Gdpr, l’utilizzo costante comporta l’obbligo per i professionisti
L’entrata in vigore del Regolamento europeo sulla privacy (679/2016) impone una serie di adempimenti ai professionisti, anche iscritti agli Ordini, come avvocati, commercialisti, geometri e consulenti del lavoro. Che cosa devono fare questi professionisti per adeguarsi alla normativa? Si pensi all’avvocato al quale il cliente affida una o più pratiche che vengono conservate negli archivi, cartacei e informatici degli studi professionali.
L’avvocato in questione, oltre a essere titolare del trattamento, in alcuni casi potrà essere nominato responsabile del trattamento proprio dai clienti che gli affidano i dati di persone fisiche (ad esempio i dati dei dipendenti delle aziende clienti). Tra le varie informazioni raccolte e trattate, ci sono dati, personali e sensibili, relativi, ad esempio, alle condizioni di salute dei lavoratori in questione. Il singolo professionista o lo studio professionale, quindi, dovrà adottare tutti gli accorgimenti propri del titolare e mettere in atto le misure idonee ad attuare un trattamento conforme ai principi del Regolamento.
Nelle organizzazioni più strutturate e complesse (ad esempio, studi professionali internazionali con sede in vari Paesi intra ed extra Ue) è consigliabile nominare un responsabile della protezione dei dati o Dpo (data protection officer).
Attenzione anche all’aggiornamento. I dati devono essere costantemente aggiornati ed esatti, trattati in modo lecito, corretto e trasparente, raccolti per finalità determinate, esplicite e legittime. L’obbligo di redigere il Registro per le attività di trattamento scatta, anche per i professionisti, quando i trattamenti non sono occasionali e coinvolgono categorie di dati particolari o relativi a condanne penali o dati giudiziari. Si pensi agli avvocati, che conservano e trattano i dati dei propri clienti per tutta la durata dei processi. In questo caso, il trattamento, oltre a riguardare dati giudiziari, non può certamente considerarsi occasionale e da qui sorge l’obbligo di tenuta del Registro.
Considerazioni analoghe valgono per altri professionisti come, ad esempio, i consulenti del lavoro, per i quali i processi di trattamento dei dati, soprattutto sensibili, sono sempre più frequenti. Le attività che meritano più attenzione sono quelle relative alla corretta gestione dei dati legati a un rapporto di lavoro: non solo i tipici dati correlati ai cedolini, alle paghe e agli stipendi ma anche, ad esempio, quelli legati ad eventuali infortuni o provvedimenti disciplinari.
È importante, inoltre, prestare attenzione alla contrattualistica e agli accordi tra titolare e responsabili esterni del trattamento (per definire con cura gli obblighi reciproci quando ci sono diverse entità che trattano, e si trasmettono, gli stessi dati) e implementare le misure di sicurezza informatica in realtà imprenditoriali che sono solitamente di piccole dimensioni.
In ogni caso, la tenuta del Registro è consigliata a tutti i professionisti, anche per consentire loro di mappare più chiaramente i trattamenti e di monitorarli nel rispetto dei principi del Regolamento Ue e dei diritti degli interessati, oltre a essere molto utile, ove occorra, per fornire prova dell’adeguamento al principio dell’accountability.
Fonte: Il Sole 24 Ore del 30 luglio 2018
