Il General Data Protection Regulation (GDPR) è il nuovo Regolamento Europeo per la protezione dei dati personali, approvato nel 2016, entrato in vigore in Italia il 25 maggio 2018.
Rispetto alle normative precedenti vengono introdotti diversi principi e incombenze da porre in essere completamente nuovi.
Il cennato Regolamento Europeo sulla privacy prevede che non siano solo le grandi aziende, ma anche le piccole realtà professionali, a doversi dotare di programmi di protezione del proprio patrimonio informativo.
Il GDPR, a differenza del passato, attribuisce al titolare dello studio professionale il principio di “accountability”, ovvero la responsabilità di definire rischi e misure idonee a garantire il rispetto della privacy dei dati personali trattati.
Per quanto direttamente può interessare gli studi professionali di piccole e medie dimensioni cambiano, in particolare, le cautele da adottare nella raccolta e trattamento dei dati; viene infatti introdotto il concetto di adozione di “misure organizzative e tecniche adeguate” attraverso lo strumento dell’analisi preventiva del rischio (art. 24, privacy by design e by default) In sostanza, il principio di accountability mira ad autoresponsabilizzare il professionista, imponendogli di valutare il proprio livello di rischio, e di adeguare conseguentemente le protezioni adottate, invece di prescrivergli, come previsto dalla normativa precedente, semplicemente un livello minimo di adempimenti standard.
Il livello di sicurezza necessario deve essere appropriato rispetto ai mezzi strumentali utilizzati dai professionisti: un conto è la raccolta, il trattamento e la protezione di dati gestiti in formato cartaceo, altro la raccolta, il trattamento e la protezione mediante utilizzo di comunicazioni elettroniche, archiviazione telematica o in cloud, altro ancora la gestione mediante aree riservate in propri siti internet.
In questa ottica, anche l’organizzazione e l’organigramma di studio, e dei soggetti esterni (quali commercialisti, corrispondenti, consulenti) che abbiano accesso ai dati personali degli interessati devono essere attentamente esaminati ed adeguati prevedendo specifici livelli di delega ed autorizzazione al trattamento, quali soggetti responsabili del trattamento o soggetti autorizzati incaricati al trattamento a seconda del ruolo rivestito.
Resta poi fermo il principio in forza del quale il titolare del trattamento è tenuto a rendere apposita informativa in relazione alle finalità e modalità di trattamento dei dati personali con imposizione di obblighi di trasparenza nell’informazione (“linguaggio semplice e chiaro”) maggiori, e di dettaglio scrupoloso. Pertanto gli studi professionali a seconda delle proprie esigenze dovranno rendere una informativa non generica ma ad hoc, estesa a tutti i possibili trattamenti e utilizzazioni.
Si ritiene infine che gli studi professionali di piccole e medie dimensioni non siano tenute alla nomina del Data Protection Officer (DPO) la cui nomina è obbligatoriamente prevista solo nei seguenti casi:
- quando è una Pubblica Autorità ad eseguire il trattamento. Fanno eccezione le Autorità giurisdizionali nell’esercizio delle proprie funzioni;
- quando le attività del Titolare o Responsabile del trattamento riguardano, per natura e finalità, il regolare e sistematico monitoraggio su larga scala degli interessati;
- quando c’è il coinvolgimento di informazioni e dati personali appartenenti a categorie particolari (articolo 9 del regolamento) o relativi a condanne penali e reati previsti dall’articolo 10.
Anche se non obbligatorio, considerato il principio della “responsabilizzazione” secondo cui il titolare del trattamento è tenuto a porre in essere tutte le misure tecniche e organizzative per garantire ed essere in grado di dimostrare che il trattamento dei dati personali degli interessati è effettuato nel rispetto dei principi dettati dall’art. 5, par. 1 e delle altre norme del GDPR, si consiglia di tenere il registro dei trattamenti previsto dal GDPR all’art. 30.
Avv. Ilaria Zamparo
Studio Legale Ivaldi
Nei prossimi mesi l’OA, anche in relazione a richieste e quesiti che perverranno da parte degli iscritti, valuterà ulteriori approfondimenti o seminari specifici.
Si ricorda che l’avv. Zamparo è a disposizione degli iscritti per rispondere, su appuntamento da fissare tramite la segreteria dell’Ordine, a quesiti inerenti la privacy.