GDPR quali sono gli adempimenti a cui dare priorità
adv

Manca qualche giorno all’effettiva applicazione del temutissimo Regolamento europeo sulla privacy (GDPR) e tanti studi legali non hanno ben chiaro cosa fare.

Per non farsi trovare impreparati all’imminente scadenza è opportuno individuare i punti salienti della normativa europea, interpretandola anche alla luce delle indicazioni fornite dal Garante italiano.

I punti più critici per l’avvocatura italiana investono le seguenti tematiche: il registro dei trattamenti, l’informativa da rilasciare al cliente, le misure di sicurezza, DPO ed il trattamento dati sensibili.

Registro del Trattamento

Gli studi legali sono generalmente esclusi dall’obbligo di tenuta del registro dei trattamenti al verificarsi delle seguenti condizioni: la prima è che  lo studio sia di piccole o medie dimensioni, la seconda che i dati oggetto del trattamento non rappresentino rischi per la libertà e i diritti dell’interessato o non appartengano alla categoria dei cd. dati sensibili. La mancanza di uno dei predetti requisiti farà scattare l’obbligo di tenuta del suddetto registro.

Orbene, come si realizza tale documento???

Per la creazione di un idoneo registro è sufficiente utilizzare un file Excel, nel quale inserire i dati del titolare del trattamento e le finalità dello stesso, le modalità e la durata della conservazione dei dati acquisiti, l’indicazione se tali dati saranno eventualmente comunicati a terzi ed infine le misure di sicurezza adottate.

psb consulting gdpr

Il documento così redatto dovrà essere costantemente aggiornato e dovrà essere messo a disposizione del Garante per possibili verifiche.

Informativa privacy

Tra le novità più rilevanti a cui gli avvocati dovranno prestare particolarmente attenzione è la redazione della nuova informativa sul trattamento dei dati personali. Questo documento dovrà essere redatto in modo chiaro e comprensibile, dovrà contenere l’espressa indicazione dei diritti spettanti all’interessato, quali ad esempio la possibilità di conoscere l’esistenza o meno di dati che gli appartengono, esaminare il contenuto e la loro provenienza, verificarne l’esattezza e nel caso chiedere la loro integrazione, aggiornamento o rettifica nonché la cancellazione o la trasformazione degli stessi in forma anonima. Inoltre, l’informativa dovrà contenere l’indicazione della possibilità per l’interessato in caso di inadempienza del professionista di ricorrere al Garante della privacy nonché all’autorità giudiziaria, inadempienza che scatterà trascorsi inutilmente 30 gg. dalla presentazione delle richieste al titolare del trattamento. Infine, l’informativa dovrà essere debitamente sottoscritta dal cliente per presa visione.

La designazione del DPO

Il Garante della privacy Italiano ha fornito un elenco di tutti soggetti esonerati dall’obbligo di nomina del Data Protection Officer. Secondo l’Authority nazionale, solo i soggetti (privati) che si occupano del trattamento di dati, che per la loro natura, necessitino di un monitoraggio regolare e sistematico degli interessi su larga scala o del trattamento di categorie particolari di dati personali, come ad esempio dati relativi a reati o condanne penali, sono obbligati a nominare un DPO (art. 37, comma 1, lett. b e c del GDPR).

Dall’interpretazione delle disposizioni europee, il Garante ha determinato esclusione per alcuni professionisti dell’obbligo di nomina del responsabile protezione dati, tra questi: i liberi professionisti operanti in forma individuale, gli agenti, rappresentanti e mediatori operanti non su larga scala, le imprese familiari e individuali nonché le piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

Ne deriva, pertanto, l’esclusione per gli studi legali dell’obbligo di nomina del Responsabile della protezione dei dati, per di più, ebbene precisare che, anche quando essa avvenga su base volontaria, il titolare del trattamento (cioè l’avvocato) resta comunque responsabile in prima persona di ogni eventuale inadempimento degli obblighi di legge.

Natura dei dati trattati

Il professionista può acquisire tutti i dati necessari all’espletamento della propria attività anche quelli sensibili (derogando il generale divieto posto in merito al trattamento dei suddetti dati), quali ad esempio quelli relativi alla salute, qualora il loro trattamento sia necessario per accertare,difendere e/o esercitare un diritto in sede giudiziaria.

La tutela dei dati acquisiti

Infine, l’ultimo aspetto da approfondire sono le misure di sicurezza che gli avvocati dovrebbero adottare per proteggere i dati personali in loro possesso. Orbene, a questo quesito non è possibile offrire una risposta certa.

L’elenco di misure tecniche ed organizzative da adottare per preservare i dati acquisiti, così come previsto dall’art. 32 del GDPR, non può  e non deve considerarsi un elencazione esaustiva o tassativa.

Invero, le misure di sicurezza adottate dai titolari o responsabili del trattamento devono essere adeguate ad una serie di circostanze quali ad esempio: il contesto in cui i dati vengono trattati, la tipologia dei dati oggetto di trattamento e le risorse economiche che possono essere utilizzate per attuare/migliorare il livello di sicurezza ecc…; le stesse devono rispecchiare, secondo il Garante italiano, il principio di responsabilizzazione dei  titolari e responsabili del trattamento sotteso alla normativa europea.

Avatar
Mi chiamo Benedetta Greco, nel 2013 mi sono laureata in giurisprudenza, presso l'università Federico secondo di Napoli, con tesi sulla definizione di terrorismo in diritto internazionale (di cui vado molto fiera). Ho collaborato come praticante avvocato abilitato per diversi Studi legali e nel 2016 dopo tre anni di gavetta ho superato con successo l'esame di abilitazione alla professione forense. Le mie esperienze professionali si estendono anche al piano della didattica: nel 2014 ho diretto dei moduli riguardanti la “Legislazione commerciale” e “ Legislazione fiscale” nell'ambito di un corso sui “Requisiti professionali per il commercio” nonché un modulo sui “Riferimenti normativi e legislativi in ambito socio sanitario” rientrante nel corso di studi per l’acquisizione dell’attestato di Operatore socio sanitario.