Il regolamento generale sulla protezione dei dati troverà applicazione diretta a partire dal 25 maggio 2018 in tutti i Paesi facenti parte dell’Unione Europea in Italia andrà a sostituire perciò le precedenti normative interne in materia di privacy.

Applicazione

Il GDPR eleva ad oggetto di tutela il trattamento dei soli dati personali cioè "qualsiasi informazione riguardante una persona fisica identificata o identificabile"; il presente regolamento non disciplina invece il trattamento di dati personali relativi a persone giuridiche.

Il consenso al trattamento dei dati

In punto 32 specifica che “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale (principio di libertà delle forme). Potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”

Onostante sia stata contemplata la libertà delle forme nella comunicazione orale è però da considerare che il titolare del trattamento dei dati ha l'onere probatorio dello'inequivocabile espressione del consenso dell'interessato. 

é anche da dire che qualora il commercialista effettui il trattamento dei dati personali sulla base di un contratto con il cliente il consenso non è necessario; purtroppo maggiore attenzione va riposta nei casi in cui si trattano dati sensibili come spese sanitarie, questioni giudiziare o minori dove il consenso è obbligatorio assieme alla tenuta dei registri delle attività di trattamento per tali soggetti. 

Inoltre deve venire data la possibilità di revoca al consenso con  la medesima facilità con cui se ne è ottenuto il consenso.

devono ben essere esposte al soggetto interessato le le finalità del trattamento dei dati  che devono essere determinate, esplicite e legittime; i dati: adeguati, pertinenti, esatti ed aggiornati, oltre che limitati a quanto necessario rispetto alle finalità, e comunque da trattare in modo da garantirne un'adeguata sicurezza.

Contenuti dell informativa da redigere

Sarebbe quindi utile allegare comunque al contratto un informativa per il cliente rispettando i seguenti con linguaggio chiaro e semplice

• l’identità e i dati di contatto del titolare del trattamento (e, ove applicabile, del suo rappresentante);
• i dati di contatto del responsabile della protezione dei dati (se nominato);
• le finalità del trattamento cui sono destinati i dati personali e la base giuridica del trattamento;
• i legittimi interessi perseguiti dal titolare del trattamento o da terzi, se fungono da base giuridica del trattamento;
• gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
• l’intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o il riferimento alle garanzie appropriate od opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili;
• il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
• l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
• l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso anteriormente prestato, nei casi di trattamento basato sul consenso, anche di categorie particolari di dati;
• il diritto di proporre reclamo a un’autorità di controllo;
• se la comunicazione di dati personali è un obbligo legale o contrattuale o un requisito necessario per la conclusione di un contratto e se l’interessato ha l’obbligo di fornire i dati personali, oltre alle possibili conseguenze circa la mancata comunicazione di tali dati;
• eventuale esistenza di un processo decisionale automatizzato, compresa la profilazione e, in tali casi, le informazioni significative sulla logica utilizzata, oltre all’importanza e alle conseguenze previste di tale trattamento per l’interessato

Si ricorda che eventuali trattamenti per finalità diverse da quelle per cui i dati sono stati raccolti vanno esplicitate tramite nuova informativa; Si ricorda anche l'importanza di specificare nel contratto e/o nell' informativa i tempi  (o i criteri per la fissazione dei tempi)  relativi alla conservazione/restituzione della documentazione inerente al cliente (alcuni documenti 10 anni, altri 5, alcuni meno)

I registri delle attività di trattamento

obbligatorio solo per dati sensibili di livello superiore come minori,giudiziari

Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:

• il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
• le finalità del trattamento;
• una descrizione delle categorie di interessati e delle categorie di dati personali;
• le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
• ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
• ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
• ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1. 2.

Cogede Consulting è attenta al risparmio

Milano, 22/05/2018

Team Cogede Consulting
Il Commercialista di Milano e di Pavia