Il diritto alla protezione dei propri dati personali è un tema che, specie in conseguenza dello sviluppo e della diffusione delle tecnologie informatiche e dei rischi ad esse collegati, sta assumendo un rilievo sempre maggiore.
A stabilire le modalità di raccolta e trattamento di tali dati è il D. Lgs. del 30 giugno 2003 n. 196 (“Codice in materia di protezione dei dati personali”), il quale trova applicazione nei confronti di tutti i soggetti (privati, aziende e liberi professionisti) che nell’esercizio della loro attività trattano dati personali riferiti a soggetti terzi, come i propri clienti.
L’art. 13, comma 1 del Codice stabilisce infatti che “l’interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto” circa una serie di elementi, in particolare:
- le finalità e le modalità del trattamento;
- la natura obbligatoria o facoltativa del conferimento;
- le conseguenze di un eventuale rifiuto di rispondere;
- i soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza;
- i diritti spettanti all’interessato ai sensi dell’art. 7 (diritto di accesso ai dati, alla loro rettifica o cancellazione in caso di trattamento non conforme, ecc.);
- l’identità del Titolare del trattamento e degli eventuali Responsabili.
La c.d. Informativa, dunque, non deve essere fornita necessariamente per iscritto, essendo sufficiente una comunicazione verbale. Va da sé che, al fine di garantire una maggior tutela allo Studio e allo stesso cliente, sia comunque altamente raccomandata l’adozione di un modello scritto, che in tal senso svolgerà un’importante funzione probatoria.
Ma l’Informativa dev’essere comunicata al cliente anche per permettere a quest’ultimo di prestare validamente il proprio consenso, secondo quanto disposto dall’art. 23 del Codice. Oltre a dover essere esplicito, infatti, “il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13” (art. 23, co. 3).
Un discorso particolare meritano i c.d. “dati sensibili”, ossia quei dati riferiti alla persona che ne rivelano l’origine razziale, le convinzioni religiose o politiche, lo stato di salute, la vita sessuale ed altre informazioni ritenute meritevoli di una tutela rafforzata. In questi casi, infatti, il trattamento è ammesso solo previo consenso scritto dell’interessato e nel rispetto di quanto stabilito da apposita autorizzazione del Garante, ai sensi dell’art. 26.
Per i liberi professionisti iscritti in albi o elenchi professionali, il Garante ha rilasciato, in data 11 dicembre 2014, l’Autorizzazione n. 4/2014, autorizzando così anche i commercialisti (insieme ai loro collaboratori, ai praticanti e ai tirocinanti) al trattamento dei dati sensibili dei propri clienti, “per l’esecuzione di specifiche prestazioni professionali richieste dai clienti per scopi determinati e legittimi” (art. 2, secondo periodo).
Nel prevedere una serie di misure minime di sicurezza per la conservazione dei dati su supporti informatici, il Codice della privacy stabilisce anche una serie di sanzioni in caso di mancato rispetto delle disposizioni in esso contenute, sia di tipo amministrativo (con somme che possono arrivare anche a 60.000 Euro), sia di tipo penale (con reclusione fino a 3 anni per i casi più gravi).
Luca Cenisi – Centro Studi CGN