Dal 25 maggio 2018 è entrato in vigore il Regolamento UE 2016/679, noto ai più come GDPR (General Data Protection Regulation) e sul quale da mesi si vocifera con ansia nel timore della “grande rivoluzione” che lo stesso produrrebbe nel mondo della privacy e di tutti i suoi operatori. Quali sono le principali novità e gli effetti per gli studi professionali?
Obiettivamente, la norma comporta delle modifiche, introduce nuove figure e nuovi obblighi, ma nei fatti non effettua un grande stravolgimento dell’impianto normativo che noi già conosciamo. L’unica vera grande pecca al momento presente è data sostanzialmente dalla sua incertezza applicativa nella realtà italiana, la quale potrà essere superata solo grazie ad un intervento chiarificatore da parte del Legislatore e del Garante della Privacy.
Una delle novità introdotte è rappresentata dalla tenuta del Registro delle attività del trattamento dei dati prevista dall’art. 30 del GDPR, obbligo particolarmente discusso e non chiaro, che rischia concretamente di avere un impatto per lo studio professionale.
Brevemente, ex art. 30, il registro dovrebbe contenere i dati del soggetto che effettua il trattamento oltre ad esplicitare le finalità del trattamento, le categorie dei dati interessati e di eventuali destinatari, nonché una descrizione delle attività e delle misure di sicurezza adottate. Dal punto di vista letterale, il GDPR sembra molto categorico: infatti, al primo paragrafo si pone l’obbligo della tenuta del registro per il titolare del trattamento e al secondo paragrafo l’obbligo viene esteso anche al responsabile del trattamento. Al quinto paragrafo viene poi prevista l’eccezione per le sole imprese o organizzazioni al di sotto dei 250 dipendenti, a meno che non trattino i dati ex art. 9 e/o 10 del GDPR.
In altre parole, il Legislatore Europeo pone come regola generale l’obbligo di tenuta del registro sia per il titolare che per il responsabile del trattamento, ma esonera gli stessi se e solo se siano organizzazioni o imprese al di sotto di 250 dipendenti che non trattano i dati “particolari” a cui fanno riferimento gli artt. 9 e 10 del GDPR (che si potrebbero definire gli “ex dati sensibili”). A titolo esemplificativo, in tali categorie rientrano i dati relativi a reati e condanne penali, nonché tutti i dati che rivelino orientamenti religiosi, sessuali, politici, biometrici e relativi alla salute.
Ma come interpretare la norma con riferimento allo studio professionale? Anche con una semplice dichiarazione 730, lo studio entra necessariamente in contatto con molti dei dati “particolari” di cui all’art. 9 (banalmente spese mediche, orientamento sessuale e convinzioni politico-religiose). Sembrerebbe quindi che secondo il GDPR, nel momento in cui si abbia a che fare con dati personali, scatterebbe l’obbligo del registro sicuramente per il titolare (qualifica rivestita solitamente dal Caf centrale), ma anche per il responsabile del trattamento (ovvero lo studio professionale – incaricato del Caf), stante l’impossibilità di ritenere applicabile la deroga contenuta al quinto paragrafo dell’art. 30.
Tuttavia, al momento si rileva che l’unica indicazione ad oggi pervenuta è contenuta a pagina 19 della cd. “check list” emanata dal CNDCEC, ove infatti viene affermato che: “Ai fini del corretto adempimento degli obblighi derivanti dal GDPR, ogni misura adottata dovrà essere documentabile in ossequio al principio di “responsabilizzazione”. Pertanto, nonostante il registro dei trattamenti previsto dal GDPR non sia obbligatorio per gli studi professionali, se ne consiglia l’adozione”.
In realtà dal punto di vista giuridico tale affermazione sembra difettare di base normativa, in quanto le eccezioni a regole generali devono essere sempre intese in maniera restrittiva e il GDPR nulla prevede con riferimento agli studi professionali. Non a caso il CNF si è espresso in maniera diametralmente opposta rispetto al CNDCEC e il Garante della privacy nell’ “incontro con i DPO” del 24/05/2018 a Bologna sembra essersi espresso in tal senso. Pertanto sul punto si spera un intervento chiarificatore, ma al momento, in un’ottica di pura prudenza e di aderenza al dato legislativo, non sarebbe affatto peregrino consigliare al Professionista l’adozione di un proprio Registro delle attività del trattamento in conformità e con i requisiti di cui all’art. 30 GDPR.
Roberto De Bellis – Centro Studi CGN