La prima volta che un dottore commercialista mi ha chiesto di occuparmi della sua attività, dal punto di vista della protezione dei dati personali, sono stato sul punto di non accettare.
La matrice “processi di trattamento-obblighi GDPR” che, di solito, comincio a sviluppare mentalmente quando qualche cliente mi chiede consulenza mi ha causato un overflow, come direbbero gli informatici. Ho dovuto far raffreddare il cervello e, quindi, ho accettato la sfida. Ma solo perché amo confrontarmi con le cose difficili.
Il commercialista fa un “sacco di cose” o, meglio, fa un sacco di cose che comportano il trattamento di dati personali. Se ci fermassimo alle sole attività di assistenza, consulenza e rappresentanza tributaria, troveremmo che svolge il ruolo di titolare del trattamento (per i dati personali dei suoi clienti) e responsabile del trattamento (per i dati personali dei clienti/fornitori dei propri clienti): registri, dichiarazioni, versamenti, elenchi, istanze, interpelli, ecc. Peraltro, i dati personali che tratta appartengono, in una certa parte, alle particolari categorie.
Ma un commercialista fa molto altro: assistenza nella costituzione/trasformazione di persone giuridiche (società ma anche onlus), custodia di beni e patrimoni, esecuzione di disposizioni testamentarie, gestione di procedure concorsuali e così via. In tutte queste attività si incontrano e si trattano dati personali per i quali occorre prestare la dovuta attenzione ai diritti ed alle libertà degli interessati attraverso la garanzia dei principi e dei diritti specifici previsti dal GDPR (esattezza, sicurezza, limitazione della conservazione, diritto di accesso, diritto alla portabilità, ecc.).
Forse, nessun altro professionista è così inciso (potenzialmente) dal GDPR e mi sono fatto l’idea che la nuova disciplina per la protezione dei dati personali ha reso ancora più dura la vita del commercialista.