Anche lo studio legale ha l’obbligo di adeguarsi al nuovo regolamento 679/2016 che entrerà in vigore nel suo termine massimo del 25/05/2018.
L’ordine Nazionale Forense risponde ad alcune Faq:
IL REGOLAMENTO UE 2016/679 SI APPLICA AGLI ORDINI DEGLI AVVOCATI?
si
LA SCANSIONE TEMPORALE DEGLI ADEMPIMENTI PER L’ATTUAZIONE DEL
REGOLAMENTO?
Il Garante della protezione dei dati personali ha dato precise indicazioni agli Organismi
pubblici indicando la centralità del principio di “responsabilizzazione” (cd. accountability),
che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in
grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali, e
individuando le priorità fondamentali:
1. La designazione in tempi stretti del Responsabile della protezione dei dati (DPO);
2. L’istituzione del Registro delle attività di trattamento;
3. La notifica de(gli eventual)i data breach (e la introduzione di specifiche procedure
da attivare a seguito delle eventuali violazioni).
Oltre alle priorità individuate dal Garante, appare importante attivarsi, prima del 25
maggio, per:
A. Aggiornare l’informativa, sulla base degli artt. 12 e ss del GDPR;
B. Riesaminare le politiche interne in tema di trattamento di dati personali, ai sensi
dell’art. 24 del GDPR, provvedendo anche a definire in maniera adeguata i ruoli e
assicurarsi che tutti coloro che trattano dati personali ricevano adeguate istruzioni e
formazione (ex art. 29 del GDPR);
C. Procedere alla verifica dei sistemi informatici, per assicurare il rispetto dei principi di
protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
di cui all’art. 25 GDPR (concetti di privacy-by-default e privacy-by-design);
D. Esaminare i rapporti contrattuali con i responsabili esterni del trattamento, per
verificarne la conformità (art. 28 del GDPR);
E. Verificare l’adozione delle misure tecniche e organizzative adeguate per garantire
un livello di sicurezza adeguato al rischio, ai sensi dell’art. 32 del GDPR;
F. Valutare se si debba procedere, per uno o più trattamenti, ad effettuare una
valutazione d’impatto privacy (art. 35 del GDPR).
L’ORDINE DEGLI AVVOCATI DEVE RENDERE L’INFORMATIVA ?
I principi di trattamento corretto e trasparente implicano che l’interessato sia informato
dell’esistenza del trattamento e delle sue finalità. Si reputa, pertanto opportuno che
l’Ordine renda l’informativa sia in applicazione del D.Lgs. 196/2003, sia in virtù di quanto
stabilito dagli articoli 13 e 14 del GDPR.
Si ritiene sufficiente la pubblicazione dell’informativa sul sito web.
Non è, comunque, necessario fornire l’informativa:
a) se l’interessato dispone già dell’informazione;
b) se la registrazione o la comunicazione dei dati personali sono previste per legge (come,
ad esempio i dati degli Albi, elenchi e registri ex art. 15 L 247/2012 e D.M. Giustizia 16
agosto 2016 n.178) ;
c) se informare l’interessato si rivela impossibile o richiederebbe uno sforzo
sproporzionato.
All. A: schema di informativa
L’ORDINE DEGLI AVVOCATI DEVE TENERE UN REGISTRO DEI
TRATTAMENTI ?
Sì. Ai sensi dell’articolo 30 del GDPR “Ogni titolare del trattamento e, ove applicabile, il
suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria
responsabilità”.
Il Registro dei Trattamenti (elettronico o cartaceo) è uno strumento fondamentale non
soltanto allo scopo di disporre di un quadro aggiornato ed accurato dei trattamenti svolti
ed in essere all’interno Consiglio per la corretta valutazione ed analisi del rischio, ma
anche ai fini dell’eventuale supervisione e richiesta di esibizione da parte del Garante. La
tenuta del registro dei trattamenti non costituisce, infatti, un mero adempimento formale
bensì parte integrante di un sistema di corretta gestione dei dati personali.
Ancorché l’art. 30, sia pure con formulazione non troppo chiara, preveda ipotesi di
esenzione dalla tenuta del registro, si tratta di un incombente imprescindibile, anche ai fini
del principio di “responsabilizzazione”, che impone al titolare non solo l’onere di rispettare i
principi fondamentali in tema di trattamento di dati personali, ma anche di comprovarlo.
Allegato B: schema di registro dei trattamenti
QUALI DATI PERSONALI TRATTANO ?
Appare superfluo ricordare che la definizione di dato personale contemplata dal GDPR è
sulla medesima linea dell’attuale definizione prevista dal D.Lgs. 196/03. Dato personale è,
pertanto, “qualsiasi informazione riguardante una persona fisica identificata o
identificabile”. La persona fisica, ai sensi del GDPR, si considera identificabile quando
“può essere identificata, direttamente o indirettamente, con particolare riferimento a un
identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un
identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica,
genetica, psichica, economica, culturale o sociale”.
A titolo indicativo e non esaustivo, i COA sono titolari (determinano le finalità e/o i mezzi
del trattamento) di dati personali:
degli iscritti (dati personali e categorie particolari di dati come dati relativi alla salute
art. 9 GDPR) ;
dei consulenti del COA;
dei dipendenti del COA;
relativi ad atti amministrativi e fiscali;
dei fornitori (persone fisiche);
relativi agli esposti o alle denunce, o all’acquisizione di notizie di fatti suscettibili di
valutazione disciplinare, dei quali cura la successiva trasmissione al CDD
competente;
relativi alle richieste di ammissione al patrocinio a spese dello Stato [art. 9 GDPR];
di utenti relativi all’attività di Sportello al cittadino;
relativi ai poteri di vigilanza, controllo e monitoraggio regolare e sistematico degli
iscritti negli albi elenchi e registri ex art. 29 L 247/2012;
inerenti l’acquisizione di segnalazioni circostanziate e puntuali sulla magistratura
per il buon andamento dell’amministrazione della giustizia ed in riferimento ai
compiti espressamente previsti ex lege, come i pareri ai Consigli Giudiziari.
L’ORDINE DEGLI AVVOCATI PUÒ NOMINARE DEI RESPONSABILI ESTERNI
DEL TRATTAMENTO? CON QUALI FORMALITÀ?
Il Responsabile del trattamento (“Data Processor” nella versione anglofona) è definito dal
GDPR come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo
che tratta dati personali per conto del titolare del trattamento”. Esempi tipici sono costituiti
dai soggetti esterni incaricato della gestione del sito web, della posta elettronica o dei
servizi cloud.
Tali soggetti, già nella sistematica del Codice della Privacy, devono essere nominati quali
“responsabili”.
L’art. 28 del GDPR delinea in dettaglio i rapporti tra titolare (Data Controller) e
responsabile (Data Processor), stabilendo innanzitutto che si debba ricorrere a
responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure
tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del
regolamento e garantisca la tutela dei diritti dell’interessato.
Se, infatti, un Responsabile del trattamento viola il GDPR non adempiendo agli obblighi
normativi o agendo difformemente alle istruzioni impartite dal Titolare è considerato egli
stesso Titolare del trattamento in questione e risponderà direttamente (o, se in
corresponsabilità, in solido) per il risarcimento del danno cagionato all’interessato (ex art.
82), e delle sanzioni di cui agli artt.83 ed 84 del GDPR.
Perché i compiti, gli oneri ed i poteri nell’esecuzione dei trattamenti del Responsabile
siano sempre chiaramente definiti, l’entità dei trattamenti dovrebbe essere
specificatamente disciplinata da un contratto -individuando innanzitutto la materia
disciplinata, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati
personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, e
comprenda tutti gli ulteriori elementi specificati nell’art. 28, comma 3, del GDPR- ovvero da
un atto giuridico o da una norma cogente che vincoli il Responsabile del trattamento al
Titolare del trattamento. È possibile scegliere un contratto individuale o clausole
contrattuali tipo eventualmente adottate direttamente dalla Commissione oppure da
un’Autorità (come il nostro Garante per la protezione dei dati personali).
Occorre poi disciplinare espressamente se il responsabile possa avvalersi o meno di subresponsabili
per il trattamento.
E’ quindi importante che ogni COA provveda:
1. Alla verifica di eventuali contratti eventualmente già in essere, per accertarne la
compatibilità con l’art. 28 del GDPR;
2. All’inserimento puntuale, nei bandi e contratti, delle pattuizioni necessarie per
soddisfare i requisiti previsti dall’art. 28, anche con riguardo alle garanzie di rispetto
dei principi del GDPR, che i responsabili devono possedere.
Questi adempimenti saranno facilitati, in futuro, dall’emanazione, da parte della
Commissione europea o del Garante, di clausole contrattuali tipo.
L’ORDINE DEGLI AVVOCATI DEVE DESIGNARE UN DPO ?
Sì. L’art. 37, par. 1, del GDPR recita testualmente che “Il titolare del trattamento e il
responsabile del trattamento designano sistematicamente un responsabile della
protezione dei dati ogniqualvolta […] il trattamento è effettuato da un’autorità pubblica o da
un organismo pubblico […]”. In considerazione della natura di ente pubblico dell’Ordine
degli Avvocati, esso sarà obbligato a nominare un Responsabile della Protezione dei Dati
(o Data Protection Officer – DPO).
9. QUALI REQUISITI DEVE AVERE IL DPO?
Il paragrafo 5 dell’allegato A alle “Linee guida sui responsabili della protezione dei dati
adottate il 13 dicembre 2016 [Versione emendata e adottata in data 5 aprile 2017]“ in
esplicazione dell’articolo 37, paragrafo 5 GDPR, chiarisce che il DPO “è designato in
funzione delle qualità professionali, in particolare della conoscenza specialistica della
normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i
[rispettivi] compiti […] il livello necessario di conoscenza specialistica dovrebbe essere
determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati
personali oggetto di trattamento. Per esempio, se un trattamento riveste particolare
complessità oppure comporta un volume consistente di dati sensibili, il DPO avrà
probabilmente bisogno di un livello più elevato di conoscenze specialistiche e di supporto.
Fra le competenze e conoscenze specialistiche pertinenti rientrano le seguenti:
adeguata conoscenza della normativa e delle prassi nazionali ed europee in
materia di protezione dei dati (compresa un’approfondita conoscenza del GDPR)1
familiarità con le operazioni di trattamento svolte;
familiarità con tecnologie informatiche e misure di sicurezza dei dati;
conoscenza dello specifico settore di attività e dell’organizzazione del titolare/del
responsabile;
capacità di promuovere una cultura della protezione dati all’interno
dell’organizzazione del titolare/del responsabile.”
Il Garante della protezione dei dati personali, con newsletter n. 432 del 15 settembre 2017
(link), ha offerto le prime indicazioni su come scegliere il Responsabile della protezione dei
dati personali (DPO): non facendo meramente riferimento ad attestazioni formali sul
possesso delle conoscenze o l’iscrizione ad appositi albi professionali, ma verificando con
particolare attenzione la presenza di competenze ed esperienze specifiche.
I DPO per i COA dovranno, infatti, avere un’approfondita conoscenza della normativa e
delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative
che caratterizzano lo specifico settore ordinistico di riferimento. Nella selezione del DPO
sarà opportuno in primo luogo privilegiare soggetti che possano dimostrare qualità
1 In chiarimento delle norme del GDPR anche il Garante italiano ha più volte ribadito che non sono richieste
attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di
studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di
conoscenze professionali adeguate alla complessità del compito da svolgere, che possano
documentare le esperienze pregresse e la cui formazione sia adeguata (ad esempio con
la partecipazione a master e corsi di studio/professionali, in particolare se risulta
documentato il livello raggiunto, e se gli attestati ricevuti siano stati rilasciati all’esito di
verifiche al termine di un ciclo). In riferimento alla formazione, il Garante, nella risposta a
quesito del 28 luglio2017 (Doc-Web: 7057222) chiarisce che “gli schemi di certificazione
volontaria delle competenze professionali effettuate da appositi enti certificatori […]
rilasciate anche all’esito della partecipazione ad attività formative e alla verifica
dell’apprendimento, possono rappresentare, al pari di altri titoli, uno strumento per valutare
il possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di
per sé, a una “abilitazione” allo svolgimento del ruolo del RPD (ndr. DPO)”.
La normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali
delle competenze professionali come le certificazioni UNI, EN, ISO (le quali certificazioni,
ribadisce nella stessa risposta, non sono rientranti tra quelle disciplinate dall’art. 42 del
GDPR); Tali certificazioni volontarie, attestati di Corsi di studio/professionali, infatti, non
possono sostituire in toto la valutazione e l’analisi del possesso dei requisiti del DPO
necessari per svolgere i compiti da assegnargli in conformità all’art. 39 del GDPR, benché
possano comunque essere elementi valutativi del possesso di un livello adeguato di
conoscenza della disciplina. Elementi che devono essere considerati nell’insieme e legati
indissolubilmente ad una valutazione dell’esperienza professionale, fattuale ed empirica,
ovvero una valutazione autonoma del possesso dei requisiti necessari per svolgere i
compiti assegnati al DPO.
QUALI SONO I COMPITI DEL DPO?
Il Responsabile della protezione dei dati dovrà, in particolare:
a. sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla
luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
b. collaborare con il Titolare/Responsabile, laddove necessario, nel condurre una
valutazione di impatto sulla protezione dei dati (DPIA);
c. informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i
dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre
disposizioni in materia di protezione dei dati;
d. cooperare con il Garante e fungere da punto di contatto per il Garante su ogni
questione connessa al trattamento;
e. supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati
personali, anche con riguardo alla tenuta di un registro delle attività di trattamento
PUÒ ESSERE DESIGNATO UN DPO INTERNO? E IN CHE CASO?
Sì.“Il responsabile della protezione dei dati può essere un dipendente del Titolare del
trattamento o del Responsabile del trattamento”(art. 37, par. 6, del GDPR) ed è designato
in funzione delle qualità professionali, in particolare, come già visto, della (art. 37, par. 5):
conoscenza specialistica della normativa e delle prassi in materia di protezione dei
dati…” determinata in base ai trattamenti di dati effettuati e alla protezione richiesta
per i dati personali oggetto di trattamento, e
della capacità di assolvere i compiti di cui all’articolo 39”. Ciò significa, come chiarito
nelle Linee guida, che “il DPO, nell’esecuzione dei compiti attribuitigli ai sensi
dell’articolo 39, non deve ricevere istruzioni sull’approccio da seguire nel caso
specifico – quali siano i risultati attesi, come condurre gli accertamenti su un
reclamo, se consultare o meno l’autorità di controllo. Né deve ricevere istruzioni
sull’interpretazione da dare a una specifica questione attinente alla normativa in
materia di protezione dei dati”.
Al dipendente deve essere assicurata l’assoluta autonomia ed indipendenza dal Titolare
del trattamento (considerando 97). Nel GDPR vi sono numerose garanzie a presidio di
questo principio:
Il titolare o il responsabile del trattamento non possono impartire alcuna istruzione
per quanto riguarda lo svolgimento dei compiti affidati al DPO (articolo 38,
paragrafo 3);
Il DPO non può essere penalizzato o rimosso dall’incarico in rapporto allo
svolgimento dei propri compiti;
Non deve sussistere alcuna ipotesi di conflitto di interessi, anche con riguardo a
eventuali ulteriori compiti e funzioni.
Ciò significa, in primo luogo, che il DPO non può rivestire, all’interno dell’Ordine degli
Avvocati (organizzazione del titolare del trattamento o del responsabile del trattamento),
un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati
personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando
alla specifica struttura organizzativa del singolo titolare del trattamento o responsabile del
trattamento.
Occorre altresì sottolineare che il Gruppo di lavoro Articolo 29 ha ritenuto che possa
sussistere conflitto di interesse del DPO con i ruoli di amministratore delegato, di
responsabile del personale e di responsabile del sistema informativo; ruoli normalmente
ricoperti in ambito Ordinistico da dirigenti e funzionari che dovranno, pertanto, essere
esclusi dalla selezione.
PUÒ ESSERE DESIGNATO UN UNICO DPO PER PIÙ ORDINI?
Ai sensi dell’ articolo 37, paragrafo 3, è ammessa la designazione di un unico RPD per più
autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e
dimensione. L’articolo 37, paragrafo 2, consente di nominare un unico RPD a condizione
che quest’ultimo sia “facilmente raggiungibile da ciascuno stabilimento”.
Il concetto di raggiungibilità si riferisce ai compiti del DPO in quanto punto di contatto per
gli interessati, l’autorità di controllo e i soggetti interni all’organismo o all’ente, visto che
uno dei compiti del DPO consiste nell’“informare e fornire consulenza al titolare del
trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il
trattamento in merito agli obblighi derivanti dal presente regolamento”.
Poiché il DPO è chiamato a una molteplicità di funzioni, il titolare del trattamento o il
responsabile del trattamento deve assicurarsi che un unico DPO, se necessario
supportato da un team di collaboratori, sia in grado di adempiere in modo efficiente a tali
funzioni anche se designato da una molteplicità di autorità e organismi pubblici.
Se l’unicità della figura del DPO è una condizione possibile, appare comunque opportuno
procedere all’individuazione di più figure di supporto, con riferimento ai singoli Consigli
dell’Ordine o a “settori” dell’Ordine (Consigli Distrettuali di Disciplina, Camere arbitrali,
Organismi di mediazione e conciliazione, etc.) che facciano però riferimento a un unico
soggetto responsabile, sia che la scelta ricada su un DPO interno (ad uno dei COA), sia
che questa ricada su un DPO esterno.
IL DPO DEVE ESSERE NECESSARIAMENTE UNA PERSONA FISICA?
La funzione di DPO può essere esercitata anche in base a un contratto di servizi stipulato
con una persona fisica o giuridica esterna. In tale ultimo caso, è indispensabile che
ciascun soggetto appartenente alla persona giuridica e operante quale DPO soddisfi tutti i
requisiti applicabili come fissati nella Sezione 4 del GDPR; per esempio, è indispensabile
che nessuno di tali soggetti versi in situazioni di conflitto di interessi. Pari importanza
riveste il fatto che ciascuno dei soggetti in questione goda delle tutele previste dal GDPR:
per esempio, non è ammissibile la risoluzione ingiustificata del contratto di servizi in
rapporto alle attività svolte in quanto DPO, né è ammissibile l’ingiustificata rimozione di un
singolo appartenente alla persona giuridica che svolga funzioni di DPO. Al contempo, si
potranno associare le competenze e le capacità individuali affinché il contributo collettivo
fornito da più soggetti consenta di rendere alla clientela un servizio più efficiente.
Per favorire una corretta e trasparente organizzazione interna e prevenire conflitti di
interesse a carico dei componenti il team DPO, si raccomanda di procedere a una chiara
ripartizione dei compiti all’interno del team DPO e di prevedere che sia un solo soggetto a
fungere da contatto principale e “incaricato” per ciascun cliente. Sarà utile, in via generale,
inserire specifiche disposizioni in merito nel contratto di servizi.
SE L’ORDINE HA UN SOLO DIPENDENTE O COMUNQUE NON HA FIGURE
DIRIGENZIALI DEVE NOMINARE UN DPO ESTERNO?
Il DPO “riferisce direttamente al vertice gerarchico del titolare del trattamento o del
responsabile del trattamento” (art. 38, par. 3, del GDPR). Tale rapporto diretto garantisce,
in particolare, che il vertice amministrativo venga a conoscenza delle indicazioni e delle
raccomandazioni fornite dal DPO nell’esercizio delle funzioni di informazione e consulenza
a favore del titolare o del responsabile.
Alla luce delle considerazioni di cui sopra, nel caso in cui si opti per un DPO interno,
sarebbe quindi in linea di massima preferibile che, ove la struttura organizzativa lo
consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a
un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie
funzioni in autonomia e indipendenza, nonché in contatto diretto con il vertice
dell’organizzazione.
Quest’ultimo, affinché sia rispettata l’assenza di conflitto di interessi, occorrerà che non
svolga comunque ulteriori funzioni assegnate che, come indicato nelle Linee guida, e
come già approfondito al punto 10, possano comportare la definizione di finalità e modalità
del trattamento dei dati.
In caso di nomina di un DPO interno, l’art 38 comma 5 GDPR chiarisce che “Il
responsabile della protezione dei dati può svolgere altri compiti e funzioni”. Le linee Guida,
al par. 3.3, aggiungono che “ciò significa che il RPD (DPO), nell’esecuzione dei compiti
attribuitigli ai sensi dell’articolo 39, non deve ricevere istruzioni sull’approccio da seguire
nel caso specifico – quali siano i risultati attesi, come condurre gli accertamenti su un
reclamo, se consultare o meno l’autorità di controllo. Né deve ricevere istruzioni
sull’interpretazione da dare ad una specifica questione attinente alla normativa in materia
di protezione dei dati”,
L’ articolo 38, paragrafo 2 , del GDPR obbliga il titolare del trattamento o il responsabile
del trattamento a sostenere il DPO “fornendogli le risorse necessarie per assolvere tali
compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria
conoscenza specialistica”. Ciò si traduce, in modo particolare, nel poter disporre di tempo
sufficiente per l’espletamento dei compiti affidati al DPO e questo presupposto riveste
particolare importanza se viene designato un dipendente interno con un contratto parttime,
oppure se lo stesso soggetto si occupi di protezione dati oltre a svolgere altre
incombenze. In caso contrario, il rischio è che le attività cui il DPO è chiamato finiscano
per essere trascurate a causa di conflitti con altre priorità (Linee guida par. 3.2).
Per i motivi appena esposti, ancorché la nomina possa essere oggetto di valutazione caso
per caso, si reputa sconsigliabile la nomina di un DPO interno qualora sia l’unico
dipendente del Consiglio o, comunque, quando le figure professionali interne all’Ordine
non soddisfino i requisiti essenziali e necessari previsti dal Regolamento. Ed in riferimento
ai medesimi presupposti si reputa sconsigliabile la nomina di un DPO interno che non
possa garantire le caratteristiche precipue di competenza, professionalità, autonomia ed
indipendenza che deve (dimostrare di) possedere (quale requisito per la nomina stessa) il
DPO.
Certamente in questo caso sarà possibile, per più ordini contigui, nominare un unico DPO.
PUÒ ESSERE NOMINATO DPO UN AVVOCATO ISCRITTO ALL’ORDINE ?
L’art 38 comma 5 GDPR chiarisce che “Il responsabile della protezione dei dati può
svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento
si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi”.
Astrattamente i doveri di segretezza e riservatezza del Responsabile della protezione dei
dati in merito all’adempimento dei propri compiti sono tipici della professione forense (art.
13 CDF), così come il dovere di correttezza, di diligenza, competenza e preparazione
professionale (artt. 12, 14, 15 CDF). In tal senso non appaiono delinearsi preclusioni e la
qualifica di DPO ben può essere attribuita con un contratto di servizi ad un avvocato, il
quale ha per peculiarità proprie della professione forense caratteristiche del Responsabile
della protezione dei dati.
Ciononostante il complesso dei compiti assegnati al DPO aventi rilevanza sia interna
(consulenza, pareri, sorveglianza sul rispetto delle disposizioni) sia esterna (cooperazione
con l’autorità di controllo e contatto con gli interessati in relazione all’esercizio dei propri
diritti) sono impegnativi sia in termini di dedizione temporale sia in termini di diligenza
intellettiva. Pertanto ogni singolo Consiglio dell’Ordine dovrà valutare caso per caso, sia
considerando l’impegno base relativo al carico lavorativo tipico della figura, sia valutando
le attività generali e peculiari del Consiglio (ad esempio in riferimento al numero di iscritti,
se vi sono attivi Organismi interni per la mediaconciliazione, o per la risoluzione da crisi da
sovraindebitamento, o per la risoluzione alternativa delle controversie; se è attivo e con
che numeri di avventori lo Sportello al cittadino; se sono rilevanti le statistiche relative alle
richieste di patrocinio a spese dello Stato etc.) se questa attività di Responsabile della
protezione sia (o meno) compatibile con l’attività ordinaria e quotidiana, con il numero di
cause e con gli impegni derivanti dalla professione forense del singolo avvocato.
Sarà, inoltre, senz’altro opportuno che il soggetto incaricato versi in una situazione di
totale indipendenza rispetto al Consiglio dell’ordine stesso, inteso come Titolare del
Trattamento.
UN CONSIGLIERE DELL’ORDINE PUÒ ESSERE NOMINATO DPO ?
Si ritiene che possa sussistere conflitto di interessi tra Consiglio e membro dell’Ordine dal
momento che il Consigliere fa parte dell’organismo che è, nel contempo, Titolare del
trattamento dati.
PER LA RICERCA DI UN DPO OCCORRE UN BANDO DI GARA ?
Stante la natura giuridica di enti pubblici non economici, gli Ordini professionali ricadono
nell’ambito di applicazione del d.lgs. n. 50/2016, ai fini dell’affidamento dei contratti
pubblici di servizi.
L’affidamento dell’incarico di DPO ben potrà seguire le procedure semplificate di cui
all’articolo 36 del Codice dei contratti pubblici, ivi compreso l’affidamento diretto, nel
rispetto dei principi di economicità, efficacia, tempestività, correttezza, libera concorrenza,
non discriminazione, trasparenza, proporzionalità, pubblicità, rotazione degli inviti e degli
affidamenti, nonché del principio di prevenzione e risoluzione dei conflitti di interessi.
18. QUALI SONO LE FORMALITÀ DI NOMINA DEL DPO?
Il GDPR prevede all’art. 37, par. 1, che il titolare e il responsabile del trattamento
designino il RPD; da ciò deriva, quindi, che l’atto di designazione è parte costitutiva
dell’adempimento. Nel caso in cui la scelta del RPD ricada su una professionalità interna
all’ente, occorre formalizzare un apposito atto di designazione a “Responsabile per la
protezione dei dati”. In caso, invece, di ricorso a soggetti esterni all’ente, la designazione
costituirà parte integrante dell’apposito contratto di servizi redatto in base a quanto
previsto dall’art. 37 del RGP (per agevolare gli enti, in allegato alle Faq, è riportato uno
schema di atto di designazione).
Indipendentemente dalla natura e dalla forma dell’atto utilizzato, è necessario (in
conformità a quanto previsto dal quadro normativo di riferimento) che nello stesso:
sia individuato in maniera inequivocabile il soggetto che opererà come RPD,
riportandone espressamente
o le generalità,
o i compiti (eventualmente anche ulteriori a quelli previsti dall’art. 39 del
GDPR),
o le funzioni che questi sarà chiamato a svolgere in ausilio al
titolare/responsabile del trattamento,
o e l’eventuale assegnazione di compiti aggiuntivi.
L’eventuale assegnazione di compiti aggiuntivi rispetto a quelli originariamente previsti
nell’atto di designazione, dovrà comportare la modifica e/o l’integrazione dello stesso o
delle clausole contrattuali.
Nell’atto di designazione o nel contratto di servizi devono risultare succintamente indicate
anche le motivazioni che hanno indotto l’ente a individuare, nella persona fisica
selezionata, il proprio RPD, al fine di consentire la verifica del rispetto dei requisiti previsti
dall’art. 37, par. 5 del RGPD, anche mediante rinvio agli esiti delle procedure di selezione
interna o esterna effettuata.
La specificazione dei criteri utilizzati nella valutazione compiuta dall’ente nella scelta di tale
figura, oltre a essere indice di trasparenza e di buona amministrazione, costituisce anche
elemento di valutazione del rispetto del principio di «responsabilizzazione». Una volta
individuato, il titolare o il responsabile del trattamento è tenuto a indicare, nell’informativa
fornita agli interessati, i dati di contatto del RPD pubblicando gli stessi anche sui siti web e
a comunicarli al Garante (art. 37, par. 7).
Per quanto attiene al sito web, può risultare opportuno inserire i riferimenti del DPO nella
sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente
già presente. Come chiarito nelle Linee guida, in base all’art. 37, par. 7, non è necessario –
anche se potrebbe costituire una buona prassi, in ambito pubblico – pubblicare anche il
nominativo del DPO, mentre occorre che sia comunicato al Garante per agevolare i
contatti con l’Autorità (anche in questo caso, in allegato alle Faq, è riportato un modello di
comunicazione al Garante). Resta invece fermo l’obbligo di comunicare il nominativo agli
interessati in caso di violazione dei dati personali (art. 33, par. 3, lett. b)
[Nuove Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico (in
aggiunta a quelle adottate dal Gruppo Art. 29 in Allegato alle Linee guida sul RPD)]
(Modello del Garante e/o bozza di modello) allegato:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322273
19. C’È UN TERMINE PER LA NOMINA DEL DPO ?
Il GDPR sarà applicabile dal 25 maggio 2
Cookie | Durata | Descrizione |
---|---|---|
cookielawinfo-checkbox-advertisement | 1 year | Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Pubblicità". |
cookielawinfo-checkbox-analytics | 11 months | Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analisi". |
cookielawinfo-checkbox-functional | 11 months | Il cookie è impostato dal GDPR cookie consenso per registrare il consenso dell'utente per i cookie nella categoria "Funzionali". |
cookielawinfo-checkbox-necessary | 11 months | Questo cookie è impostato dal plugin GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari". |
cookielawinfo-checkbox-others | 11 months | Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altro. |
cookielawinfo-checkbox-performance | 11 months | Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Prestazioni". |
CookieLawInfoConsent | 1 year | Registra lo stato del pulsante predefinito della categoria corrispondente e lo stato del CCPA. Funziona solo in coordinamento con il cookie principale. |
viewed_cookie_policy | 11 months | Il cookie è impostato dal plugin GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale. |