di AVV. TOMMASO ROSSI
Il 25 maggio 2018 entrerà in vigore il GDPR, il regolamento europeo sulla privacy, che sostituirà la normativa interna di tutti i Paesi europei compresa l’Italia. Questo “giorno X” spaventa tutti quanti lavorano a contatto con i dati personali dei clienti e in particolare i liberi professionisti. Gli avvocati in particolare, molto spesso abituati ad una gestione del proprio studio un po’ “casalinga”, frutto di una impostazione un po’ antiquata della professione, vivono queste novità con paura e confusione.
Ma per loro c’è una buona notizia. Secondo le interpretazioni che si vanno delineando sul sito dell’Autorità Garante per la Privacy, per i professionisti (avvocati in primis), non vi sarà l’obbligo di nomina del DPO, il Responsabile della protezione dati.
Chi ha l’obbligo di nominare il DPO? Sulla base di quanto previsto dal Regolamento, la designazione del Responsabile della protezione dei dati è obbligatoria solo per le autorità pubbliche e gli organismi pubblici (eccettuate le autorità giurisdizionali ),e per i soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.
Possono dunque evitare di nominare il DPO i liberi professionisti che operano in forma individuale, tra i quali gli avvocati. Inoltre non hanno l’obbligo:
- gli agenti, i rappresentanti e i mediatori operanti non su larga scala;
- le imprese individuali o familiari;
- le piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.
Ciò non toglie che chi lo nomina comunque si pone in una prospettiva virtuosa, secondo il principio di “accountabilty” che permea il GDPR, una sorta di principio di “preacauzione” , ovverosia tutte quelle misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR.
Chi può essere nominato DPO? Il Responsabile della protezione dei dati personali (DPO)dovrà essere scelto dai soggetti obbligati con attenzione, verificando la presenza di competenze ed esperienze specifiche.Non sono necessarie nè possono essere richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali. GLi stessi dovranno avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto), ma il possesso di attestati formali delle competenze professionali raggiunte non potrà mai diventare un obbligo. Attenzione dunque a tutti quei corsi (costosi) che promettono ad avvocati e non solo di consentire di rivestire questo “ambito” ruolo!