L’articolo 32 del D.Lgs. 231/2007 tprevede: “I soggetti obbligati adottano sistemi di conservazione dei documenti, dei dati e delle informazioni idonei a garantire il rispetto delle norme dettate dal codice in materia di protezione dei dati personali nonché’ il trattamento dei medesimi esclusivamente per le finalità di cui al presente decreto. Le modalità di conservazione adottate devono prevenire qualsiasi perdita dei dati e delle informazioni ed essere idonee a garantire la ricostruzione dell’operatività o attività del cliente nonché’ l’indicazione esplicita dei soggetti”.

A ben vedere, quindi, il legislatore nazionale ed anche il legislatore europeo con la specifica direttiva del 2015 ha inteso disporre che le informazioni e i dati devono essere trattati nel rispetto delle norme privacy, obbligando, di conseguenza, lo Studio a dotarsi di sistemi di conservazione adeguati alle proprie dimensioni, considerando la tipologia di dati trattati nel corso della prestazione professionale. Il GDPR pone un’importante attenzione sulla sicurezza dei dati ed indica in maniera chiara e prescrittiva le misure da impiegare, considerato che l’obiettivo del GDPR è quello di tutelare i cittadini in materia di privacy, ciò non può prescindere dai trattamenti che devono avere misure di sicurezza adeguate. Ciò vuol dire che i Professionisti e gli Studi Professionali, trattando dati e informazioni dei clienti, compresi anche i dati dell’esecutore e di eventuali titolari effettivi, e procedendo anche ad una profilazione del cliente, devono assumersi la responsabilità di decidere le misure idonee di sicurezza, analizzando la propria organizzazione, la natura delle informazioni, le finalità perseguite attraverso il trattamento dei dati degli interessati.

Secondo le norme generali del GDPR, vanno garantiti:

  • la disponibilità dei dati, quindi la salvaguardia del patrimonio informativo nella garanzia di accesso, usabilità e confidenzialità dei dati;
  • l’integrità dei dati, a garanzia che l’informazione non subisca modifiche o cancellazioni a seguito di errori o di azioni volontarie, ma anche a seguito di malfunzionamenti o danni dei sistemi tecnologici;
  • la riservatezza informatica, cioè la gestione della sicurezza in modo da mitigare i rischi connessi all’accesso o all’uso delle informazioni in forma non autorizzata.

In qualsiasi momento, il professionista dovrà essere in grado di comprovare di aver rispettato questi criteri per essere conforme al GDPR. Il GDPR stabilisce che un trattamento di dati personali deve trovare fondamento in una base giuridica tra quelle indicate nell’art. 6, che sono: il consenso, adempimento di obblighi contrattuali, obblighi di legge cui è soggetto il titolare del trattamento, interessi vitali della persona interessata o di terzi, legittimo interesse prevalente del titolare o di terzi cui i dati vengono comunicati, Interesse pubblico o esercizio di pubblici poteri. Nel caso specifico, è evidente che la raccolta e il trattamento dei dati per finalità antiriciclaggio è effettuata dal professionista quale titolare del trattamento al fine di adempiere a un “obbligo legale” determinandone così la liceità del trattamento dei dati personali a prescindere dal “consenso” dell’interessato.

Leave a comment