Il regolamento europeo in materia di protezione dei dati personali (GDPR) si applica, ovviamente, anche ai professionisti, come avvocati, commercialisti, architetti, e ingegneri.
Autonomia e indipendenza
Il professionista viene a conoscenza dei dati personali del cliente nel momento in cui riceve l'incarico. Egli diventa, quindi, titolare del trattamento di questi dati, ma anche di tutti quelli dei quali verrà a conoscenza, e che tratterà, nel corso dell'incarico stesso. Il professionista non può essere mero responsabile del trattamento perché altrimenti non potrebbe agire in autonomia, dovendo limitarsi ad osservare le istruzioni del cliente. Il quale dovrebbe verificare periodicamente che il professionista rispetti le istruzioni impartite anche tramite verifiche periodiche.
Solo considerando il professionista titolare autonomo se ne garantisce l'autonomia e l'indipendenza, non consentendo al cliente di interferire nell’organizzazione interna del professionista per quanto riguarda i trattamenti di dati svolti da quest’ultimo. Deve quindi escludersi l'assegnazione del ruolo di responsabile ogni qual volta il trattamento è affidato a professionisti soggetti di per sé a precisi obblighi di riservatezza, segretezza e diligenza, obblighi che certamente rimangono validi anche con riferimento ai dati trattati nel corso dell'incarico, Infatti, il professionista è sempre soggetto agli obblighi di "responsabilizzazione".
Ovviamente questo dipende anche dal tipo di incarico e dalle modalità di svolgimento dello stesso, per cui la situazione va valutata caso per caso.
Obblighi
Il professionista dovrà fornire al cliente l'informativa, che conterrà le informazioni previste dall'articolo 13 del regolamento europeo, tra le quali le finalità e le modalità di trattamento dei dati degli interessati, cioè i clienti. In particolare il professionista dovrà dichiarare che i dati affidatigli saranno trattati esclusivamente per le finalità per le quali gli sono stati comunicati, senza possibilità di diffusione (cioé mettere a disposizione di soggetti indeterminati) e con possibilità di comunicazione (mettere a disposizione di soggetti determinati) ad altri solo in forza di disposizioni di legge o regolamento. In particolare, le finalità sono correlate all'esecuzione dell'incarico, e la base giuridica in genere è l'adempimento dell'obbligo contrattuale oppure l'obbligo di legge (ad esempio per gli adempimenti fiscali), per cui non occorre il consenso.
Ma nel caso in cui il professionista volesse utilizzare i dati anche per finalità diverse (ad esempio, l'invio di una newsletter), dovrebbe invece ottenere il previo consenso relativo a quella specifica finalità.
Il professionista potrebbe dover trattare dati speciali ex art. 9 GDPR (i vecchi dati sensibili), per i quali sussiste un generale divieto. Il regolamento europeo prevede, però, dei casi nei quali tali dati possono essere trattati (si vedano i casi di esenzione al paragrafo Dati soggetti a trattamento speciale), oltre alle ipotesi di consenso esplicito. Per questi dati occorrono particolari cautele e protezioni, provvedendo che i fascicoli personali siano conservati in modo sicuro. Ovviamente tali dati possono essere trattati solo se strettamente necessari per l'esecuzione dell'incarico, e conservati per il solo tempo necessario al compimento dell'incarico.
Il professionista dovrà, ovviamente, istruire appositamente i propri collaboratori (che saranno "autorizzati") perché tutelino i dati personali dei clienti. Dovrà, inoltre, fare particolare attenzione alla sicurezza dei dati, considerato che spesso tratta dati sensibili o giudiziari in quantità non trascurabili.
Ogni professionista, in quanto titolare del trattamento, dovrà valutare se occorre tenere il registro delle attività di trattamento. Anche se l'obbligo non vige per le organizzazioni con meno di 250 dipendenti, comunque il registro va tenuto se il trattamento include rischi per i diritti e le libertà degli interessati, se è un trattamento non occasionale o se si riferisce a dati a trattamento speciale (es. infortuni dei dipendenti).
La nomina del Responsabile della protezione dei dati (DPO) è prevista solo se il core business prevede il trattamento di categorie particolari di dati (tipo dati giudiziari) su larga scala.
Attività online
Il professionista può utilizzare anche servizi online. Ad esempio può usare servizi cloud per conservare e condividere dati. In questo caso l'utilizzo del servizio deve essere indicato nell'informativa, precisando anche in base a quale strumento il trasferimento dei dati al cloud è ammesso. Il gestore del servizio online generalmente è considerato responsabile esterno del trattamento, per cui occorre apposito contratto che regoli i rapporti tra titolare e responsabile.
Il sito web, invece, è usato per promuovere l'attività del professionista, ma consente anche la raccolta di dati personali. E' un trattamento dati ulteriore rispetto a quello dell'attività del professionista, che quindi va basato sul consenso, e va inserito nel registro dei trattamenti.
Avvocato
Il Consiglio Nazionale Forense ha pubblicato una Guida per gli avvocati al fine di adeguare il trattamento dei dati ai principi del GDPR.
L'avvocato è titolare del trattamento di tutte le informazioni fornite dagli assistiti quali interessati, in virtù del mandato ricevuto. Se il mandato è conferito a più avvocati si realizza una contitolarità del trattamento. Nel caso di società il titolare rimane l'avvocato, stante il rapporto fiduciario tra lui e l'assistito.
Il domiciliatario, invece, è mero responsabile del trattamento rispetto all'avvocato titolare deli'incarico. Allo stesso modo si può considerare responsabile del trattamento l'avvocato che riceve l'incarico di fornire solo una consulenza.
L'avvocato può trattare anche dati giudiziari, senza necessità di acquisire il consenso, poiché il GDPR prevede una deroga qualora tale trattamento sia necessario per accertare, esercitare e difendere un diritto in sede giudiziaria e ogni qualvolta le autorità giurisdizionali esercitino la loro funzioni. Comunque alcune delle autorizzazioni generali dell'Autorità di controllo italiana in materia di trattamenti di dati sensibili (4/2016) e giudiziari (7/2016) dovrebbero essere riconfermate.
L'avvocato dovrà redigere il registro dei trattamenti ogni qualvolta il trattamento sia riferito a particolari categorie di dati, ad esempio dati relativi a condanne o sanzioni. Come ad esempio gli avvocati che si occupano di diritto penale, ma anche quelli che si occupano di diritto di famiglia e di minori, di diritto della previdenza sociale, di questioni di salute e risarcimento danni da lesioni. Il registro è comunque consigliato per tutti trattandosi comunque di trattamenti non occasionali.
Per quanto riguarda il DPO, in genere non sussiste l'obbligo visto che il trattamento di categorie speciali di dati non è effettuato su larga scala. Comunque si deve valutare caso per caso.
Qualora l'avvocato riceva incarichi tramite il sito web sussiste l'obbligo di formalizzare il mandato accertando l'identità del cliente.
Linee guida del CNF con modello di informativa e schema di registro del trattamento
Consulente del lavoro
Con la circolare n. 1150 del 23 luglio 2018, il Consiglio nazionale dei consulenti del lavoro ha chiarito che questi generalmente devono essere considerati quali titolari autonomi del trattamento, oppure, eventualmente, contitolari, in considerazione della piena autonomia riconosciuta nella gestione degli adempimenti in materia di lavoro. In questo caso, infatti, il professionista determina autonomamente mezzi e finalità del trattamento. La base giuridica è rinvenibile nell'esecuzione di un contratto.
Il consulente del lavoro, invece, assume il ruolo di responsabile del trattamento in caso di incarichi professionali che comportino un significativo assoggettamento del consulente alle direttive del cliente-titolare, e implichino la gestione per conto del titolare dei dati personali all'interno dell'azienda. Così, ad esempio, se il consulente del lavoro si limita a fornire il servizio di elaborazione delle buste paga dei dipendenti, può essere considerato mero responsabile. In questo caso, infatti, il professionista non determina autonomamente le finalità del trattamento, ma si limita a svolgere un trattamento dati per conto del suo cliente (il datore di lavoro).
Ovviamente è pacifico che il ruolo di responsabile esterno dipende dalle attività delegate, e non può essere assunto su base volontaria. Se l'attività è svolta per conto e per delega del titolare, il consulente del lavoro sarà responsabile esterno in base alle leggi.
Medico del Lavoro (Medico competente)
Il D.lgs 9 aprile 2008 n. 81 (Testo unico sulla sicurezza del lavoro in sostituzione delle disposizioni contenute nel D.lgs. 626/1994) prevede che i lavoratori siano soggetti a sorveglianza sanitaria (l'insieme dei controlli medici finalizzati alla tutela della salute e sicurezza dei lavoratori in relazione all'mbiente di lavoro) in funzione dei rischi nell'ambito del proprio lavoro come valutati dal datore di lavoro. La normativa (TUSL) obbliga i lavoratori a sottoporsi ai controlli sanitari previsti per legge o previsti dal medico competente.
E' il datore di lavoro il responsabile dell'organizzazione dell'attività produttiva (art. 2, comma 1, lett b), per cui egli è titolare del trattamento con riferimento a tale specifica attività. A lui spettano le decisioni in merito alle finalità e modalità del trattamento dei dati dei propri dipendenti, compreso il profilo della sicurezza dei loro dati.
Il Medico del Lavoro (medico competente) è il professionista che concorre col datore di lavoro nella gestione degli adempimenti in materia di sicurezza dei lavoratori. Il datore di lavoro deve, ai sensi degli artt. 25 e 41 del D.lgs 81/2008, nominare il medico del lavoro affidandogli le funzioni previste dalla legge:
- effettuare le visite mediche nelle scadenza previste dal programma di sorveglianza sanitaria;
- partecipare alle riunioni aziendali;
- curare l'elenco dei lavoratori istituito dal datore;
- redigere a aggiornare la cartella sanitaria dei dipendenti;
- collaborare col datore di lavoro nella valutazione dei rischi e predisporre le misure di tutela della salute dei dipendenti.
Il medico del lavoro è un professionista che agisce in base ad una "lettera" di incarico, la cui cornice è predisposta dalla legge, e che tratta i dati sanitari dei dipendenti dell'azienda. La base giuridica è quella indicata nell'art. 9, punto h) del GDPR, una delle ipotesi di esenzione dal divieto di trattamento dei dati di cui all'art. 9 :
- "il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3". Il paragrafo 3 precisa che "I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch'essa soggetta all'obbligo di segretezza conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti".
Questa è la base giuridica del trattamento dati, compreso quelli a trattamento speciale ex art. 9, del medico del lavoro. Ovviamente dovrà anche tenere presente le ulteriori misure di garanzia a tutela dei dati in ambito sanitario, misure previste dal novellato Codice Privacy e che vengono fissate dall'autorità di controllo.
Il medico del lavoro assume generalmente il ruolo di ruolo di titolare del trattamento dei dati personali sanitari e di responsabile esterno quale libero professionista in relazione ai dati comuni dei lavoratori. Il medico del lavoro svolge dei compiti in via esclusiva che la legge gli attribuisce (attività di sorveglianza sanitaria e tenuta delle cartelle sanitarie e di rischio dei singoli lavoratori) per cui è l'unico legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per tale finalità, dati che non possono essere in alcun modo trattati dal datore di lavoro (se non con riferimento al solo giudizio di idoneità alla mansione specifica ed alle eventuali prescrizioni che il professionista fissa come condizioni di lavoro).
Col Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro, sottoscritto il 14 marzo 2020, è altresì previsto che il medico competente debba segnalare all'azienda situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti. In questo senso si amplia la categoria dei dati sanitari di cui il datore di lavoro viene a conoscenza, dati prima riservati al medico compentente, e in tal senso il medico compentente potrebbe assumere il ruolo di contitolare del trattamento.
Il medico competente, quindi, tratta dati in base all'incarico ricevuto dal datore di lavoro, procedendo alle annotazioni nelle cartelle sanitarie e di rischio (che sono conservate in busta chiusa dal datore di lavoro per 10 anni a partire dalla cessazione del rapporto di lavoro), e curando, insieme al datore di lavoro, le misure di sicurezza per la tutela dei dati personali, in rapporto alle finalità stabilite dalla legge. E' il medico competente il legittimato a conoscere le eventuali patologie del lavoratore, mentre il datore di lavoro è legittimato a conoscere solo la valutazione finale sull'idoneità sanitaria del lavoratore.