Luca Saglione
Dal 25 maggio anche gli studi professionali, nonché i singoli professionisti, sono tenuti ad adeguare le proprie procedure interne alle necessità e caratteristiche del singolo trattamento svolto all’interno della propria realtà, in conformità alle disposizioni del GDPR. L’approfondimento dell’Avvocato Luca Saglione.
Come noto, lo scorso 25 maggio è entrato in vigore il Regolamento Europeo n. 2016/679, meglio conosciuto come «GDPR», che ha introdotto una legislazione in materia di protezione dei dati personali omogenea ed uniforme in tutti i Paesi appartenenti all’Unione Europea.
Si sottolinea come il Regolamento Europeo sia direttamente applicabile dalla data sopra indicata, non essendo necessario alcun intervento del legislatore nazionale al fine di renderlo operativo. In Italia sono previste, in ogni caso, norme integrative che assicurino e permettano l’armonizzazione e il passaggio dalle vecchie disposizioni nazionali in materia di trattamento dei dati personali al Nuovo Regolamento, in modo da evitare duplicazioni o dubbi interpretativi (cfr. art. 13 della Legge n. 163/17, recante “Delega al Governo per il recepimento delle Direttive Europee e l’attuazione di altri atti dell’Unione Europea – Legge di delegazione europea 2016-2017”). Tale armonizzazione non è ancora stata formalizzata in via definitiva, dal momento che, allo stato attuale, esiste solamente uno schema di Decreto Legislativo sottoposto a parere Parlamentare.
Chiarito quanto sopra, giova rilevare come il principio fondamentale alla base del GDPR sia rappresentato dal diritto di ogni persona fisica a che i dati che la riguardano vengano salvaguardati, a prescindere dalla sua nazionalità o residenza. L’art. 3 del Regolamento Europeo prevede, infatti, che lo stesso «si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione».
Con il nuovo Regolamento Privacy sono stati affrontati temi estremamente innovativi, tra cui (i) il principio di “accountability”, che prevede l’adozione di misure tecniche ed organizzative adeguate a dimostrare la compliance del trattamento dei dati con il Regolamento; (ii) il diritto all’oblio, ossia il diritto dell’interessato di ottenere dal titolare del trattamento, al ricorrere di determinati casi, la cancellazione dei dati personali che lo riguardano; (iii) la limitazione nella conservazione dei dati a quelli strettamente indispensabili (c.d. “minimizzazione”); (iv) l’obbligo di tenuta del registro delle attività del trattamento dei dati; (v) una maggiore trasparenza nella comunicazione agli interessati delle finalità, delle modalità e della natura del trattamento, nonché in merito ai soggetti a cui i dati possono essere comunicati e ai diritti che i titolari possono esercitare rispetto al trattamento stesso, (vi) l’introduzione della nuova figura del Responsabile della Protezione dei Dati (il “Data Protection Officer” o “DPO”).
Come per ogni altro soggetto che effettui o possa effettuare un trattamento dei dati personali di persone fisiche, così come individuato dall’art. 4 del GDPR (i.e. raccolta, registrazione, organizzazione, conservazione, adattamento, modifica estrazione, consultazione, uso, comunicazione mediante diffusione, trasmissione o qualsiasi altra forma di messa a disposizione, limitazione, cancellazione o distruzione), dal 25 maggio 2018 anche gli studi professionali, nonché i singoli professionisti, sono tenuti ad adeguare le proprie procedure interne alle necessità e caratteristiche del singolo trattamento svolto all’interno della propria realtà (c.d. “privacy by design”), in conformità alle disposizioni del GDPR.
Sul punto, il Nuovo Regolamento non indica, tuttavia, in modo univoco quali adempimenti debbano essere messi in atto dai soggetti Titolari e/o Responsabili del trattamento - ivi inclusi gli stessi professionisti - al fine di non incorrere nelle pesanti sanzioni dallo stesso previste.
Si suggeriscono, in ogni caso, anche sulla base dell’esperienza e delle linee guida elaborate da alcuni ordini professionali, delle indicazioni operative da seguire al fine di garantire un primo adeguamento degli studi professionali alle nuove disposizioni del GDPR.
Si sottolinea, innanzitutto, l’importanza di una preliminare mappatura delle categorie di dati raccolti, trattati e conservati, nonché degli interessati (clienti, dipendenti, collaboratori) e delle persone cui i dati stessi possono essere comunicati (ad es., segreteria e collaboratori a qualsiasi titolo).
Nell’elencazione delle categorie di dati, gli studi professionali devono porre peculiare attenzione a quelle c.d. “particolari” (si tratta dei c.d. “dati sensibili” di cui al D.Lgs. n. 196/03), ossia i dati idonei a rivelare l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. Qualora, infatti, il trattamento dei dati personali si riferisse alla categoria sopra indicata, il Titolare / Responsabile deve specificare nel dettaglio la natura dei dati stessi (ad es., dati sanitari, genetici e biometrici), non potendosi ritenere sufficiente il generico riferimento al “dato personale”.
Definito in tal modo l’elenco delle tipologie di dati personali oggetto di trattamento, è poi opportuno che, all’interno di ciascuna categoria, i professionisti evidenzino le finalità per le quali i dati vengono raccolti e conservati (ad es., per la corretta esecuzione del contratto di lavoro con i propri dipendenti o collaboratori, per la corretta esecuzione dell’incarico conferito, per finalità di marketing, per finalità di miglioramento del servizio, ecc.), indicando in corrispondenza di ciascuna di esse la base giuridica su cui si fonda il trattamento, così come espressamente definito dall’art 6 del GDPR (ad es., il consenso espresso dall’interessato, la necessità di tutelare un interesse vitale della persona i cui dati vengono raccolti o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il consenso, la necessità di assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza e protezione sociale in presenza di garanzie adeguate per i diritti fondamentali e gli interessi dell’interessato e nella misura in cui vi sia un’autorizzazione dal diritto dell’Unione o degli Stati membri o da un contratto collettivo).
Per quanto poi riguarda l’organizzazione quotidiana di studio, l’assessment dovrebbe essere completato con una gap analysis nella quale prevedere possibili misure tecniche ed organizzative da adottare al fine di “garantire un livello di sicurezza adeguato al rischio”, tra cui dispositivi anti intrusione, allarmi, porte blindate, armadi chiusi a chiave per gli archivi cartacei, adeguati software di protezione (quali antivirus, firewall o chiavi cifrate).
Tra le ulteriori misure di sicurezza necessarie per garantire che tutte le operazioni di trattamento dei dati siano realizzate in conformità al GDPR possono essere individuate tipologie di intervento riconducibili alla predisposizione di apposite procedure volte, in via esemplificativa, a (i) definire le modalità di utilizzo delle strumentazioni elettroniche e di tutti i dispositivi utilizzati dai professionisti, (ii) individuare la frequenza di modifica delle credenziali di accesso alla rete, (iii) monitorare gli accessi agli strumenti elettronici utilizzati per il trattamento dei dati personali, (iv) definire eventuali tecniche di pseudoanonimizzazione dei dati oggetto di trattamento.
Tra i temi rilevanti in materia di privacy negli studi professionali figura, infine, quello relativo alla nuova figura del Responsabile della Protezione dei Dati personali (più noto come “DPO”). Sul punto, un’indicazione chiara è stata recentemente fornita dal Garante Privacy, secondo cui l’istituzione di tale figura non è obbligatoria “in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale”, ma è “comunque raccomandata, anche alla luce del principio di «accountability» che permea il regolamento” (cfr. Garante Privacy, Nuove faq sul responsabile della protezione dei dati in ambito privato, documento web n. 8036793 del 26/3/18 e Linee Guida sui responsabili della protezione dei dati, adottate il 13/12/16, versione emendata in data 5/4/17).
Anche qualora si ritenesse di non procedere alla formale nomina di un DPO, si suggerisce di indicare almeno un “Referente GDPR” cui fare riferimento sia ai fini di eventuali verifiche e controlli, sia al fine di consentire un più agevole esercizio dei diritti degli interessati.
Interventi attuativi ed interpretativi del legislatore e del Garante della Privacy potrebbero, in ogni caso, circoscrivere ulteriormente nei prossimi mesi il margine interpretativo in materia.
