Salta al contenuto

Circolari Circolari

Indietro

GDPR, privacy e studi legali

A poco meno di un mese dall'entrata in vigore del GDPR (General Data Protection Regulation, Regolamento UE 2016/679, in vigore dal 25 maggio 2016), che pacificamente si applica anche all'attività dell'avvocato e degli studi professionali in genere, cogliamo l'occasione per attirare la vostra attenzione su alcuni punti fondamentali del corretto trattamento di dati personali, con cui quotidianamente l'avvocato si confronta, nella propria attività professionale e nell'uso dei mezzi di comunicazione ad essa legati, quali posta elettronica, siti internet, archiviazione in cloud, eccetera.

Con riferimento alla disciplina del Codice della privacy, di cui al d.lgs. 196/2003 (con successive modifiche, tra le quali ricordiamo quelle apportate dalla legge n. 167 del 20 novembre 2017, dalla legge n. 122 del 7 luglio 2016 e dal d.lgs. n. 151 del 14 settembre 2015), il Consiglio Nazionale Forense a suo tempo diffuse un vademecum per gli iscritti; esso, pur datato, conserva una propria utilità, in quanto il GDPR non sostituisce, ma integra, e laddove contrastante abroga, la previgente disciplina in materia di protezione dei dati personali.

Tuttavia le novità introdotte, e in vigore dal 25 maggio prossimo, sono notevoli, e modificano ed innovano, innanzitutto, l'approccio stesso alla tematica privacy da parte dei professionisti.

Cambiano, in particolare, le cautele da adottare nella raccolta e trattamento dei dati; viene infatti introdotto il concetto di adozione di "misure organizzative e tecniche adeguate" secondo un concetto di analisi preventiva del rischio (art. 24, privacy by design e by default), in luogo del precedente "misure minime di sicurezza"; in sostanza il principio di accountability mira ad autoresponsabilizzare il professionista, imponendogli di valutare il proprio livello di rischio, e di adeguare conseguentemente le protezioni adottate, invece di prescrivergli semplicemente un livello minimo di adempimenti standard.

Il livello di sicurezza necessario deve essere appropriato rispetto al mezzo usato; un conto è la raccolta, il trattamento e la protezione di dati gestiti in formato cartaceo, altro la raccolta, il trattamento e la protezione mediante utilizzo di comunicazioni elettroniche, archiviazione telematica o in cloud, altro ancora la gestione mediante aree riservate in propri siti internet; siti che presentano ulteriori problemi, legati alla profilazione ed utilizzo di dati di accesso e navigazione dei terzi, oltre che riferiti alle ben note norme in materia di trasparenza, spesso dimenticate.

In questa ottica, anche l'organizzazione e l'organigramma di studio, e dei soggetti esterni che abbiano accesso ai dati (commercialisti, corrispondenti, consulenti) devono essere attentamente esaminati ed adeguati, prevedendo specifici livelli di delega ed autorizzazione al trattamento, ma anche di specifica contrattualizzazione, in caso costoro assumessero, loro malgrado, la posizione di responsabili, ancorché esterni, del trattamento.

Naturalmente, resta fermo il principio del necessario consenso informato al trattamento dei dati, con imposizione di obblighi di trasparenza nell'informazione ("linguaggio semplice e chiaro") maggiori,  e di dettaglio scrupoloso; pertanto una informativa non generica ma ad hoc, estesa a tutti i possibili trattamenti e utilizzazioni, si impone come adempimento essenziale, tenendo conto anche dei nuovi diritti riconosciuti agli interessati, quali quelli all'oblio ed alla portabilità dei propri dati (artt. 12 e ss. GDPR).

Esistono poi adempimenti nuovi, e ciascuno dovrà verificare se nel proprio caso siano dovuti, quali la compilazione e l'aggiornamento del Registro dei Trattamenti, nonché la valutazione d'impatto preventiva in ipotesi di uso di tecnologie invasive, o rischiose per il trattamento del dato (per esempio utilizzo di cloud); infine, occorrerà considerare se sarà necessaria la nomina del DPO (Data Protection Officer), figura di "controllore", preferibilmente esterno allo studio, che abbia ruolo anche di consulente e di istituzionale raccordo con il Garante in caso di violazione.

Si tenga infatti conto che, nel malaugurato caso in cui si dovesse verificare un data breach (sinistro informatico), sono prescritti nuovi obblighi di comunicazione (artt. 33 e 34), con consistenti sanzioni in caso di inottemperanza alle regole vigenti, a presidio della sicurezza dei dati.

Ringraziamo per la collaborazione l'avv. Laura Lecchi.

Il Consigliere delegato

avv. Annalisa Atti

(Circolare n. 96/2018)


Allegati Allegati

Link Link

Contatti Contatti

Segreteria:
  • Consiglio dell'Ordine degli Avvocati di Bologna
  • tel 051 582209 - fax 051 583702
  • segreteria@ordineavvocatibologna.net
  • consiglio@ordineavvocatibopec.it
  • Per richieste di cancellazione, sospensione, trasferimento e iscrizione fare riferimento alla PEC:

    iscrizioni@ordineavvocatibopec.it 

    P.zza dei Tribunali n. 4 - 40124 Bologna

     

    Giorni e orari di apertura: dal lunedì al venerdì, dalle ore 9:00 alle 13:00.

    Ufficio Patrocinio a spese dello Stato: lunedì, mercoledì e venerdì, dalle ore 8:30 alle 13:00.

    Chiusura Patronale: 4 Ottobre, per la festività di San Petronio, Patrono di Bologna.

     


Contatti Contatti