Il Consiglio Nazionale Forense ha emanato delle utili f.a.q. per ricordare ai Consigli dell'ordine degli avvocati gli adempimenti da compiere per il Gdpr entro il 25 maggio 2018

di Valeria Zeppilli - Il nuovo regolamento sulla privacy, in vigore dal prossimo 25 maggio 2018, si applica a tutti coloro che entrano in contatto con i dati personali altrui e, quindi, anche agli avvocati.

Il CNF ha pertanto diffuso delle f.a.q. per orientare la migliore applicazione possibile della nuova normativa, attorno alla quale regna ancora parecchia confusione. Le linee guida, in particolare, si rivolgono ai consigli distrettuali dell'ordine degli avvocati, chiamati a una rigida attuazione del GDPR.

Attuazione del GDPR: le priorità

Innanzitutto, vanno valutate le priorità che, per il CNF, sono quelle della designazione del DPO (che per i COA è obbligatorio), dell'istituzione del Registro delle attività di trattamento e della notifica degli eventuali data breach con la previsione di specifiche procedure da adottare nel caso in cui siano commesse violazioni.

Oltre a ciò è importante che i COA, prima del 25 maggio prossimo, si attivino per aggiornare l'informativa, riesaminare le politiche interne sulla privacy, adegure i propri sistemi informatici, esaminare i rapporti che li legano con i responsabili esterni del trattamento, verificare che siano adottate misure tecniche e organizzative adeguate per affrontare i rischi connessi alla privacy, valutare l'eventuale esecuzione di una valutazione di impatto privacy.

Nomina dei responsabili esterni del trattamento

Nella nomina di responsabili esterni del trattamento, i COA devono controllare che gli stessi presentino delle garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate per la tutela dei diritti degli interessati.

Il consiglio, sul punto, è quello di specificare in un apposito contratto l'entità dei trattamenti, individuando la materia disciplinata, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento e così via.

Valutazione di impatto sulla protezione dei dati

Inoltre, i consigli dell'ordine degli avvocati potrebbero dover realizzare una valutazione di impatto sulla protezione dei dati (DPIA), specie con riferimento ai trattamenti su larga scala che comprendono dati sensibili e giudiziari (come quelli eseguiti per finalità di ammissione al gratuito patrocinio).

DPO unico per più COA

Si è detto che tra le priorità per l'attuazione del GDPR da parte dei Consigli dell'ordine degli avvocati vi è la nomina di un DPO.

Sul punto, il CNF si sofferma a lungo, descrivendo in lungo e in largo caratteristiche e funzioni di tale figura e le modalità con le quali lo stesso può essere designato.

Particolarmente interessante è la riflessione fatta sulla possibilità di nominare un unico responsabile per la protezione dei dati per più ordini.

A tale proposito, infatti, il Consiglio Nazionale Forense ha aperto le porte alla nomina unica precisando, tuttavia, che laddove la stessa sia la soluzione prescelta, è comunque opportuno procedere all'individuazione di più figure che lavorino a suo supporto, con riferimento ai singoli Consigli dell'ordine o a settori dell'ordine, come i Consigli Distrettuali di Disciplina, le Camere arbitrali, gli Organismi di mediazione e conciliazione e così via.

Chi può essere nominato DPO

Il CNF ha inoltre ammesso la nomina quale DPO di un avvocato iscritto all'ordine, purché la mole di lavoro del legale sia tale da permettere l'esecuzione corretta dei compiti in tal modo affidatigli e purché egli versi in una situazione di totale indipendenza rispetto al Consiglio dell'ordine di riferimento. Non è invece possibile nominare responsabile della protezione dati un Consigliere dell'ordine, posta la sussistenza di un conflitto di interessi connesso al fatto che tale soggetto è parte dell'organismo che è, al tempo stesso, titolare del trattamento dei dati.

Mancato adeguamento del COA al GDPR

In caso di mancato adeguamento al GDPR, con riferimento alla nomina del DPO, il COA può essere sottoposto ai poteri di avvertimento, ammonimento, ingiunzione e revoca della certificazione del garante della privacy, che può anche ordinare la rettifica e la cancellazione di dati personali, la limitazione del trattamento o la sospensione dei flussi di dati.

Inoltre o in aggiunta a tali misure, il Consiglio dell'ordine degli avvocati è anche passibile di sanzione amministrativa pecuniaria sino a 10milioni di euro.

Privacy: f.a.q. CNF per i COA
Valeria Zeppilli

Foto: 123rf.com
Altri articoli che potrebbero interessarti:
In evidenza oggi: