L’applicazione del GDPR nell’ambito degli Ordini degli Avvocati
di Maura Mialich
Il Regolamento UE 2016/679 (c.d. “GDPR”) in materia di protezione dei dati personali, che abroga la direttiva 95/46/CE, introduce importanti novità per tutti i soggetti, pubblici e privati, stabiliti in Europa, quindi anche per gli enti pubblici non economici quali sono gli Ordini degli Avvocati (COA).
Il 28 marzo 2018 il Consiglio Nazionale Forense – Commissione Privacy ha elaborato un documento contenente alcune linee guida per l’adeguamento dei COA alla nuova normativa in materia, fatto salvo ogni intervento del nostro legislatore sulle questioni che il Regolamento europeo ha demandato alle discipline nazionali.
Pertanto, entro il 25 maggio 2018, anche i COA dovranno conformarsi a quanto previsto dal GDPR, secondo il principio di responsabilizzazione definito all’art. 5(2) (accountability), cioè assicurando il rispetto della normativa europea ed essendo in grado di dimostrare di aver adottato tutte le misure necessarie e idonee al fine di tutelare i dati personali trattati.
Ai sensi del Codice Privacy (D. Lgs. 196/2003) e del GDPR, il dato personale consiste in ogni informazione che consenta di identificare, in modo diretto o indiretto, una persona fisica; quindi, nel caso dei COA, i principali dati personali trattati sono i dati degli iscritti, dei dipendenti, dei collaboratori e dei fornitori, ma anche tutti i dati dei quali gli Ordini entrano in possesso nello svolgimento delle attività cui sono preposti (es. vigilanza, procedimenti disciplinari e giudiziari, servizio di Sportello per il cittadino, segnalazione).
Nello specifico e con riferimento ad altri adempimenti preposti dal GDPR, i COA dovranno, con assoluta priorità designare un Data Protection Officer (DPO);
Anche sulla scorta delle indicazioni del Garante, la scelta del DPO (persona fisica o giuridica) deve avvenire secondo il criterio della competenza e della conoscenza della normativa di riferimento. Eventuali certificazioni e attestati rilasciati da enti di formazione e certificatori costituiscono un quid pluris da tenere in considerazione nella valutazione del soggetto, ma non costituiscono un’abilitazione.
Il DPO può essere esterno o interno, tuttavia va garantita la massima indipendenza dello stesso e non dovranno sussistere ipotesi di conflitto di interessi. A tal proposito, il Gruppo di lavoro Articolo 29 ritiene che tale conflitto possa sussistere con i ruoli di amministratore delegato, responsabile del personale e responsabile del sistema informativo. È altresì ammessa la designazione di un DPO per più ordini, laddove sia rispettato il requisito della facile raggiungibilità da parte di ogni stabilimento.
Il CNF, infine, ritiene possibile anche la nomina quale DPO di un avvocato iscritto all’ordine, purché questi sia indipendente rispetto al COA di riferimento e sia in grado di gestire l’incarico compatibilmente con le esigenze della professione forense. Al contrario, reputa che possa sussistere un conflitto di interessi nell’ipotesi di nomina di un membro del COA, che è anche Titolare del trattamento.
Una volta nominato, il DPO dovrà valutare i rischi connessi al trattamento dei dati e sorvegliare il rispetto del Regolamento, collaborare con il Titolare del trattamento, informare e sensibilizzare tutti i soggetti coinvolti circa il rispetto della normativa e cooperare con l’Autorità Garante.
Ulteriori operazioni di adeguamento da porre in essere nel rispetto della deadline consisteranno in: istituire un Registro delle attività di trattamento e tenerlo aggiornato, ai fini di una corretta valutazione dei rischi e da esibire in caso di richiesta dell’Autorità Garante; notificare le eventuali violazioni dei dati (data breach) secondo le procedure previste dal GDPR; riesaminare le policy aziendali, aggiornare l’informativa, verificare la resilienza dei sistemi informatici e l’adottare misure di sicurezza tecniche e organizzative adeguate alla tutela dei dati trattati, nonché la effettuare, laddove necessario, una valutazione di impatto (Data Protection Impact Assessment).
Le misure di sicurezza dovranno garantire un livello di protezione adeguato al rischio implicato nel trattamento dei dati. Tale grado di protezione non dovrà rispettare una soglia minima generale individuata ex ante, ma dovrà essere oggetto di valutazione ad hoc da parte del Titolare e del Responsabile del trattamento, sulla base dei rischi specifici connessi al trattamento in esame.
I titolari del trattamento dovranno notificare all’autorità di controllo eventuali violazioni di dati personali (data breach) entro 72 ore dalla conoscenza dell’evento e, in ogni caso, senza ingiustificato ritardo, salvo che ciò comporti un rischio per i diritti e le libertà dei soggetti interessati.
Quanto alla valutazione d’impatto dei trattamenti (DPIA), ex l’art. 35 GDPR, essa può rendersi necessaria quando la peculiarità dei dati trattati comporti un rischio elevato, soprattutto laddove sia previsto l’utilizzo di nuove tecnologie. Quindi, nell’ottica dell’accountability, nei trattamenti su larga scala di dati sensibili e giudiziari la valutazione è senza dubbio opportuna (si pensi alle domande di ammissione al patrocinio a spese dello Stato ricevute dai COA).
In caso di mancato adeguamento, l’Autorità di controllo ha poteri di avvertimento, ammonimento, ingiunzione, cancellazione dei dati e limitazione del trattamento, nonché quello di infliggere una sanzione amministrativa pecuniaria fino a 10 milioni di euro (art. 58 GDPR).
Sul punto va precisato che la responsabilità dell’illecito amministrativo è in capo al Titolare del trattamento dei dati, che nel caso di specie è il COA nella persona del Presidente pro tempore.
Autore