Con l’entrata in vigore del Regolamento Unitario 2016/679 gli Studi professionali ed i singoli Professionisti si trovano a dover far fronte a specifici adempimenti. Questi sono indispensabili al fine di realizzare un’attività di trattamento dei dati in sicurezza e secondo le procedure cautelative nelle ipotesi di data breach.
Studi professionali, e singoli professionisti, a seguito della normativa unitaria, nonché degli adeguamenti successivi della normativa nazionale, e di cui al Decreto Legislativo 10 agosto 2018, n. 101, si confrontano con le disposizioni per l’adeguamento della propria attività alle suddette normative poiché quotidianamente acquisiscono, raccolgono, assumono, trattano dati personali dei propri clienti. ed anche in quantità rilevanti; di conseguenza, prestano un servizio ai propri clienti che hanno il diritto, in ragione del fatto che si avvalgono di una prestazione professionale, di essere assicurati, oltre che sulla stessa buona prestazione professionale, parimenti sul corretto e lecito impiego dei loro dati.
Ne deriva che medici, commercialisti, avvocati, ingegneri, architetti, geologi, etc., fornendo le loro consulenze e la loro assistenza nelle materie di competenza, devono mettere in sicurezza, anche sotto il profilo che qui stiamo trattando, il patrimonio dei dati dei propri clienti.
Il Regolamento, allora, insiste sull’attività dei professionisti, i quali dovranno attivarsi per trattare i dati secondo un processo di conformità che ci piace chiamare in inglese come compliance.
GLI EFFETTI DEL GDPR SUI PROFESSIONISTI
La normativa europea e nazionale, allora, coinvolge i professionisti, con effetti positivi ma impegnativi, che devono essere letti come la possibilità concreta di miglioramento professionale, poiché è con questi effetti che si acquisisce conoscenza, e la conoscenza qualifica il professionista nel senso del più elevato grado di servizi prodotti, e quindi in termini di miglioramento economico.
Se il professionista conosce, allora, non potrà che muoversi tenendo presente che il trattamento dati produce un impatto, non solo sui clienti, ma ancor prima sulle modalità professionali, ovvero sull’organizzazione della sua attività e del suo studio, poiché dovrà adeguarsi alla normativa al fine di tutelare, prima che sé stesso e la sua professionalità, gli interessi dei propri clienti che possono ricevere un danno dal trattamento non conforme, scorretto dei loro dati.
COSA SI INTENDE PER ORGANIZZAZIONE?
Organizzazione, allora, significa una serie di attività, che sono principalmente:
- la valutazione dei dati trattati;
- la configurazione di un sistema adeguato al Regolamento unitario;
- l’individuazione dei soggetti interni autorizzati a trattare dati e quindi responsabili del trattamento;
- le finalità per le quali i dati sono raccolti e vengono detenuti;
- la registrazione dei dati;
- la custodia di questi dati;
- il tempo di conservazione;
- l’eliminazione dei dati e/o la loro distruzione.
COSA DEVE VERIFICARE IL PROFESSIONISTA?
Al professionista compete effettuare la verifica dei dati di cui viene in possesso muovendo da un’attenta e responsabile valutazione deli stessi in relazione alle attività prima citate dando priorità al fatto che i dati raccoltisiano esclusivamente quelli necessari, pertinenti ed adeguati alle finalità per le quali sono trattati, applicando puntualmente il Regolamento Unitario al fine di realizzare un trattamento lecito e con l’adeguata protezione nell’osservanza dell’art. 5 della medesima normativa europea.
È bene fare attenzione a due aspetti:
- il primo è quello relativa al fatto che ogni singolo adempimento presuppone una specifica azione;
- il secondo è quello relativo al fatto deve essere garantita la sicurezza in ambito digitale ed informatico.
COME DEVE ADEGUARE IL PROPRIO STUDIO IL PROFESSIONISTA
Il Regolamento Unitario 2016/679 sul Trattamento Dati dice chiaramente che le attività e l’operatività dello Studio professionale e del Professionista vanno adeguate secondo i principi fondamentali dello stesso Regolamento, orami noto come GDPR, muovendo:
- dal principio solenne di responsabilizzazione, che convenzionalmente è proposto con il termine inglese accountability, e di cui all’art. 24, che obbliga il titolare del trattamento a mettere in atto misure tecniche ed organizzative adeguate;
- e poi dalla innovazione concettuale della protezione dei dati fin dalla progettazione, con impostazioni predefinite, che possiamo definire di sistema e che, in quanto tali, iniziano dalle disposizioni dell’art. 25, ovvero dalla configurazione della privacy by design e by default.
Quindi: la responsabilità; la privacy by design; la privacy by default; in altri termini, la corretta e migliore attenzione al trattamento dati; le necessaria configurazione del sistema di funzionamento del trattamento dati; le necessarie impostazioni conseguenti alla predetta configurazione rappresentano gli elementi essenziali di riferimento che, se da un lato definiscono l’obbligo per il titolare del trattamento di adeguarsi con misure tecniche pertinenti, dall’altro gli assicurano la doverosa dimostrazione della conformità e della liceità del singolo trattamento, e la conseguente esenzione da forme di responsabilità.
LA RESPONSABILITÀ DEL PROFESSIONISTA NELL’ORGANIZZARSI
La lettura del Regolamento Unitario denuncia chiaramente che si tratta di un documento di programmazione delle azioni tanto necessarie, quanto ineludibili, ma nella sostanza non afferma, come dire, per singola voce, cosa deve fare ogni soggetto responsabile per rispettare appieno il regolamento medesimo.
In buona sostanza, non c’è scritto un vademecum del bravo responsabile che lo renda sicuro di quello che fa, ma c’è l’art. 24 che, trattando di responsabilizzazione, di accountability, rappresenta la chiave di lettura del sistema che, come ha anche affermato l’ANAC nella delibera n. 1309/2016 parlando di privacy e trasparenza, rimane nella responsabilità del responsabile, e può meglio funzionare in ragione della migliore e della più attenta organizzazione.
In altri termini, la prima vera responsabilità dello Studio professionale e/o del professionista, quale titolare e/o responsabile del trattamento, è quella dell’organizzazione.
Ed infatti; è il professionista che assume le decisioni in merito al trattamento, ed è lui che ne predefinisce, insomma, che imposta le finalità e i mezzi, ed è sempre lui che discrezionalmente sceglie come adeguarsi alle previsioni di legge; in altre parole, non c’è un percorso prestabilito, ma c’è un obbligo prestabilito, che è quello di comprovare le motivazioni che hanno portato ad assumere le decisioni assunte dimostrando le ragioni per le quali le decisioni assunte rispettano le regole unitarie.
Per cui, se il Professionista si organizza per bene, consapevolmente, e se configura ed imposta il sistema, seppur con la propria autonomia e la propria discrezionalità, ha già realizzato la fetta più grossa di adempimenti, limitando al massimo la sua responsabilità, e poi deve dar seguito alla revisione delle informative.
LA REVISIONE DELLE INFORMATIVE
L’art. 13 del Regolamento Unitario parla delle informazioni da fornire qualora i dati personali siano raccolti presso l’interessato; per cui, la revisione delle informative rilasciate ai propri assistiti e/o clienti, dipendenti e fornitori devono contenere espressamente e specificamente l’elencazione dei diritti riconosciuti agli interessati che devono assolutamente ricevere tutela maggiore e diretta, e che godono di un proprio potere di opposizione verso quei trattamenti ritenuti lesivi, poiché illeciti, o comunque non opportuni o non legittimi.
Il Professionista, allora, nella redazione dell’informativa sul trattamento dati, non farà altro che ripercorrere i contenuti dell’art. 13, secondo una propria libera, ma documentata, impostazione, indicando, non solo i nominativi dei soggetti coinvolti nel trattamento dei dati personali, ma anche i ruoli e responsabilità.
TITOLARE DEL TRATTAMENTO
Se il Professionista opera da solo, in autonomia, è lui il Titolare del Trattamento, ovvero la persona, sia fisica, che giuridica, che determina le finalità del trattamento; se, viceversa, nello Studio ci sono più professionisti, occorre distinguere tra l’ipotesi dello Studio associato e quella dello Studio con un Titolare:
- nella prima ipotesi, ogni Professionista sarebbe, salvo diversa organizzazione, Titolare dei dati che tratta;
- nella seconda ipotesi, il Titolare dello Studio è Titolare dei Dati trattati, mentre glia altri Professionisti assumono la posizione di Responsabili del Trattamento.
In entrambe le ipotesi, in termini di responsabilità, nella sostanza non cambierebbe molto la responsabilità, pur tenendo presente che il Titolare dello Studio, al pari del Professionista singolo o solo, rimane sempre responsabile della mancata configurazione ed impostazione della privacy.
CONTITOLARITÀ DEL TRATTAMENTO
Merita specificazione l’ipotesi di più Professionisti di uno stesso Studio, e ben al di là del regime associato o meno, qualora siano, appunto, Contitolari del trattamento.
La previsione del Regolamento è contenuta nell’art. 26 dove si afferma che allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal Regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato.
Come si vede, ritorna sempre l’importanza della privacy by design e di quella by default, proprio nel senso della configurazione e dell’impostazione; ed allora, nel caso dei Professionisti (che evidentemente non sono la Pubblica Amministrazione, per la quale invece occorre opportunamente un regolamento organizzativo) che gestiscono uno Studio in comune, occorre che sia concordato il metodo ed il sistema di gestione del trattamento dati; ma anche in questa ipotesi, se il Professionista associato riceve un incarico individualmente, rimane egli stesso responsabile del trattamento, e quindi sarà sempre egli a definire le modalità.
A seguire, come vale per la Pubblica Amministrazione (dove, ad esempio, l’Organo di vertice politico è il Titolare del trattamento, e di conseguenza sono Responsabili del trattamento i Dirigenti), allo stesso modo, in uno Studio associato, si dovranno fare le nomine, con lettera di incarico formale, ma anche in quello del singolo Professionista qualora abbia collaboratori, ed individuare i professionisti e/o i dipendenti autorizzati ed istruiti al trattamento dei dati per conto del Titolare, al quale ultimo è ricondotta la responsabilità di stabilire come trattare i dati
Ed ancora, come vuole l’art. 28, considerato che il Professionista interagisce con altri soggetti esterni pubblici e privati (dalla ASL all’Agenzia delle Entrate; dall’Azienda che fa supporto informatico ad un altro professionista specialista di una determinata materia; etc.), anche per questi occorreranno le nomine specifiche come autorizzati al trattamento prima di trasferire i dati, poiché devono rivestire ed assicurare le idonee garanzie dell’esecuzione di misure tecniche e organizzative adeguate, e quindi sia garantita la corretta applicazione del Regolamento e le tutele in esso previste, pur tenendo presente che nel caso delle Pubbliche Amministrazioni queste agiscono per un interesse pubblico, ma non rimangono esenti dall’obbligo di trattamento.
L’ARCHIVIO
Quello che dispone il Regolamento Unitario, che sembra essere tutto incentrato sulla gestione informatizzata dei dati, non deve trarre in inganno, poiché le stesse regole vanno applicate ed assicurate anche nel caso di trattamento dati in forma cartacea, come certamente tuttora in uso.
Ogni archivio, che sia informatico, o che sia cartaceo, implica un trattamento dati; per cui, in entrambi i casi si applica l’art. 4, punto 2, del Regolamento che afferma che qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
IL REGISTRO DEL TRATTAMENTO
Ed allora, automatizzazione o meno, ricevere, detenere, gestire, trattare la causa o la situazione di un cliente, e quindi la sua posizione specifica, costituisce un trattamento dati personali che, oltre a dovere essere condotto come dice il Regolamento, deve essere anche contenuto e custodito in un Registro, quello delle attività di trattamento.
Ed allora, come vuole l’art. 30 del Regolamento, ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un Registro delle attività di trattamento svolte sotto la propria responsabilità.
Il Registro, si badi bene, non è banalmente une reportage delle attività, bensì è esattamente la carta geografica delle attività e delle modalità eseguite; insomma, costituisce un importante strumento operativo che disegna, programma e controlla l’organizzazione del lavoro e dell’impiego dei dati, e che quindi permette di conoscere bene i trattamenti in esecuzione, come quelli già eseguiti, portando al minimo possibile il rischio che i dati siano trattati in forma illecita.
Il Professionista, in realtà, non ha l’obbligo di utilizzare il Registro del Trattamento; ma intelligenza vuole che tutto quello che aiuta a stare in regola, pur se non è un obbligo, ha lo stesso significato di un dovere giuridico, che non solo supporta eticamente, ma parimenti lo fa in termini di limitazione, ma anche di esenzione di responsabilità, nonché di ottimale gestione delle pratiche e dei dati.
LE MISURE DI SICUREZZA
Giusto per ben comprendersi, il sistema che mette in atto il legislatore europeo con il Regolamento Unitario è finalizzato ad eliminare ogni forma di rischio di trattamento illecito dei dati personali: chiaramente si tratta di una pia illusione!
Perché questa finalità non rimanga una pia illusione, occorre tenere presente che le previsioni digitali è bene che siano tutte applicate e che interagiscano bene con quelle giuridiche, poiché solo in tal modo di può parlare ed ottenere l’adeguamento alle norme.
Ed in questo senso sono di assoluta importanza i sistemi di sicurezza, da realizzare tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Il titolare del trattamento e il responsabile del trattamento, allora, mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, e provvederanno, di conseguenza, a verificarne l’efficacia tarandole continuamente; e come dice l’art. 32 del Regolamento, se del caso, provvederanno:
| a) | alla pseudonimizzazione e alla cifratura dei dati personali; |
| b) | alla capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; |
| c) | alla capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; |
| d) | a svolgere una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. |
IL DATA BREACH
Nelle ipotesi di data breach, sempre riferendosi alla privacy by design e a quella by default, lo Studio professionale e/o il professionista dovrà definire le procedure da eseguire qualora emergano violazioni dei dati personali; e questo poiché sussiste l’obbligo di comunicare all’Autorità, entro settantadue ore dal momento della scoperta, ogni forma di data breach.
