Principali adempimenti privacy del professionista

QuesitoSpunti di riflessione
1Ho predisposto la modulistica per procedere, durante il primo incontro con il Cliente, alla raccolta dei dati fornendo al medesimo una informativa completa, con un linguaggio semplice e chiaro?La raccolta dei dati deve essere accompagnata – se non preceduta – da una informativa che contenga tutte le informazioni richieste dall’art. 13(oggi del Testo Unico[1], dal 25 maggio 2018 del Regolamento[2]). Tra le novità del Reg.to figura il requisito del “linguaggio semplice e chiaro” dell’informativa.
2Ho organizzato le mie attività in modo da raccogliere e trattare solo ed esclusivamente i dati che mi sono necessari o utili in vista del miglior espletamento del mandato professionale ricevuto?Il principio generale è presente tanto nel T.U. (art. 11) quanto nel Reg.to (art. 5, c.d. “minimizzazione dei dati”): si raccolgono e si trattano esclusivamente  i dati personali  che non siano “eccedenti” rispetto alle finalità del trattamento, ovvero che siano “limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.La disponibilità di dati estranei alla finalità esplicitata segnala la sussistenza di un trattamento ‘abusivo’, ulteriore e distinto.
3Ho organizzato la conservazione dei documenti relativi alle varie pratiche in modo da averne sempre, al momento giusto, la disponibilità ed in modo che i dati siano accessibili al solo personale autorizzato?Qui si congiungono le esigenze generali della disponibilità e della riservatezza delle banche dati. La loro traduzione concreta è una gestione ordinata dei dati e delle informazioni – ovvero dei fascicoli cartacei e delle cartelle digitali – che ponga i rispettivi contenuti al riparo da sguardi indiscreti ovvero da accessi di estranei ma che allo stesso tempo  consenta al titolare di gestire con efficienza le attività.
4Ho nominato e adeguatamente istruito i miei collaboratori ed altresì ho formalizzato i rapporti con i professionisti ai quali mi rivolgo per la gestione e lo sviluppo delle attività dello studio?Tutto l’organigramma ‘privacy’ dello studio deve essere coinvolto nella politica di protezione dei dati. E’ un organigramma ampio, in cui rientrano gli incaricati (collaboratori, praticanti, dipendenti) ma anche i responsabili dei trattamenti, cioè i professionisti esterni che a vario titolo collaborano con lo studio (avvocati di altri fori, commercialista, consulente del lavoro, ecc.). Osservando che:- per gli incaricati occorre una nomina (art. 30 T.U.) contenente peraltro le istruzioni operative per i trattamenti (di cui anche all’art. 29 Reg.to)- per i responsabili dei trattamenti, occorre un contratto (o altro atto giuridico) che vincoli i medesimi a specifici obblighi (art. 28 Reg.to)
5I miei pc sono protetti dalle minacce esterne? Dispongo, in caso di bisogno, del nominativo di un tecnico-informatico di fiducia al quale chiedere la soluzione di specifici problemi?Il riferimento è all’implementazione di software adeguati a prevenire attacchi o minacce di vario genere e provenienza. In tal senso può essere saggio affidarsi alla competenza e all’esperienza di un professionista, rammentando che il Reg.to richiede misure “adeguate” rispetto alle caratteristiche, modalità e contesto dei trattamenti.
6Pc portatili e altri strumenti informatici rimovibili sono utilizzati nelle attività al di fuori dello studio in modo da minimizzare i rischi di perdita accidentale, sottrazione fraudolenta e similari?L’esempio lampante è nell’uso della penna Usb: premessa l’operatività di una valida password di accesso, è necessario caricare/lasciare nella penna esclusivamente i dati che debbano essere trattati nel corso della sessione esterna.
7Provvedo ad eseguire un salvataggio integrale (back up) di tutti i dati su pc perlomeno 1 volta alla settimana?A parte la prescrizione di cui all’Allegato B al T.U., questa operazione è davvero fondamentale per la protezione dei dati dello studio. In relazione alla intensità delle modifiche/inserimenti quotidiani, è prudente programmare una frequenza maggiore di quella minima.
8Ho definito un tempo di conservazione dei dati personali in linea con le finalità dei trattamenti?Anche il professionista è tenuto, come ogni titolare, a definire il periodo di conservazione dei dati (che non possono essere conservati ad libitum) e, peraltro (novità del Reg.to), a farne oggetto di apposita menzione nell’informativa (in alternativa al periodo di conservazione sarà sufficiente indicare i criteri utilizzati per determinarlo). 
9Quando devo rottamare pc, notebooks e altri strumenti elettronici utilizzati per le attività dello studio, mi assicuro che la dismissione avvenga nel rispetto della esigenza di protezione dei dati?La c.d. ‘spazzatura elettronica’, quando non gestita, è malaugurata fonte di informazioni a tutto discapito degli interessati e con rischi per lo stesso titolare del trattamento. E’ doveroso il rinvio a quanto stabilito dal Garante nel provvedimento del 5 dicembre 2008 (con le connesse istruzioni operative).
10Mi sono preoccupato della sicurezza fisica dello studio, nel senso di adottare misure o cautele atte ragionevolmente a prevenire accessi indesiderati e azioni concretantesi nella lesione della riservatezza, della disponibilità, della integrità delle banche dati? E’ sempre in evidenza il problema della sicurezza dei trattamenti. Stavolta, però, esso è valutato attraverso la disamina dei locali/luoghi fisici in cui si svolgono le attività dello studio. Le misure di protezione “adeguate”, anche qui, possono variare in ragione del contesto (ad es., studio localizzato in stanza all’interno di unità immobiliare dove sono presenti altri professionisti, studio localizzato al piano terra di un condominio, ecc.).
GDPR: IL DECALOGO PER IL PROFESSIONISTAAL FINE DI TRATTARE I DATI PERSONALIIN CORRETTEZZA E SICUREZZA
Il presente decalogo estrapola dagli adempimenti/obblighi in capo al titolare, sotto forma di quesiti, un nucleo essenziale di cautele/attenzioni che il professionista non deve mai dimenticare.
Con alcune avvertenze:1) una normativa in materia di protezione dei dati personali è presente nell’ordinamento giuridico italiano dal 1996 e il cosiddetto ‘GDPR’ (acronimo della definizione in lingua inglese – ‘General Data Protection Regulation’ – del Regolamento UE 2016/679 la cui applicazione partirà dal 25 maggio 2018) è portatore di indubbie novità ma non crea una disciplina dal nulla. Perciò il presente contributo non è effettivamente legato al solo GDPR e la necessità di aggiornamento rispetto alle sue disposizioni è l’occasione per tornare a valutare in generale l’organizzazione dello studio profesionale sotto il profilo delle attività di trattamento;2) il presente documento non ha e non può avere pretesa di esaustività. E’ uno spunto per un’autovalutazione che deve essere, nondimeno, completa e anche specifica, cioè tarata sulla concreta realtà dello studio professionale; realtà sotto il cui ombrello si possono annoverare tante diverse fattispecie, dal singolo professionista senza collaboratori allo studio associato con praticanti e  personale dipendente;3) l’interesse che ha il professionista a soddisfare i requisiti di integrità, disponibilità riservatezza e resilienza delle banche dati, precede l’esigenza di adempiere a norme di legge (al netto degli eccessi in esse presenti): è il corollario della concezione per la quale i dati personali sono costitutivi del patrimonio (immateriale) dell’organizzazione, come tali già meritevoli di protezione a prescindere da vincoli esterni.

Fonte  Altalex, 29 marzo 2018. Decalogo a cura di Paolo Marini