Nuovo regolamento UE in materia di privacy: gli adempimenti di base per i piccoli studi professionali
Tutti i professionisti, anche se singoli o organizzati in piccoli studi, dovranno adeguarsi alle nuove regole in materia di trattamento dati personali entro il prossimo 25 maggio 2018 e allora vediamo quali sono gli adempimenti di base per rendere il proprio studio compliance rispetto al GDPR.
Poniamo il caso che il professionista raccolga e tratti i dati personali esclusivamente per la finalità connessa al servizio richiesto dal cliente, quindi ad esempio il commercialista per fornire consulenza in materia contabile o fiscale ai propri clienti, l’avvocato per curare la difesa in giudizio, redigere contratti o pareri, il consulente del lavoro per amministrare le pratiche in materia di diritto del lavoro di un’ impresa cliente, l’ingegnere edile per curare progetti ad esempio nel settore della domotica, innanzitutto, una delle prime operazioni da compiere è quella di controllare che il trattamento sia fondato sui principi del GDPR, principi di liceità, correttezza, trasparenza e quindi, è opportuno verificare che i dati raccolti e trattati siano esclusivamente quelli strettamente necessari, pertinenti e adeguati a svolgere la finalità per cui sono richiesti, che siano adottate misure per aggiornarli o rettificarli tempestivamente al bisogno, che siano conservati per il tempo necessario ad espletare l’incarico conferito (salvo il tempo ulteriore necessario a rispettare le norme amministrative), che siano adeguatamente protetti. Pertanto, dovranno essere aggiornate le informative rese ai clienti ed eventuali collaboratori, rendendole conformi all’art. 13 del GDPR, in questo caso, significativo sarà precisare nell’informativa i diritti degli interessati e dotarsi di strumenti che assicurino al cliente, in maniera effettiva, il facile esercizio degli stessi.
Inoltre, se più professionisti operano all’interno del medesimo studio, si dovrà verificare se alla propria compagine organizzativa si applichi l’art. 26 del GDPR e quindi se i professionisti operano in qualità di contitolari del trattamento, determinando di comune accordo modalità e finalità del trattamento dei dati (in tal caso si dovrà sottoscrivere un accordo interno in cui i professionisti disciplinano le proprie responsabilità e obblighi in materia di dati personali) oppure se diversamente per essi operano gli artt. 28 e 29 e quindi se i collaboratori dello studio gestiscono dati personali per conto di un titolare che fissa finalità e modalità del trattamento, in tal caso, infatti sarà necessario designare, anche qui mediante opportuni contratti, tali collaboratori, responsabili del trattamento e lo stesso si dovrà fare con il fornitore del servizio di hosting, sul quale è alloggiato l’eventuale sito web e su cui transitano le email e con l’eventuale consulente IT che si occupa di aggiornare o manutenere il software gestionale dello studio (magari concesso in licenza) e con tutti gli altri eventuali soggetti cui si trasferiscono dati di clienti o collaboratori fuori dallo studio (si pensi ad esempio a coloro che forniscono il servizio di fatturazione elettronica in outsourcing), mentre i segretari dovranno essere designati incaricati del trattamento o comunque autorizzati a gestire i dati (e quei soli dati, utilizzando ad esempio il sistema dei “permessi”) limitatamente a ciò che ad essi compete; a segretari e collaboratori dovranno essere impartite, inoltre, istruzioni operative o linee guida su come gestire i dati di terzi e proteggerli.
Dotazione dello studio
Lo studio dovrà poi dotarsi di strumenti tecnici e organizzativi adeguati e proporzionati al tipo di dati trattati, alla finalità del trattamento, alle modalità, al contesto organizzativo e ai rischi potenziali che il trattamento può provocare sui diritti e le libertà degli interessati, misure che consentano di garantire, l’integrità dei dati personali trattati, la disponibilità, la resilienza dei sistemi usati e un elevato grado di protezione dei dati stessi (cfr. art. 32 GDPR), in particolare, di quelli che transitano sui vari device (pc, smartphone, tablet, wi-fi); quindi, occorrerà impiegare meccanismi che permettano di evitare accessi abusivi ai dati, alterazioni o modifiche degli stessi, cancellazioni, divulgazioni non autorizzate o violazioni di altro tipo; in tal caso, ad esempio, molto si può fare impiegando meccanismi antielusione come i firewall e anche utilizzando (e facendo utilizzare) password sicure per accedere ai sistemi informatici dello studio in cui sono archiviati dati personali, scrivendo best practice su come tali password dovranno essere custodite e amministrate e prevedendo, se si dispone di un sito web, con cui ad esempio è possibile inviare richieste mediante la compilazione di form, l’impiego di protocolli SSL; particolarmente, importante per il transito dei dati è l’uso di chiavette USB dotate di password o anche chiavette che consentono di criptare i dati ivi contenuti (il GDPR, infatti all’art. 32 consiglia proprio l’impiego di strumenti che consentano di cifrare i dati o comunque usare la pseudonimizzazione). Occorrerà poi ricorrere a strumenti che permettano di effettuare il back up, meglio se continuo dei dati, come ad esempio potrebbe essere un servizio di cloud fornito da un soggetto terzo di cui sarà necessario vagliare l’affidabilità e il grado di sicurezza offerto prima di sottoscrivere il contratto, designando, tra l’altro, anch’esso, responsabile del trattamento.
Fondamentale è anche il fatto di mantenere i sistemi operativi sempre aggiornati e i vari programmi e le applicazioni utilizzate, determinando, a priori, una manutenzione periodica; si consiglia inoltre di controllare i vari devices, come smartphone o tablet, impostando una limitazione all’uso dei dati contenuti, se su di essi sono conservati o transitano in qualche modo anche dati relativi a clienti. Il GDPR, peraltro, lo si ricorda, all’art. 32, lett. d, prevede l’impiego di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Si tenga poi presente che anche il professionista, in qualità di titolare del trattamento (o contitolare, mentre il responsabile dovrà comunicare un’eventuale violazione al titolare) è chiamato a comunicare al Garante eventuali violazioni sui dati personali entro 72 ore dal momento in cui ne viene a conoscenza, pertanto, occorrerà pensare anche a procedure preventive che consentano di intervenire velocemente sulla violazione e procedere tempestivamente alla comunicazione all’autorità.
Questi sono gli adempimenti fondamentali previsti dal GDPR, che dovranno essere effettivi, in quanto il professionista, in qualità di titolare del trattamento, dovrà essere in grado di dimostrare di aver messo in atto misure adeguate che provino che il trattamento è effettuato conformemente al regolamento. Naturalmente molto dipende anche dal tipo di organizzazione, da eventuali ulteriori finalità del trattamento, dai modi in cui i dati sono trattati e, quindi, dagli strumenti impiegati; chiaramente più è complessa l’organizzazione, maggiori saranno gli adempimenti per essere compliance, è chiaro che se ad esempio uno studio ha il server in uno Stato estero fuori dall’Unione su cui vengono archiviati dati personali, ad esso si applicano anche le norme sul trasferimento di dati all’estero, mentre se si tratta di uno studio dotato di un numero elevato di professionisti e collaboratori suddiviso per settori di attività, si dovrà pensare anche di effettuare una DPIA (il cons. n. 91 esclude l’obbligatorietà della valutazione d’impatto sulla protezione dei dati solo per singoli professionisti, quali il singolo avvocato o medico) e nominare un DPO.