GDPR e COA: le FAQ per gli ordini degli avvocati


La Commissione Privacy, lo scorso 28 Marzo 2018, ha elaborato delle FAQ, risposte alle domande frequenti, per fornire ai COA delle prime indicazioni in merito agli adempimenti da adottare nell’immediato

Tempo di lettura: 18 minuti



La riforma in materia di protezione dei dati personali è ormai una prospettiva sempre più vicina per gli Stati Membri UE: il nuovo regolamento europeo (Regolamento Ue 2016/679), meglio conosciuto con l’acronimo inglese GDPR, sarà direttamente applicabile in tutti i Paesi UE dal 25 maggio 2018.

Tale normativa cambierà il modo di trattare i dati personali per tutti coloro che con tali dati entrano costantemente in contatto, siano essi privati o enti pubblici; pertanto, comporterà grandi novità anche per gli Ordini degli Avvocati.

Al fine di arrivare preparati a questa data, la Commissione Privacy, lo scorso 28 Marzo 2018, ha elaborato delle FAQ, per fornire ai COA delle prime indicazioni in merito agli adempimenti da adottare nell’immediato.

FAQ per i COA sul GDPR

FAQ per i COA sul GDPR

Le principali novità del Regolamento, e quelle sulle quali la Commissione ha ritenuto doversi pronunciare preliminarmente, sono:

  • l’introduzione del principio di responsabilizzazione (accountability).
  • l’istituzione del registro dei trattamenti.
  • la designazione di un Responsabile della Protezione dei Dati (Data Protection Officer - DPO).
  • la notifica di eventuali data breach.

Inoltre, è importante che i COA, prima del 25 maggio prossimo, si attivino per adeguare l’informativa, riesaminare le politiche interne sulla privacy, controllare i rapporti con gli eventuali responsabili esterni del trattamento, aggiornare i propri sistemi informatici, verificare che siano adottate misure tecniche e organizzative adeguate per affrontare i rischi connessi alla privacy, effettuare una valutazione di impatto privacy.

LEGGI ANCHE: Benvenuto GDPR, addio Codice Privacy

Introduzione del principio di responsabilizzazione (Accountability)

Uno dei pilastri della nuova normativa privacy: il Garante della protezione dei dati personali ha dato precise indicazioni agli Organismi pubblici indicando la centralità del principio di "responsabilizzazione" (cd. accountability), che il legislatore comunitario ha voluto inserire esplicitamente per garantire il massimo rispetto delle regole di correttezza e trasparenza nell’utilizzo dei dati personali.

Con ciò viene attribuito ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali, e individuando quali priorità fondamentali:

  • la designazione in tempi stretti del Responsabile della protezione dei dati (DPO).
  • l’istituzione del Registro delle attività di trattamento.
  • la notifica de/degli eventuale/i data breach (e la introduzione di specifiche procedure da attivare a seguito delle eventuali violazioni).

Oltre alle misure principali indicate dal Garante, la Commissione CNF in materia di privacy ha ritenuto fondamentale che i Consigli dell’Ordine degli Avvocati, svolgano le seguenti attività prima del 25 maggio:

  • aggiornare l’informativa, sulla base degli artt. 12 e s.s. del GDPR;
  • riesaminare le politiche interne in tema di trattamento di dati personali, ai sensi dell’art. 24 del GDPR, provvedendo anche a definire in maniera adeguata i ruoli e assicurarsi che tutti coloro che trattano dati personali ricevano adeguate istruzioni e formazione (ex art. 29 del GDPR);
  • procedere alla verifica dei sistemi informatici, per assicurare il rispetto dei principi di protezione dei dati fin dalla progettazione e protezione per impostazione predefinita di cui all’art. 25 GDPR (concetti di privacy-by-default e privacy-by-design);
  • esaminare i rapporti contrattuali con i responsabili esterni del trattamento, per verificarne la conformità (art. 28 del GDPR);
  • verificare l’adozione delle misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, ai sensi dell’art. 32 del GDPR;
  • valutare se si debba procedere, per uno o più trattamenti, ad effettuare una valutazione d’impatto privacy (art. 35 del GDPR).

Particolare attenzione, nel nuovo regolamento, viene data al contenuto dell’informativa da dare all’interessato prima di iniziare il trattamento.

Pertanto è opportuno che ciascun Ordine renda l’informativa sia in applicazione del D.lgs. 196/2003, sia in virtù di quanto stabilito dagli articoli 13 e 14 del GDPR. Pur ritenendo sufficiente la pubblicazione dell’informativa sul sito web.

GDPR: istituzione di registri dei trattamenti

Anche i Consigli dell’ordine degli avvocati dovranno redigere un registro dei trattamenti.

Infatti, ai sensi dell’art. 30 GDPR: “ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità”.

Il registro dei trattamenti (che può essere cartaceo o elettronico), costituisce uno strumento fondamentale non solo allo scopo di disporre di un quadro aggiornato ed accurato dei trattamenti svolti ma anche ai fini della eventuale supervisione e richiesta di esibizione da parte del Garante.

Difatti, tale nuovo adempimento consente alle singole organizzazioni di rispondere a una pluralità di finalità, tra cui:

  • tenere traccia delle operazioni di trattamento effettuate all’interno della singola organizzazione.
  • costituire uno strumento operativo di lavoro mediante il quale censire in maniera ordinata le banche dati e gli altri elementi rilevanti per assicurare un efficace ciclo di gestione dei dati personali.
  • dimostrare di aver adempiuto alle prescrizioni del Regolamento nell’ottica del principio di accountability. Data Protection Officer.

Data Protection Officer - DPO

Data Protection Officer - DPO

Il DPO rappresenta una delle maggiori novità in tema di GDP, definendolo come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Il DPO è una figura professionale con particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi e dotato di conoscenze specialistiche della normativa e delle prassi in materia di protezione dati, e che deve possedere delle qualità manageriali ed una buona conoscenza delle nuove tecnologie.

Il compito principale del DPO è l’osservazione, la valutazione e la gestione del trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy.

Il Data Protection Officer, in pratica, deve supportare il titolare del trattamento in una serie di attività e decisioni relative alla privacy e al trattamento dei dati, garantendo così la protezione del patrimonio informativo aziendale e dei dati personali trattati.

Tale figura può essere selezionata tra i dipendenti del titolare del trattamento oppure può essere un libero professionista, esterno e autonomo, ingaggiato in base a un contratto di servizi; ma, in ogni caso, il lavoro del DPO deve svolgersi in assoluta autonomia e indipendenza.

Il Regolamento Europeo Privacy, all’art. 37, ha sancito che il titolare del trattamento ed il responsabile designano sistematicamente un responsabile della protezione dei dati personali (DPO) in tre casi:

  • se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni).
  • quando le attività principali dell’organizzazione consistono in trattamenti che, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
  • quando le attività principali dell’organizzazione consistono nel trattamento su larga scala di dati sensibili o relativi a condanne penali e reati.

In tutti gli altri casi è facoltà dei titolari e responsabili del trattamento, nonché di loro associazioni o altri organismi che li rappresentano, designare il responsabile della protezione dati che può agire per dette associazioni e organismi.

Il DPO ha il ruolo fondamentale di vigilare sul rispetto della normativa privacy all’interno dell’azienda o dell’ente pubblico. Più nel dettaglio, l'articolo 39 del Regolamento specifica che tale figura deve:

  • informare e fornire consulenza al titolare e al responsabile del trattamento in merito agli obblighi derivanti dal Regolamento 679/2016 o dalle altre disposizioni legislative interne o europee in materia di protezione dati.
  • sorvegliare l'osservanza del Regolamento da parte del titolare e del responsabile del trattamento in tutte le sue parti, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa al trattamento.
  • fornire su richiesta pareri in merito alla valutazione d'impatto e sorvegliarne lo svolgimento.
  • cooperare con l'autorità di controllo fungendo, tra le altre cose, da punto di contatto per questioni connesse al trattamento effettuando consultazioni di ogni tipo, con particolare riguardo e attenzione ad un'eventuale attività di consultazione preventiva.

La Commissione del CNF in materia di Privacy, ha affermato che i Consigli dell’Ordine degli Avvocati devono nominare un DPO entro il 25 maggio 2018 chedeve avere le seguenti competenze e conoscenze specialistiche:

  • adeguata conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati (compresa un’approfondita conoscenza del GDPR);
  • familiarità con le operazioni di trattamento svolte;
  • familiarità con tecnologie informatiche e misure di sicurezza dei dati;
  • conoscenza dello specifico settore di attività e dell’organizzazione del titolare/del responsabile;
  • capacità di promuovere una cultura della protezione dati all’interno dell’organizzazione del titolare/del responsabile.”

Dovrà svolgere i seguenti compiti:

  • sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
  • collaborare con il Titolare/Responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
  • informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati;
  • cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;
  • supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.

Non sia un consigliere del Consiglio dell’Ordine, in quanto può sussistere un conflitto di interessi tra Consiglio e membro dell’Ordine.

Non sia un Avvocato iscritto all’Ordine che ha una mole di lavoro tale da impedirgli lo svolgimento della funzione di DPO oppure che versi in una situazione di totale indipendenza rispetto al Consiglio dell’ordine di riferimento.

LEGGI ANCHE: GDPR: il diritto all'oblio

GDPR: data Breach

GDPR: data Breach

L’art. 31 del Regolamento disciplina un meccanismo da adottare in caso di violazione dei dati personali: il responsabile del trattamento notifica la violazione all’autorità di controllo competente senza ingiustificato ritardo, ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Qualora non sia effettuata entro 72 ore, la notifica all'autorità di controllo è corredata di una giustificazione motivata (Data breach).

Tale notifica ha un contenuto minimo, dovendosi indicare:

  • la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati in questione.
  • il nome e le coordinate di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni.
  • le probabili conseguenze della violazione dei dati personali.
  • le misure adottate o di cui si propone l'adozione da parte del responsabile del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Pertanto, secondo le indicazioni fornite dalla Commissione CNF in materia di privacy, la notifica all’autorità dell’avvenuta violazione all’Autorità Garante sarà la regola, salva la valutazione, fatta dal titolare, circa il fatto che non possano derivare rischi dalla violazione.

Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati.

Clicca su Mi piace!


Categoria

Privacy

ARTICOLI CONSIGLIATI


Scopri nel video come gestire al meglio il tuo studio legale

La registrazione è stata effettuata, a breve verrà verificata dallo staff.

Riceverai l'email di accesso da cui potrai scaricare LEGALDESK.

Ora verrai rediretto alla home page.