Commercialista non Responsabile Trattamento Dati?

Risposta di

Barbara Weisz

scritto il

Irene chiede

Qualcosa non mi torna in relazione alla nomina del commercialista come responsabile esterno. Il Dott. Buttarelli (Garante europeo Privacy) in un’intervista a IusLaw Web radio ha affermato che non può essere classificato come responsabile esterno. Diversamente, voi affermate di sì. Qual è quindi la risposta corretta?

Barbara Weisz risponde

In realtà, né il GDPR (regolamento europeo sulla privacy in vigore dallo scorso 25 maggio) né il Codice Privacy italiano (in attesa di provvedimento di armonizzazione) prevedono questo paletto. L’articolo 28 del Regolamento prevede che il Responsabile del Trattamento presenti:

garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

In base all’articolo 29 del Codice Privacy, invece:

il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

Non mi pare, quindi, che la norma primaria di riferimento escluda il commercialista esterno.

Se tuttavia, in qualche particolare casistica descritta nell’intervento da lei citato, è ammissibile questa interpretazione. In riferimento alle riflessioni del Garante Europeo, infatti, bisogna fare attenzione a non confondere “escluso” con “non necessario“. Molto dipende dal contesto applicativo delle nuove disposizioni.

Ad esempio, qualora il professionista svolga per il cliente attività meramente fiscale senza nulla a che fare con la gestione di dati personali, potrebbe configurarsi una non necessaria corrispondenza tra la figura del commercialista e quella del Data Officer.

Detto questo, lo studio professionale è comunque chiamato ad effettuare una autovalutazione per verificare il necessario adeguamento del proprio studio ai dettami del GDPR.