Gli avvocati, nell’esercizio della loro attività professionale, trattano dati personali e sono tenuti a conoscere e rispettare la normativa vigente in materia di protezione dei dati personali. Occorre partire da questo presupposto quando si parla di GDPR negli studi legali.
A più di un anno dalla data di piena applicazione del GDPR (Reg. UE 2016/679) e del decreto di adeguamento d.lgs. 101/2018 che ha armonizzato la materia della protezione dei dati nazionale, apportando modifiche al Codice Privacy (D.lgs. 196/2003), rimangono tuttavia alcune incertezze per i professionisti circa l’effettivo rilievo che tale normativa assume nell’organizzazione dello studio legale e su alcuni dei principali aspetti che occorre considerare per poter operare in linea con la normativa stessa.
Tra gli aspetti che spesso sollevano dubbi rientrano i ruoli dei soggetti privacy all’interno dello studio. Dubbi che rilevano non solo per la corretta individuazione formale del ruolo dell’avvocato e dei suoi collaboratori, ma anche per la definizione dei compiti e responsabilità che la normativa individua in capo ai singoli soggetti privacy.
Analizziamo dunque chi sono e quali caratteristiche hanno o devono avere i soggetti privacy in modo da adottarre correttamente il GDPR negli studi legali.
Indice degli argomenti
Il GDPR negli studi legali: i soggetti privacy
Per comprendere quali sono i soggetti che rivestono rilievo in relazione al trattamento dei dati personali svolti da uno studio legale è possibile immaginare una struttura piramidale.
Al vertice della piramide si rinviene la figura del titolare del trattamento. Scendendo nella struttura piramidale, si ha la figura del responsabile del trattamento. Alla base della piramide troviamo poi una serie di soggetti, persone fisiche, che materialmente entrano in contatto con i dati e sono autorizzate al trattamento da parte del titolare o del responsabile del trattamento.
Infine, al lato della piramide, quale soggetto estraneo alla struttura gerarchica piramidale, sinora presa in considerazione, è possibile individuare il DPO (Data Protection Officer).
Tenendo presente tale struttura, è utile innanzitutto analizzare le singole figure sotto un mero profilo normativo, per poi individuare un’applicazione pratica ed operativa delle stesse all’interno dello studio legale.
Il GDPR negli studi legali: il titolare del trattamento
Secondo la definizione dell’art. 4, par. 1 n. 7) del GDPR il titolare del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
Pertanto, il titolare del trattamento è il soggetto che ha potere decisionale in ordine alle modalità e finalità del trattamento.
E nello studio legale chi è il titolare del trattamento?
Titolare del trattamento è il singolo avvocato, con riferimento al trattamento dei dati dei propri assistiti, in quanto è l’avvocato che, acquisiti i dati del cliente, decide autonomamente in che modo trattarli, come utilizzarli, gestirli e conservarli, per quali finalità e quali misure di sicurezza adottare per proteggere tale trattamento.
Nel caso di uno studio legale associato o società tra professionisti, il titolare del trattamento è la persona giuridica.
Quindi è chiaro che il professionista o lo studio legale associato o in forma societaria siano, a seconda del caso, titolare del trattamento, in quanto determinano le modalità e finalità del trattamento dei dati.
In alcuni casi il potere decisionale può essere condiviso tra più titolari, ossia non sarà un solo avvocato ad avere il potere decisionale su un determinato trattamento, ma tale potere sarà condiviso con un collega. È il classico esempio di un incarico condiviso. Si parla a tal proposito di contitolarità, prevista dall’art. 26 GDPR, che si verifica quando due o più titolari del trattamento condividono un trattamento di dati.
Il GDPR prevede che i due avvocati contitolari debbano stipulare un accordo interno di contitolarità, in cui specificare in modo espresso le rispettive attività, finalità e modalità di trattamento, nonché gli ambiti di competenza e responsabilità.
La contitolarità deve essere considerata e valutata caso per caso, sulla base dell’effettivo apporto professionale e strategico decisionale di ciascun avvocato.
Il GDPR negli studi legali: il responsabile del trattamento
Tale figura viene definita dall’art. 4 par. 1 n. 8 del GDPR come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta i dati personali per conto del titolare”.
Il responsabile deve agire nel rispetto delle indicazioni ricevute dal titolare e deve offrire garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate (art. 28 GDPR).
A tal proposito, il rapporto tra titolare e responsabile deve essere disciplinato da un contratto (data processing agreement) nel quale devono essere definite, in particolare, la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati e, infine, gli obblighi e i diritti del titolare del trattamento, oltre alle ulteriori previsioni specifiche contenute nel citato art. 28, il quale definisce in modo dettagliato il contenuto che deve avere l’accordo tra titolare e responsabile.
Come si può individuare un responsabile del trattamento di uno studio legale?
Dato che il responsabile del trattamento è il soggetto che tratta i dati per conto del titolare, si può affermare che possa essere individuato nei consulenti (persone fisiche) o nei fornitori (persone giuridiche) di cui lo studio si avvale.
A titolo esemplificativo, ma non esaustivo, è possibile indicare quale responsabile del trattamento di uno studio legale: il commercialista per la gestione della contabilità dello studio, il consulente del lavoro che gestisce i dati dei dipendenti dello studio per l’elaborazione delle buste paga, la società informatica che presta assistenza sui sistemi utilizzati nello studio.
Una volta individuato il responsabile, l’avvocato (titolare del trattamento) deve procedere a stipulare con il responsabile il data processing agreement, come delineato dall’art. 28 GDPR, prestando particolare attenzione alle garanzie offerte dallo stesso.
Infine, si deve segnalare che il GDPR prevede la possibilità che il responsabile del trattamento possa avvalersi di ulteriori soggetti (subresponsabili) per gestire il trattamento dei dati per conto del titolare. Si tratta di una novità introdotta all’art. 28 comma 4 del GDPR, il quale prevede che qualora il responsabile voglia avvalersi di un altro responsabile del trattamento, debba essere autorizzato per iscritto dal titolare del trattamento e anche i subresponsabili saranno soggetti a quanto previsto dal data processing agreement.
Il GDPR negli studi legali: le persone autorizzate
Alla base della piramide troviamo poi una serie di soggetti, persone fisiche, che operano sotto l’autorità del titolare o del responsabile del trattamento e materialmente entrano in contatto con i dati.
Nel Codice Privacy tali soggetti venivano identificati come “incaricati”. La figura dell’incaricato non è espressamente prevista nel Reg. UE 2016/679, ma di fatto viene individuata dall’art. 4 par. 1 n. 10 del GDPR come “la persona autorizzata al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”.
Per quanto riguarda l’aspetto formale, sebbene non sia previsto l’obbligo di designazione scritta di tali soggetti, l’art. 29 GDPR dispone che il titolare debba istruire coloro che trattano i dati sotto la propria autorità.
Pertanto, il titolare dovrà procedere con la designazione scritta delle persone autorizzate, fornendo specifiche istruzioni e indicazioni, connesse all’attività effettivamente svolta da quel soggetto, nel rispetto del principio di accountability.
In tal senso si è peraltro espresso il Garante privacy nella Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali, dove indica che “Le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di “responsabilizzazione” di titolari e responsabili del trattamento che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del regolamento nella sua interezza. In questo senso, e anche alla luce degli artt. 28, paragrafo 3, lettera b), 29, e 32, paragrafo 4, in tema di misure tecniche e organizzative di sicurezza, si ritiene che titolari e responsabili del trattamento possano mantenere in essere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante”.
Chi sono, dunque, gli autorizzati al trattamento all’interno di uno studio legale?
La persona autorizzata, come detto, è il soggetto (persona fisica) che effettua materialmente le operazioni di trattamento sui dati personali, sotto il controllo diretto del titolare.
Se si pensa alla gestione dei dati all’interno di uno studio legale, risalta immediatamente l’attività svolta dalla segretaria o dai praticanti di studio. L’avvocato dovrà designare per iscritto la persona autorizzata e dovrà fornirle specifiche istruzioni relativamente alle attività di trattamento, ad esempio differenziando la nomina della segretaria che si occupa solo della gestione dell’agenda del professionista, dalla segretaria che ha mansioni più ampie, quali compiti di gestione contabile e amministrativa.
La figura del Data Protection Officer (DPO)
Infine, al lato della piramide, quale soggetto estraneo alla struttura gerarchica piramidale sinora presa in considerazione, è possibile individuare il DPO (Data Protection Officer).
Si tratta di una nuova figura, dotata di autonomia ed indipendenza, introdotta dal Reg. UE 2016/679 al fine di garantire l’osservanza della normativa in materia di protezione dei dati, di facilitare le attività del titolare del trattamento ed essere un punto di contatto con l’autorità di controllo nazionale e le cui caratteristiche e competenze sono indicate negli artt. 37-38-39 del Regolamento medesimo.
In particolare, l’art. 37 del GDPR fissa i criteri per l’individuazione delle ipotesi di obbligatorietà della nomina del DPO.
Per valutare se lo studio legale debba designare un DPO, occorre soffermarsi sull’ipotesi di obbligatorietà prevista dalla lettera c) dell’art. 37 del GDPR, in quanto relativa a trattamenti che possono essere effettuati dagli studi legali e, quindi, valutare se l’attività dello studio legale consista in un trattamento su larga scala di categorie particolari di dati personali di cui all’art. 9 o di dati relativi a condanne penali e a reati di cui all’art. 10.
Si deve precisare che, come indicato dalle Linee Guida del WP sull’art. 29, il singolo avvocato non ricade nell’ipotesi di obbligatorietà della nomina del DPO, in quanto è difficile che effettui trattamenti di categorie particolari di dati o di dati relativi a condanne penali o reati che possano essere ricompresi nel concetto di larga scala.
È, al contrario, probabile che uno studio maggiormente strutturato o uno studio associato o in forma societaria effettui trattamenti su larga scala e ricada nell’obbligo di designazione del DPO. Il parametro da tenere in considerazione è pertanto quello della “larga scala”.
Tuttavia, si tratta di indicazioni di massima e tale scelta deve essere valutata caso per caso.
Infine, è bene indicare la possibilità di procedere ad una designazione volontaria del DPO. Infatti, anche se lo studio legale non rientra in nessuna delle ipotesi di obbligatorietà della nomina del DPO, il titolare del trattamento può scegliere di procedere ad una designazione su base volontaria, seguendo le medesime norme previste in caso di nomina obbligatoria.
