Ormai entrato nell'uso comune, il termine privacy indica il diritto alla riservatezza delle informazioni sensibili e personali. Un diritto fondamentale, riconosciuto a ciascun individuo, di controllare l'utilizzo e la diffusione dei propri dati personali. Negli anni la circolazione dei dati personali ha assunto un ruolo centrale ed un'importanza enorme non solo a livello sociale, ma anche economico, e si sono susseguite una serie di normative per salvaguardare e tutelare la sfera privata del singolo individuo. Abbiamo approfonodito l'argomento con Antonio Starace, dottore commercialista, autore dell'opera "La privacy per lo studio del commercialista" edita dalla casa editrice di Trani Ad Maiora.
Dott. Starace, si sente spesso parlare di “privacy” e molto spesso la si associa all’attività svolta da professionisti ed imprenditori. Ci vuole spiegare perché è diventato così importante essere conformi alle nuove norme in materia? Perché è importante proteggere i dati personali?
A prima vista chiedersi perché sia necessario proteggere i dati personali potrebbe apparire una domanda retorica, considerato che occorre farlo in quanto esiste un obbligo di legge. È vero! Sicuramente il fatto che esistano una serie di norme che disciplinano la materia fa comprendere l’importanza dell’atteggiamento conservativo e di protezione nei confronti del trattamento dei dati personali; soprattutto se si considera l’impianto sanzionatorio. Fatta questa premessa, però, è opportuno esprimere anche qualche differente considerazione cercando di osservare la questione da un altro punto di vista: la convenienza! Infatti, oltre all’esistenza di un adempimento di legge, esistono innumerevoli motivi che devono portare professionisti ed imprenditori a mettere in atto tutte le attività necessarie a proteggere i dati personali che trattano. Cerco di sintetizzarle:
- garantire la Business continuity (continuità operativa). Assicurare che non intervengano fattori che possano interrompere l’attività arrecando gravi danni all’organizzazione stessa. Intendo malfunzionamenti dei sistemi informativi e, soprattutto, attacchi informatici compiuti dai criminali del web, i cosiddetti hackers. Credo sia un tema di estrema attualità, anche considerando il conflitto in atto nel cuore dell’Europa;
- creare valore aggiunto trasformando l’adempimento in opportunità. Implementare un modello organizzativo finalizzato alla protezione dei dati personali, infatti, significa dover analizzare il contesto in cui opera l’organizzazione, mappare i processi che si attuano nello svolgimento delle attività, individuare i rischi che incombono sulle attività di trattamento, comprendere quali sono le misure di sicurezza “idonee” per mitigare tali rischi e, infine, mettere in atto tali misure di sicurezza. Tutto questo impone al titolare e al responsabile del trattamento (il professionista, l’imprenditore, l’Ente, ecc.) di “misurare” i processi e quindi porre in essere un processo virtuoso di miglioramento continuo;
- evitare di incorrere in sanzioni. Ricordo che le sanzioni previste dal Regolamento UE 2016/679, conosciuto anche come GDPR, sono molto elevate. Possono arrivare sino a 20.000.000 di euro o 4% del fatturato.
Supponendo che un suo collega commercialista si trovi nella condizione di dover attuare tutto quanto è necessario per raggiungere la conformità con le norme che regolano la protezione dei dati, quale consiglio si sente di dare?
Partiamo dalla considerazione che il GDPR impone al titolare e responsabile del trattamento, non solo di individuare i rischi che incombono sulle attività di trattamento di dati personali, ma anche di dimostrare quello che è stato fatto e perché è stato fatto. Raggiungere tale obiettivo è possibile solamente implementando un modello organizzativo o sistema di gestione. È questa la novità più significativa prevista dal Regolamento UE 2016/679. Solo utilizzando un sistema di gestione è possibile:
- analizzare i rischi che incombono sui trattamenti di dati
- individuare le misure tecniche ed organizzative necessarie
- attuare le misure adeguate
- essere in grado di dimostrare di aver adottato tutto quanto necessario
Mi permetto di aggiungere che solo dall’implementazione di tale modello può derivare quel miglioramento continuo dei processi che consente di realizzare quel valore aggiunto di cui abbiam detto precedentemente.
Lei è un Consulente Privacy e anche DPO certificato UNI 11697:2017. Nello svolgimento della sua attività professionale utilizza un modello organizzativo specifico? Esiste un modello organizzativo valido per tutte le organizzazioni?
Una prima considerazione che mi sento di fare è che ogni organizzazione ha alcune caratteristiche proprie, che non troviamo in altre organizzazioni. Si pensi allo studio di un commercialista che ha dei processi interni e tipologie di dati personali trattati che sono sicuramente differenti da quelli di una struttura sanitaria. Questo significa che il modello organizzativo deve essere elastico e deve adattarsi alle caratteristiche della struttura nella quale si implementa. Spesso utilizziamo il termine di modello “taylor made” cioè cucito su misura. Per quanto riguarda la prima parte della domanda, e cioè se utilizzo un modello organizzativo specifico, la risposta è affermativa. Insieme al mio collega e amico Dott. Rosario Carrisi e ad un gruppo di colleghi che compongono il Team Dpo, abbiamo ideato il MOPD® – Modello Organizzativo per la Protezione dei Dati. Esso è un documento che ha la finalità primaria di dare evidenza delle azioni poste in essere da un’organizzazione, per far fronte agli adempimenti in materia di protezione dei dati. Con il Modello Organizzativo si raggiunge anche la finalità di condensare in un unico documento, una serie di documenti che altrimenti potrebbe essere difficile protocollare e tenere sotto controllo. È aggiornato, in maniera costante, tutte le volte in cui risulta necessaria una modifica o integrazione: in occasione di variazioni di contesto (interno o esterno all’organizzazione); di modifiche normative; per l’introduzione di nuove misure; in seguito alla modifica o eliminazione di misure ritenute non più adeguate; per l’introduzione di una nuova attività di trattamento o per l’eliminazione di una attività considerata, ormai, obsoleta. È quel documento che consente, in caso di verifica ispettiva da parte dell’Autorità di controllo (Garante o Guardia di Finanza), di dimostrare tutto ciò che è stato fatto per assicurare un certo grado di protezione a i dati personali trattati.
Qual è il suo rapporto con la casa editrice Ad Maiora?
Questa, per me, non è la prima esperienza come scrittore; ho già scritto altri libri e varie pubblicazioni. Il rapporto con Ad Maiora è nato a seguito della proposta, fattami dal grande amico e collega Dott. Marco Ligrani, di collaborare al progetto “Soluzioni e strumenti per il commercialista”. Ho subito accettato l’incarico perché ho capito che l’obiettivo dell’editore era quello di fornire ai colleghi commercialisti, strumenti pratici e utili per affrontare e risolvere i problemi che, quotidianamente, incontrano nello svolgimento della professione. Abbiamo subito condiviso gli obiettivi ed avviato il percorso che ci ha portato alla pubblicazione dell’opera. Oltre all’editore desidero ringraziare i curatori della collana editoriale, Il Dott. Marco Ligrani ed il dott. Fabio Mitolo.