Indietro


L’individuazione dei ruoli in materia di trattamento e protezione dei dati deve essere definita e trasparente tanto all’interno quanto all’esterno dello studio professionale, in primo luogo nei rapporti con i clienti, con gli altri professionisti, con i dipendenti e i fornitori di servizi.

Le figure principali previste dal GDPR sono le seguenti:

titolare del trattamento”, soggetto che “determina le finalità e i mezzi del trattamento di dati personali” (articolo 4, n. 7 GDPR);

responsabile del trattamento”, soggetto che “tratta dati personali per conto del titolare del trattamento” (articolo 4, n. 8 GDPR);

autorizzato al trattamento”, soggetto che tratta i dati personali “sotto l’autorità diretta del titolare o del responsabile” (articolo 4, n. 10 GDPR).

--

Di regola riveste la figura del titolare del trattamento il titolare dello studio o l’associazione professionale o la società tra professionisti, in quanto è a livello apicale che, anche grazie a una visione d’insieme, possono essere e sono in concreto determinati “le finalità e i mezzi del trattamento”.

Con riferimento agli avvocati, nel proprio chiarimento al Consiglio Nazionale Forense n. 22457 del 2004, il Garante italiano aveva precisato che “Quando l’attività è svolta in forma societaria o da un’associazione professionale o da una società tra avvocati, il titolare è l’entità nel suo complesso. In questo caso, gli adempimenti previsti dal Codice (Privacy, n.d.r.) vanno pertanto attuati in termini unitari, evitando la loro frammentazione o ripetizione a cura dei singoli professionisti”.

Nulla vieta che più soggetti condividano tale responsabilità programmatica e organizzativa, nel qual caso si avranno più contitolari; la contitolarità prescrive, tra l’altro (articolo 26 GDPR):

  • un “accordo interno” che determini “le rispettive responsabilità” il cui “contenuto essenziale” dev’essere “messo a disposizione dell’interessato”;
  • il diritto dell’interessato “di esercitare i propri diritti nei confronti di e contro ciascun titolare del trattamento”.

Secondo il Consiglio Nazionale Forense (Commissione Privacy, 22 maggio 2018), il conferimento di procura alle liti a più avvocati determinerebbe la contitolarità del trattamento dei dati personali; tuttavia, a rigore, ciò dovrebbe avvenire solo qualora i codifensori abbiano davvero condiviso la determinazione di finalità e mezzi del trattamento: in difetto, si dovrebbero avere un titolare e uno o più autorizzati/incaricati, ancorché tutti procuratori alle liti.

--

Negli studi professionali accade sovente che il trattamento dei dati venga effettuato, oltre che dal titolare, anche da altri soggetti per conto del titolare – i “responsabili del trattamento” previsti dall’articolo 28 GDPR. Si tratta di figure esterne rispetto allo studio, diversamente da quanto stabiliva il Codice Privacy, che contemplava la figura del responsabile interno.

Con riferimento agli avvocati, secondo il Consiglio Nazionale Forense sarebbero responsabili del trattamento il mero domiciliatario, il contabile dello studio, il consulente del lavoro, i fornitori di servizi digitali, i conservatori di documenti informatici. Su quest’ultimo punto si rinvia al precedente articolo sul rapporto fra il trattamento dei dati personali e l’utilizzo di sistemi informatici di “cloud”, consultabile qui.

Per ciascun responsabile, il titolare – quindi, anche l’avvocato – deve predisporre un contratto o un atto di nomina “che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento” (articolo 28 GDPR).

--

Inoltre, operano negli studi professionali le persone che agiscono sotto l’autorità del titolare o di responsabili del trattamento nel rispetto delle istruzioni fornite da questi ultimi: si tratta dei soggetti autorizzati (incaricati ai sensi del Codice Privacy) – per solito collaboratori, dipendenti, professionisti of counsel, stagisti e altri tirocinanti.

L’autorizzato/incaricato “non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento” (articolo 29 GDPR), dal che deriva l’onere per titolare e responsabile di fornire precise istruzioni per iscritto e di conservare la prova del proprio adempimento.

In ambito forense, sono tipicamente autorizzati/incaricati i collaboratori avvocati (che ovviamente non siano contitolari) e i collaboratori praticanti, abilitati al patrocinio o meno.

Al riguardo il Garante italiano aveva precisato, con il citato chiarimento al Consiglio Nazionale Forense n. 22457 del 2004, che “Tutte le persone fisiche che hanno accesso ai dati a vario titolo (avvocati, praticanti, collaboratori e personale amministrativo) devono essere designate per iscritto quali incaricati del trattamento. L’atto di designazione, da parte del titolare o dell’eventuale responsabile, deve individuare l’ambito del trattamento consentito agli incaricati, i quali devono attenersi alle istruzioni impartite”.

--

Il take home message è che gli obblighi derivanti dalla normativa in ambito di privacy impongono allo studio professionale e legale di riflettere sulla propria organizzazione e sui propri processi al fine di individuare i soggetti coinvolti nel trattamento dei dati e formalizzare i rispettivi ruoli nei termini e con le modalità del caso, il tutto a garanzia della compliancein primis a favore degli interessati ma anche per migliorare il proprio standard professionale e per non incorrere in sanzioni.

Non ci sono ancora commenti: commenta per primo

Lascia un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contraddistinti dal simbolo *

Inviando confermo il consenso al trattamento dei dati personali che ho inserito nel modulo disciplinato dalla Privacy Policy