05 Feb Privacy – Registro UE: informativa e consenso al trattamento dei dati
<br>Si rammenta che l’articolo 4 del Regolamento indica quale dato personale
qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione (es. il codice fiscale), dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Si ribadisce che la normativa in materia di trattamento di dati personali si applica ai dati delle persone fisiche: è quindi evidente che anche l’informativa, la richiesta di consenso e la prestazione di questo non riguardino in alcun modo il trattamento di dati di enti collettivi da parte del commercialista (ipotesi il trattamento di dati di società). Qualora invece il commercialista sia incaricato di tenere la contabilità ed i libri di un’associazione filosofica (incluso il libro degli associati) sarà l’associazione filosofica a dover acquisire il consenso dell’interessato, indicando che il titolare del trattamento è l’associazione, il responsabile del trattamento dei dati è il commercialista, che procede al trattamento dei dati degli associati – persone fisiche – ad esempio per la compilazione del relativo libro, venendo così a conoscenza e “trattando” quindi dati sensibili.
Così come, ad esempio, nel contratto di affitto di azienda tra due società non ha alcun senso (anzi è un controsenso) inserire, normalmente a fine testo del contratto, il consenso al trattamento dei dati da parte, appunto, delle due società, in quanto la normativa è applicabile unicamente ai dati delle persone fisiche.
Dati sensibili – articolo 9
È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Precisazioni in merito ai dati sensibili
dati relativi allo stato di salute
relativamente ai dati relativi allo stato di salute, il punto 35 dei considerando – ma anche l’articolo 4 punto 15 – a sommesso giudizio di chi scrive, fa pervenire alla conclusione che le informazioni relative allo stato di salute debbano ricondursi a quelle relative ad anamnesi, analisi effettuate, informazioni riguardanti una malattia, disabilità, trattamenti clinici e non all’interpretazione restrittiva adottata da alcuni in passato (interpretazione secondo la quale le informazioni sullo stato di salute erano rappresentate unicamente dalla condizione “sto bene” oppure “sto male”). Se così è il certificato medico telematico del lavoratore, sul quale è unicamente indicato che il medesimo dichiara di essere ammalato ed il medico indica la prognosi “sino al…..” e sul quale non viene indicata la patologia, non costituirebbe documento contenente dati sensibili; lo stesso dicasi per il certificato di infortunio, nel quale è riportata, come prognosi, l’inabilità al lavoro “fino a tutto il ……”.
dati di appartenenza sindacale
per questi dati, richiamando quanto sopra indicato relativamente ai dati relativi allo stato di salute, il cedolino paga che reca l’indicazione “trattenuta sindacale” senza specificare la sigla del sindacato cui aderisce il lavoratore non costituirebbe, a giudizio di chi scrive, trattamento di dati sensibili.
fotografie
il punto 51 dei considerando indica espressamente che il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché rientrano nella definizione di dati biometrici soltanto quando saranno trattate con dispositivi tecnici che consenta l’identificazione univo o l’autenticazione di una persona fisica.
Se sul sito internet dello studio vengono pubblicate le fotografie dei dipendenti e/o collaboratori, o di alcuni di essi, o le fotografie dei professionisti che operano all’interno dello studio, si consiglia al titolare del trattamento od al responsabile del trattamento di acquisire il consenso scritto dell’interessato.
Liceità del trattamento
L’articolo 6 prevede che il trattamento è lecito qualora l’interessato abbia espresso il consenso al trattamento per una o più specifiche finalità oppure quando il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; il punto 42 dei considerando indica che è opportuno prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro, infatti il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento dei dati siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro (punto 39 dei considerando).
L’informativa ed il consenso
L’articolo 9 c.1 prevede testualmente che è vietato trattare dati sopra indicati come sensibili a meno che:
l’interessato non abbia prestato il proprio consenso esplicito e l’articolo 7 prevede espressamente che qualora il trattamento sia basato sul consenso il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento (= consenso scritto).
Se il consenso è richiesto con mezzi elettronici la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso (punto 32 dei considerando).
Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento dei dati siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro (punto 39 dei considerando), gli stessi termini vengono utilizzati dall’articolo 12.
L’informativa dell’Agenzia delle Entrate al modello Redditi PF
L’informativa “privacy” a corredo del modello Redditi PF predisposta dall’Agenzia delle Entrate si reputa non tuteli in alcun modo il commercialista che procede al trattamento dei dati per tale finalità, in quanto il consenso dovrebbe essere prestato prima del trattamento, cioè al massimo nel momento in cui visiono la fattura del medico per poi inserirne l’importo nella dichiarazione, mentre l’informativa predisposta dall’Agenzia delle Entrate viene stampata, di solito, a termine della dichiarazione, cioè quando ho terminato il trattamento.
Le convenzioni con l’AE – la normativa antiriciclaggio
Le convenzioni in essere da parte dello studio con l’Agenzia delle Entrate (Entratel etc.) prevedono espressamente che venga rispettata da parte dello studio la normativa in materia di trattamento di dati personali, lo stesso dicasi dalle disposizioni in materia antiriciclaggio di cui al D.lgs. 231/2007 (vedi anche il paragrafo precedente)
Dove sono i dati sensibili in studio
Eviterò di dilungarmi sull’argomento essendo evidente che i dati di persone fisiche relativi allo stato di salute sono costituiti da quelli recapitati dalle persone fisiche per la compilazione della dichiarazione dei redditi (fatture relative a spese sanitarie), documenti per erogazioni liberali ad Onlus, scheda del 5 per mille, dell’8 per mille, del 2 per mille: si rammenta che l’Agenzia delle Entrate ha disposto che gli intermediari che provvedono alla trasmissione della dichiarazione dei redditi debbano cancellare/distruggere dagli archivi (anche cartacei) tali schede entro il secondo anno successivo a quello in cui la dichiarazione è trasmessa (trasmissione dichiarazione nel 2017 distruzione al 1° gennaio 2020), nonché conservare le schede separatamente.
In aggiunta ai dati degli assistiti dallo studio sono da considerare i dati relativi ai dipendenti dello studio, dati conferiti in relazione al rapporto di lavoro (fatto salvo quanto sopra indicato relativamente allo stato di salute, ad infortuni etc.).
L’informativa all’interessato
l’articolo 13 prevede che l’informativa all’interessato (si ribadisce in linguaggio semplice e chiaro) debba contenere
l’identità e i dati di contatto del titolare del trattamento e del responsabile della protezione dei dati
le finalità del trattamento
gli eventuali destinatari o categorie di destinatari dei dati
oltre ai seguenti dati, necessari per garantire un trattamento corretto e trasparente:
il periodo di conservazione dei dati
l’esistenza del diritto dell’interessato di chiedere l’accesso ai dati, la rettifica, la cancellazione, la limitazione al trattamento, di opporsi al trattamento
il diritto a revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca
il diritto di proporre reclamo ad un’autorità di controllo
se l’interessato ha l’obbligo legale o contrattuale di fornire i dati le possibili conseguenze della mancata comunicazione di tali dati
l’esistenza di un processo decisionale automatizzato (compresa la profilazione) con informazioni significative sulla logica utilizzata etc.
Qualora il titolare intenda trattare i dati personali per finalità diversa da quella oggetto dell’informativa e del consenso, fornisce all’interessato ulteriore informativa e richiesta di consenso: di qui la necessità che nella richiesta e nel consenso siano previste le più ampie ipotesi relative a pratiche eventualmente da eseguirsi da parte dello studio.
E’ inoltre opportuno che venga redatta un’informativa relativa all’invio di newsletter da parte dello studio, informativa che sarà altrettanto opportunamente inserita nel paragrafo “privacy” del sito dello studio.
Fonte: http://www.studiofranco.eu