GDPR: gli adempimenti a carico degli Ordini degli Avvocati

La commissione del Consiglio Nazionale Forense in materia di privacy, in data 28 Marzo 2018, ha presentato le FAQ
per gli ordini degli avvocati in materia di protezione dei dati personali. Come è ormai noto, a partire dal 25 Maggio
2018, troverà definitiva applicazione il Regolamento Europeo in materia di Protezione dei dati personali n.
2016/679, che introduce una serie di novità sul trattamento dei dati personali.
Tra i principi di maggiore rilevanza presenti nel Regolamento Europeo e sui quali la Commissione CNF in materia di
Privacy si è espressa, meritano un particolare approfondimento:

1. L’introduzione del principio di responsabilizzazione

(accountability)
2. L'istituzione del registro dei trattamenti
3. La designazione di un responsabile della protezione dei dati personali (DPO)
4. La notifica di eventuali data breach

1) L’introduzione del principio di responsabilizzazione (Accountability)

Il Garante della protezione dei dati personali ha dato precise indicazioni agli Organismi pubblici indicando la centralità
del principio di "responsabilizzazione" (cd. accountability), che attribuisce direttamente ai titolari del trattamento il
compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati
personali, e individuando quali priorità fondamentali:
• La designazione in tempi stretti del Responsabile della protezione dei dati (DPO);
• L’istituzione del Registro delle attività di trattamento;
• La notifica de/degli eventuale/i data breach (e la introduzione di specifiche procedure da attivare a seguito
delle eventuali violazioni).
Oltre alle misure individuate dal Garante, la Commissione CNF in materia di privacy ha affermato che è importante,
prima del 25 maggio svolgere per i Consigli dell’Ordine degli Avvocati le seguenti attività:
(1) Aggiornare l’informativa, sulla base degli artt. 12 e s.s. del GDPR;
(2) Riesaminare le politiche interne in tema di trattamento di dati personali, ai sensi dell’art. 24 del GDPR,
provvedendo anche a definire in maniera adeguata i ruoli e assicurarsi che tutti coloro che trattano dati personali
ricevano adeguate istruzioni e formazione (ex art. 29 del GDPR);
(3) Procedere alla verifica dei sistemi informatici, per assicurare il rispetto dei principi di protezione dei dati fin
dalla progettazione e protezione per impostazione predefinita di cui all’art. 25 GDPR (concetti di privacy-by-default
e privacy-by-design);
(4) Esaminare i rapporti contrattuali con i responsabili esterni del trattamento, per verificarne la conformità (art.
28 del GDPR);
(5) Verificare l’adozione delle misure tecniche e organizzative adeguate per garantire un livello di sicurezza
adeguato al rischio, ai sensi dell’art. 32 del GDPR;
(6) Valutare se si debba procedere, per uno o più trattamenti, ad effettuare una valutazione d’impatto privacy (art.
35 del GDPR).

2) Istituzione di registri dei trattamenti

Come disposto ai sensi dell’art. 30 GDPR: “ogni titolare del trattamento e, ove applicabile, il suo rappresentante
tengono un registro delle attività di trattamento svolte sotto la propria responsabilità”.
Il registro dei trattamenti, sia esso cartaceo oppure elettronico, rappresenta uno strumento fondamentale non solo allo
scopo di disporre di un quadro aggiornato ed accurato dei trattamenti svolti ma anche ai fini della eventuale
supervisione e richiesta di esibizione da parte del Garante. Pertanto, i Consigli dell’ordine degli avvocati dovranno
redigere un apposito registro dei trattamenti.

3) Data Protection Officer (DPO)

Il DPO rappresenta una delle maggiori novità in tema di GDPR. Esso è definito come “la persona fisica o giuridica,
l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Esso è un soggetto che, per competenza, conoscenze ed esperienza è incaricato di sorvegliare e promuovere il rispetto
del Regolamento Europeo all’interno di un’azienda, di un ente pubblico o di un’organizzazione. Il DPO avrà l’incarico
di supportare il titolare del trattamento in una serie di attività e decisioni relative alla privacy e al trattamento dei dati. Il
suo compito principale è quello di assicurare la protezione del patrimonio informativo aziendale e dei dati personali
trattati dagli stessi.
E’ una figura professionale di livello elevato che non solo deve conoscere in modo approfondito la normativa di settore,
ma deve anche possedere delle qualità manageriali ed una buona conoscenza delle nuove tecnologie.
Il Regolamento Europeo Privacy, all’art. 37, ha sancito che il titolare del trattamento ed il responsabile designano
sistematicamente un responsabile della protezione dei dati personali (DPO) in tre casi:
1) Se il trattamento è effettuato da autorità pubblica o da organismo pubblico;
2) Se le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che richiedono un
monitoraggio regolare e sistematico di dati su larga scala. I fattori connotanti un trattamento regolare e sistematico sono:
•Regolare, indicante un trattamento di dati che avviene in modo continuativo, ovvero ad intervalli definiti per un
arco di tempo definito; ricorrente o ripetuto ad intervalli costanti; che avviene in modo costante o a intervalli
periodici.
•Sistematico, corrisponde ad un trattamento di dati:
•Che avviene per sistema;
•Predeterminato, organizzato o metodico;
•Che ha luogo nell’ambito di un progetto complessivo di raccolta dati
•Svolto nell’ambito di una strategia.
3) Se le attività principali del titolare o del responsabile del trattamento, consistono nel trattamento su larga scala di
categorie particolari di dati. I fattori connotanti un trattamento su larga scala, sono:
•Il numero di soggetti interessati dal trattamento;
•Il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento
•La durata, ovvero la persistenza dell’attività del trattamento
•La portata geografica dell’attività del trattamento.
Ai sensi dell’art. 39 del Regolamento Europeo Privacy, il DPO ha il ruolo fondamentale di vigilare sul rispetto della
normativa privacy all’interno dell’azienda o dell’ente pubblico. Una volta nominato, il responsabile della protezione dei
dati dovrà:
a) Fornire consulenza sugli obblighi che derivano dalla normativa privacy, coinvolgendo il titolare dell’azienda e tutti i
soggetti incaricati nel trattamento dei dati;
b) Vigilare sul rispetto della norma privacy, ad esempio sulla corretta attribuzione delle responsabilità, sulla formazione
e sulla sensibilizzazione del personale;
c) Fornire un parere in merito alla valutazione di impatto sulla protezione dei dati;
d) Cooperare con le autorità di controllo (Garante Privacy) e fungere da contatto per le questioni connesse al
trattamento;
e) Fungere da interlocutore per tutti gli interessati (i soggetti a cui si riferiscono i dati) sia per questioni relative al
trattamento dei loro dati personali che per l’esercizio dei propri diritti.
La Commissione del CNF in materia di Privacy, ha affermato che i Consigli dell’ Ordine degli Avvocati devono
nominare un DPO entro il 25 maggio 2018 che:
1) deve avere le seguenti competenze e conoscenze specialistiche:
•adeguata conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati (compresa
un’approfondita conoscenza del GDPR);
•familiarità con le operazioni di trattamento svolte;
•familiarità con tecnologie informatiche e misure di sicurezza dei dati;
•conoscenza dello specifico settore di attività e dell’organizzazione del titolare/del responsabile;
•capacità di promuovere una cultura della protezione dati all’interno dell’organizzazione del titolare/del
responsabile.”
2) dovrà svolgere i seguenti compiti:
1.sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito
di applicazione, del contesto e delle finalità;
2.collaborare con il Titolare/Responsabile, laddove necessario, nel condurre una valutazione di impatto sulla
protezione dei dati (DPIA);
3.informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo
agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati;
4.cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;
5.supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo
alla tenuta di un registro delle attività di trattamento.
3) non sia un consigliere del Consiglio dell’ordine, in quanto può sussistere un conflitto di interessi tra Consiglio e
membro dell’Ordine.
4) Non sia un Avvocato iscritto all’Ordine che ha una mole di lavoro tale da impedirgli lo svolgimento della funzione di
DPO oppure che versi in una situazione di totale indipendenza rispetto al Consiglio dell’ordine di riferimento.
Infine, il DPO può essere interno solo se ha una conoscenza specialistica della normativa e della prassi in materia di
protezione dei dati personali e se ha la capacità di assolvere i compiti fissati dall’art. 39 GDPR.

4) Data Breach
L’art. 31 del Regolamento dispone che in caso di violazione dei dati personali, il responsabile del trattamento notifica
la violazione all'autorità di controllo competente ai sensi dell'articolo 51 senza ingiustificato ritardo, ove possibile entro
72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali
presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora non sia effettuata entro 72 ore, la notifica
all'autorità di controllo è corredata di una giustificazione motivata (Data breach).
Tale notifica deve come minimo:
a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero
approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati in
questione;
b) indicare il nome e le coordinate di contatto del responsabile della protezione dei dati o di altro punto di contatto
presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l'adozione da parte del responsabile del trattamento per porre
rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Pertanto, afferma la Commissione CNF in materia di privacy, la notifica all'autorità dell'avvenuta violazione
all’Autorità Garante sarà la regola salva la valutazione, che spetta ancora una volta al titolare, circa il fatto che non
possano derivare rischi dalla violazione. Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione
anche gli interessati, sempre "senza ingiustificato ritardo"; fanno eccezione le circostanze indicate al paragrafo 3
dell'art. 34 del GDPR, che coincidono solo in parte con quelle attualmente menzionate nell'art. 32-bis del D.Lgs
196/2003.

Avvocati esonerati dall'obbligo di nomina del Dpo

Tra gli adempimenti che preoccupano di più vi è quello della nomina del DPO, ovverosia il Responsabile della
protezione dati (anche denominato RDP), che è una nuova figura chiamata ad assumere un ruolo di primo piano nel
mondo della privacy "moderna".
Tuttavia, non tutti coloro che hanno a che fare con la privacy avranno a che fare anche con il DPO, posto che la
designazione di tale soggetto è limitata solo a specifiche categorie.
A poter tirare un sospiro di sollievo, almeno su questo versante, sono gli avvocati, esonerati da tale obbligo.
Sulla base di quanto previsto dal Regolamento, infatti, la designazione del Responsabile della protezione dei dati va
necessariamente fatta solo dalle autorità pubbliche e dagli organismi pubblici (eccettuate le autorità giurisdizionali
quando esercitano le loro funzioni giurisdizionali), oltre che dai soggetti le cui principali attività consistono in
trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su
larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.
Sono pertanto esonerati dalla designazione del Responsabile della protezione dati tutti i soggetti che non rientrano nelle
precedenti categorie.
Secondo un'esemplificazione fatta dal Garante della privacy nelle f.a.q. recentemente caricate sul suo sito, possono
evitare di nominare il DPO, quindi, i liberi professionisti che operano in forma individuale, tra i quali rientrano,
appunto, gli avvocati.
A tali soggetti si affiancano:
•gli agenti, i rappresentanti e i mediatori operanti non su larga scala;
•le imprese individuali o familiari;
•le piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei
rapporti con fornitori e dipendenti.
In ogni caso, va detto che l'assenza di un obbligo non vuol dire, per il Garante, che la designazione del DPO non sia
comunque raccomandata, anche alla luce del principio di "accountability" che permea il GDPR.
In linea generale, il Regolamento obbliga ogni soggetto che raccoglie dati personali a qualsiasi titolo di chiedere il
consenso del soggetto interessato.
Nonostante l’articolo 6 del regolamento non fornisca una base giuridica esplicita per escludere gli avvocati da questo
adempimento, l’esclusione a cura degli Stati membri può essere dedotta da alcune precisazioni contenute nello stesso
articolo e che riguardano la non necessità dell’adempimento nell’espletamento di attività che riguardano l’interesse
pubblico.
Dunque gli avvocati non dovranno chiedere il consenso per il trattamento dei dati dei propri clienti ma solo nei limiti
della loro attività di assistenza e difesa in giudizi contenziosi. In tutti gli altri casi, sarà necessario e buona pratica
assicurarsi di avere il consenso dei propri clienti.
Cosa succede con i dati delle controparti del proprio assistito? E’ evidente che per l’avvocato è compromettente
professionalmente dover informare la controparte dei dati di cui è in possesso per ragioni giudiziarie.
Le “limitazioni” nazionali agli obblighi previsti dagli articoli 12 a 22 del regolamento) infatti sono giustificate anche nel
caso in cui si debba salvaguardare “le attività volte a prevenire, indagare, accertare e perseguire violazioni della
deontologia delle professioni regolamentate”.
Ricordo a tal proposito che l’obbligo di segretezza è uno degli obblighi deontologici a cui i legali sono tenuti.
Il livello delle sanzioni previste dal regolamento è molto alto (20mila euro e fino al 4% del fatturato) e dunque
potrebbe impattare gravemente sulla tenuta finanziaria di avvocati e studi legali di piccole dimensioni.