Il dato personale riguarda qualsiasi informazione relativa a una persona fisica
L’adeguamento al nuovo Regolamento Ue 679/2016, previsto per il prossimo 25 maggio, riguarderà anche i professionisti per quanto concerne il trattamento dei dati relativi ai propri clienti nell’ambito dello svolgimento della prestazione oggetto di conferimento, nella loro qualità di titolari del trattamento.
Il riferimento è, ad esempio, al commercialista che ha ricevuto l’incarico di assistenza e consulenza per l’assolvimento degli obblighi dichiarativi, ai fini dell’esecuzione del quale vengono compiute una serie di operazioni, quali, fra l’altro, raccolta, registrazione e conservazione dei dati personali del cliente, anche “sensibili”, come i dati relativi alla salute (definiti all’art. 9 come “categoria particolare di dato personale”).
A tal proposito, si evidenzia che il concetto di “dato personale”, così come definito dall’art. 4 n. 1 del Regolamento, riprende in parte quello di cui all’art. 4, comma 1, lett. b) del Codice della privacy (di cui al DLgs. 196/2003), specificando però gli elementi di identificazione della persona.
Più nel dettaglio, per dato personale si intende qualsiasi informazione relativa a una persona fisicaidentificata o identificabile, in via diretta o indiretta, con particolare riferimento a un identificativo come nome, numero di identificazione, dati relativi all’ubicazione, identificativo on line o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (il Codice Privacy richiama, invece, più genericamente per l’identificazione della persona “qualsiasi altra informazione, ivi compreso un numero di identificazione personale”).
Premesso quanto sopra, fra gli adempimenti previsti dal Regolamento, vi sono la verifica del rispetto dei fondamenti di liceità del trattamento (artt. 5–11) e la revisione dell’informativa (artt. 13 e 14), la cui violazione può comportare l’applicazione di sanzioni amministrative pecuniarie (art. 83 par. 4 e 5).
Quanto al primo punto, si segnala che la base giuridica del trattamento prevista dal Regolamento riprende in linea di massima quella già stabilita nel Codice della privacy (artt. 23 e 24), nell’ambito della quale vi sono, fra l’altro, il consenso dell’interessato e l’adempimento di obblighi contrattuali.
In merito al consenso, il Garante della privacy, nelle raccomandazioni inserite nella guida applicativa del Regolamento, ha precisato che quello raccolto prima del 25 maggio 2018 rimane valido purché sia conforme alle prescrizioni europee. In particolare, il professionista è tenuto a verificare che la richiesta di consenso sia distinguibile, in maniera chiara, da altre richieste o dichiarazioni rivolte all’interessato, ad esempio se contenuto all’interno di una modulistica, e che sia stata resa in forma comprensibile, semplice e chiara (art. 7 par. 2).
Per il trattamento dei dati “sensibili”, il consenso non è più espressamente richiesto in forma “scritta”, ma solo “esplicita”. Come evidenziato, però, dal Garante della privacy la forma scritta costituisce, si ritiene in generale per tutti i dati, e a maggior ragione per quelli sensibili, la modalità comunque idonea a configurare l’inequivocabilità del consenso e la prova del suo rilascio per uno specifico trattamento.
Un altro importante adempimento riguarda la verifica della corrispondenza delle informative attualmente utilizzate dal professionista, secondo le condizioni stabilite già dal Codice della privacy (art. 13), rispetto alle caratteristiche e al contenuto più dettagliato del Regolamento (artt. 13 e 14).
In primo luogo, mentre il Codice della privacy prevede per l’informativa solo la forma orale o scritta, il Regolamento specifica che la stessa – fornita al momento in cui i dati sono ottenuti se raccolti presso l’interessato – deve avere forma concisa, trasparente, intelligibile e deve essere facilmente accessibile; il linguaggio, inoltre, deve essere chiaro e semplice. Le informazioni vanno rese per iscritto o con “altri mezzi” anche elettronici (ad esempio, via mail), oralmente se richiesto dall’interessato e purché sia comprovata con altri mezzi l’identità dell’interessato; è ammesso l’uso di icone in combinazione, però, con l’informativa estesa.
Riguardo al contenuto (art. 13), occorre procedere all’inserimento dei seguenti ulteriori elementi rispetto al Codice della privacy: dati di contatto del Responsabile della protezione dei dati (se presente), base giuridica del trattamento, interesse legittimo (se costituisce la base giuridica del trattamento), periodo di conservazione dei dati o dei criteri seguiti per stabilire tale periodo di conservazione, diritto di presentare un reclamo all’autorità di controllo. Inoltre, deve essere specificato se si trasferiscono i dati personali in Paesi terzi. Fra i diritti dell’interessato, va richiamato, tra l’altro, anche il nuovo diritto alla portabilità dei dati.
Il Regolamento aggiunge, infine, l’indicazione del ricorso a processi decisionali automatizzati (compresa la profilazione), cioè di quei processi che possono portare a una decisione da parte del titolare senza il coinvolgimento di un essere umano (art. 22). Si tratta di un profilo che non dovrebbe coinvolgere, dal punto di vista operativo, i professionisti al fine del trattamento dei dati connesso all’esecuzione della prestazione.