Il ruolo di Responsabile della Protezione dei Dati negli studi che si occupano di “lavoro”

di Stefano Bacchiocchi * 

La “privacy” è un tema di scottante attualità che tocca la legalità, l’organizzazione, l’immagine e il portafoglio dei nostri studi; la confusione su questo argomento è molta. Purtroppo, o per fortuna, i nostri studi non sono paragonabili a nessun’altra attività professionale e quindi, di fatto, escono da qualsiasi standard.

Occupandomi quotidianamente di questa materia, mi sono preso la libertà di fare una statistica empirica: la quasi totalità delle offerte commerciali di adeguamento alla normativa non è mai declinata specificatamente per noi Commercialisti, figuriamoci per i Commercialisti esperti in materia di Lavoro. Si tratta perlopiù di copia e incolla spesso pieni di incomprensibili e fantomatici adempimenti.

La normativa (come frequentemente anche le interpretazioni da parte delle autorità) non tiene conto della sua applicazione nel nostro ambito professionale; generalmente si fa riferimento alle imprese, siano esse produttive o di servizi. Si capirà dunque quanto possa essere difficile per noi operatori muoverci in questo campo.

Avremo occasione di tornare sull’argomento, ma permettetemi di segnalarvi, come peraltro hanno già fatto altri Colleghi, che dal 25 maggio 2018 i nostri studi sono tutti indistintamente tenuti a far fronte alle nuove regole in materia di trattamento dei dati personali, senza alcuna limitazione di natura dimensionale o qualitativa. La nomina del Responsabile della Protezione dei Dati (o, in inglese, DPO), si inserisce in questo quadro ed è solo una delle tante novità.

Reputandomi un commercialista molto pratico e conoscendo bene il brivido freddo e la sensazione che un nuovo adempimento porta con sé, non mi dilungherò su questo aspetto; però, se in questo periodo vi state chiedendo “Quali documenti devo preparare per essere in regola con la privacy?”, state sbagliando approccio e vi consiglio caldamente di nominare un DPO (che non è il consulente privacy).

La “privacy” NON è un adempimento, pertanto chiunque vi presenti una lista di cose da fare non ha capito di cosa si parla. Questa è la ragione per cui dovreste diffidarne: sprechereste tempo e denaro.

Il DPO è un professionista con competenze giuridiche e informatiche, di risk management e aziendalistiche, di diritto amministrativo, di sistemi informativi… quindi non bastano il “classico” avvocato, il vostro tecnico informatico o le società di software. La privacy non è solo un problema informatico, anzi.

Il DPO, inoltre, NON è colui che vi adegua alla nuova normativa; quindi se nominate qualcuno come DPO non aspettatevi che vi adegui, se lo fa non è un DPO ed avete nominato, nella migliore delle ipotesi, un incompetente. Il DPO deve essere, il più possibile, terzo ed imparziale.

Per svolgere questa mansione non servono albi o certificazioni, ma è necessaria una competenza specifica (molto difficile da ottenere e dimostrare) almeno sulle materie indicate, in relazione all’attività della struttura dove si svolge la professione. Un esempio (banale): un avvocato potrebbe essere un luminare del diritto ma non sapere la differenza tra un firewall software ed uno hardware, un tecnico informatico potrebbe essere il mago delle reti ma non conoscere nulla di diritto amministrativo, una società nata ieri sull’onda del business “privacy” potrebbe parimenti non sapere nulla; oltretutto, il DPO di un ospedale dovrà avere competenze diverse rispetto ad un DPO di uno studio commerciale o di un Comune. Così, come per qualsiasi altra professione, non si può essere tuttologi.

Si deve tener presente inoltre che non si sarà mai conformi alla normativa comprando un software. Se per caso l’aveste già fatto, usatelo pure come supporto, ma probabilmente non sarete nemmeno a metà del lavoro.

Le mansioni del DPO, sono previste per legge, sono molto precise ed è possibile riassumerle brevemente in questo modo: deve osservare, valutare, affiancare il titolare nella gestione del trattamento di dati personali (e dunque nella loro protezione), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. In pratica, vi affianca in tutte le decisioni in tema privacy e garantisce, per quanto possibile, che la vostra struttura ed il vostro operato siano a norma.

Non è solo un consulente, è più un revisore (vostro amico); ecco la differenza con il consulente privacy: il consulente vi adegua, si spera, secondo quello che avete pagato. Il DPO, se nominato, per legge vi deve fornire un parere su quello che è giusto e su quello che è sbagliato a livello privacy. In più è il punto di contatto, il cuscinetto per così dire, fra i controllori (o clienti…) e la vostra struttura. La nomina va infatti comunicata tramite procedura informatica al Garante e deve essere resa pubblica. In breve, per qualsiasi problema o richiesta privacy è colui (a differenza del consulente privacy) che può fare da contatto e fornire informazioni, per legge.

Veniamo all’altra domanda tipica: i nostri studi sono obbligati alla nomina di questa figura?

La risposta giuridica è NO, nel 99% dei casi. Il DPO deve essere nominato obbligatoriamente solo in circostanze particolari quali: la Pubblica Amministrazione (in senso molto ampio), quando il trattamento di dati sia regolare e sistematico su larga scala, quando le attività principali del titolare del trattamento consistono nel trattamento su larga scala di dati particolari (origine etnica, opinioni politiche, sanitari, giuridici ecc.). Pochissimi nostri studi (forse i più grandi) sono obbligati per legge alla nomina del DPO. Tuttavia, mi sento di darvi anche un consiglio da Collega prima che da esperto della materia: se potete e la vostra struttura lo permette, nominate un DPO.

Il perché è presto detto e riguarda almeno due aspetti: il primo è che la normativa prevede che bisognerà dimostrare di aver fatto tutto il possibile per evitare trattamenti di dati non corretti; chi mai si potrà difendere con un’impostazione del genere se non si dimostrano le competenze necessarie? Mi permetto di ricordarvi che i controlli da parte delle autorità (Agenzia Entrate, Guardia di Finanza, Garante…) non sono gli unici; i clienti, anche semplicemente contestando il mandato firmato, le informative privacy o la prestazione, possono innescare meccanismi sanzionatori anche in sede civile o penale. Essendo solitamente depositari di dati sanitari, che rivelano opinioni politiche, dati penali, carichi di famiglia, disabilità ecc., siamo molto più esposti di qualsiasi altra professione. Per esperienza vi dico che nemmeno i medici hanno così tanta variabilità e problematiche, pertanto è consigliabile mettersi in regola con una persona terza, competente, a farvi da garante.

Il secondo aspetto, a mio parere il più importante, è quello relativo all’organizzazione dello studio e della sua sicurezza; questa normativa crea, tramite un obbligo (discutibile, è vero), una nuova consapevolezza del “dato” e della sua protezione. Un ufficio che risulti adeguato alla privacy è un ufficio più sicuro, moderno, competitivo ed organizzato da qualsiasi punto di vista, in primo luogo da un punto di vista informatico, ma non solo.

In conclusione di questo articolo una riflessione pensando a chi siede in un qualsiasi collegio sindacale o chi voglia offrire un servizio in più ai propri clienti: siamo sicuri che una causa in tema privacy (sanzioni astronomiche, più conseguenze penali per vertici e dipendente coinvolto) non sia un rischio da valutare per la verifica della continuità aziendale? Siamo sicuri che una causa privacy da parte di un cliente non accresca il rischio aziendale? Siamo sicuri di non dover chiedere conto (e quindi avere report ad hoc per il controllo) dei rischi “privacy”? Siamo sicuri che il collegio sindacale stesso, visto che per sua natura vede e tratta dati di terzi, non abbia adempimenti ai fini di privacy? Siamo sicuri che non sia il caso di consigliare al nostro cliente la nomina di un DPO?

I nostri studi vedono il cliente praticamente da qualsiasi punto di vista. Ed è questo il nostro punto di forza. Siamo il primo (e spesso unico) baluardo della legalità all’interno delle aziende. Siamo coinvolti in tantissime decisioni. Tocca a noi fornire una consulenza specifica anche in queste materie, anche solo per avvisare che c’è qualcosa da fare o segnalare che l’organizzazione aziendale potrebbe essere minata e precaria. La “privacy” si inserisce tra le materie che definirei aziendali, prima che giuridiche. Chi, se non il Commercialista, può essere interlocutore privilegiato in questo senso? Non lasciamoci sfuggire l’occasione di offrire competitività e di evitare problemi ai nostri studi prima ancora che ai nostri clienti.

Non fare nulla per adeguarsi non è una strategia; ed il peggio, o il meglio, è che i nostri clienti si aspettano da noi queste informazioni. E non c’è nessun altro che possa loro fornirle.

*Odcec Brescia