Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA

Avvocati e GDPR, adeguare lo studio legale alle norme privacy: le best practice

Anche lo studio legale, a prescindere dalle sue dimensioni, deve adeguarsi agli adempimenti richiesti dal Regolamento UE 679/2016. Ecco le best practice per raggiungere la necessaria compliance in ambito privacy e avvocati

10 Dic 2018
P

Simona Persi

Idraulici della Privacy, Legal Privacy Specialist, DPO, Legal Consulting


Ogni studio legale, a prescindere dalle sue dimensioni, è chiamato a garantire un’adeguata protezione dei dati personali trattati.

Questo imperativo, nell’ambito privacy e avvocati, non è certo di nuova introduzione (la normativa privacy non esiste dal 25 maggio 2018) ma certamente il GDPR 679/2016 ha richiamato l’attenzione di tutti i soggetti tenuti alla sua applicazione introducendo nuovi principi e regole, ma soprattutto cambiando prospettiva: il titolare non è più chiamato ad applicare misure di sicurezza minime prestabilite (del resto così ci aveva abituato il nostro diritto di derivazione romanica), ma deve operare una valutazione soggettiva scegliendo le misure di sicurezza operative logiche e tecniche più adeguate per la sua realtà a garantire la giusta protezione ai dati personali trattati.

Il titolare dunque, nei limiti del rispetto dei principi imposti dalla normativa, diventa autonomo nelle scelte relative alle modalità di trattamento e alle garanzie da assicurare sin dall’inizio del trattamento e di tale valutazione occorrerà sempre conservare prova evidente.

Ma cosa significa in concreto rispettare i principi e adottare misure idonee di sicurezza di natura organizzativa logica fisica e tecnica? Cosa deve fare lo studio legale per essere compliant con il GDPR 679/2016?

Proviamo a spiegarlo attraverso una trattazione pratica finalizzata ad individuare nello specifico il percorso da seguire.

Fase preliminare: identificare i dati e i soggetti tutelati dal GDPR

La normativa tutela i dati personali delle persone fisiche. Ogni dato personale, quindi, che rende identificato o identificabile un soggetto è oggetto di tutela. I dati personali si distinguono in 2 macro categorie:

  • dati personali comuni;
  • dati personali particolari.

Ai sensi dell’art. 4 del Regolamento 679/2016, i dati personali includono qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato).

Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o ad uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

I dati particolari sono quelli idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose, politiche o filosofiche, l’appartenenza sindacale nonché il trattamento di dati relativi alla salute e alla vita sessuale dell’individuo.

Il regolamento fornisce inoltre la definizione di “dati genetici”, “dati biometrici”, “dati relativi alla salute” e i dati giudiziari.

I primi sono quei dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute della persona fisica, e che risultano in particolare dall’analisi di un campione biologico del soggetto. I dati biometrici sono quei dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici. Infine, i dati relativi alla salute sono tutti i dati personali attinenti alla salute fisica o mentale, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative allo stato di salute.

I soggetti interessati e quindi tutelati dalla normativa sono tutte le persone fisiche a cui i dati si riferiscono.

Soggetti che esercitano un’attività economica: chi è tutelato dal GDPR

Ma come ci si pone nei confronti invece dei lavoratori autonomi e delle ditte individuali?

Questi soggetti ricadono sotto la tutela della normativa de quo?

Nel Regolamento Europeo, il concetto di interessato è sempre riferito alle persone fisiche e rimane pertanto sempre sganciato da riferimenti a persone giuridiche, enti o associazioni.

Il considerando 14 in particolare recita “il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica o i dati di contatto”.

Si ritiene pertanto che l’elemento distintivo sia proprio la personalità giuridica di cui non tutti i soggetti che esercitano un’attività economica sono dotati.

In diritto, la personalità giuridica consiste nell’avere il diritto all’esercizio della capacità giuridica.

Ne consegue l’idoneità a divenire titolare di diritti e obblighi o più in generale di situazioni giuridiche soggettive.

Il soggetto che ha personalità giuridica è quello che gode di autonomia patrimoniale perfetta (operazione di separazione fra patrimonio dei soci e il patrimonio della società); il creditore si potrà rivalere solo sul patrimonio del soggetto giuridico e non sul patrimonio dei soci o di coloro che hanno agito per conto della società.

Il codice civile ha operato una netta distinzione: le società di capitali e le società cooperative hanno personalità giuridica che acquisiscono con l’iscrizione al Registro Imprese; la personalità giuridica è invece negata alle società di persone.

Con il riconoscimento della personalità giuridica, le società di capitali e le cooperative sono trattate, per legge, come soggetti di diritto formalmente distinte dalle persone dei soci (hanno cioè piena e perfetta autonomia patrimoniale). I beni conferiti dai soci diventano beni di proprietà della società: questa è titolare di un proprio patrimonio, di propri diritti e di proprie obbligazioni distinti da quelli personali dei soci. I creditori personali dei soci non possono soddisfarsi sul patrimonio sociale, né i creditori sociali possono soddisfarsi sul patrimonio personale dei soci. Hanno quindi un’autonomia patrimoniale perfetta.

L’autonomia patrimoniale si distingue in perfetta o imperfetta, secondo che sussista una insensibilità più o meno completa del patrimonio autonomo rispetto alle vicende che possano subire i patrimoni ad esso a vario titolo collegati. Ad esempio, l’autonomia patrimoniale delle società di persone è imperfetta, in quanto per i debiti sociali possono essere chiamati a rispondere anche gli stessi soci (o alcuni di essi, secondo il tipo di società). Diversamente le società di capitali possiedono un’autonomia patrimoniale perfetta, in quanto dei debiti sociali risponde solo ed esclusivamente la società con il suo patrimonio.

Autonomia patrimoniale imperfetta è tipica delle società di persone in cui i soci rispondono illimitatamente e solidalmente alle obbligazioni sociali, mentre i creditori particolari dei soci non possono agire sul patrimonio sociale.

Lavoratori autonomi

A livello civilistico, la figura del lavoratore autonomo è descritta dall’articolo 2222 del codice civile. Il lavoratore autonomo è quella persona fisica che si obbliga a compiere, dietro compenso, un’opera o un servizio con lavoro prevalentemente proprio e senza vincolo di subordinazione nei confronti di un committente. La figura del lavoratore autonomo è rappresentata dai cosiddetti liberi professionisti iscritti ad un albo professionale, come avvocati, commercialisti, architetti, ingegneri ecc. Sono lavoratori autonomi anche i professionisti non iscritti a ordini professionali quali, ad esempio, consulenti aziendali, consulenti marketing ecc.

I liberi professionisti non sono tenuti all’iscrizione nel registro imprese.

I liberi professionisti non sono persone giuridiche e non hanno personalità giuridica. Sono certamente destinatari della tutela riconosciuta dal GDPR.

Ditte individuali

Le ditte individuali sono oggetto di tutela del GDPR

La figura dell’imprenditore è descritta con un articolo del codice civile, il 2082. Secondo il codice civile, è imprenditore colui che esercita una attività economica professionalmente organizzata al fine della produzione o dello scambio di beni e servizi.

Si parla di impresa individuale o ditta individuale quando il soggetto giuridico è una persona fisica che risponde con il proprio patrimonio delle obbligazioni assunte dalla propria impresa, come ad esempio artigiani o commercianti. Queste categorie di soggetti sono invece tenute all’iscrizione al registro imprese presso la Camera di Commercio.

Esse sono persone giuridiche in quanto titolari della capacità di agire ma non hanno personalità giuridica in quanto mancanti dell’autonomia patrimoniale perfetta.

La personalità giuridica non va infatti confusa con la persona giuridica (intesa come titolare della capacità giuridica).

Per la normativa fiscale esistono diversi tipi di contribuenti, a seconda che una persona sia comune cittadino, titolare di una ditta o socio in una società o organizzazione.

In particolare, esistono tre tipi di contribuenti:

  • la persona fisica corrispondente al comune cittadino;
  • la persona fisica titolare di una ditta individuale e quindi libero professionista;
  • la persona giuridica, identificata in un’azienda o una società.

La persona fisica indica un individuo identificato da nome e cognome, mentre la persona giuridica è l’insieme organizzato di persone e di beni che l’ordinamento considera un soggetto di diritto. La persona giuridica deve, per essere riconosciuta come tale, essere un elemento composto da una o più persone o da un capitale che hanno uno scopo e deve avere il riconoscimento formale dato da una normativa.

I soggetti che hanno personalità giuridica (quindi autonomia patrimoniale perfetta) sono le srl, le spa, le associazioni ecc.

Secondo quindi un’interpretazione strettamente letterale del considerando 14 le ditte individuali (che non hanno autonomia patrimoniale perfetta) sono oggetto di tutela del GDPR al pari dei liberi professionisti.

Se invece vogliamo considerare il termine personalità come un sinonimo di persona giuridica allora le ditte individuali sono sottratte e completamente assimilate alle società di capitali.

La questione non è di facile interpretazione ma in via prudenziale si ritiene di dover riconoscere come soggetti interessati:

  • persone fisiche
  • lavoratori autonomi
  • ditte individuali
  • e in generale tutti i soggetti anche giuridici non dotati di personalità giuridica secondo quanto sopra detto.

Il ruolo dell’avvocato tra titolare autonomo, contitolarità e responsabile esterno

Nell’ambito dell’attività svolta dall’avvocato non è cosa scontata individuare il ruolo esatto dallo stesso svolto nei confronti degli interessati clienti.

Inquadriamo prima le definizioni:

  • Il titolare del trattamento ai sensi dell’art. 4 e del considerando 74 del G.D.P.R. 679/2016 è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.
  • Contitolari ai sensi dell’art. 26 del G.D.P.R. 679/2016 sono due o più titolari del trattamento che determinano congiuntamente le finalità e i mezzi del trattamento.
  • Responsabili del trattamento ai sensi dell’articolo 28 del G.D.P.R. 679/2016 sono quei soggetti che effettuano un trattamento dati personali per conto del titolare.

Nei confronti dei clienti persone fisiche (non soggetti all’applicazione del G.D.P.R. 679), quindi, l’avvocato/studio legale potrà porsi come:

  • titolare in quanto avvocato singolo che ha ricevuto mandato;
  • contitolare con altri professionisti per effetto di un mandato congiunto. In questo caso occorrerà un accordo ai sensi dell’art. 26 GDPR.

Nel caso dello studio associato/società è l’ente persona giuridica a qualificarsi come titolare. Tuttavia nel caso di rappresentanza in giudizio si pone il problema del ruolo del singolo avvocato che assume l’incarico fiduciario.

Come ribadito anche dall’ANF “nel caso in cui il fiduciario cessi i propri rapporti professionali con l’associazione o la società, l’incarico fiduciario con quel professionista è autonomo, e la società o associazione non dovrebbe più reputarsi titolata a detenere la totalità delle informazioni fornite. Nella pratica non potrebbe avocare un diritto di titolarità delle informazioni del fascicolo o di tutti i dati relativi al singolo assistito, ma, per applicazione dei criteri di necessità, proporzionalità e minimizzazione solo dei dati pertinenti e necessari, come ad esempio, a fini fiscali.”

Tale peculiarità potrebbe essere superata forse da un accordo di contitolarità che rifletta adeguatamente i rispettivi ruoli e i rapporti dei contitolari nei confronti degli interessati considerando anche che “possono esserci dei contitolari del trattamento quando solidalmente o per aree separate, si hanno delle responsabilità precise” (dall’intervista rilasciata dal Garante Europeo dott. Giovanni Buttarelli a Iuslaw Webradio).

  • domiciliatario trattando dati conferiti dagli interessati al dominus, si ritiene che in questo caso l’avvocato rivesta ruolo di responsabile esterno.

Nei confronti invece dei clienti persone giuridiche (o comunque soggetti tenuti all’osservanza del G.D.P.R) il professionista potrà porsi come titolare (o contitolare nei casi sopra previsti) o responsabile esterno.

La distinzione dipenderà essenzialmente dall’oggetto dell’incarico:

  • difesa in giudizio:secondo l’articolo 2 della legge professionale (Legge 31 dicembre 2012, n. 247) l’avvocato è un libero professionista che, in libertà, autonomia e indipendenza, svolge l’attività difensiva”. In questo caso il professionista non può configurarsi come responsabile del trattamento perché altrimenti non potrebbe agire in autonomia. Solo considerandolo titolare autonomo si garantisce l’autonomia e l’indipendenza del professionista, non consentendo al cliente di interferire nell’organizzazione interna del professionista per quanto riguarda i trattamenti di dati svolti da quest’ultimo. Diverso è il caso dell’avvocato domicilatario: trattando dati conferiti dagli interessati al dominus, si ritiene che come per i clienti persone fisiche, rivesta ruolo di responsabile esterno.
  • consulente legale d’impresa: si pensi al caso in cui l’avvocato nell’ambito di attività consulenziale riceva dal cliente persona giuridica l’incarico di trattare dati personali conferiti direttamente dagli interessati al cliente (per esempio l’avvocato incaricato di elaborare contratti tra cliente e persone fisiche clienti del cliente o dipendenti del cliente). In tali casi sarà il a prendere le decisioni di fondo e a farele scelte sugli scopi, le finalità, ecc. Si ritiene quindi che il professionista possa configurarsi come responsabile esterno del cliente.

Privacy e avvocati: gli adempimenti da porre in essere

Completata la fase preliminare in cui sono stati identificati i dati e i soggetti tutelati dal GDPR, si può passare a definire quali sono i vari adempimenti richiesti dal GDPR che occorre mettere in pratica.

Informative: ecco come renderle comformi al GDPR

Il professionista dovrà individuare i destinari delle informative che dovranno essere conformi ai principi e contenuti imposti dall’art. 13 del GDPR.

Le informative dovranno in particolare indicare:

  • l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
  • i dati di contatto del responsabile della protezione dei dati, ove applicabile;
  • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  • qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
  • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  • l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  • qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  • il diritto di proporre reclamo a un’autorità di controllo;
  • se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  • l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento dovrà fornire all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente.

Le informative andranno consegnate a:

  • clienti;
  • dipendenti;
  • collaboratori/domiciliatari;
  • tirocinanti, stagisti e via dicendo.

Basi giuridiche di legittimità e consenso: quando quest’ultimo è necessario

L’articolo 4, punto 11, del G.D.P.R. 679/2016 definisce il consenso dell’interessato come: “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Il consenso rappresenta una delle basi legittime per trattare i dati personali anche particolari, come disposto dall’articolo 6 e 9 del regolamento.

Di norma, il consenso può costituire la base legittima appropriata solo se all’interessato vengono offerti il controllo e l’effettiva possibilità di scegliere se accettare o meno i termini proposti o rifiutarli senza subire pregiudizio. Quando richiede il consenso, il titolare del trattamento deve valutare se soddisferà tutti i requisiti per essere valido. Se ottenuto nel pieno rispetto del regolamento, il consenso è uno strumento che fornisce all’interessato il controllo sul trattamento dei dati personali che lo riguardano. In caso contrario, il controllo diventa illusorio e il consenso non costituirà una base valida per il trattamento, rendendo illecita l’attività di trattamento (Gruppo di lavoro Articolo 29 – Linee guida sul consenso ai sensi del Regolamento UE 2016/679 adottate il 28 novembre 2017 come modificate e adottate da ultimo il 10 aprile 2018).

Come affermato nel parere 15/2011 del WP29 sulla definizione di consenso, “l’invito ad accettare il trattamento dei dati dovrebbe essere soggetto a criteri rigorosi, poiché sono in gioco i diritti fondamentali dell’interessato e il titolare del trattamento intende svolgere un trattamento che senza il consenso sarebbe illecito”.

Il consenso pur rappresentando la base giuridica per eccellenza, si affianca ad altre basi giuridiche che legittimano il trattamento dati e l’avvocato dovrà quindi valutare con attenzione la base legittima appropriata per il trattamento.

Quando il trattamento dei dati personali non particolari è legittimato dalla necessità di dare esecuzione ad un contratto di cui l’interessato è parte o all’esecuzione di misure pre contrattuali richieste dallo stesso, il consenso non è necessario (cliente che conferisce i dati personali per il conferimento dell’incarico).

Così come non sarà necessario il consenso quando la base di legittimità al trattamento è rappresentata dall’obbligo di legge (per es. antiriciclaggio) o legittimo interesse del titolare.

Il trattamento dei dati particolari può essere legittimato anche:

  • dalla necessità di assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale ( si pensi ai dipendenti dello studio ai quali per tali finalità non occorrerà richiedere il consenso);
  • il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali (si pensi ai clienti che si rivolgono all’avvocato per esigenze di tutela in giudizio ai quali per questa finalità non occorrerà richiedere consensi).

Il trattamento dei dati giudiziari ai sensi dell’art. 10 Ddel GDPR “deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica”.

Con autorizzazione n. 7 del 15 dicembre 2016 il Garante per la protezione dei dati personali aveva autorizzato gli avvocati e i liberi professionisti tenuti ad iscriversi in albi o elenchi per l’esercizio di un’attività professionale, al trattamento dei dati giudiziari dei clienti.

Tale autorizzazione è stata abrogata dall’art. 21 del D.lgs. 101/2018 che, nel prevedere comunque la sopravvivenza di alcune autorizzazioni non in contrasto con la legge in attesa del Provvedimento Generale, esclude dal novero l’autorizzaziobe 2/2016 sui dati giudiziari.

Il trattamento dei dati giudiziari da parte dell’avvocato trova attualmente il suo fondamento giuridico nell’art. 2 – octies del D.lgs 196/2003 così come novellato dal D.lgs. 101/2018 laddove si stabilisce che il trattamenti di tali dati è consentito per l’acceetamento, esercizio o difesa in giudizio.

Nomina degli autorizzati al trattamento

L’avvocato all’interno del suo studio per il trattamento dei dati personali a lui conferiti si avvarrà di collaboratori/personale dipendente.

Tale personale dovrà essere autorizzato per iscritto al trattamento dati e istruito.

Come stabilisce l’art. 29 del GDPR 679/2016 “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Il Regolamento Europeo non prevede più espressamente la figura dell’incaricato, ma non ne esclude la nomina, facendo riferimento a persone autorizzate al trattamento dei dati all’articolo 4 comma 10 del GDPR 679.

L’ autorizzato è il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali. Questo indica che se in teoria è possibile che un incaricato sia un soggetto esterno all’azienda, nella pratica risulterebbe difficile.

Posto che la normativa non circoscrive l’ambito dei trattamenti che deteminano la necessità di nominare gli autorizzati, si ritiene che debba essere considerato (e quindi istruito) autorizzato qualunque soggetto che effettui uno dei trattamenti definiti tali dall’art. 4 comma 2 del GDPR 679/2016 “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Anche se non si prevede l’obbligo di nomina espressa risulta fondamentale fornire per iscritto agli autorizzati le istruzioni operative e le misure di sicurezza da osservare e che sia fornita loro la necessaria formazione. In difetto, anche in presenza di formali designazioni, queste sarebbero del tutto prive di valore (WP Articolo 29 Parere 1/2010 sui concetti di “responsabile del trattamento” e “incaricato del trattamento” del 16 febbraio 2010: “Nel caso della normativa sulla protezione dei dati, l’incaricato del trattamento deve attuare le istruzioni ricevute dal responsabile del trattamento almeno per quanto attiene alla finalità del trattamento stesso e agli aspetti fondamentali dei mezzi. In tale ottica, la liceità dell’attività di trattamento dei dati da parte dell’incaricato è determinata dal mandato ricevuto dal responsabile del trattamento”).

La nomina può essere fatta anche in un unico atto per più soggetti.

Nel caso della normativa sulla protezione dei dati, l’incaricato del trattamento deve attuare le istruzioni ricevute dal responsabile del trattamento almeno per quanto attiene alla finalità del trattamento stesso e agli aspetti fondamentali dei mezzi.

In tale ottica, la liceità dell’attività di trattamento dei dati da parte dell’incaricato è determinata dal mandato ricevuto dal responsabile del trattamento.

Sulla nomina e sulle istruzioni scritte ricevute si consiglia di far apporre la firma per presa visione e accettazione.

Individuazione e nomina dei responsabili esterni

L’avvocato in qualità di Titolare del trattamento può nominare un responsabile che effettui il trattamento per suo conto.

Il responsabile a differenza dell’autorizzato non è un mero esecutore ma un soggetto esterno che con i suoi mezzi nell’ambito delle finalità di trattamento stabilite dal titolare per nome e per conto del titolare effettua un trattamento di dati.

L’art. 4 del GDPR al comma 8 definisce responsabile del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Il titolare ha la responsabilità di scegliere per tale incarico un soggetto/organismo che presenti garanzie sufficienti per mettere in atto le prescritte misure tecniche e organizzative adeguate.

Il consulente del lavoro, il domiciliatario, il fornitore di servizi cloud ecc. si configurano come responsabili esterni dello studio legale.

All’art.28 il Regolamento stabilisce che “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

I responsabili esterni andranno individuati tra quei soggetti che presentino adeguate garanzie di sicurezza in materia di tutela dei dati personali e dovranno essere contrattualizzati.

Il contratto di nomina dovrà dettagliare la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

Il contratto dovrà prevedere in particolare, che il responsabile del trattamento:

  1. tratti i dati personali soltanto su istruzione documentata del titolare del trattamento;
  2. garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  3. adotti tutte le misure adeguate di sicurezza;
  4. rispetti le condizioni previste dal Regolamento per ricorrere a un altro responsabile del trattamento;
  5. tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato;
  6. assista il titolare del trattamento nel garantire il rispetto degli obblighi in materia di sicurezza e data breach, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
  7. su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;
  8. metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato (art. 29 comma 1 GDPR 679/2016).

Qualora si verificasse il caso di responsabile nominato dallo studio legale che ricorre a sua volta ad un ulteirore responsaible allora si è davanti alla nomina di un sub responsabile.

Per nominare un sub responsabile occorre l’autorizzazione del titolare che potrà essere anche generale.

Ovviamente anche sul sub responsabile incombono gli stessi obblighi in materia di trattamento dati perosnali che gravano sul responsabile che sarà tenuto ad istruire e controllare di conseguenza i sub responsabili da lui nominati.

Il contratto dovrà essere firmato dal responsabile esterno nominato.

Redigere il registro dei trattamenti

Al fine di dimostrare la conformità al GDPR 679/2016 il titolare (lo studio legale/avvocato) deve tenere un registro delle attività di trattamento effettuate.

Come precisato anche dal Garante Privacy nel comunicato stampa dell’8.10.2018 tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento.

In particolare, in ambito privato, i soggetti obbligati sono:

  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 GDPR.

Alla luce di quanto detto sopra, sono tenuti all’obbligo di redazione del registro, ad esempio:

liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale).

Il registro dovrà contenere le seguenti informazioni (art. 30 comma 1 GDPR 679/2016):

  1. il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  2. le finalità del trattamento;
  3. una descrizione delle categorie di interessati e delle categorie di dati personali;
  4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  5. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  6. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  7. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

Qualora l’avvocato/studio legale si ponesse anche quale responsabile esterno di un titolare che gli ha conferito i dati, allora il registro dovrà essere redatto anche in qualità di responsabile indicando non le finalità (chiaramente decise dal Titolare) ma le categorie di trattamenti effettuati in nome e per conto del titolare (oltre ovviamente agli altri elementi sopra menzionati).

Il registro redatto in forma scritta anche elettronica potrebbe essere redatto in formato Excel con il foglio “Registro titolare” e Registro responsabile”.

Il documento deve essere messo a disposizione dell’Autorità di controllo e dovrà essere compilato ogni qual volta si introducano nuovi o diversi trattamenti/ finalità non previste nella versione già redatta.

Redigere la valutazione dei rischi

Uno dei pilastri del GDPR è certamente rappresentato dalla sicurezza dei dati personali trattati.

L’art. 32 del Regolamento UE stabilisce:

  1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
  2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.

I considerando collegati stabiliscono:

  • (74) È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche…
  • (75) I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.
  • (76) La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato.
  • (83) Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.

L’analisi dei rischi rappresenta uno strumento fondamentale di prova della corretta applicazione del principio dell’Accountability che impone ad ogni titolare di precostituire tutta la documentazione necessaria a dimostrare di aver compiuto le valutazioni preventive sui rischi, di aver adottato misure adeguate e di essersi dotato di un sistema che permetta la protezione effettiva dei dati, in compliance quindi con i dettami del GDPR.

In linea generale quindi la valutazione riguarderà i rischi legati alla:

  • disponibilità del dato in termini di distruzione, indisponibilità, perdita;
  • antegrità in termini di alterazione, riservatezza, divulgazione;
  • accesso non autorizzato.

I danni correlati potranno essere:

  • furto di identità;
  • danni fisici e psicologici;
  • danno reputazionale;
  • perdita di controllo dei dati;
  • discriminazione;
  • perdite finanziarie;
  • impossibilità di esercitare diritti.

Le misure di sicurezza passano da minime ad adeguate imponendo ad ogni titolare uno “sforzo” di valutazione, al fine di ridurre al minimo i rischi di cui sopra.

La valutazione soggettiva ed individuale sarà parametrata su criteri quali la tipologia e natura dei dati trattati, il contesto, le finalità di trattamento, lo stato dell’arte e i costi di attuazione inevitabilmente diversi per ogni titolare.

Non esiste il “rischio zero” ma certamente si deve tendere verso la minimizzazione del rischio in considerazione della tutela dei diritti degli interessati.

Essa richiede interventi di tipo organizzativo, fisico e logico e adeguati programmi di formazione e sensibilizzazione affinchè non si vanifichino tutti gli interventi finalizzati alla tutela del dato personale.

DPIA: la valutazione di impatto sulla protezione dei dati

Ai sensi dell’art. 35 del GDPR la valutazione di impatto è obbligatoria e preliminare al trattamento quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Essa è obbligatoria in caso di:

  • trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente sulle persone fisiche;
  • il trattamento su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati;
  • la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

La valutazione deve contenere almeno:

  1. una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
  2. una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  3. una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
  4. le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Per quanto concerne gli avvocati secondo quanto precisato dal Considerando 91 del GDPR non dovrebbe essere obbligatoria per i singoli professionisti che non effettuano trattamenti di dati su larga scala.

Tuttavia si consiglia soprattutto agli studi di una certa dimensione di valutare la fattibilità della DPIA alla luce anche di quanto indicato nelle linee guida predisposte dal WP 29 che elencano una serie di criteri che se integrati rendono probabile un rischio elevato per i diritti e le libertà degli interessati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5