Da più di un anno è entrato in vigore il “famigerato” GDPR, terremoto normativo che ha fornito alla dottrina l’occasione di sbizzarrirsi in testi, articoli e interpretazioni per cercare di calare il dettato europeo all’interno della realtà italiana.
L’obiettivo del presente articolo non è di offrire l’interpretazione ad una determinata norma, bensì di fornire una sorta di “forma mentis” che lo studio professionale deve adottare per poter essere “GDPR compliant”.
In altre parole, solo dopo aver definito con chiarezza le macro-aree “chi sono?”, “cosa faccio?” e “come lo faccio?” si potrà adempiere scientemente gli obblighi normativi; dovrò stabilire i ruoli che io rivesto sulla base delle attività che pongo in essere e quindi comportarmi di conseguenza.
Dovrò quindi guardare in primis a me stesso, individuando sulla base delle attività/trattamenti che effettuo, gli strumenti (i cd. Assets) che utilizzo e tutti i soggetti – interni ed esterni – che entrano in contatto con i dati personali dei trattamenti svolti.
Ad esempio, se ho un dipendente, sarò sicuramente il titolare dell’attività di amministrazione e gestione del personale e sarò tenuto a nominarlo “addetto/autorizzato/incaricato” rispetto ai dati con cui può entrare in contatto; di più, essendo titolare dovrò fornirgli l’informativa relativa al trattamento dei suoi dati, effettuare il registro del trattamento in veste di titolare e verificare se è il caso di effettuare la cd. Valutazione di impatto ex art. 35 GDPR.
Successivamente, potrò concentrarmi sulle attività che svolgo e sui relativi soggetti con cui entro in contatto. Ad esempio, in virtù dell’art. 11 del decreto del ministero delle finanze 31/07/1998, nell’ambito dei dichiarativi 730, il titolare del trattamento è tendenzialmente sempre il Caf a cui mi appoggio, mentre io sarò il soggetto su cui ricadrà l’obbligo di redigere il registro dei trattamenti in veste di responsabile ai sensi dell’art. 30, II comma.
Diversamente, per tutti i servizi “Non Caf” (tutto ciò che è al di fuori di 730, Isee, Red, Invalidità civile e prestazioni agevolate) bisognerà indagare con la software house di riferimento quale è l’impostazione scelta ai fini privacy, anche se normalmente in tale ambito l’utente è titolare mentre la software house è responsabile. In tal caso è opportuno valutare attentamente se effettuare anche la Valutazione di impatto ex art. 35, in quanto a seguito dell’interpretazione estensiva del Garante della Privacy, i confini dell’obbligo non sono ancora ben delineati.
Per concludere, il principio cardine del GDPR è il consenso dell’interessato, il quale deve essere espresso prima ancora che inizi il trattamento. Pertanto sarà sempre necessario ottenere tale consenso e dimostrarlo tramite la sottoscrizione dell’informativa ex artt. 13 e 14 GDPR normalmente fornita dal titolare del trattamento, che risulta quindi adempimento indispensabile.
Roberto De Bellis – Centro Studi CGN