di Valeria Zeppilli � Il nuovo regolamento sulla privacy, in vigore dal prossimo 25 maggio 2018, si applica a tutti coloro che entrano in contatto con i dati personali altrui e, quindi, anche agli avvocati.
Il CNF ha pertanto diffuso delle f.a.q. per orientare la migliore applicazione possibile della nuova normativa, attorno alla quale regna ancora parecchia confusione. Le linee guida, in particolare, si rivolgono ai consigli distrettuali dell'ordine degli avvocati, chiamati a una rigida attuazione del GDPR.
Attuazione del GDPR: le priorit�
Innanzitutto, vanno valutate le priorit� che, per il CNF, sono quelle della designazione del DPO (che per i COA � obbligatorio), dell'istituzione del Registro delle attivit� di trattamento e della notifica degli eventuali data breach con la previsione di specifiche procedure da adottare nel caso in cui siano commesse violazioni.
Oltre a ci� � importante che i COA, prima del 25 maggio prossimo, si attivino per aggiornare l'informativa, riesaminare le politiche interne sulla privacy, adegure i propri sistemi informatici, esaminare i rapporti che li legano con i responsabili esterni del trattamento, verificare che siano adottate misure tecniche e organizzative adeguate per affrontare i rischi connessi alla privacy, valutare l'eventuale esecuzione di una valutazione di impatto privacy.
Nomina dei responsabili esterni del trattamento
Nella nomina di responsabili esterni del trattamento, i COA devono controllare che gli stessi presentino delle garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate per la tutela dei diritti degli interessati.
Il consiglio, sul punto, � quello di specificare in un apposito contratto l'entit� dei trattamenti, individuando la materia disciplinata, la durata del trattamento, la natura e la finalit� del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento e cos� via.
Valutazione di impatto sulla protezione dei dati
Inoltre, i consigli dell'ordine degli avvocati potrebbero dover realizzare una valutazione di impatto sulla protezione dei dati (DPIA), specie con riferimento ai trattamenti su larga scala che comprendono dati sensibili e giudiziari (come quelli eseguiti per finalit� di ammissione al gratuito patrocinio).
DPO unico per pi� COA
Si � detto che tra le priorit� per l'attuazione del GDPR da parte dei Consigli dell'ordine degli avvocati vi � la nomina di un DPO.
Sul punto, il CNF si sofferma a lungo, descrivendo in lungo e in largo caratteristiche e funzioni di tale figura e le modalit� con le quali lo stesso pu� essere designato.
Particolarmente interessante � la riflessione fatta sulla possibilit� di nominare un unico responsabile per la protezione dei dati per pi� ordini.
A tale proposito, infatti, il Consiglio Nazionale Forense ha aperto le porte alla nomina unica precisando, tuttavia, che laddove la stessa sia la soluzione prescelta, � comunque opportuno procedere all'individuazione di pi� figure che lavorino a suo supporto, con riferimento ai singoli Consigli dell'ordine o a settori dell'ordine, come i Consigli Distrettuali di Disciplina, le Camere arbitrali, gli Organismi di mediazione e conciliazione e cos� via.
Chi pu� essere nominato DPO
Il CNF ha inoltre ammesso la nomina quale DPO di un avvocato iscritto all'ordine, purch� la mole di lavoro del legale sia tale da permettere l'esecuzione corretta dei compiti in tal modo affidatigli e purch� egli versi in una situazione di totale indipendenza rispetto al Consiglio dell'ordine di riferimento. Non � invece possibile nominare responsabile della protezione dati un Consigliere dell'ordine, posta la sussistenza di un conflitto di interessi connesso al fatto che tale soggetto � parte dell'organismo che �, al tempo stesso, titolare del trattamento dei dati.
Mancato adeguamento del COA al GDPR
In caso di mancato adeguamento al GDPR, con riferimento alla nomina del DPO, il COA pu� essere sottoposto ai poteri di avvertimento, ammonimento, ingiunzione e revoca della certificazione del garante della privacy, che pu� anche ordinare la rettifica e la cancellazione di dati personali, la limitazione del trattamento o la sospensione dei flussi di dati.
Inoltre o in aggiunta a tali misure, il Consiglio dell'ordine degli avvocati � anche passibile di sanzione amministrativa pecuniaria sino a 10milioni di euro.