Base giuridica del trattamento
Quando un commercialista riceve l'estratto conto del cliente, agisce come responsabile del trattamento ai sensi dell'art. 28 GDPR. La base giuridica è il contratto di servizio professionale: non serve consenso esplicito separato, ma serve un DPA o una clausola contrattuale dedicata.
Categorie di dati personali
Un estratto conto contiene dati personali comuni (nome titolare, IBAN, indirizzo) e dati che possono diventare sensibili dal contesto (donazioni a enti politici o religiosi, pagamenti a strutture sanitarie). Tratta il file come dato sensibile per default.
Tempi di retention raccomandati
La normativa fiscale italiana richiede di conservare la documentazione contabile per 10 anni. I file di lavoro (PDF originale, CSV convertito, fogli di riconciliazione) non sono parte della documentazione obbligatoria: vanno cancellati al termine del periodo contabile o quando l'incarico cessa.
Sub-responsabili e servizi cloud
Se usi un convertitore PDF online o un servizio di archiviazione cloud, quello è un sub-responsabile e va dichiarato al cliente nel DPA. Verifica che il servizio abbia server in UE, cancellazione automatica e una propria DPA disponibile su richiesta.
Cosa fare in caso di data breach
Una perdita di estratti conto è un data breach con rischio elevato per i diritti degli interessati. Notifica al Garante entro 72 ore e ai clienti coinvolti. Tieni traccia di chi ha avuto accesso ai file e con quali strumenti: l'audit log del tuo convertitore è prezioso qui.
Esempio concreto: DPA per uno studio di tre commercialisti
Uno studio di tre professionisti gestisce 80 clienti, di cui 25 con regime ordinario e 55 forfettari. Per essere conforme GDPR: predispone un DPA standard da firmare al conferimento incarico, che dichiara come sub-responsabili lo strumento di conversione PDF, il software di archiviazione cloud, il gestionale contabile. Definisce retention dei file di lavoro a 18 mesi (durata media incarico annuale + un anno buffer), e archiviazione cifrata per i PDF originali secondo obbligo decennale. Per ogni cliente registra in un foglio Excel separato chi ha avuto accesso ai dati e quando. In caso di breach: identifica i file potenzialmente esposti, notifica al Garante via piattaforma dedicata entro 72 ore, avvisa singolarmente i clienti coinvolti, documenta le contromisure. Tempo per setup iniziale: 6-8 ore, manutenzione ricorrente 1 ora al mese.
FAQ GDPR e dati bancari
Sono obbligato a firmare un DPA con il convertitore PDF che uso? Sì, se il servizio elabora dati personali per conto tuo è formalmente un sub-responsabile e serve un DPA scritto. La maggior parte dei servizi seri ha un DPA standard disponibile per download dal sito o su richiesta. Cosa succede se il sub-responsabile ha server fuori UE? La situazione è gestibile ma più complessa: serve verificare le clausole contrattuali standard SCC adottate dal fornitore e dichiararle al cliente. La normativa europea privilegia chiaramente fornitori con infrastruttura UE.