Obblighi di privacy: linee guida per gli Ordini professionali
Nella giornata di ieri, 3 luglio 2024, è stato pubblicato dal Consiglio Nazionale dei Commercialisti (CNDCEC) il documento “Linee guida per l’adempimento degli obblighi di privacy negli Ordini professionali“. Elaborato dalla commissione “Privacy Ordini professionali” e istituita nell’ambito dell’area di delega “Compliance e modelli organizzativi delle imprese”, l’analisi e la stesura del documento sono state affidate alla Consigliera Nazionale Eliana Quintili e alla sua squadra di lavoro.
Il documento si è reso necessario per ottenere un riscontro in merito alla conformità degli Ordini territoriali in materia di protezione dei dati personali. La commissione ha dunque analizzato i frequenti disallineamenti ed i risultati variabili che si verificano tra compliance attesa e quella reale: vi è una “percezione talvolta incompleta, da parte degli Ordini professionali, dei rischi e dei potenziali danni conseguenti ad una gestione non corretta dei dati comunemente trattati, da quelli relativi agli Albi professionali ai dati previdenziali e di giustizia interna, fino alla gestione delle caselle di posta elettronica ordinaria e certificata” (si legge nella presentazione del documento, firmata Eliana Quintili).
L’obiettivo del documento è quello di fornire soluzioni specifiche al problema relativo alla gestione degli adempimenti in materia di privacy da parte degli ordini. A tal proposito, il documento contiene nella sua appendice la modulistica base necessaria per affrontare il problema:
- fax simile del registro “trattamenti alle informative privacy”;
- moduli per l’esercizio dei diritti degli interessati;
- moduli per le nomine dei soggetti autorizzati al trattamento dei dati personali.
Ciascun Ordine nel trattare i dati personali, deve proteggerli dai rischi riguardanti le violazioni della riservatezza, dell’integrità e della disponibilità. Allo stesso tempo, oltre la protezione dei dati, l’Ordine deve anche effettuare un’analisi dei rischi approfondita per definire sin da subito le misure di sicurezza più adeguate.
Misure predisposte per gli Ordini in materia privacy
Il documento riporta un esempio dettagliato di tutte le misure che gli Ordini territoriali dovrebbero seguire al fine di salvaguardare la privacy:
- inventario degli asset: con inventari continui e specifici, digitali e cartacei;
- definizione dei ruoli e degli incarichi: chi tratta i dati personali deve essere indicato da una specifica lettera di incarico;
- policy di sicurezza: analisi del rischio possibile definita ancor prima della possibilità che il problema si verifichi;
- policy di gestione degli incidenti: predisposizione dei documenti, personale e modalità di intervento, qualora il problema si verificasse;
- policy di gestione account: con sistemi di autenticazione, password complesse, blocco account;
- sicurezza di rete: attraverso filtraggio di rete, firewall per il rilevamento degli intrusi, protezione della posta elettronica, protezioni attive contro possibili malware, gestione backup, crittografia;
- protezione locali e formazione del personale incaricato.
Tutte le analisi delle informazioni portate a termine hanno reso possibile alla commissione di individuare e calibrare le più efficaci attività di supporto, come le soprariportate, da offrire agli Ordini territoriali per consentire il corretto assolvimento degli obblighi di privacy.
Sitografia