Temi

Shape 5 Live Search

logo

Il regolamento europeo in materia di protezione dei dati personali (GDPR) si applica anche ai professionisti, come avvocati, commercialisti, architetti, e ingegneri. 

 

Autonomia e indipendenza

Il professionista viene a conoscenza dei dati personali del cliente nel momento in cui riceve l'incarico. Egli diventa, quindi, titolare del trattamento di questi dati, ma anche di tutti quelli dei quali verrà a conoscenza, e che tratterà, nel corso dell'incarico. Il professionista non può essere mero responsabile del trattamento perché altrimenti non potrebbe agire in autonomia, dovendo limitarsi ad osservare le istruzioni del cliente, il quale dovrebbe verificare periodicamente che il professionista rispetti le istruzioni impartite anche tramite verifiche periodiche. Solo considerandolo titolare autonomo si garantisce l'autonomia e l'indipendenza del professionista, non consentendo al cliente di interferire nell’organizzazione interna del professionista per quanto riguarda i trattamenti di dati svolti da quest’ultimo. Ovviamente questo dipende anche dal tipo di incarico e dalle modalità di svolgimento dello stesso, per cui la situazione va valutata caso per caso. 

 

Obblighi

Il professionista dovrà fornire al cliente l'informativa, che conterrà le informazioni previste dall'articolo 13 del regolamento europeo, tra le quali le finalità e le modalità di trattamento dei dati degli interessati, cioè i clienti. In particolare il professionista dovrà dichiarare che i dati affidatigli saranno trattati esclusivamente per le finalità per le quali gli sono stati comunicati, senza possibilità di diffusione (cioé mettere a disposizione di soggetti indeterminati) e con possibilità di comunicazione (mettere a disposizione di soggetti determinati) ad altri solo in forza di disposizioni di legge o regolamento. In particolare, le finalità sono correlate all'esecuzione dell'incarico, e la base giuridica in genere è l'adempimento dell'obbligo contrattuale oppure l'obbligo di legge (ad esempio per gli adempimenti fiscali), per cui non occorre il consenso.
Ma nel caso in cui il professionista volesse utilizzare i dati anche per finalità diverse (ad esempio, l'invio di una newsletter), dovrebbe invece ottenere il previo consenso relativo a quella specifica finalità. 

Il professionista potrebbe dover trattare dati speciali ex art. 9 GDPR (i vecchi dati sensibili), per i quali sussiste un generale divieto. Il regolamento europeo prevede, però, dei casi nei quali tali dati possono essere trattati (si vedano i casi di esenzione al paragrafo Dati soggetti a trattamento speciale), oltre alle ipotesi di consenso esplicito. Per questi dati occorrono particolari cautele e protezioni, provvedendo che i fascicoli personali siano conservati in modo sicuro. Ovviamente tali dati possono essere trattati solo se strettamente necessari per l'esecuzione dell'incarico, e conservati per il solo tempo necessario al compimento dell'incarico. 

Il professionista dovrà, ovviamente, istruire appositamente i proprio collaboratori perché tutelino i dati personali dei clienti. 

Ogni professionista, in quanto titolare del trattamento, dovrà valutare se occorre tenere il registro delle attività di trattamento. Anche se l'obbligo non vige per le organizzazioni con meno di 250 dipendenti, comunque il registro va tenuto se il trattamento include rischi per i diritti e le libertà degli interessati, se è trattamento non occasionale o se si riferisce a dati a trattamento speciale (es. infortuni dei dipendenti). 

La nomina del Responsabile della protezione dei dati (DPO) è prevista solo se il core business prevede il trattamento di categorie particolari di dati (tipo dati giudiziari) su larga scala. 

 

Attività online

Il professionista può utilizzare anche servizi online. Ad esempio può usare servizi cloud per conservare e condividere dati. In questo caso l'utilizzo del servizio deve essere indicato nell'informativa, precisando anche in base a quale strumento il trasferimento dei dati al cloud è ammesso (in genere è il Privacy Shield). 

Il sito web, invece, è usato per promuovere l'attività del professionista, ma consente anche la raccolta di dati personali. E' un trattamento dati ulteriore rispetto a quello dell'attività del professionista, che quindi va basato sul consenso, e va inserito nel registro dei trattamenti

 

Avvocati

Il Consiglio Nazionale Forense ha pubblicato una Guida per gli avvocati al fine di adeguare il trattamento dei dati ai principi del GDPR.
In particolare, l'avvocato è titolare del trattamento di tutte le informazioni fornite dagli assistiti quali interessati, in virtù del mandato ricevuto. Se il mandato è conferito a più avvocati si realizza una contitolarità del trattamento. Nel caso di società il titolare rimane l'avvocato, stante il rapporto fiduciario tra lui e l'assistito. 
Il domiciliatario, invece, è mero responsabile del trattamento rispetto all'avvocato titolare deli'incarico. Allo stesso modo si può considerare responsabile del trattamento l'avvocato che riceve l'incarico di fornire solo una consulenza. 

L'avvocato può trattare anche dati giudiziari, poiché il GDPR prevede una deroga qualora tale trattamento sia necessario per accertare, esercitare e difendere un diritto in sede giudiziaria e ogni qualvolta le autorità giurisdizionali esercitino la loro funzioni. Comunque alcune delle autorizzazioni generali dell'Autorità di controllo italiana in materia di trattamenti di dati sensibili (4/2016) e giudiziaria (7/2016) dovrebbero essere riconfermate. 

Un avvocato dovrà redigere il registro dei trattamenti ogni qualvolta il trattamento sia riferito a particolari categorie di dati, ad esempio dati relativi a condanne o sanzioni. Quindi gli avvocati che si occupano di diritto penale, ma anche chi si occupa di diritto di famiglia e di minori, di diritto della previdenza sociale, di questioni di salute e risarcimento danni da lesioni, dovranno tenere il registro. Il registro è comunque consigliato per tutti trattandosi comunque di trattamenti non occasionali. 

Per quanto riguarda il DPO, in genere non sussiste l'obbligo visto che il trattamento di categorie speciali di dati non è effettuato su larga scala. Comunque si deve valutare caso per caso. 

Qualora l'avvocato riceva incarichi tramite il sito web sussiste l'obbligo di formalizzare il mandato accertando l'identità del cliente. 

Linee guida del CNF con modello di informativa e schema di registro del trattamento

 

Consulenti del lavoro

Con la circolare n. 1150 del 23 luglio 2018, il Consiglio nazionale dei consulenti del lavoro ha chiarito che questi devono essere considerati quali titolari autonomi del trattamento, oppure, eventualmente, contitolari, in considerazione della piena autonomia riconosciuta nella gestione degli adempimenti in materia di lavoro. . 

Il consulente del lavoro può assumere il ruolo di responsabile del trattamento soltanto in caso di incarichi professionali che comportino un significativo assoggettamento del consulente alle direttiva del cliente-titolare, e implichi la gestione per conto del titolare dei dati personali all'interno dell'azienda.