Garante Privacy: agli ordini!
Solo quest’anno, in due occasioni, l’Autorità Garante ha sanzionato due ordini professionali per non aver trattato lecitamente i dati dei singoli professionisti iscritti. Il dato è indicativo di quanto sia importante che i singoli ordini professionali acquistino consapevolezza della normativa di settore, adeguandosi prontamente ove ancora non si sia provveduto!
(Nella foto: l'Avv. Domenico Battaglia, Delegato Federprivacy nella provincia di Bolzano, è tra gli autori del libro "Privacy e gestione del personale")
La denominazione “ordine” ricorda il legame corporativo tra più persone aventi il medesimo interesse. In poche parole, l’ordine professionale è l’ente esponenziale del proprio gruppo professionale. Per valutarne la di loro natura giuridica non si può prescindere dalle loro finalità, dalla struttura, dalle funzioni e dai poteri di cui gli stessi sono investiti direttamente dalla legge.
Invero i professionisti operanti in un determinato circondario ne devono far parte e, in ultimo, gli ordini stessi rispondono del proprio operato allo Stato. Non stupisce, quindi, che ormai pacificamente gli stessi ordini vengano qualificati quali enti pubblici non economici.
Il trattamento dei dati personali effettuato da soggetti pubblici (come l’ordine professionale) è lecito, solo se tale trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c, e).
L’articolo 2 – ter del Codice Privacy indica che se la base giuridica è una norma di diritto nazionale essa può essere costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento. La stessa cosa dicasi per la comunicazione tra titolari e diffusione. Appare, quindi, evidente che gli ordini professionali possano trattare i dati dei propri iscritti – così come comunicarli e diffonderli – solo se previsto dalla legge o dai regolamenti.
Sarebbe bene, quindi, che ogni Consiglio prima di deliberare in merito ad operazioni di trattamento si accerti che il trattamento sia lecito. Non farlo, potrà significare un illecito trattamento e, quindi, incappare in accertamenti e sanzioni dell’autorità garante (Ordinanza ingiunzione nei confronti di Ordine degli Avvocati di Lagonegro - Provvedimento del 15 aprile 2021 del Garante Privacy).
Altro aspetto di particolare rilevanza è l’esercizio dei diritti da parte di un interessato.
Gli articoli 15 – 22 GDPR disciplinano i diritti degli interessati e il Titolare del trattamento deve informare l’interessato di questi diritti e, ancora, dopo aver adottato un regolamento interno volto alla gestione delle singole richieste degli interessati, deve occuparsi di evadere le richieste nei termini di legge. Non farlo comporterà l’inadempimento e possibili relative sanzioni (Ordinanza ingiunzione nei confronti di Ordine degli Avvocati di Roma - Provedimento del 15 aprile 2021 del Garante Privacy).
I predetti sono solo alcuni aspetti da tenere in considerazione da parte degli ordini professionali. I singoli professionisti, infatti, sono tenuti a comunicare i propri dati personali ma si aspettano, giustamente, che i propri dati vengano trattati nel rispetto delle norme di legge.