Manca qualche giorno all’effettiva applicazione del temutissimo Regolamento europeo sulla privacy (GDPR) e tanti studi legali non hanno ben chiaro cosa fare.
Per non farsi trovare impreparati all’imminente scadenza è opportuno individuare i punti salienti della normativa europea, interpretandola anche alla luce delle indicazioni fornite dal Garante italiano.
I punti più critici per l’avvocatura italiana investono le seguenti tematiche: il registro dei trattamenti, l’informativa da rilasciare al cliente, le misure di sicurezza, DPO ed il trattamento dati sensibili.
Registro del Trattamento
Gli studi legali sono generalmente esclusi dall’obbligo di tenuta del registro dei trattamenti al verificarsi delle seguenti condizioni: la prima è che lo studio sia di piccole o medie dimensioni, la seconda che i dati oggetto del trattamento non rappresentino rischi per la libertà e i diritti dell’interessato o non appartengano alla categoria dei cd. dati sensibili. La mancanza di uno dei predetti requisiti farà scattare l’obbligo di tenuta del suddetto registro.
Orbene, come si realizza tale documento???
Per la creazione di un idoneo registro è sufficiente utilizzare un file Excel, nel quale inserire i dati del titolare del trattamento e le finalità dello stesso, le modalità e la durata della conservazione dei dati acquisiti, l’indicazione se tali dati saranno eventualmente comunicati a terzi ed infine le misure di sicurezza adottate.
Il documento così redatto dovrà essere costantemente aggiornato e dovrà essere messo a disposizione del Garante per possibili verifiche.
Informativa privacy
Tra le novità più rilevanti a cui gli avvocati dovranno prestare particolarmente attenzione è la redazione della nuova informativa sul trattamento dei dati personali. Questo documento dovrà essere redatto in modo chiaro e comprensibile, dovrà contenere l’espressa indicazione dei diritti spettanti all’interessato, quali ad esempio la possibilità di conoscere l’esistenza o meno di dati che gli appartengono, esaminare il contenuto e la loro provenienza, verificarne l’esattezza e nel caso chiedere la loro integrazione, aggiornamento o rettifica nonché la cancellazione o la trasformazione degli stessi in forma anonima. Inoltre, l’informativa dovrà contenere l’indicazione della possibilità per l’interessato in caso di inadempienza del professionista di ricorrere al Garante della privacy nonché all’autorità giudiziaria, inadempienza che scatterà trascorsi inutilmente 30 gg. dalla presentazione delle richieste al titolare del trattamento. Infine, l’informativa dovrà essere debitamente sottoscritta dal cliente per presa visione.
La designazione del DPO
Il Garante della privacy Italiano ha fornito un elenco di tutti soggetti esonerati dall’obbligo di nomina del Data Protection Officer. Secondo l’Authority nazionale, solo i soggetti (privati) che si occupano del trattamento di dati, che per la loro natura, necessitino di un monitoraggio regolare e sistematico degli interessi su larga scala o del trattamento di categorie particolari di dati personali, come ad esempio dati relativi a reati o condanne penali, sono obbligati a nominare un DPO (art. 37, comma 1, lett. b e c del GDPR).
Dall’interpretazione delle disposizioni europee, il Garante ha determinato esclusione per alcuni professionisti dell’obbligo di nomina del responsabile protezione dati, tra questi: i liberi professionisti operanti in forma individuale, gli agenti, rappresentanti e mediatori operanti non su larga scala, le imprese familiari e individuali nonché le piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.
Ne deriva, pertanto, l’esclusione per gli studi legali dell’obbligo di nomina del Responsabile della protezione dei dati, per di più, ebbene precisare che, anche quando essa avvenga su base volontaria, il titolare del trattamento (cioè l’avvocato) resta comunque responsabile in prima persona di ogni eventuale inadempimento degli obblighi di legge.
Natura dei dati trattati
Il professionista può acquisire tutti i dati necessari all’espletamento della propria attività anche quelli sensibili (derogando il generale divieto posto in merito al trattamento dei suddetti dati), quali ad esempio quelli relativi alla salute, qualora il loro trattamento sia necessario per accertare,difendere e/o esercitare un diritto in sede giudiziaria.
La tutela dei dati acquisiti
Infine, l’ultimo aspetto da approfondire sono le misure di sicurezza che gli avvocati dovrebbero adottare per proteggere i dati personali in loro possesso. Orbene, a questo quesito non è possibile offrire una risposta certa.
L’elenco di misure tecniche ed organizzative da adottare per preservare i dati acquisiti, così come previsto dall’art. 32 del GDPR, non può e non deve considerarsi un elencazione esaustiva o tassativa.
Invero, le misure di sicurezza adottate dai titolari o responsabili del trattamento devono essere adeguate ad una serie di circostanze quali ad esempio: il contesto in cui i dati vengono trattati, la tipologia dei dati oggetto di trattamento e le risorse economiche che possono essere utilizzate per attuare/migliorare il livello di sicurezza ecc…; le stesse devono rispecchiare, secondo il Garante italiano, il principio di responsabilizzazione dei titolari e responsabili del trattamento sotteso alla normativa europea.
