Unione Triveneta Avvocati, vademecum sulla privacy

Redazione 23/05/18
In prossimità dell’entrata in vigore (dal 25 maggio 2018) del Regolamento Ue 2016/679 sulla protezione dei dati, c.d. GDPR, l’Unione Triveneta dei Consigli dell’Ordine degli Avvocati ha predisposto una sorta di vademecum circa gli adempimenti degli avvocati in materia di privacy ed ha fornito tre modelli riguardanti in particolare: a) l’informativa sul trattamento dei dati personali; b) il consenso al trattamento dei dati personali; c) il registro di attività di trattamento.

Dopo aver riportato alcune informazioni e definizioni fondamentali (passando in rassegna il concetto di dati personali, le varie tipologie, il trattamento, il consenso, l’informativa), l’Unione Triveneta rammenta che l’avvocato, per dare attuazione al menzionato Regolamento e garantire il rispetto dei principi in tema di trattamento dei dati personali acquisiti, deve:

  • predisporre il documento (c.d. registro – art. 30) ed elaborare il servizio per la tutela della privacy con definizione ex ante delle singole fasi il trattamento dei dati, le procedure di sicurezza, le verifiche di tenuta del sistema (che comprende la necessità di adeguamento degli strumenti informatici) e le responsabilità;
  • consegnare ai propri clienti l’informativa (con ricevuta a firma dell’interessato per presa visione). Tale adempimento sarà sufficiente nella quasi totalità dei casi a prescindere dal consenso, che non è prescritto come necessario qualora il trattamento dei dati derivi dall’adempimento di un obbligo legale, ma che è opportuno in ogni caso raccogliere.

Registro attività di trattamento 

La tenuta del registro di attività di trattamento, quale strumento di monitoraggio degli adempimenti e di garanzia dei diritti previsti nel Regolamento, non è obbligatoria per il titolare del trattamento che abbia meno di 250 dipendenti. Tuttavia detto obbligo prescinde dal requisito dimensionale nel caso in cui i dati oggetto del trattamento possano presentare un rischio per i diritti e le libertà degli interessati, il trattamento non sia occasionale o includa dati sensibili, genetici, biometrici, giudiziari. E’ quindi in ogni caso necessario, proprio in relazione alla natura dei dati trattati dall’avvocato – si legge ancora nel vademecum – dotarsi ex ante del suddetto registro (il vecchio DPS ex D.lgs 196/2003 implementato) che individui il titolare del trattamento, le categorie dei dati trattati (giudiziali e stragiudiziali), le finalità, se vi siano trasferimenti di dati in paesi terzi, una descrizione generale delle misure di sicurezza tecniche e organizzative dello studio (è allegato al vademecum il relativo modello).

Nomina del DPO

Quanto alla nomina del Data Protection Officier (DPO), essa non è obbligatoria per lo studio del singolo professionista, in quanto le attività principali dello stesso non consistono in trattamenti che, per loro natura, richiedano il monitoraggio regolare e sistematico degli interessati su larga scala. Tuttavia non sono esplicitamente esclusi da tale obbligo i professionisti che svolgano la professione in forma associata o STP, per i quali, perlomeno per le realtà più strutturate, la nomina è invece raccomandata.

Potrebbe anche interessarti GDPR: cosa succederà il 25 maggio?

Volume consigliato 

Nuova Privacy dopo il 25 maggio: partecipa all’evento Web! 

Redazione

Scrivi un commento

Accedi per poter inserire un commento