di AVV. TOMMASO ROSSI
Come più volte già abbiamo avuto modo di trattare, il 25 maggio 2018 è il giorno della tanto attesa entrata in vigore del nuovo GDPR, il Regolamento Europeo sulla Privacy che sostituisce anche in Italia la normativa nazionale. Molte categorie di liberi professionisti e imprese attendono questo momento con inquietudine spesso dettata dalla confusione e dalla scarsa conoscenza della normativa.
Potete rileggere il nostro precedente articolo che riassume i punti salienti della nuova normativa.
Inoltre, in un precedente articolo, che vi invitiamo a rileggere , avevamo specificato come gli avvocati e gli altri liberi professionisti, siano tendenzialmente esonerati dall’obbligo di nominare il DPO (Data Protection Officer), fermo restando che chi lo nomina comunque si pone in una prospettiva virtuosa, secondo il principio di “accountabilty” che permea il GDPR, una sorta di principio di “preacauzione”
Ma veniamo a quanto il Consiglio Nazionale Forense ha pubblicato sul suo sito sotto forma di (F.A.Q. -Frequently Asked Questions) per cercare di dirimere i dubbi più frequenti sull’applicazione della nuova disciplina ad avvocati singoli e studi legali.
Ferma restando la possibilità di intervento del legislatore su aspetti del Regolamento che sono lasciati alla determinazione dei singoli Stati, la Commissione Privacy ha ritenuto di elaborare queste FAQ, per fornire ai Consigli degli ORdini degli avvocati delle prime indicazioni in merito agli adempimenti da adottare nell’immediato.
- Il GDPR si applica a tutti i soggetti, pubblici e privati, stabiliti in Europa (artt. 2 e 3 del GDPR) e pertanto anche agli Ordini degli Avvocati (COA), quali Enti Pubblici non economici.
I principi di trattamento corretto e trasparente implicano che l’interessato sia informatodell’esistenza del trattamento e delle sue finalità. Si reputa, pertanto opportuno che l’Ordine renda l’informativa sia in applicazione del D.Lgs. 196/2003, sia in virtù di quanto stabilito dagli articoli 13 e 14 del GDPR. Si ritiene sufficiente la pubblicazione dell’informativa sul sito web. Non è, comunque, necessario fornire l’informativa:
a) se l’interessato dispone già dell’informazione;
b) se la registrazione o la comunicazione dei dati personali sono previste per legge (come,
ad esempio i dati degli Albi, elenchi e registri ex art. 15 L 247/2012 e D.M. Giustizia 16
agosto 2016 n.178) ;
c) se informare l’interessato si rivela impossibile o richiederebbe uno sforzo
sproporzionato.
- Ogni Consiglio dell’Ordine dovrà tenere un registro dei Trattamenti. Ai sensi dell’articolo 30 del GDPR “Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità”. Il Registro dei Trattamenti (elettronico o cartaceo) è uno strumento fondamentale non soltanto allo scopo di disporre di un quadro aggiornato ed accurato dei trattamenti svolti ed in essere all’interno Consiglio per la corretta valutazione ed analisi del rischio, ma anche ai fini dell’eventuale supervisione e richiesta di esibizione da parte del Garante. La tenuta del registro dei trattamenti non costituisce, infatti, un mero adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Ancorché l’art. 30, sia pure con formulazione non troppo chiara, preveda ipotesi di esenzione dalla tenuta del registro, si tratta di un incombente imprescindibile, anche ai fini del principio di “responsabilizzazione”, che impone al titolare non solo l’onere di rispettare i principi fondamentali in tema di trattamento di dati personali, ma anche di comprovarlo.
- TIPOLOGIA DI TRATTAMENTI: I COA sono titolari (determinano le finalità e/o i mezzi del trattamento) di dati personali: degli iscritti (dati personali e categorie particolari di dati come dati relativi alla salute art. 9 GDPR) ; dei consulenti del COA; dei dipendenti del COA; relativi ad atti amministrativi e fiscali; dei fornitori (persone fisiche); relativi agli esposti o alle denunce, o all’acquisizione di notizie di fatti suscettibili di valutazione disciplinare, dei quali cura la successiva trasmissione al CDD competente; relativi alle richieste di ammissione al patrocinio a spese dello Stato [art. 9 GDPR]; di utenti relativi all’attività di Sportello al cittadino; relativi ai poteri di vigilanza, controllo e monitoraggio regolare e sistematico degli iscritti negli albi elenchi e registri ex art. 29 L 247/2012; inerenti l’acquisizione di segnalazioni circostanziate e puntuali sulla magistratura per il buon andamento dell’amministrazione della giustizia ed in riferimento ai compiti espressamente previsti ex lege, come i pareri ai Consigli Giudiziari.
- Il Responsabile del trattamento (“Data Processor” nella versione anglofona) è definito dal GDPR come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”. Tali soggetti, già nella sistematica del Codice della Privacy, devono essere nominati quali“responsabili”.L’art. 28 del GDPR delinea in dettaglio i rapporti tra titolare (Data Controller) e responsabile (Data Processor), stabilendo innanzitutto che si debba ricorrere a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato; siano sempre chiaramente definiti, l’entità dei trattamenti dovrebbe esserespecificatamente disciplinata da un contratto -individuando innanzitutto la materia disciplinata, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, ecomprenda tutti gli ulteriori elementi specificati nell’art. 28, comma 3, del GDPR- ovvero daun atto giuridico o da una norma cogente che vincoli il Responsabile del trattamento al Titolare del trattamento. È possibile scegliere un contratto individuale o clausole contrattuali tipo eventualmente adottate direttamente dalla Commissione oppure daun’Autorità (come il nostro Garante per la protezione dei dati personali). Occorre poi disciplinare espressamente se il responsabile possa avvalersi o meno di sub- responsabili per il trattamento.E’ quindi importante che ogni COA provveda:
1. Alla verifica di eventuali contratti eventualmente già in essere, per accertarne lacompatibilità con l’art. 28 del GDPR;
2. All’inserimento puntuale, nei bandi e contratti, delle pattuizioni necessarie per soddisfare i requisiti previsti dall’art. 28, anche con riguardo alle garanzie di rispetto dei principi del GDPR, che i responsabili devono possedere.
Questi adempimenti saranno facilitati, in futuro, dall’emanazione, da parte dellaCommissione europea o del Garante, di clausole contrattuali tipo.
- L’ORDINE DEGLI AVVOCATI DEVE DESIGNARE UN DPO ? L’art. 37, par. 1, del GDPR recita testualmente che “Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della Commissione CNF in materia di privacy protezione dei dati ogniqualvolta […] il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico […]”. In considerazione della natura di ente pubblico dell’Ordine degli Avvocati, esso sarà obbligato a nominare un Responsabile della Protezione dei Dati (o Data Protection Officer – DPO).
- Il responsabile della protezione dei dati può essere un dipendente del Titolare del trattamento o del Responsabile del trattamento”(art. 37, par. 6, del GDPR) ed è designato in funzione delle qualità professionali, in particolare, come già visto, della (art. 37, par. 5): conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati…” determinata in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento, e della capacità di assolvere i compiti di cui all’articolo 39”. Ciò significa, come chiarito nelle Linee guida, che “il DPO, nell’esecuzione dei compiti attribuitigli ai sensi dell’articolo 39, non deve ricevere istruzioni sull’approccio da seguire nel caso specifico – quali siano i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l’autorità di controllo. Né deve ricevere istruzioni sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati”. Al dipendente deve essere assicurata l’assoluta autonomia ed indipendenza dal Titolare del trattamento (considerando 97). Nel GDPR vi sono numerose garanzie a presidio di questo principio: Il titolare o il responsabile del trattamento non possono impartire alcuna istruzione per quanto riguarda lo svolgimento dei compiti affidati al DPO (articolo 38, paragrafo 3); Il DPO non può essere penalizzato o rimosso dall’incarico in rapporto allo svolgimento dei propri compiti; Non deve sussistere alcuna ipotesi di conflitto di interessi, anche con riguardo a eventuali ulteriori compiti e funzioni. Ciò significa, in primo luogo, che il DPO non può rivestire, all’interno dell’Ordine degli Avvocati (organizzazione del titolare del trattamento o del responsabile del trattamento), un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare del trattamento o responsabile del trattamento. Occorre altresì sottolineare che il Gruppo di lavoro Articolo 29 ha ritenuto che possa sussistere conflitto di interesse del DPO con i ruoli di amministratore delegato, di responsabile del personale e di responsabile del sistema informativo; ruoli normalmente ricoperti in ambito Ordinistico da dirigenti e funzionari che dovranno, pertanto, essere esclusi dalla selezione.
- La funzione di DPO può essere esercitata anche in base a un contratto di servizi stipulato con una persona fisica o giuridica esterna. In tale ultimo caso, è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante quale DPO soddisfi tutti i requisiti applicabili come fissati nella Sezione 4 del GDPR; per esempio, è indispensabile che nessuno di tali soggetti versi in situazioni di conflitto di interessi. Pari importanza riveste il fatto che ciascuno dei soggetti in questione goda delle tutele previste dal GDPR: per esempio, non è ammissibile la risoluzione ingiustificata del contratto di servizi in rapporto alle attività svolte in quanto DPO, né è ammissibile l’ingiustificata rimozione di un singolo appartenente alla persona giuridica che svolga funzioni di DPO. Al contempo, si potranno associare le competenze e le capacità individuali affinché il contributo collettivo fornito da più soggetti consenta di rendere alla clientela un servizio più efficiente. Per favorire una corretta e trasparente organizzazione interna e prevenire conflitti di interesse a carico dei componenti il team DPO, si raccomanda di procedere a una chiara ripartizione dei compiti all’interno del team DPO e di prevedere che sia un solo soggetto a fungere da contatto principale e “incaricato” per ciascun cliente. Sarà utile, in via generale, inserire specifiche disposizioni in merito nel contratto di servizi.
- L’art 38 comma 6 GDPR chiarisce che “Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi”. Astrattamente i doveri di segretezza e riservatezza del Responsabile della protezione dei dati in merito all’adempimento dei propri compiti sono tipici della professione forense (art. 13 CDF), così come il dovere di correttezza, di diligenza, competenza e preparazione professionale (artt. 12, 14, 15 CDF). In tal senso non appaiono delinearsi preclusioni e la qualifica di DPO ben può essere attribuita con un contratto di servizi ad un avvocato, il quale ha per peculiarità proprie della professione forense caratteristiche del Responsabile della protezione dei dati. Ciononostante il complesso dei compiti assegnati al DPO aventi rilevanza sia interna (consulenza, pareri, sorveglianza sul rispetto delle disposizioni) sia esterna (cooperazione con l’autorità di controllo e contatto con gli interessati in relazione all’esercizio dei propri diritti) sono impegnativi sia in termini di dedizione temporale sia in termini di diligenza intellettiva. Pertanto ogni singolo Consiglio dell’Ordine dovrà valutare caso per caso, sia considerando l’impegno base relativo al carico lavorativo tipico della figura, sia valutando le attività generali e peculiari del Consiglio (ad esempio in riferimento al numero di iscritti, se vi sono attivi Organismi interni per la mediaconciliazione, o per la risoluzione da crisi da sovraindebitamento, o per la risoluzione alternativa delle controversie; se è attivo e con che numeri di avventori lo Sportello al cittadino; se sono rilevanti le statistiche relative alle richieste di patrocinio a spese dello Stato etc.) se questa attività di Responsabile della protezione sia (o meno) compatibile con l’attività ordinaria e quotidiana, con il numero di cause e con gli impegni derivanti dalla professione forense del singolo avvocato. Sarà, inoltre, senz’altro opportuno che il soggetto incaricato versi in una situazione di totale indipendenza rispetto al Consiglio dell’ordine stesso, inteso come Titolare del Trattamento.
- Si ritiene che possa sussistere conflitto di interessi tra Consiglio e membro dell’Ordine dal momento che il Consigliere fa parte dell’organismo che è, nel contempo, Titolare del trattamento dati.
-
Stante la natura giuridica di enti pubblici non economici, gli Ordini professionali ricadono nell’ambito di applicazione del d.lgs. n. 50/2016, ai fini dell’affidamento dei contratti pubblici di servizi.L’affidamento dell’incarico di DPO ben potrà seguire le procedure semplificate di cui
all’articolo 36 del Codice dei contratti pubblici, ivi compreso l’affidamento diretto, nel rispetto dei principi di economicità, efficacia, tempestività, correttezza, libera concorrenza,non discriminazione, trasparenza, proporzionalità, pubblicità, rotazione degli inviti e degli affidamenti, nonché del principio di prevenzione e risoluzione dei conflitti di interessi. -
Il GDPR sarà applicabile dal 25 maggio 2018. A tale data ciascun Ordine degli Avvocati dovrà aver nominato il proprio RPD/DPO.
- L’autorizzazione n. 4/2016 – Autorizzazione al trattamento dei dati sensibili da parte dei liberi professionisti – ha validità temporale sino al 24/5/2018. Il GDPR pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurarne l’applicazione (si vedano gli artt. 23-25, in particolare, e l’intero Capo IV del GDPR). Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai Titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento stesso. Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design” (si veda art. 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del GDPR e tutelare i diritti degli Interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Dunque, l’intervento delle autorità di controllo sarà principalmente “ex post”, ossia si collocherà successivamente alle determinazioni assunte autonomamente dal Titolare; ciò spiega l’abolizione a partire dal 25 maggio 2018 di alcuni istituti previsti dalla direttiva del 1995 e dal Codice italiano, come la notifica preventiva dei trattamenti all’autorità di controllo e il cosiddetto prior checking (o verifica preliminare: si veda art. 17 Codice), sostituiti da obblighi di tenuta di un registro dei trattamenti da parte del titolare/responsabile e, appunto, di effettuazione di valutazioni di impatto in piena autonomia.
- Ai sensi dell’art. 4 comma 7 del GDPR Il titolare del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”. Per quanto riguarda l’Ordine degli Avvocati, il Titolare del trattamento è il Consiglio, in persona del Presidente pro tempore.
PER LEGGERE TUTTE LE FAQ RIPORTATE SUL SITO DEL CNF CLICCATE QUI.