Base giuridica del trattamento
Quando un commercialista riceve l'estratto conto del cliente, agisce come responsabile del trattamento ai sensi dell'art. 28 GDPR. La base giuridica è il contratto di servizio professionale: non serve consenso esplicito separato, ma serve un DPA o una clausola contrattuale dedicata.
Categorie di dati personali
Un estratto conto contiene dati personali comuni (nome titolare, IBAN, indirizzo) e dati che possono diventare sensibili dal contesto (donazioni a enti politici o religiosi, pagamenti a strutture sanitarie). Tratta il file come dato sensibile per default.
Tempi di retention raccomandati
La normativa fiscale italiana richiede di conservare la documentazione contabile per 10 anni. I file di lavoro (PDF originale, CSV convertito, fogli di riconciliazione) non sono parte della documentazione obbligatoria: vanno cancellati al termine del periodo contabile o quando l'incarico cessa.
Sub-responsabili e servizi cloud
Se usi un convertitore PDF online o un servizio di archiviazione cloud, quello è un sub-responsabile e va dichiarato al cliente nel DPA. Verifica che il servizio abbia server in UE, cancellazione automatica e una propria DPA disponibile su richiesta.
Cosa fare in caso di data breach
Una perdita di estratti conto è un data breach con rischio elevato per i diritti degli interessati. Notifica al Garante entro 72 ore e ai clienti coinvolti. Tieni traccia di chi ha avuto accesso ai file e con quali strumenti: l'audit log del tuo convertitore è prezioso qui.