GDPR e professionisti – primo impatto

Una breve riflessione operativa sul GDPR per quanto riguarda un professionista.
Dieci semplici quesiti  e dieci linee guida.

 

Queste note sono estrapolate dagli adempimenti/obblighi del titolare, sono solo alcune basilari riflessioni sul tema sicurezza e riservatezza dei dati personali dei clienti che sono archiviati/conservati nello studio di un professionista.

Con alcune avvertenze:

1. una normativa in materia di protezione dei dati personali è presente nell’ordinamento giuridico italiano dal 1996; il ‘GDPR’ (acronimo della definizione in lingua inglese – ‘General Data Protection Regulation’ – del Regolamento UE 2016/679 la cui applicazione partirà dal 25 maggio 2018) porta alcune novità ma non è assolutamente una nuova.
   Queste note dovrebbero potersi applicare non solo all’avvento di questa nuova normativa e la conseguente necessità di aggiornamento rispetto alle sue disposizioni attuali, ma è lìanche l’occasione per tornare a valutare in generale l’organizzazione dello studio professionale sotto il profilo delle attività di trattamento dei dati personali e/o sensibili dei clienti;
2. queste note non non sono sicuramente esaustive, il presente documento non ha e non può avere pretesa di esaustività. E’ uno spunto per un’autovalutazione che deve essere, nondimeno, completa e anche specifica, cioè tarata sulla concreta realtà dello studio professionale; realtà sotto il cui ombrello si possono annoverare tante diverse fattispecie, dal singolo professionista senza collaboratori allo studio associato con praticanti e  personale dipendente;
3. l’interesse che ha il professionista a soddisfare i requisiti di integrità, disponibilità riservatezza e resilienza delle banche dati (cartacee o informatizzate, precede l’esigenza di adempiere a norme di legge; è il corollario della concezione per la quale i dati personali sono costitutivi del patrimonio immateriale dello studio e come tali meritevoli di protezione a prescindere da vincoli esterni.

 

[raw]
[column size=”1/3″ wpautop=”true”]

I quesiti

[/column]
[column size=”2/3″ wpautop=”true”]

Le linee guida

[/column]
[/raw]

---

[raw]
[column size=”1/3″ wpautop=”true”]
Lo studio ha predisposto la modulistica per la raccolta dei dati del cliente durante il primo incontro, fornendo contestualmente allo stesso un’informativa semplice,esaustiva e chiara ?
[/column]
[column size=”2/3″ wpautop=”true”]
La raccolta dei dati dovrebbe (deve) essere preceduta da un’informativa che contenga tutte le informazioni richieste dall’art. 13 (oggi del Testo Unico, dal 25 maggio 2018 del Regolamento). Tra le novità del GDPR figura il requisito del “linguaggio semplice e chiaro” dell’informativa.
[/column]
[/raw]

---

[raw]
[column size=”1/3″ wpautop=”true”]
Lo studio organizza la fase della raccolta dati in modo da raccogliere e trattare solo ed esclusivamente i dati che sono necessari o utili per l’espletamento del mandato professionale ricevuto?
[/column]
[column size=”2/3″ wpautop=”true”]
Questo principio generale è presente sia nel T.U. (art. 11) sia GDPR  (art. 5, c.d. “minimizzazione dei dati”): si raccolgono e si trattano esclusivamente  i dati personali  che non siano “eccedenti” rispetto alle finalità del trattamento, ovvero che siano “limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
La disponibilità di dati estranei alla finalità esplicitata segnala la sussistenza di un trattamento ‘abusivo’, ulteriore e distinto.
[/column]
[/raw]

---

[raw]
[column size=”1/3″ wpautop=”true”]
L’organizzazione dello studio consente la conservazione dei documenti relativi alle varie pratiche in modo da averne sempre, al momento giusto, la disponibilità ed in modo che i dati siano accessibili al solo personale autorizzato?
[/column]
[column size=”2/3″ wpautop=”true”]
Occorre trovare un bilanciamento tra le esigenze quotidiane di consultazione e la riservatezza delle banche dati cartacee o informatizzate. Occorre implementare una gestione razionale ed ordinata dei dati e delle informazioni sa cartacee sia informatizzate, che ponga contenuti delle stesse al riparo da accessi di estranei, pur consentendo al professionista ed ai suoi collaboratori di gestire con efficienza le attività.
[/column]
[/raw]

---

[raw]
[column size=”1/3″ wpautop=”true”]
Lo studio ha nominato ed istruito i collaboratori interni ed ha formalizzato i rapporti con i professionisti ai quali si rivolge per la gestione e lo sviluppo delle attività dello studio?
[/column]
[column size=”2/3″ wpautop=”true”]
Tutto l’organigramma ‘privacy’ dello studio deve essere coinvolto nella politica di protezione dei dati. E’ un organigramma ampio, in cui rientrano gli incaricati (collaboratori, praticanti, dipendenti) ma anche i responsabili dei trattamenti, cioè i professionisti esterni che a vario titolo collaborano con lo studio (avvocati di altri fori, commercialista, consulente del lavoro, ecc.). Osservando che:

• per gli incaricati occorre una nomina (art. 30 T.U.) contenente peraltro le istruzioni operative per i trattamenti (di cui anche all’art. 29 Reg.to)
• per i responsabili dei trattamenti, occorre un contratto (o altro atto giuridico) che vincoli i medesimi a specifici obblighi (art. 28 Reg.to)

[/column]
[/raw]

---

[raw]
[column size=”1/3″ wpautop=”true”]
I pc dello studio sono protetti dalle minacce esterne? Lo studio ha un consulente informatico (regolarmente nominato ed istruito) che, in caso di bisogno, possa intervenire per la soluzione di specifici problemi? Lo studio è protetto da un firewall?
[/column]
[column size=”2/3″ wpautop=”true”]
Il riferimento è all’implementazione di software adeguati a prevenire attacchi o minacce di vario genere e provenienza. In tal senso può essere saggio affidarsi alla competenza e all’esperienza di un professionista, rammentando che il GDPR richiede misure “adeguate” rispetto alle caratteristiche, modalità e contesto dei trattamenti.
[/column]
[/raw]

---

[raw]
[column size=”1/3″ wpautop=”true”]
Pc portatili e altri strumenti informatici rimovibili sono utilizzati nelle attività al di fuori dello studio in modo da minimizzare i rischi di perdita accidentale, sottrazione fraudolenta e similari?
[/column]
[column size=”2/3″ wpautop=”true”]
Un’esempio eclatante è l’uso delle così dette penne USB: dovrebbero essere usate in concomitanza di sistemi di sicurezza, ricordando che la sola password di accesso non è sufficiente.
[/column]
[/raw]

---

[raw]
[column size=”1/3″ wpautop=”true”]
La gestione delle copie (backup) garantisce il ripristino dei dati in caso di attacchi informatici o cancellazioni inavvertite? ogni quanto tempo vengono eseguite le copie?
[/column]
[column size=”2/3″ wpautop=”true”]
A parte la prescrizione di cui all’Allegato B al T.U., questa operazione è davvero fondamentale per la protezione dei dati dello studio. In relazione alla intensità delle modifiche/inserimenti quotidiani, è prudente programmare una frequenza maggiore di quella minima.
[/column]
[/raw]

---

[raw]
[column size=”1/3″ wpautop=”true”]
Lo studio ho definito il tempo di conservazione dei dati personali in linea con le finalità dei trattamenti?
[/column]
[column size=”2/3″ wpautop=”true”]
Anche il professionista è tenuto, come ogni titolare, a definire il periodo di conservazione dei dati (che non possono essere conservati ad libitum) e, peraltro (novità del GDPR), a farne oggetto di apposita menzione nell’informativa (in alternativa al periodo di conservazione sarà sufficiente indicare i criteri utilizzati per determinarlo).
[/column]
[/raw]

---

[raw]
[column size=”1/3″ wpautop=”true”]
Quando lo studio deve rottamare pc, notebooks e altri strumenti elettronici utilizzati per le attività dello studio, si assicura che la dismissione avvenga nel rispetto della esigenza di protezione dei dati?
[/column]
[column size=”2/3″ wpautop=”true”]
La c.d. ‘spazzatura elettronica’, quando non gestita, è malaugurata fonte di informazioni a tutto discapito degli interessati e con rischi per lo stesso titolare del trattamento. E’ doveroso il rinvio a quanto stabilito dal Garante nel provvedimento del 5 dicembre 2008 (con le connesse istruzioni operative)
[/column]
[/raw]

---

[raw]
[column size=”1/3″ wpautop=”true”]
Lo studio si è preoccupato della sicurezza fisica degli accessi, nel senso di adottare misure o cautele atte ragionevolmente a prevenire accessi indesiderati e azioni concretantesi nella lesione della riservatezza, della disponibilità, della integrità delle banche dati (cartacee o informatizzate)?
[/column]
[column size=”2/3″ wpautop=”true”]
E’ sempre in evidenza il problema della sicurezza dei trattamenti. Stavolta, però, esso è valutato attraverso la disamina dei locali/luoghi fisici in cui si svolgono le attività dello studio. Le misure di protezione “adeguate”, anche qui, possono variare in ragione del contesto (ad es., studio localizzato in stanza all’interno di unità immobiliare dove sono presenti altri professionisti, studio localizzato al piano terra di un condominio, ecc.).
[/column]
[/raw]

---

 

Regolamento generale sulla protezione dei dati 

[raw]
[column size=”7/12″ wpautop=”true”]
Premessa – Regolamento generale sulla protezione dei dati
[/column]
[column size=”5/12″ wpautop=”true”]
Considerando 1-173
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Capo I – Disposizioni generali
[/column]
[column size=”5/12″ wpautop=”true”]
Articolato >>
Artt. 1 – 2 – 3 – 4
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Capo II – Principi
[/column]
[column size=”5/12″ wpautop=”true”]
Articolato >>
Artt. 5 – 6 – 7 – 8 – 9 – 10 – 11
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Capo III – Diritti dell’interessato
[/column]
[column size=”5/12″ wpautop=”true”]
Articolato >>
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Sezione 1 – Trasparenza e modalità
[/column]
[column size=”5/12″ wpautop=”true”]
Art. 12
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Sezione 2 – Informazione e accesso ai dati personali
[/column]
[column size=”5/12″ wpautop=”true”]
Artt. 13 – 14 – 15
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Sezione 3 – Rettifica e cancellazione
[/column]
[column size=”5/12″ wpautop=”true”]
Artt. 16 – 17 – 18 – 19 – 20 – 21 – 22
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Sezione 4 – Diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche
[/column]
[column size=”5/12″ wpautop=”true”]
Art. 23
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Capo IV – Titolare del trattamento e responsabile del trattamento
[/column]
[column size=”5/12″ wpautop=”true”]
Articolato >>
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Sezione 1 – Obblighi generali
[/column]
[column size=”5/12″ wpautop=”true”]
Artt. 24 – 25 – 26 – 27 – 28 – 29 – 30 – 31
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Sezione 2 – Sicurezza dei dati personali
[/column]
[column size=”5/12″ wpautop=”true”]
Artt. 32 – 33 – 34
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Sezione 3 – Valutazione d’impatto sulla protezione dei dati e consultazione preventiva
[/column]
[column size=”5/12″ wpautop=”true”]
Artt. 35 – 36
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Sezione 4 – Responsabile della protezione dei dati
[/column]
[column size=”5/12″ wpautop=”true”]
Artt. 37 – 38 – 39
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Sezione 5 – Codici di condotta e certificazione
[/column]
[column size=”5/12″ wpautop=”true”]
Artt. 40 – 41 – 42 – 43
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Capo V – Trasferimento di dati personali verso paesi terzi o organizzazioni internazionali
[/column]
[column size=”5/12″ wpautop=”true”]
Articolato >>
Artt. 44 – 45 – 46 – 47 – 48 – 49 – 50
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Capo VI – Autorità di controllo indipendenti
[/column]
[column size=”5/12″ wpautop=”true”]
Articolato >>
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Sezione 1 – Indipendenza
[/column]
[column size=”5/12″ wpautop=”true”]
Artt. 51 – 52 – 53 – 54
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Sezione 2 – Competenza, compiti e poteri
[/column]
[column size=”5/12″ wpautop=”true”]
Artt. 55 – 56 – 57 – 58 – 59
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Capo VII – Cooperazione e coerenza
[/column]
[column size=”5/12″ wpautop=”true”]
Articolato >>
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Sezione 1 – Cooperazione
[/column]
[column size=”5/12″ wpautop=”true”]
Artt. 60 – 61 – 62
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Sezione 2 – Coerenza
[/column]
[column size=”5/12″ wpautop=”true”]
Artt. 63 – 64 – 65 – 66 – 67
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Sezione 3 – Comitato europeo per la protezione dei dati
[/column]
[column size=”5/12″ wpautop=”true”]
Artt. 68 – 69 – 70 – 71 – 72 – 73 – 74 – 75 – 76
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Capo VIII – Mezzi di ricorso, responsabilità e sanzioni
[/column]
[column size=”5/12″ wpautop=”true”]
Articolato >>
Artt. 77 – 78 – 79 – 80 – 81 – 82 – 83 – 84
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Capo IX – Disposizioni relative a specifiche situazioni di trattamento
[/column]
[column size=”5/12″ wpautop=”true”]
Articolato >>
Artt. 85 – 86 – 87 – 88 – 89 – 90 – 91
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Capo X – Atti delegati e atti di esecuzione
[/column]
[column size=”5/12″ wpautop=”true”]
Articolato >>
Artt. 92 – 93
[/column]
[/raw]
[raw]
[column size=”7/12″ wpautop=”true”]
Capo XI – Disposizioni finali
[/column]
[column size=”5/12″ wpautop=”true”]
Articolato >>
Artt. 94 – 95 – 96 – 97 – 98 – 99
[/column]
[/raw]

 

Protezione dati personali (testo vigente)

[tnc-pdf-viewer-iframe file=”https://www.mmc.ge.it/main/wp-content/uploads/2018/05/CodiceProtezioneaDatiPersonali_.pdf” width=”800″ height=”1090″ download=”false” print=”false” fullscreen=”true” share=”false” zoom=”true” open=”false” pagenav=”true” logo=”false” find=”true” current_view=”true” rotate=”false” handtool=”true” doc_prop=”false” toggle_menu=”true” language=”it” page=”” default_zoom=”auto” pagemode=””]