GDPR - Il nuovo regolamento generale sulla protezione dei dati UE 2016/679

07/05/2018

Stampa la pagina

Il nuovo Regolamento pone particolare accento sul principio di responsabilizzazione (“accountability”) del Titolare del trattamento – il professionista o lo Studio Legale - lasciandogli, nel rispetto del disposto della normativa europea, il compito di decidere le modalità, le garanzie e i limiti del trattamento dei dati personali. Il Regolamento da ora maggiore attenzione:

all’Informativa da dare al cliente o al dipendente, rispetto al Consenso da richiedere;
al processo di trattamento dei dati personali del cliente, rispetto alla loro tipologia.

Gli artt. 13 e 14, par. 1, indicano tassativamente il contenuto dell’Informativa che il professionista/Studio Legale dovrà dare all’interessato (p.e. cliente, dipendente), che deve essere “coincisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”, e riportare, tra l’altro, i dati di contatto del Titolare del trattamento dati (professionista/Studio Legale), quale tipologia di dati sono raccolti (p.e. anagrafici, residenza e tutti quelli, personali, necessari all’espletamento dell’incarico), le modalità del loro trattamento (p.e. manuale o informatico) e le finalità del trattamento (p.e. per l’espletamento dell’incarico, per la fatturazione, amministrazione del personale, ecc.), il periodo di conservazione dei dati, ove nominato l’identità e i dati del Responsabile della Protezione Dati, eventuali destinatari terzi dei dati (i Responsabili del trattamento dati, p.e. commercialista che cura la fatturazione/contabilità o consulente del lavoro che elabora i cedolini dello stipendio dei dipendenti), il periodo di conservazione dei dati e i diritti dell’interessato (accessibilità, rettifica, limitazione del trattamento, cancellazione, portabilità dei dati).

Pertanto, in base all’art. 6, il Consenso va richiesto al cliente o al dipendente solo nel caso in cui il trattamento dei loro dati personali non sia necessario:

"all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”.

Il professionista/lo Studio Legale dovrà valutare l’adeguatezza del processo di trattamento dei dati personali - lì dove possibile fin dalla sua progettazione (“data protection by design”) – evitando di acquisire dati non necessari all’incarico. Nella fattispecie gli artt. 24 e 25 riguardanti il Titolare del trattamento, infatti, gli attribuiscono la piena responsabilità di definire e adottare le “misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” (“data protection by design”), nonchè garantire che “siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” (“data protection by default”).

Con il nuovo Regolamento, inoltre, scompare l’articolazione organizzativa, interna allo Studio Legale, prevista dal Codice della privacy tra Titolare, Responsabile e Incaricato.

La responsabilità di eventuali violazioni viene attribuita in ogni caso al Titolare, eventualmente in solido con il Responsabile del trattamento, a meno che non si dimostri di aver adottato tutte le misure ragionevoli ad evitarle.

Al riguardo va detto che, sulla base dell’art. 28, il Responsabile del trattamento dei dati personali non è più una figura interna all’organizzazione, ma un terzo esterno a cui è stato dato incarico di svolgere per proprio conto determinati trattamenti di dati personali. Il professionista/lo Studio Legale dovrà predisporre uno specifico “contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri” che disciplini i trattamenti e “vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”. Altro aspetto fondamentale da evidenziare è l’introduzione del Registro delle attività di trattamento (art. 30 del Regolamento), obbligatorio per le organizzazioni con più di 250 dipendenti e per coloro che effettuano il trattamento di dati personali relativi a condanne penali o reati.

Dunque, se il professionista/lo Studio Legale rientra in tali fattispecie dovrà provvedere alla sua istituzione prevedendo il seguente contenuto: il nome e i dati di contatto del Titolare e ove nominato del Responsabile della Protezione dei Dati; le finalità del trattamento; la descrizione delle categorie di interessati del trattamento (p.e. clienti, dipendenti); le categorie dei dati personali trattati; le categorie dei terzi cui i dati possono essere comunicati; l’indicazione di eventuali trasferimenti verso paesi terzi e/o verso organizzazioni internazionali identificabili; i termini ultimi per la cancellazione dei dati; una descrizione delle misure di sicurezza e delle misure organizzative adottate.

Da ultimo va segnalato che il Regolamento europeo prevede sanzioni pecuniarie di rilevante entità (fino a 20 milioni di euro o al 4% del fatturato dell’anno precedente se superiore, per violazioni in materia di consenso, dei diritti degli interessati, ecc.), oltre al risarcimento al danno materiale o immateriale causato (artt. 58, 82 e 83). Il Garante può anche ingiungere al professionista/Studio Legale l’adozione di specifiche misure tecniche e organizzative ai fini adeguare le attività di trattamento dei dati personali alle disposizioni del Regolamento (p.e. dotarsi di un nuovo sistema informatico).

È consigliabile quindi che il professionista/Studio Legale predisponga una apposita procedura/istruzione interna che indichi i comportamenti da seguire nel caso di violazione dei dati personali (“violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”). In tale circostanza, se il professionista/Studio Legale ritiene a suo giudizio che dalla violazione possa derivare un rischio per i diritti e le libertà degli interessati, deve darne comunicazione all’Autorità Garante entro 72 ore dall’accaduto.

Dott. Fabrizio Richard - Internal Auditor Cassa Forense

Gli articoli pubblicati possono essere liberamente riprodotti o comunicati al pubblico in altre riviste o giornali, anche radiotelevisivi purché si indichino la fonte da cui sono tratti -CFNEWS.IT la data e il nome dell’autore, se riportato.

GDPR
Garante della Privacy
studio legale
professionista
cassa forense

Transazione della controversia e criteri per aumento compenso dell’avvocato

Il Decreto Ministeriale n. 147/2022 ha introdotto una importante novità per il compenso degli avvocati che raggiungono un accordo stragiudiziale. In caso di conciliazione giudiziale o transazione...
Leonardo Carbone
PROFESSIONISTI ASSOCIATI ED OBBLIGO ASSICURATIVO CONTRO GLI INFORTUNI SUL LAVORO E MALATTIE PROFESSIONALI

Liberi professionisti in studio associato: niente obbligo assicurativo INAIL, lo conferma la Cassazione
Leonardo Carbone
ONORARI DOVUTI DAL CLIENTE E LIQUIDAZIONE DEL GIUDICE A CARICO DEL SOCCOMBENTE

L’esito sfavorevole della causa non ha alcuna influenza nella liquidazione degli onorari nei confronti del cliente
Leonardo Carbone

INTELLIGENZA ARTIFICIALE GENERATIVA E STUDIO LEGALE: LE LINEE GUIDA DELLA FBE

Limiti e le potenzialità della GenAI e come integrarla con le competenze legali senza sostituirle.
Marco Martorana
IL DIRITTO ALL’OBLIO: I CONFINI PER UNA ADEGUATA E SUFFICIENTE TUTELA

La recente sentenza della Cassazione n. 6806/23, richiamando anche i principi statuiti nell’ordinanza n.2893/23 della medesima Corte, stabilisce i confini di un’adeguata e sufficiente tutela del diritto all’oblio.
Nicoletta Giorgi
RISCONTRO TARDIVO ALL’ESERCIZIO DEI DIRITTI: AVVOCATO AMMONITO DAL GARANTE PRIVACY

Studi legali e GDPR: avvocato che riceve una richiesta di accesso ai dati relativi a un procedimento di cui il richiedente era parte in causa, quanto tempo ha per fornire riscontro all'istanza?
Marco Martorana

GDPR - Il nuovo regolamento generale sulla protezione dei dati UE 2016/679

Altri in AVVOCATURA

Transazione della controversia e criteri per aumento compenso dell’avvocato

PROFESSIONISTI ASSOCIATI ED OBBLIGO ASSICURATIVO CONTRO GLI INFORTUNI SUL LAVORO E MALATTIE PROFESSIONALI

ONORARI DOVUTI DAL CLIENTE E LIQUIDAZIONE DEL GIUDICE A CARICO DEL SOCCOMBENTE

Potrebbe interessarti anche

INTELLIGENZA ARTIFICIALE GENERATIVA E STUDIO LEGALE: LE LINEE GUIDA DELLA FBE

IL DIRITTO ALL’OBLIO: I CONFINI PER UNA ADEGUATA E SUFFICIENTE TUTELA

RISCONTRO TARDIVO ALL’ESERCIZIO DEI DIRITTI: AVVOCATO AMMONITO DAL GARANTE PRIVACY