GDPR - Il nuovo regolamento generale sulla protezione dei dati UE 2016/679

Fabrizio Richard

Stampa la pagina

Il nuovo Regolamento pone particolare accento sul principio di responsabilizzazione (“accountability”) del Titolare del trattamento – il professionista o lo Studio Legale - lasciandogli, nel rispetto del disposto della normativa europea, il compito di decidere le modalità, le garanzie e i limiti del trattamento dei dati personali. Il Regolamento da ora maggiore attenzione:

  • all’Informativa da dare al cliente o al dipendente, rispetto al Consenso da richiedere;
  • al processo di trattamento dei dati personali del cliente, rispetto alla loro tipologia.

Gli artt. 13 e 14, par. 1, indicano tassativamente il contenuto dell’Informativa che il professionista/Studio Legale dovrà dare all’interessato (p.e. cliente, dipendente), che deve essere “coincisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”, e riportare, tra l’altro, i dati di contatto del Titolare del trattamento dati (professionista/Studio Legale), quale tipologia di dati sono raccolti (p.e. anagrafici, residenza e tutti quelli, personali, necessari all’espletamento dell’incarico), le modalità del loro trattamento (p.e. manuale o informatico) e le finalità del trattamento (p.e. per l’espletamento dell’incarico, per la fatturazione, amministrazione del personale, ecc.), il periodo di conservazione dei dati, ove nominato l’identità e i dati del Responsabile della Protezione Dati, eventuali destinatari terzi dei dati (i Responsabili del trattamento dati, p.e. commercialista che cura la fatturazione/contabilità o consulente del lavoro che elabora i cedolini dello stipendio dei dipendenti), il periodo di conservazione dei dati e i diritti dell’interessato (accessibilità, rettifica, limitazione del trattamento, cancellazione, portabilità dei dati).

Pertanto, in base all’art. 6, il Consenso va richiesto al cliente o al dipendente solo nel caso in cui il trattamento dei loro dati personali non sia necessario:

  1. "all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  2. per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  3. per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  4. per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  5. per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”.

Il professionista/lo Studio Legale dovrà valutare l’adeguatezza del processo di trattamento dei dati personali - lì dove possibile fin dalla sua progettazione (“data protection by design”) – evitando di acquisire dati non necessari all’incarico. Nella fattispecie gli artt. 24 e 25 riguardanti il Titolare del trattamento, infatti, gli attribuiscono la piena responsabilità di definire e adottare le “misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” (“data protection by design”), nonchè garantire che “siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” (“data protection by default”).

Con il nuovo Regolamento, inoltre, scompare l’articolazione organizzativa, interna allo Studio Legale, prevista dal Codice della privacy tra Titolare, Responsabile e Incaricato.

La responsabilità di eventuali violazioni viene attribuita in ogni caso al Titolare, eventualmente in solido con il Responsabile del trattamento, a meno che non si dimostri di aver adottato tutte le misure ragionevoli ad evitarle.

Al riguardo va detto che, sulla base dell’art. 28, il Responsabile del trattamento dei dati personali non è più una figura interna all’organizzazione, ma un terzo esterno a cui è stato dato incarico di svolgere per proprio conto determinati trattamenti di dati personali. Il professionista/lo Studio Legale dovrà predisporre uno specifico “contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri” che disciplini i trattamenti e “vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”. Altro aspetto fondamentale da evidenziare è l’introduzione del Registro delle attività di trattamento (art. 30 del Regolamento), obbligatorio per le organizzazioni con più di 250 dipendenti e per coloro che effettuano il trattamento di dati personali relativi a condanne penali o reati.

Dunque, se il professionista/lo Studio Legale rientra in tali fattispecie dovrà provvedere alla sua istituzione prevedendo il seguente contenuto: il nome e i dati di contatto del Titolare e ove nominato del Responsabile della Protezione dei Dati; le finalità del trattamento; la descrizione delle categorie di interessati del trattamento (p.e. clienti, dipendenti); le categorie dei dati personali trattati; le categorie dei terzi cui i dati possono essere comunicati; l’indicazione di eventuali trasferimenti verso paesi terzi e/o verso organizzazioni internazionali identificabili; i termini ultimi per la cancellazione dei dati; una descrizione delle misure di sicurezza e delle misure organizzative adottate.

Da ultimo va segnalato che il Regolamento europeo prevede sanzioni pecuniarie di rilevante entità (fino a 20 milioni di euro o al 4% del fatturato dell’anno precedente se superiore, per violazioni in materia di consenso, dei diritti degli interessati, ecc.), oltre al risarcimento al danno materiale o immateriale causato (artt. 58, 82 e 83). Il Garante può anche ingiungere al professionista/Studio Legale l’adozione di specifiche misure tecniche e organizzative ai fini adeguare le attività di trattamento dei dati personali alle disposizioni del Regolamento (p.e. dotarsi di un nuovo sistema informatico).

È consigliabile quindi che il professionista/Studio Legale predisponga una apposita procedura/istruzione interna che indichi i comportamenti da seguire nel caso di violazione dei dati personali (“violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”). In tale circostanza, se il professionista/Studio Legale ritiene a suo giudizio che dalla violazione possa derivare un rischio per i diritti e le libertà degli interessati, deve darne comunicazione all’Autorità Garante entro 72 ore dall’accaduto.

Dott. Fabrizio Richard - Internal Auditor Cassa Forense

Altri in AVVOCATURA

Potrebbe interessarti anche

  • Il diritto all’oblio e la sua evoluzione

    La Corte di Giustizia dell’Unione Europea ha definitivamente smentito la terzietà dei motori di ricerca rispetto alla circolazione dei dati qualificandoli come titolari del trattamento nel momento in cui cercano informazioni e pagine web su internet e quando indicizzano il contenuto per fornire i...

    di Nicoletta Giorgi
  • Convenzioni Cassa Forense

    Cassa Forense ha sottoscritto una convenzione in favore degli  iscritti con Signal investigazioni, relativa ai servizi di indagine e investigazione, GPM Enterprises e Iris, per l’acquisto di prodotti tecnologici e software

    Convenzioni Cassa Forense
  • Cassa Forense salva dal prelievo straordinario

    La legge 30.12.2018 n.145 (art.1, comma 261) prevede che a decorrere dal 1 gennaio 2019 – e per la durata di 5 anni- i trattamenti pensionistici di importo superiore ai 100.000,00 euro lordi su base annua, sono ridotti per la parte eccedente il suddetto importo di 100.000,00 euro con aliquote che...

    di Leonardo Carbone