FOCUS

GDPR - Il nuovo regolamento generale sulla protezione dei dati UE 2016/679

Da venerdì 25 maggio 2018 si applicherà definitivamente, in tutti gli Stati membri dell’Unione Europea, il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (di seguito “Regolamento” o “GDPR” - General Data Protection Regulation) che disciplina l’attività di trattamento dei dati e la loro libera circolazione in ambito UE.

Il nuovo Regolamento pone particolare accento sul principio di responsabilizzazione (“accountability”) del Titolare del trattamento – il professionista o lo Studio Legale - lasciandogli, nel rispetto del disposto della normativa europea, il compito di decidere le modalità, le garanzie e i limiti del trattamento dei dati personali. Il Regolamento da ora maggiore attenzione:

  • all’Informativa da dare al cliente o al dipendente, rispetto al Consenso da richiedere;
  • al processo di trattamento dei dati personali del cliente, rispetto alla loro tipologia.

Gli artt. 13 e 14, par. 1, indicano tassativamente il contenuto dell’Informativa che il professionista/Studio Legale dovrà dare all’interessato (p.e. cliente, dipendente), che deve essere “coincisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”, e riportare, tra l’altro, i dati di contatto del Titolare del trattamento dati (professionista/Studio Legale), quale tipologia di dati sono raccolti (p.e. anagrafici, residenza e tutti quelli, personali, necessari all’espletamento dell’incarico), le modalità del loro trattamento (p.e. manuale o informatico) e le finalità del trattamento (p.e. per l’espletamento dell’incarico, per la fatturazione, amministrazione del personale, ecc.), il periodo di conservazione dei dati, ove nominato l’identità e i dati del Responsabile della Protezione Dati, eventuali destinatari terzi dei dati (i Responsabili del trattamento dati, p.e. commercialista che cura la fatturazione/contabilità o consulente del lavoro che elabora i cedolini dello stipendio dei dipendenti), il periodo di conservazione dei dati e i diritti dell’interessato (accessibilità, rettifica, limitazione del trattamento, cancellazione, portabilità dei dati).

Pertanto, in base all’art. 6, il Consenso va richiesto al cliente o al dipendente solo nel caso in cui il trattamento dei loro dati personali non sia necessario:

  1. "all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  2. per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  3. per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  4. per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  5. per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”.

Il professionista/lo Studio Legale dovrà valutare l’adeguatezza del processo di trattamento dei dati personali - lì dove possibile fin dalla sua progettazione (“data protection by design”) – evitando di acquisire dati non necessari all’incarico. Nella fattispecie gli artt. 24 e 25 riguardanti il Titolare del trattamento, infatti, gli attribuiscono la piena responsabilità di definire e adottare le “misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” (“data protection by design”), nonchè garantire che “siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” (“data protection by default”).

Con il nuovo Regolamento, inoltre, scompare l’articolazione organizzativa, interna allo Studio Legale, prevista dal Codice della privacy tra Titolare, Responsabile e Incaricato.

La responsabilità di eventuali violazioni viene attribuita in ogni caso al Titolare, eventualmente in solido con il Responsabile del trattamento, a meno che non si dimostri di aver adottato tutte le misure ragionevoli ad evitarle.

Al riguardo va detto che, sulla base dell’art. 28, il Responsabile del trattamento dei dati personali non è più una figura interna all’organizzazione, ma un terzo esterno a cui è stato dato incarico di svolgere per proprio conto determinati trattamenti di dati personali. Il professionista/lo Studio Legale dovrà predisporre uno specifico “contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri” che disciplini i trattamenti e “vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”. Altro aspetto fondamentale da evidenziare è l’introduzione del Registro delle attività di trattamento (art. 30 del Regolamento), obbligatorio per le organizzazioni con più di 250 dipendenti e per coloro che effettuano il trattamento di dati personali relativi a condanne penali o reati.

Dunque, se il professionista/lo Studio Legale rientra in tali fattispecie dovrà provvedere alla sua istituzione prevedendo il seguente contenuto: il nome e i dati di contatto del Titolare e ove nominato del Responsabile della Protezione dei Dati; le finalità del trattamento; la descrizione delle categorie di interessati del trattamento (p.e. clienti, dipendenti); le categorie dei dati personali trattati; le categorie dei terzi cui i dati possono essere comunicati; l’indicazione di eventuali trasferimenti verso paesi terzi e/o verso organizzazioni internazionali identificabili; i termini ultimi per la cancellazione dei dati; una descrizione delle misure di sicurezza e delle misure organizzative adottate.

Da ultimo va segnalato che il Regolamento europeo prevede sanzioni pecuniarie di rilevante entità (fino a 20 milioni di euro o al 4% del fatturato dell’anno precedente se superiore, per violazioni in materia di consenso, dei diritti degli interessati, ecc.), oltre al risarcimento al danno materiale o immateriale causato (artt. 58, 82 e 83). Il Garante può anche ingiungere al professionista/Studio Legale l’adozione di specifiche misure tecniche e organizzative ai fini adeguare le attività di trattamento dei dati personali alle disposizioni del Regolamento (p.e. dotarsi di un nuovo sistema informatico).

È consigliabile quindi che il professionista/Studio Legale predisponga una apposita procedura/istruzione interna che indichi i comportamenti da seguire nel caso di violazione dei dati personali (“violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”). In tale circostanza, se il professionista/Studio Legale ritiene a suo giudizio che dalla violazione possa derivare un rischio per i diritti e le libertà degli interessati, deve darne comunicazione all’Autorità Garante entro 72 ore dall’accaduto.

Dott. Fabrizio Richard - Internal Auditor Cassa Forense

Informazioni aggiuntive