di Antonio Ciccio Messina
Privacy più leggera per il singolo professionista, tenuto, però, a una serie di adempimenti: mettere a posto i propri elaboratori, documentare l’analisi dei rischi, autodenunciare una violazione di sicurezza, aggiornare le informative e i consensi. Più complicata la situazione delle associazioni e delle società tra professionisti. Alcuni adempimenti importanti e costosi, come la nomina di un responsabile della protezione dei dati o la stesura della valutazione di impatto non sono stati espressamente esclusi per chi svolge la professione non in forma individuale. Il regolamento Ue n. 2016/679 non chiarisce tutti gli aspetti operativi e somiglia di più a una normativa quadro che a una disciplina compiuta. Una cornice in cui si deve muovere ogni singolo libero professionista che vede alcuni punti fermi e altri punti da chiarire.
Registro trattamenti. È una mappatura dei trattamenti. Chi ha compilato il Documento programmatico sulla sicurezza (obbligatorio fino al 2012) ha un buon esempio tra le proprie carte. Si potrà, quindi, recuperare le schede che contengono il censimento dei trattamenti e aggiornarlo. L’adempimento oggettivamente non è pesante e sarà possibile che i singoli ordini/collegi/associazioni professionali sviluppino un modello di base, valido per tutti gli appartenenti alla categoria. Ad esempio sarà valido per tutti gli avvocati mappare il trattamento di raccolta dati comuni e particolari, per la finalità di esercizio del diritto di difesa, comprendente la comunicazione dei dati alle autorità giurisdizionali, conservati per tutta la durata del procedimento giudiziario e per un periodo successivo per lo meno parametrato alla prescrizione del diritto accertato nella sentenza. Ciascuna categoria professionale, infatti, normalmente si riferisce a una legge professionale, che definisce l’oggetto della attività tipica, che potrà essere considerato un punto di partenza.
Peraltro l’evoluzione del modo di svolgere le professioni mette di fronte ad attività diverse da quelle tipiche riservate a una certa categoria. Si pensi a forme di comunicazione e di promozione degli studi/associazioni/società che sfociano nel marketing oppure a modalità di contatto con la propria clientela attraverso nuove tecnologie (ad esempio piattaforme interne con account per ciascun cliente abilitato ad accedere al proprio fascicolo). Di questi aspetti si deve tenere conto nella redazione del registro dei trattamenti. Attenzione, poi, alla norma di esonero dall’obbligo di tenere i registri dei trattamenti: se si trattano dati sensibili o altri dati particolari il registro va istituito. Sul punto il garante potrà diffondere schemi tipi di ausilio, ma già oggi vi sono buoni esempi, come il tracciato della notificazione al garante.
Informative. Anche questo adempimento non è nuovo, essendo i professionisti obbligati a dare l’informativa privacy ai propri clienti. Peraltro è diffuso l’obbligo di consegnare un preventivo o di stendere un contratto di incarico professionale: saranno quelle occasioni da cogliere per dare l’informativa privacy, rinnovata nei contenuti dal regolamento Ue.
Sicurezza. Questo è un aspetto spinoso, che probabilmente implicherà anche qualche spesa. Crittografare i server, comprare dispositivi mobili con la password, sistemare i back up degli elaboratori e altre operazioni di questo tipo andranno fatte. Ma così facendo si migliora anche la gestione documentale. Quindi, sicuramente, bisogna fare un’analisi dei rischi e un adeguamento degli strumenti, elettronici e non. Peraltro ci sono ancora punti da chiarire in merito a chi deve fare alcuni nuovi adempimenti, come la valutazione di impatto privacy. E su questo ci si attende un intervento del garante, soprattutto con riferimento agli studi professionali associati.
Consenso. Su alcuni aspetti importanti, che toccano i professionisti, il regolamento Ue ha demandato ai singoli stati il completamento della disciplina privacy. Qui un nodo da sciogliere è quello dei dati sanitari, per cui il regolamento prevede la possibilità di trattare dati senza consenso per le professioni sanitarie: su questo si aspetta il legislatore italiano come e se si pronuncerà (ci si riferisce al decreto legislativo attuativo dell’articolo 13 della legge 163/2017, in scadenza al 21 maggio 2018).
Rapporti con i committenti. Non è esplicitamente previsto se professioni debbano farsi nominare responsabili del trattamento dai propri committenti che trasferiscono dati di persone fisiche. L’aspetto è particolarmente rilevante a fronte della necessità di sottoscrivere un contratto e della responsabilità civile solidale (tra titolare e responsabile esterno del trattamento). In materia i garanti europei (riuniti nell’organismo chiamato WP29) hanno affermato che la questione dipende dal grado di autonomia nell’esecuzione dell’incarico. Nella prassi, probabilmente, la gestione dei dati per conto di un cliente sposta verso la qualifica del professionista come responsabile esterno.
Codici di condotta. Il regolamento Ue 2016/679 sollecita gli organismi rappresentativi di categorie, come quelle professionali, a scrivere un codice di condotta privacy, da far approvare dal garante. Serve per avere certezze sugli adempimenti e per diminuire la responsabilità. Le professioni hanno tutto l’interesse a definire al più presto questo codici.
Fonte: