Quali sono gli adempimenti richiesti ai professionisti e alle organizzazioni professionali per conformarsi al GDPR e al Codice della privacy? Alcuni riguardano tutti i professionisti, altri scattano al ricorrere di determinate condizioni; in ogni caso, tutti devono essere documentati, conservati, aggiornati periodicamente. Gli adempimenti possono essere raggruppati per gruppi omogenei: organizzativi, normativi, verso gli interessati e verso i clienti. Cosa sono tenuti a fare i professionisti in relazione a ciascun gruppo?

Gli adempimenti a carico di professionisti e di organizzazioni professionali, necessari per essere in regola con il regolamento Ue sulla privacy n. 2016/679 (Gdpr), riempiono un lungo elenco. Alcuni adempimenti riguardano trasversalmente tutti i professionisti (singoli o organizzazioni), altri adempimenti scattano solo al ricorrere di determinate condizioni da valutare caso per caso. Tutti gli adempimenti devono, in ogni caso, essere documentati in un apposito apparato documentale, da conservare e aggiornare periodicamente. Quali sono gli adempimenti da valutare per conformarsi al Gdpr e al Codice della privacy Qui di seguito si indicano, esemplificativamente e per gruppi omogenei, gli adempimenti che un professionista e un’organizzazione professionale devono valutare ai fini della conformità al Gdpr (regolamento UE n. 2016/679) e al Codice della privacy (D.Lgs. n. 196/2003): 1) organizzativi: - nomina di responsabili del trattamento (fornitori di servizi), - accordi con contitolari, - designazione degli autorizzati al trattamento (dipendenti, collaboratori, tirocinanti), - clausole di riservatezza e istruzioni al personale, - policy dei controlli indiretti sul personale (uso internet e dispositivi elettronici), - nomina amministratori di sistema, - registri del trattamento, - adeguamento alle misure di sicurezza (registro delle violazioni, policy data breach), - privacy policy e cookie policy per il sito internet, - privacy policy per profili social dello studio professionale, - privacy policy per eventuali trattamenti biometrici, con sistemi di videosorveglianza, nuove tecnologie, assistenti vocali e Intelligenza artificiale, dispositivi indossabili, strumenti di domotica, sistemi di controllo Gps, ecc., - valutazione di impatto privacy (esclusa per singolo professionista), - nomina di responsabile della protezione dei dati (esclusa per singolo professionista); 2) verso gli interessati: - informative, - individuazione base giuridica del trattamento; 3) verso clienti: - eventuale nomina passiva di responsabile del trattamento (cliente titolare); 4) normativi: - rispetto regole deontologiche (attività giornalistica; investigazioni difensive e attività di difesa in giudizio; ricerca scientifica), - rispetto prescrizioni relative a dati particolari (rapporti di lavoro, investigatori privati, ricerca scientifica), - rispetto delle linee guida (consulenti tecnici, professioni sanitarie). Come trattare i dati nel caso delle organizzazioni di professionisti Nelle organizzazioni eventualmente create per l'esercizio delle professioni, per ciò che concerne il trattamento dei dati personali, possono configurarsi i seguenti casi: a) "una gestione individuale e separata" dei dati detenuti da ciascun professionista (il quale assumerà singolarmente la qualità di titolare del trattamento); b) "una contitolarità da parte di tutti o di alcuni dei professionisti" (i quali condivideranno le prerogative e le responsabilità del titolare del trattamento); c) "un'unica attività di trattamento dei dati" personali effettuata dagli associati/soci nell'ambito di una società, associazione od organizzazione, le quali ultime assumeranno di per sé stesso la qualità di titolare del trattamento. La scelta tra l'una e l'altra delle soluzioni, oltre a dover corrispondere ai rapporti realmente instaurati, comporta diverse conseguenze per ciò che riguarda i ruoli e le sfere di responsabilità, i rapporti con gli assistiti e gli adempimenti documentali e sostanziali. Quali sono gli adempimenti organizzativi Il titolare del trattamento (singolo o plurisoggettivo) deve sottoscrivere contratti di responsabilità esterna del trattamento (articolo 28 Gdpr) con fornitori di servizi che comportano il trattamento di dati personali. Lo stesso titolare deve provvedere ad autorizzare dipendenti, collaboratori, tirocinanti nella forma ritenuta più opportuna, purché sia chiaro quale sia l’ambito del trattamento consentito a ciascuno (articolo 29 Gdpr e 2-quaterdecies, Codice della privacy). Da ponderare con attenzione è l’inserimento nelle autorizzazioni al trattamento di dati di clausole di riservatezza, così da obbligare al rispetto degli obblighi tipici del segreto professionale anche i dipendenti, collaboratori, tirocinanti. Nel caso di strutture complesse e articolate, nello studio/organizzazione professionale si potranno individuare soggetti apicali designati per specifici compiti e funzioni (articolo 2-quaterdecies Codice privacy). Altro profilo, per cui è necessaria una regolamentazione interna, riguarda i dispositivi elettronici (fissi e mobili) in uso a dipendenti, collaboratori e tirocinanti: in particolare deve essere redatta una policy dei controlli indiretti, relativa all’accesso ai data base dello studio, alla posta elettronica e alla rete internet. Devono essere stilati appositi atti tesi alla documentazione della consegna dei device elettronici dipendenti, collaboratori e tirocinanti e della loro restituzione al momento della cessazione del rapporto. Tutti coloro che operano sotto l’autorità diretta del professionista o dell’organizzazione professionale devono ricevere istruzioni sui trattamenti, sulle misure di sicurezza e devono ricevere formazione, consona alla mansione svolta, in materia di disciplina della protezione dei dati. Il professionista e l’organizzazione professionale dovranno pianificare le misure di sicurezza, redigendo un’analisi dei rischi, predisponendo il registro delle violazioni e una policy in caso di violazioni della sicurezza (data breach). Da ricordare che la sicurezza non è solo informatica, ma riguarda anche i trattamenti realizzati con strumenti diversi dagli elaboratori e, quindi, dovranno essere curate apposite istruzioni al personale (ad esempio a proposito degli accessi fisici ai locali e agli archivi), ma anche a soggetti che accedono nei locali alla loro chiusura (bisogna, in particolare, regolare i rapporti con le imprese di pulizia, che non sono da individuare come responsabili del trattamento).

Per le organizzazioni medie e grandi è da considerare la nomina di un amministratore di sistema.

Per le organizzazioni (a differenza degli studi singoli) scatta anche l’obbligo di stilare una valutazione di impatto privacy per i trattamenti a rischio elevato (articolo 35 Gdpr). Tutte le realtà professionali (singoli e organizzazioni) devono tenere il registro dei trattamenti come titolari del trattamento e, a seconda del rapporto con i clienti, anche il registro come responsabili esterni di questi ultimi: entrambi i registri sono disciplinati all’articolo 30 Gdpr. Altri adempimenti documentali riguardano settori specifici (il sito internet, il profilo social, eventuali app a disposizione della clientela, sistemi di messaggeria istantanea) o trattamenti di maggiore delicatezza (trattamenti biometrici, con sistemi di videosorveglianza, nuove tecnologie, assistenti vocali e Intelligenza artificiale, dispositivi indossabili, strumenti di domotica, sistemi di controllo Gps, ecc.). Il singolo professionista non è tenuto alla nomina del Dpo (data protection officer), mentre un’organizzazione articolata e complessa deve verificare se rientra nei casi di nomina obbligatoria (articolo 37 Gdpr). Cosa devono contenere le informative verso gli interessati Il professionista e l’organizzazione professionale devono predisporre le informative per gli interessati, categoria alla quale appartengono le persone fisiche cui si riferiscono i dati trattati. Si tratta sempre di più di un modello di informativa: a titolo esemplificativo, si possono ricordare le informative per dipendenti e collaboratori, clienti, fornitori, terzi, utenti del sito internet, e così via.

Le informative devono indicare le basi giuridiche dei trattamenti, che possono dipendere da tipo di dati trattati, dalla categoria degli interessati o dalle finalità del trattamento.

Sempre a titolo esemplificativo si possono ricordare le seguenti condizioni di liceità: per i rapporti con i clienti, limitatamente ai dati comuni, la base giuridica è il rapporto contrattuale; per i rapporti con i dipendenti le basi giuridiche possono essere il contratto individuale (dati comuni) e la disciplina normativa e contrattuale collettiva di lavoro (per i dati sensibili); per i dati sensibili la base giuridica è, di regola, il consenso esplicito, ma per le professioni sanitarie la base giuridica è la finalità di cura (senza necessità del consenso) e per le professioni forensi lo è la finalità dell’esercizio del diritto in giudizio. Chi è il titolare o il responsabile del trattamento nel rapporto con i clienti Rispetto ai propri clienti il professionista e l’organizzazione professionale possono assumere il ruolo di titolare autonomo o di responsabile del trattamento. Ad esempio, un avvocato e uno studio legale associato, nella attività di rappresentanza in giudizio, sono titolari del trattamento e lo stesso vale per uno studio commercialista che compila la dichiarazione dei redditi di una persona fisica. La questione del ruolo soggettivo non è sempre facile, soprattutto nel caso in cui il professionista o l’organizzazione professionale tratta dati di soggetti (persone fisiche) che hanno un rapporto con i loro clienti, come ad esempio i dipendenti, clienti o fornitori di questi ultimi. Alcune indicazioni sono state fornite dal Garante della privacy: il medico competente (figura prevista nella normativa sulla sicurezza nei luoghi di lavoro) è titolare del trattamento; il professionista sanitario è titolare di trattamento rispetto alle piattaforme online di gestione degli appuntamenti con i pazienti; il consulente del lavoro è responsabile del trattamento rispetto all’impresa che lo incarica degli adempimenti previsti dalla normativa sui contratti di lavoro. Permangono, però, situazioni non espressamente definite, rispetto alle quali bisogna attentamente valutare la necessità di una nomina passiva del professionista e dell’organizzazione professione come responsabili del trattamento rispetto al cliente/titolare (articolo 28 Gdpr). Non è escluso la copertura contestuale di più ruoli in relazione a trattamenti con finalità diverse. Quali sono le categorie soggette alle regole di soft law Molte categorie professionali sono tenute al rispetto regole deontologiche. Tra queste troviamo giornalisti, investigatori, avvocati, ricercatori.

Una serie di regole di soft law enumerano prescrizioni relative a dati particolari, quali quelle per i rapporti di lavoro, per l’attività degli investigatori privati e dei soggetti professionali che operano nel campo della ricerca scientifica.

Sono ancora vigenti, nei limiti della compatibilità degli istituti normativi, alcune linee guida adottate dal Garante della privacy ante Gdpr, quali quelle per i consulenti tecnici e (numerose) per le professioni sanitarie. Il comparto delle discipline di soft law potrà ulteriormente crescere se gli organi rappresentativi delle categorie professionali promuoveranno l’approvazione di codici di condotta settoriali (articolo 40 Gdpr). Copyright © - Riproduzione riservata

Fonte: https://www.ipsoa.it/documents/quotidiano/2024/04/23/privacy-studi-professionali-adempimenti-richiesti