Esternalizzazione della contabilità e tutela della privacy secondo il nuovo GDPR
Per ridurre i costi fissi di studio e per avere più tempo da dedicare alla consulenza della propria clientela, spesso il commercialista affida in outsourcing il servizio di elaborazione dei dati contabili.
Con l’esternalizzazione dei servizi, il professionista affida la contabilità ad esperti del settore potendo contare sull’assoluta flessibilità del vincolo con il fornitore del servizio.
Ci sono, tuttavia, molti fattori che un professionista (così come una qualsiasi azienda) deve considerare prima affidare tali servizi a soggetti esterni.
Il Nuovo Regolamento Europeo sulla Privacy (GDPR) ridefinisce le figure di Titolare e Responsabile attribuendo loro obblighi ulteriori rispetto a quanto previsto dall’attuale Direttiva 95/46 e dal Codice Privacy, nonché nuove fonti di responsabilità.
Con il Nuovo Regolamento il Titolare ha un ruolo più proattivo e obblighi più pregnanti, finalizzati non soltanto al formalistico rispetto delle regole, ma anche all’adozione di tutti gli accorgimenti tecnici e organizzativi necessari a garantire la compliance effettiva dei trattamenti, anche sotto il profilo della sicurezza.
Particolarmente rilevante sarà l’aspetto relativo al rapporto tra il Titolare del trattamento ed i propri fornitori: nel caso, dunque, di esternalizzazione di un trattamento, il Titolare dovrà ricorrere solo ed esclusivamente a fornitori che assicurino misure tecniche-organizzative idonee a soddisfare il rispetto del Regolamento,
Secondo le previsioni del Regolamento, l’esecuzione del trattamento su commissione deve essere disciplinata da un apposito contratto che contempli non solo la durata del trattamento, la natura, le finalità e le tipologie di dati, ma specifichi anche tutte le misure di sicurezza e la ripartizione delle responsabilità in merito alla protezione dei dati tra il Titolare del trattamento ed il fornitore.
Vi è, dunque, un cambio di approccio rispetto all’attuale Codice Privacy: il nuovo Regolamento Europeo sulla privacy, infatti, non definisce requisiti specificati in termini precisi, ma sposta sul titolare o responsabile del trattamento, la responsabilità di definire le misure di sicurezza idonee a garantire la privacy dei dati personali trattati, dopo un’attenta analisi dei rischi.
Dunque non ci sono più misure minime, ma solo misure di sicurezza adeguate, progettate dal titolare o responsabile del trattamento dopo aver effettuato l’analisi dei rischi che incombono sui dati personali che si intende trattare.
Nel caso in cui un responsabile trattamento dati non rispetti le clausole previste dal contratto di nomina o non si attenga alle istruzioni impartite per il trattamento e con il suo comportamento determini in maniera autonoma le finalità e gli strumenti utilizzati per il trattamento, assumerà di fatto il ruolo di titolare di trattamento.
Tale inadempimento genererà, pertanto, una situazione di contitolarità, con la conseguenza che entrambi i soggetti saranno chiamati a rispondere in solido per gli eventuali danni cagionati agli interessati i cui dati sono stati oggetto delle attività di trattamento.