L’obbligo di avere questo documento riguarda enti
- con più di 250 dipendenti;
oppure
- con meno di 250 dipendenti ma che effettuano un tipo di trattamento che possa presentare un rischio per i diritti e le libertà dell'interessato, quando questo trattamento non sia occasionale o includa il trattamento delle categorie particolari di dati o dati relative a condanne o reati.
Tuttavia il Garante per la protezione dei dati personali, per agevolare l’identificazione e l’analisi dei dati trattati, la valutazione dei rischi, l’adozione di misure adeguate a proteggere i dati e aumentare la consapevolezza e la responsabilità dei soggetti coinvolti, ritiene che la tenuta di un registro delle attività di trattamento sia “uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un’azienda”.
In caso di controllo sarà quindi il documento dal quale partire per dimostrare di essersi adeguati alla normativa.
Se prima dell’inizio del trattamento dati, si era provveduto a fornire informativa e raccogliere consenso ai sensi della 196/2003 non occorre per nessuna ragione cancellare i dati.
Se l’informativa era incompleta (ad esempio: mancava l’indicazione della data retention del dato, oggi indicazione obbligatoria, oppure del data protection officer, se presente), alla prima occasione basta integrare l’informativa.
Per quanto riguarda la necessità di raccogliere un nuovo consenso, questa attività NON E’ NECESSARIA.
Di seguito alcune precisazioni del garante:
· Il regolamento conferma che ogni trattamento deve trovare fondamento in un'idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all'art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy - d.lgs. 196/2003
· Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate (vedi pagina http://www.garanteprivacy.it/regolamentoue/fondamenti-di-liceita-del-trattamento) In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.
· In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all'interessato (art. 7.2), per esempio all'interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2). I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali (si vedano considerando 43, art. 9, altre disposizioni del Codice: artt. 18, 20).
Per approfondimento:
http://www.garanteprivacy.it/regolamentoue/informativa
http://www.garanteprivacy.it/regolamentoue/fondamenti-di-liceita-del-trattamento
Premessa: non è sempre facile ed evidente. Vediamo cosa dice la normativa.
1. Il titolare del trattamento (data controller) è la persona fisica o la persona giuridica che ha concretamente il potere di decidere finalità e modalità del trattamento.
2. Se ci sono più soggetti che condividono effettivamente queste decisioni riguardo finalità e modalità del trattamento si chiamano contitolari (joint controller).
3. Il responsabile (data processor) è il soggetto esterno che effettua per conto del titolare del trattamento un’attività di trattamento.
4. Gli altri soggetti che accedono ai dati personali agendo sotto l’autorità del titolare o del responsabile sono chiamati autorizzati (nella precedente normativa erano definiti incaricati).
5. Se un trattamento non viene svolto né per conto né sotto l’autorità di un altro soggetto, avremo un titolare autonomo. Il titolare autonomo ha gli obblighi previsti dalla normativa ma, ad esempio, non deve rendere nuovamente l’informativa se l’interessato (il soggetto a cui si riferiscono i dati) dispone già delle informazioni sul trattamento.
Secondo la normativa italiana “comunicazione", è il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Quindi non è una forma di comunicazione l’accesso al dato da parte del responsabile del trattamento (data processor).
D'altronde l'art. 13.1.d del Codice Privacy prevedeva che nell'informativa ci fosse l'indicazione dei: "soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi".
Il Regolamento UE n. 2016/679, cosi come la precedente Direttiva UE n. 1995/46, parla di “destinatari” (art. 4 n.9) dei dati, ossia di soggetti che accedono ai dati e tali soggetti possono essere anche soggetti terzi. Per soggetto “terzo” si intende (art. 4 n. 10) un soggetto che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento di dati personali sotto l’autorità diretta del titolare o del responsabile. Il responsabile è quindi soggetto che non viene considerato terzo dalla normativa.
Il termine comunicazione quindi ha un solo significato tecnico che è accesso al dato da parte di soggetti che non sono stati nominati responsabili o incaricati.
Il consenso al trattamento dei dati deve essere raccolto in forma scritta?
Il Garante ricorda che il consenso "non deve essere necessariamente documentato per iscritto, né è richiesta la forma scritta”.
Vedi: http://www.garanteprivacy.it/regolamentoue/fondamenti-di-liceita-del-trattamento
Il consenso deve essere libero, specifico, informato ed inequivocabile, manifestato attraverso una dichiarazione o un'azione positiva inequivocabile.
Per questo raccogliere un consenso in forma scritta può essere comunque opportuno in quanto considerata una modalità che rende il consenso inequivocabile e, soprattutto, specifico rispetto ad un determinato trattamento.
Il responsabile del trattamento è il soggetto che tratta dati personali per conto del titolare del trattamento.
E', in poche parole, il fornitore di servizi che tratta i dati per conto del suo cliente.
In inglese la terminologia è più chiara:
data controller - titolare;
data processor - responsabile.
Il responsabile del trattamento, dunque, non è e non deve essere confuso con il responsabile per la protezione dei dati (che in inglese è data protection officer).
Sono soggetti completamente diversi che hanno compiti diversi.
L'art. 28 GDPR obbliga il titolare del trattamento (data controller) a ricorrere solo a fornitori di servizi - ossia responsabili del trattamento (data processor) che presentino garanzie sufficienti di adottare misure organizzative (policy) e tecniche (sicurezza informatica e fisica) adeguate al trattamento dei dati che gli viene affidato.
Tra titolare e responsabile del trattamento deve esserci un contratto o altro atto che prevede alcuni elementi specificati all'art. 28 comma 3 del GDPR.
Se non tratta dati personali è ovvio che non deve qualificarsi come responsabile del trattamento e non ci sarà bisogno di nessun atto o contratto.
Quindi, se un fornitore di servizi non vuole firmare il data processing agreement/nomina a responsabile, occorre che quanto meno dichiari - meglio per iscritto, dato che verba volant - di non trattare dati personali.
Se vuole proporre un suo modello di atto o di contratto, occorre controllare che tale atto o contratto contenga i requisiti previsti all'art. 28 comma 3 del GDPR.
No. Il protocollo condiviso del 24 aprile 2020 su tale tema indica espressamente che «il personale POTRA’ essere sottoposto alla controllo della temperatura corporea». Occorre evidenziare che vi sono alcune Regioni che, tramite l’emanazione di specifiche ordinanze (ad esempio, da ultimo, l’Ordinanza Regione Lombardia n. 580 del 14 luglio 2020) «raccomandano fortemente» (ma non obbligano) ad effettuare la rilevazione della temperatura nei confronti dei soggetti che accedono ai locali.
La ripresa delle attività della cosiddetta "Fase 2" ha richiesto l’adozione di specifici protocolli di sicurezza e di nuove prassi operative da rispettare (e far rispettare) in relazione all’accesso dei locali in cui viene esercitata la propria attività. L’implementazione dei protocolli ha comportato l’avvio di nuove attività di trattamento dei dati personali con riferimento ai clienti, fornitori, dipendenti e collaboratori. Per questo motivo il tool è stato aggiornato con una nuova sezione denominata “Protocolli emergenza sanitaria Covid-19”. Tale sezione consente di (i) rispondere ad un nuovo set di domande che hanno lo scopo di indagare su come il Professionista abbia inteso implementare i nuovi adempimenti richiesti dai protocolli anti-contagio, (ii) la generazione della documentazione rilevante richiesta dalla normativa emergenziale, con focus rispetto ai documenti relativi alla disciplina della protezione dei dati personali (come ad esempio l’aggiornamento del registro delle attività di trattamento con i nuovi trattamenti effettuati, la generazione delle informative sul trattamento dei dati personali e dei modelli di autodichiarazione e la generazione della lettere di autorizzazione per i soggetti preposti alla misurazione della temperatura/ raccoglimento di dati ed informazioni da parte di dipendenti sull’eventuale riscontro di sintomi da Covid-19).
Il tool genera i seguenti documenti:
l set di documenti e le nuove domande messe a disposizione nella checklist hanno lo scopo di fornire uno strumento di tutela ad ampio raggio per il titolare e la contestuale verifica della corretta implementazione dei protocolli anti-contagio. Occorre però evidenziare che i diversi protocolli redatti e adottati presentano diverse variabili, ad esempio legate alla libera scelta organizzativa di procedere o meno alla misurazione della temperatura corporea in tempo reale, di raccogliere o meno le autodichiarazioni da parte dei soggetti esterni che accedono ai locali, di individuare o meno un soggetto preposto al raccoglimento delle informazioni da parte degli esterni etc.. I documenti messi a disposizione devono essere utilizzati in base alle disposizioni che il Titolare ha inteso adottare all’interno del proprio protocollo anti-contagio e offrono ampia tutela rispetto ad eventuali controlli effettuati dalle Autorità competenti. Non è escluso che vi siano alcune attività indicate all’interno della checklist o dei documenti generati che non siano effettivamente previste all’interno del proprio protocollo, in quanto potrebbero essere presenti particolari peculiarità di tipo tecnico-organizzativo (come ad esempio l’assenza di dipendenti e collaboratori che operano per conto del titolare).
No, l’avvocato, qualora gestisca un sito web dello studio, non può pubblicare riferimenti a cause patrocinate, né tanto meno i nomi dei clienti: vige il divieto, nelle informazioni al pubblico, di indicare il nominativo dei propri clienti o parti assistite, ancorché questi vi consentano (Il CNF ha censurato la condotta di un professionista che aveva pubblicato sul proprio sito web l’elenco dei principali clienti assistiti in via continuativa o per questioni particolari).
No: è illecito offrire assistenza legale gratuita in cambio di notorietà “da rimbalzo”. L’avvocato non può offrire, al fine di ricavarne una possibile notorietà, assistenza legale gratuita alle parti di un fatto di cronaca di grande clamore mediatico (In un caso famoso il CNF ha censurato la condotta del professionista che aveva scritto una mail ai familiari delle vittime di un crimine molto noto ai mass-media, proponendosi come legale per la costituzione di parte civile, che - in caso di effettivo conferimento dell’incarico professionale - sarebbe stata totalmente gratuita.
L’avvocato deve ispirarsi a criteri di equilibrio e misura, nel rispetto dei doveri di discrezione e riservatezza; con il consenso della parte assistita e nel suo esclusivo interesse, può fornire agli organi di informazione notizie purché non coperte dal segreto di indagine. L’art. 5 delle regole deontologiche pubblicate dal Garante, inoltre, autorizza l’avvocato titolare del trattamento a rilasciare informazioni non coperte da segreto, senza necessità di accordo con l’assistito, quando ciò sia necessario per finalità di tutela dell’assistito medesimo, sempre nel rispetto dei principi di liceità, trasparenza, correttezza e minimizzazione dei dati, nonché dei diritti e della dignità dell’interessato e dei terzi, ed eventualmente di divieti imposti dalla legge e dal codice deontologico forense. L’avvocato è tenuto in ogni caso ad assicurare l’anonimato dei minori.
No: pone in essere un contegno contrario ai principi di correttezza e riservatezza nonché una violazione del divieto di pubblicità propri della professione forense l’avvocato professionista che in ordine alle modalità di svolgimento di un incarico professionale renda ad un giornalista dichiarazioni poi pubblicate dalla stampa al fine di pubblicizzare la propria attività professionale.
A tal proposito si è espresso il CNF: come noto, il curatore fallimentare ha ampi poteri di indagine nei confronti di tutte le attività del fallito, ma incontra dei limiti rispetto all'attività svolta dal difensore. Tenendo conto che l'opponibilità del segreto professionale va comunque valutata in concreto e caso per caso, per il CNF "l'avvocato potrà e dovrà relazionare circa lo stato delle cause attive o passive affidategli, attinenti all'attività d'impresa, ma non sull'andamento della causa di separazione o divorzio (salva espressa autorizzazione - magari scritta - del cliente), né sugli atti compiuti dal fallito che possano concretizzare comportamenti di rilevanza penale o comunque pregiudicare gli interessi del proprio assistito, seppure fallito". L’avvocato potrà quindi consegnare al curatore tutto ciò che è pubblico, in quanto agli atti di un processo attinente all’attività di impresa, mentre per corrispondenza e documentazioni inerenti a cause personalissime andrà valutata caso per caso in ossequio al principio di riservatezza.
Sì: non commette illecito deontologico e violazione del dovere di riservatezza l'avvocato che, venuto a conoscenza del mandato di cattura emesso nei confronti di un suo cliente ed avuta copia dell'interrogatorio, non segretato ex art. 329 c.p.p., lo comunichi, autorizzato dal cliente, ad altro avvocato coinvolto nella vicenda.
Sì, e non solo fino alla cessazione dell’incarico: tale obbligo non cessa alla conclusione dell’incarico ma persiste anche dopo la conclusione dello stesso. Il segreto professionale dell’avvocato, infatti, non è circoscritto temporalmente alla durata dell’incarico, ma va mantenuto anche dopo che il mandato sia stato adempiuto o si sia concluso, anche in caso di rinuncia al mandato e anche quando non l’abbia accettato.
Sì. L’art. 9 par. 1 GDPR prevede il divieto di trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. In deroga a quanto previsto dal par. 1, il par. 2 del medesimo art. 9 GDPR dispone, che il par. 1 non si applica, fra l’altro, se il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali.
No. L’art. 14 GDPR introduce una eccezione all’obbligo di fornire informazioni all’interessato qualora i dati non siano stati ottenuti presso l’interessato (si pensi al caso di informazioni riservatissime, concernenti terze persone, confidate dal cliente al legale): allorché i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge.
Sì, e anche oltre: fermo restando quanto previsto dall’art. 5, par. 1, lett. e), del Regolamento (UE) 2016/679, la definizione di un grado di giudizio o la cessazione dello svolgimento di un incarico non comportano un'automatica dismissione dei dati. Una volta estinto il procedimento o il relativo rapporto di mandato, atti e documenti attinenti all'oggetto della difesa o delle investigazioni difensive possono essere conservati, in originale o in copia e anche in formato elettronico, qualora risulti necessario in relazione a ipotizzabili altre esigenze difensive della parte assistita o del titolare del trattamento, ferma restando la loro utilizzazione in forma anonima per finalità scientifiche. La valutazione è effettuata tenendo conto della tipologia dei dati. Se è prevista una conservazione per adempiere a un obbligo normativo, anche in materia fiscale e di contrasto della criminalità, sono custoditi i soli dati personali effettivamente necessari per adempiere al medesimo obbligo.
Sì, quando si renda necessario per lo svolgimento dell’attività di difesa affidatagli, per impedire che venga commesso un reato di particolare gravità, al fine di allegare circostanze di fatto in una controversia che vede l'avvocato contrapposto al proprio cliente o al proprio assistito oppure, infine, nell'ambito di una procedura disciplinare. All’interno di queste ipotesi, tuttavia, la divulgazione è consentita all’interno del preciso limite: non si potrà divulgare più di quanto sia strettamente necessario per il fine che si intende tutelare.
L’avvocato ogni qualvolta ne venga richiesto deve informare il cliente e la parte assistita sullo svolgimento del mandato a lui affidato e deve fornire loro copia di tutti gli atti e documenti, anche provenienti da terzi, concernenti l’oggetto del mandato e l’esecuzione dello stesso sia in sede stragiudiziale che giudiziale, fermo restando il divieto di trasmettere la corrispondenza riservata tra colleghi. Questa potrà essere trasmessa al collega che gli succede a sua volta tenuto ad osservare il medesimo dovere di riservatezza.
No. Se non espressamente autorizzati in tal senso, meglio per iscritto, non è possibile fornire nessuna informazione se non al cliente e alla parte assistita qualora esse non coincidano. L’avvocato è tenuto, nell’interesse del cliente e della parte assistita, alla rigorosa osservanza del segreto professionale e del massimo riserbo sui fatti e circostanze in qualsiasi modo apprese nell’attività di rappresentanza e assistenza in giudizio, nonché nello svolgimento dell’attività di consulenza legale e di assistenza stragiudiziale e comunque per ragioni professionali.
Sì, molto spesso l’avvocato è costretto a trattare categorie particolari di dati personali nello svolgimento dell’incarico professionale. Per tali categorie di dati, l’art. 9 par. 1 GDPR (rubricato Trattamento di categorie particolari di dati personali) prevede che è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. In deroga a quanto previsto dal par. 1, il par. 2 del medesimo art. 9 GDPR dispone, fra l’altro, che il par. 1 non si applica, fra l’altro, se il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali [cfr. art. 9 par. 2 lett. f) GDPR].
È possibile limitare l'uso di Internet per motivi di sicurezza, limitando ad esempio il download di software, o predisponendo strumenti atti a controllare le ore di lavoro o l’accesso da parte dei dipendenti ai files. Non è invece possibile estendere al controllo dell’attività dei dipendenti l’utilizzo di un eventuale software installato al fine di calcolare il tempo dedicato dall’avvocato allo studio o alla predisposizione di atti di un fascicolo.