Temi

Shape 5 Live Search

logo

Il regolamento europeo in materia di protezione dei dati personali (GDPR) si applica anche ai professionisti, come avvocati, commercialisti, architetti, e ingegneri. 

 

Autonomia e indipendenza

Il professionista viene a conoscenza dei dati personali del cliente nel momento in cui riceve l'incarico. Egli diventa, quindi, titolare del trattamento di questi dati, ma anche di tutti quelli dei quali verrà a conoscenza, e che tratterà, nel corso dell'incarico. Il professionista non può essere mero responsabile del trattamento perché altrimenti non potrebbe agire in autonomia, dovendo limitarsi ad osservare le istruzioni del cliente, il quale dovrebbe verificare periodicamente che il professionista rispetti le istruzioni impartite anche tramite verifiche periodiche. Solo considerandolo titolare autonomo si garantisce l'autonomia e l'indipendenza del professionista, non consentendo al cliente di interferire nell’organizzazione interna del professionista per quanto riguarda i trattamenti di dati svolti da quest’ultimo. Ovviamente questo dipende anche dal tipo di incarico e dalle modalità di svolgimento dello stesso, per cui la situazione va valutata caso per caso. 

 

Obblighi

Il professionista dovrà fornire al cliente l'informativa, che conterrà le informazioni previste dall'articolo 13 del regolamento europeo, tra le quali le finalità e le modalità di trattamento dei dati degli interessati, cioè i clienti. In particolare il professionista dovrà dichiarare che i dati affidatigli saranno trattati esclusivamente per le finalità per le quali gli sono stati comunicati, senza possibilità di diffusione (cioé mettere a disposizione di soggetti indeterminati) e con possibilità di comunicazione (mettere a disposizione di soggetti determinati) ad altri solo in forza di disposizioni di legge o regolamento. In particolare, le finalità sono correlate all'esecuzione dell'incarico, e la base giuridica in genere è l'adempimento dell'obbligo contrattuale oppure l'obbligo di legge (ad esempio per gli adempimenti fiscali), per cui non occorre il consenso.
Ma nel caso in cui il professionista volesse utilizzare i dati anche per finalità diverse (ad esempio, l'invio di una newsletter), dovrebbe invece ottenere il previo consenso relativo a quella specifica finalità. 

Il professionista potrebbe dover trattare dati speciali ex art. 9 GDPR (i vecchi dati sensibili), per i quali sussiste un generale divieto. Il regolamento europeo prevede, però, dei casi nei quali tali dati possono essere trattati (si vedano i casi di esenzione al paragrafo Dati soggetti a trattamento speciale), oltre alle ipotesi di consenso esplicito. Per questi dati occorrono particolari cautele e protezioni, provvedendo che i fascicoli personali siano conservati in modo sicuro. Ovviamente tali dati possono essere trattati solo se strettamente necessari per l'esecuzione dell'incarico, e conservati per il solo tempo necessario al compimento dell'incarico. 

Il professionista dovrà, ovviamente, istruire appositamente i propri collaboratori perché tutelino i dati personali dei clienti. Dovrà, inoltre, fare particolare attenzione alla sicurezza dei dati, considerato che spesso tratta dati sensibili o giudiziari in quantità non trascurabili. 

Ogni professionista, in quanto titolare del trattamento, dovrà valutare se occorre tenere il registro delle attività di trattamento. Anche se l'obbligo non vige per le organizzazioni con meno di 250 dipendenti, comunque il registro va tenuto se il trattamento include rischi per i diritti e le libertà degli interessati, se è trattamento non occasionale o se si riferisce a dati a trattamento speciale (es. infortuni dei dipendenti). 

La nomina del Responsabile della protezione dei dati (DPO) è prevista solo se il core business prevede il trattamento di categorie particolari di dati (tipo dati giudiziari) su larga scala. 

 

Attività online

Il professionista può utilizzare anche servizi online. Ad esempio può usare servizi cloud per conservare e condividere dati. In questo caso l'utilizzo del servizio deve essere indicato nell'informativa, precisando anche in base a quale strumento il trasferimento dei dati al cloud è ammesso (in genere è il Privacy Shield). Il gestore del servizio online generalmente è considerato responsabile esterno del trattamento, per cui occorre apposito contratto che regoli i rapporti tra titolare e responsabile. 

Il sito web, invece, è usato per promuovere l'attività del professionista, ma consente anche la raccolta di dati personali. E' un trattamento dati ulteriore rispetto a quello dell'attività del professionista, che quindi va basato sul consenso, e va inserito nel registro dei trattamenti

 

Avvocati

Il Consiglio Nazionale Forense ha pubblicato una Guida per gli avvocati al fine di adeguare il trattamento dei dati ai principi del GDPR.
In particolare, l'avvocato è titolare del trattamento di tutte le informazioni fornite dagli assistiti quali interessati, in virtù del mandato ricevuto. Se il mandato è conferito a più avvocati si realizza una contitolarità del trattamento. Nel caso di società il titolare rimane l'avvocato, stante il rapporto fiduciario tra lui e l'assistito. 
Il domiciliatario, invece, è mero responsabile del trattamento rispetto all'avvocato titolare deli'incarico. Allo stesso modo si può considerare responsabile del trattamento l'avvocato che riceve l'incarico di fornire solo una consulenza. 

L'avvocato può trattare anche dati giudiziari, senza necessità di acquisire il consenso, poiché il GDPR prevede una deroga qualora tale trattamento sia necessario per accertare, esercitare e difendere un diritto in sede giudiziaria e ogni qualvolta le autorità giurisdizionali esercitino la loro funzioni. Comunque alcune delle autorizzazioni generali dell'Autorità di controllo italiana in materia di trattamenti di dati sensibili (4/2016) e giudiziari (7/2016) dovrebbero essere riconfermate. 

L'avvocato dovrà redigere il registro dei trattamenti ogni qualvolta il trattamento sia riferito a particolari categorie di dati, ad esempio dati relativi a condanne o sanzioni. Quindi gli avvocati che si occupano di diritto penale, ma anche chi si occupa di diritto di famiglia e di minori, di diritto della previdenza sociale, di questioni di salute e risarcimento danni da lesioni, dovranno tenere il registro. Il registro è comunque consigliato per tutti trattandosi comunque di trattamenti non occasionali. 

Per quanto riguarda il DPO, in genere non sussiste l'obbligo visto che il trattamento di categorie speciali di dati non è effettuato su larga scala. Comunque si deve valutare caso per caso. 

Qualora l'avvocato riceva incarichi tramite il sito web sussiste l'obbligo di formalizzare il mandato accertando l'identità del cliente. 

Linee guida del CNF con modello di informativa e schema di registro del trattamento

 

Consulenti del lavoro

Con la circolare n. 1150 del 23 luglio 2018, il Consiglio nazionale dei consulenti del lavoro ha chiarito che questi devono essere considerati quali titolari autonomi del trattamento, oppure, eventualmente, contitolari, in considerazione della piena autonomia riconosciuta nella gestione degli adempimenti in materia di lavoro. Il consulente del lavoro può assumere il ruolo di responsabile del trattamento in caso di incarichi professionali che comportino un significativo assoggettamento del consulente alle direttive del cliente-titolare, e implichi la gestione per conto del titolare dei dati personali all'interno dell'azienda. Così, ad esempio, se il consulente del lavoro si limita a fornire il servizio di elaborazione delle buste paga dei dipendenti, può essere considerato mero responsabile. 

Ovviamente è pacifico che il ruolo di responsabile esterno dipende dalle attività delegate, e non può essere assunto su base volontaria. Se l'attività è svolta per conto e per delega del titolare, il consulente del lavoro sarà responsabile esterno in base alle leggi. 

 

Medico del Lavoro

Tra le ipotesi di esenzione dal divieto di trattamento dei dati di cui all'art. 9 del GDPR, vi è il punto h) dove si indica il caso in cui "il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3". Il paragrafo 3 precisa che "I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch'essa soggetta all'obbligo di segretezza conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti". 

Questa è la base giuridica del trattamento dati, compreso quelli a trattamento speciale ex art. 9, del medico del lavoro. Ovviamente dovrà anche tenere presente le ulteriori misure di garanzia a tutela dei dati in ambito sanitario, misure previste dal novellato Codice Privacy e che vengono fissate dall'autorità di controllo