolge un’attività di trattamento o una parte di questa “per contro del responsabile” (si potrebbe dire in sua vece);

Nel caso in cui il professionista possa inquadrarsi invece – alla luce anche dei pareri sopra riportati – Titolare autonomo del trattamento, appare evidente che renderà al proprio cliente (persona fisica o al legale rappresentante della persona giuridica, salvi i casi del cons. 14) un’informativa art 13 GDPR al momento dell’incarico professionale.

Seguendo questo schema per il trattamento di dati personali di soggetti che siano interessati del ciente (es. dati anagrafici e fiscali contenuti nella fattura contabilizzata di un fornitore persona fisica del proprio cliente) il dottore commercialista qualora :

qualora sia definito Titolare, e non un responsabile art. 28 GDPR, sarà tenuto a rendere all’interessato in esame (singolo fornitore del suo cliente, o a tutti i dipendenti di cui tratta dati personali nell’ambito della propria attività professionale) un’informativa art 14 GDPR – ovvero le informazioni previste per il trattamento di dati personali che non siano stati ottenuti direttamente dall’interessato ma da altro soggetto.

Quali sono gli effettivi adempimenti a cui è tenuto un professionista quando è responsabile art 28 GDPR?

Il Responsabile è tenuto, in via generale, ad attenersi alle istruzioni fornite dal Titolare per il trattamento dati svolto per conto del Cliente; non eseguire ulteriori trattamenti non autorizzati; predisporre conseguentemente idonee misure di sicurezza tecnico organizzative; redigere qualora ne abbia l’obbligo secondo l’art 20 GDPR il c.d. registro del responsabile (comma 2); se del caso avvisare, assistere e consigliare il Titolare se ritiene che un’istruzione ricevuta violi qualche norma in materia,; consentire e contribuire alle attività di revisione del Titolare, compresi gli audit e ispezioni del Garante; avvisare quest’ultimo e prestargli assistenza per l’evasione delle richieste degli interessati; avvisarlo in caso di violazione dei dati (c.d. data breach nell’ambito della propria organizzazione e con riferimento ai trattamenti affidati; assisterlo nella conduzione della eventuale valutazione di impatto (DPIA), ex art 35 GDPR; segnalare la presenza di eventuali subresponsabili.

Se ne deduce che Titolare e Responsabile sono tenuti più o meno ai medesimi incombenti privacy, tenuto conto del fatto, che nessun responsabile non ricopre anche la qualifica di Titolare per i propri rapporti e, conseguentemente, un buon modello organizzativo privacy costituisce la chiave per adempiere correttamente agli obblighi di entrambi i ruoli nell’ambito della propria attività professionale. Fra l’altro la responsabilità solidale fra Titolare e Responsabile sussiste anche in caso di diverso inquadramento formale quando il concreto atteggiarsi del rapporto ne integri i requisiti, con la spiacevole controindicazione che un non corretto inquadramento o mancata nomina di un responsabile potrebbe comportare pesanti sanzioni da parte del Garante.

Conclusioni: analisi delle singole fattispecie caso per caso

Alla luce di quanto sopra esposto, in conclusione, il dottore commercialista può ricoprire sia il ruolo di Titolare del trattamento dei dati quando svolge il proprio incarico[8] stabilendo scopo e modalità del trattamento (es. consulenza professionale, pareristica, etc.); sia il ruolo di Responsabile del trattamento ex art 28 GDPR quando svolga la sua attività per conto del Titolare, dietro sua specifica indicazione per le attività alle quali potrebbe provvedere anche senza l’ausilio del professionista (delega al pagamento imposte; tenuta della contabilità; etc.).

L’analisi, nell’attesa di un chiarimento, dovrà essere eseguita caso per caso.

  1. L’accountability o responsabilizzazione dispone che il titolare del trattamento adotti politiche e attui misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali è conforme al regolamento stesso (Art. 24 GDPR). È oggi considerata come un approccio pratico alla privacy e al trattamento dei dati personali in quanto punta allo sviluppo di strumenti che possano essere utilizzati dalle organizzazioni per valutare lo stato della propria “responsabilizzazione” e renderne conto alle Autorità Garanti. Si compone di almeno tre elementi: la trasparenza, la responsività e la compliance.

    (https://www.altalex.com/documents/news/2018/02/13/il-principio-di-accountability-uno-dei-pilastri-del-gdpr)

  2. Il concetto di responsabilizzazione richiama almeno due componenti fondamentali: 1) da un lato il dar conto all’esterno, e in particolare al complesso degli stakeholder, del corretto utilizzo delle risorse e della produzione di risultati in linea con gli scopi istituzionali; 2) dall’altro, l’esigenza di introdurre logiche e meccanismi di maggiore responsabilizzazione interna alle aziende e alle reti di aziende relativamente all’impiego di tali risorse e alla produzione dei correlati risultati. (https://www.altalex.com/documents/news/2018/02/13/il-principio-di-accountability-uno-dei-pilastri-del-gdpr)
  3. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9080970
  4. https://www.italiaoggi.it/news/professionisti-al-bivio-della-privacy-2301162
  5. https://www.italiaoggi.it/news/professionisti-al-bivio-della-privacy-2301162
  6. https://www.agendadigitale.eu/sicurezza/privacy/gpdr-il-registro-delle-attivita-di-trattamento-e-il-ruolo-del-commercialista/
  7. ad esempio nel caso in cui il Cliente si un titolare di ditta individuale con esiguo numero di dipendenti o altro professionista organizzato anche con collaboratori ed impiegati all’interno dello studio
  8. https://www.agendadigitale.eu/sicurezza/privacy/gpdr-il-registro-delle-attivita-di-trattamento-e-il-ruolo-del-commercialista/
WHITEPAPER
Stop alle minacce informatiche grazie alla Threat Intelligence avanzata. Scopri come nel white paper
Sicurezza
Cybersecurity

@RIPRODUZIONE RISERVATA
P
Victoria Parise
avvocato giuslavorista in Firenze, DPO e consigliere ASSOdata
B
Chiara Bortolotti
libera professionista
Argomenti trattati

Approfondimenti

G
GDPR

Articolo 1 di 5