[A cura di: Ordine degli Avvocati di Bologna – avv. Annalisa Atti e avv. Laura Lecchi] A poche settimane dall’entrata in vigore del GDPR (General Data Protection Regulation, Regolamento UE 2016/679, in vigore dal 25 maggio 2018), che pacificamente si applica anche all’attività dell’avvocato e degli studi professionali in genere (ivi compresi quelli di amministrazione condominiale e immobiliare, ndr.), cogliamo l’occasione per attirare la vostra attenzione su alcuni punti fondamentali del corretto trattamento di dati personali, con cui quotidianamente l’avvocato si confronta, nella propria attività professionale e nell’uso dei mezzi di comunicazione ad essa legati, quali posta elettronica, siti internet, archiviazione in cloud, eccetera.

Con riferimento alla disciplina del Codice della privacy, di cui al d.lgs. 196/2003 (con successive modifiche, tra le quali ricordiamo quelle apportate dalla legge n. 167 del 20 novembre 2017, dalla legge n. 122 del 7 luglio 2016 e dal d.lgs. n. 151 del 14 settembre 2015), il Consiglio Nazionale Forense a suo tempo diffuse un vademecum per gli iscritti; esso, pur datato, conserva una propria utilità, in quanto il GDPR non sostituisce, ma integra, e laddove contrastante abroga, la previgente disciplina in materia di protezione dei dati personali.

Tuttavia le novità introdotte, e in vigore dal 25 maggio prossimo, sono notevoli, e modificano ed innovano, innanzitutto, l’approccio stesso alla tematica privacy da parte dei professionisti.

Raccolta e trattamento dei dati

Cambiano, in particolare, le cautele da adottare nella raccolta e trattamento dei dati; viene infatti introdotto il concetto di adozione di “misure organizzative e tecniche adeguate” secondo un concetto di analisi preventiva del rischio (art. 24, privacy by design e by default), in luogo del precedente “misure minime di sicurezza”; in sostanza il principio di accountability mira ad autoresponsabilizzare il professionista, imponendogli di valutare il proprio livello di rischio, e di adeguare conseguentemente le protezioni adottate, invece di prescrivergli semplicemente un livello minimo di adempimenti standard.

Il livello di sicurezza necessario deve essere appropriato rispetto al mezzo usato; un conto è la raccolta, il trattamento e la protezione di dati gestiti in formato cartaceo, altro la raccolta, il trattamento e la protezione mediante utilizzo di comunicazioni elettroniche, archiviazione telematica o in cloud, altro ancora la gestione mediante aree riservate in propri siti internet; siti che presentano ulteriori problemi, legati alla profilazione ed utilizzo di dati di accesso e navigazione dei terzi, oltre che riferiti alle ben note norme in materia di trasparenza, spesso dimenticate.

In questa ottica, anche l’organizzazione e l’organigramma di studio, e dei soggetti esterni che abbiano accesso ai dati (commercialisti, corrispondenti, consulenti) devono essere attentamente esaminati ed adeguati, prevedendo specifici livelli di delega ed autorizzazione al trattamento, ma anche di specifica contrattualizzazione, in caso costoro assumessero, loro malgrado, la posizione di responsabili, ancorché esterni, del trattamento.

Resta l’obbligo di trasparenza

Naturalmente, resta fermo il principio del necessario consenso informato al trattamento dei dati, con imposizione di obblighi di trasparenza nell’informazione (“linguaggio semplice e chiaro”) maggiori,  e di dettaglio scrupoloso; pertanto una informativa non generica ma ad hoc, estesa a tutti i possibili trattamenti e utilizzazioni, si impone come adempimento essenziale, tenendo conto anche dei nuovi diritti riconosciuti agli interessati, quali quelli all’oblio ed alla portabilità dei propri dati (artt. 12 e ss. GDPR).

Esistono poi adempimenti nuovi, e ciascuno dovrà verificare se nel proprio caso siano dovuti, quali la compilazione e l’aggiornamento del Registro dei Trattamenti, nonché la valutazione d’impatto preventiva in ipotesi di uso di tecnologie invasive, o rischiose per il trattamento del dato (per esempio utilizzo di cloud); infine, occorrerà considerare se sarà necessaria la nomina del DPO (Data Protection Officer), figura di “controllore”, preferibilmente esterno allo studio, che abbia ruolo anche di consulente e di istituzionale raccordo con il Garante in caso di violazione.

Si tenga infatti conto che, nel malaugurato caso in cui si dovesse verificare un data breach (sinistro informatico), sono prescritti nuovi obblighi di comunicazione (artt. 33 e 34), con consistenti sanzioni in caso di inottemperanza alle regole vigenti, a presidio della sicurezza dei dati.

Lascia un commento Annulla risposta

Devi essere connesso per inviare un commento.