Perché una Guida al GDPR per avvocati?
Molti avvocati ci chiedono quali adempimenti debbano compiere per garantire la compliance col GDPR.
Come noto, il Regolamento UE 2016/679 relativo alla protezione dei dati personali è direttamente applicabile negli Stati membri a partire dal 25 maggio 2018, e tutti gli studi legali, indipendentemente dalla loro dimensione e dalla natura dell’attività svolta, sono tenuti ad adeguarsi alle nuove norme in tema di privacy.
La presente Guida è diretta a costituire un vademecum di pronta consultazione per tutti gli avvocati che vogliano essere sicuri di trattare in modo lecito i dati dei propri clienti, che spesso sono, per loro natura, particolarmente sensibili, e non incorrere in sanzioni.
Nella Guida troverai tutte le informazioni, le norme e i documenti scaricabili gratuitamente.
Ricorda che forniamo anche assistenza e consulenza in materia di privacy per studi legali e professionisti, per cui se vuoi garantirti la conformità al Regolamento sulla protezione dati senza sforzi e preoccupazioni, puoi contattarci direttamente per ricevere un preventivo.
GUIDA AL GDPR PER AVVOCATI AVV. ELIO ERRICHIELLO
L’avvocato come titolare del trattamento
Ai sensi dell’art 4 comma. 7 GDPR (C74) il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (in inglese “Data Controller”).
L’avvocato sarà titolare del trattamento di tutte le informazioni che vengono allo stesso fornite dagli assistiti in virtù o in correlazione del mandato ricevuto. Inoltre, anche nell’ambito dei rapporti di collaborazione o di lavoro (ad esempio con una segretaria o il tecnico del computer) della gestione del libro paga e la gestione amministrativa del personale, l’avvocato – in qualità di datore di lavoro effettua un trattamento di dati. Lo deve pertanto effettuare in conformità alle norme del GDPR, in qualità di titolare, fornendo ai suoi dipendenti/collaboratori un’adeguata informativa e gestendo i loro dati in maniera lecita ai sensi dell’art. 6 GDPR, allo stesso modo di come tratta i dati dei clienti.
Nel caso di società tra avvocati o studi associati è l’ente giuridico – in nome del legale rappresentante – ad essere qualificato titolare; ciononostante, in virtù del mandato tra assistito e avvocato, mandato di natura prettamente personale e fiduciaria, si reputa che il titolare non potrà che ravvisarsi nell’avvocato che riceve il mandato (o negli avvocati della società o associazione che ricevono lo stesso)
In tutti i casi in cui vi sia un mandato a più colleghi che lavorano insieme ed in collaborazione determinando le finalità e le modalità del trattamento, il GDPR prevede altresì (art. 26, C79) la figura dei contitolari del trattamento quando più titolari determinano congiuntamente le finalità e i mezzi del trattamento.
Il responsabile del trattamento
Il responsabile del trattamento (nel nuovo regolamento europeo data processor) è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento (art. 4, par. 1, n. 8).
Si tratta di un soggetto, distinto dal titolare, che deve essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato.
La nomina del responsabile è discrezionale, ma se il titolare si avvale di soggetti esterni deve nominarli responsabili del trattamento attraverso un contratto.
Il ruolo del responsabile del trattamento di cui al regolamento europeo è chiaramente riservato ad un soggetto esterno all’azienda, con riferimento ai fornitori di servizi. Sia l’ICO britannico che il CNIL francese, infatti, richiamano espressamente il parere (1/2010) del Gruppo articolo 29 per evidenziare come il responsabile sia solo un soggetto esterno all’azienda.
Per quanto riguarda i professionisti iscritti ad albi o comunque le ipotesi in cui il fornitore esterno ha ampia autonomia (commercialista, avvocato, consulente del lavoro), il carattere autonomo della prestazione porta a configurare più correttamente il soggetto come titolare autonomo piuttosto che responsabile, appunto perchè non riceve istruzioni specifiche sul trattamento da parte del titolare.
Si tratta, in questi casi, di autonomi titolari, che non agiscono sotto le direttive dell’avvocato quale Data controller. Caso tipico di responsabile del trattamento è il gestore del web hosting, con cui l’avvocato dovrà stipulare necessariamente un contratto. Si reputa che l’avvocato mero domiciliatario, poiché tratta dati personali per conto del dominus mandatario (titolare del trattamento), sia da qualificarsi Responsabile ai sensi dell’art. 4 par. 8 del GDPR.
Accountability (responsabilizzazione)
Il principio basilare intorno a cui ruota il nuovo regolamento europeo sulla privacy è la cosiddetta Responsabilizzazione: ossia è posta in capo al titolare del trattamento, la responsabilità (accountability) di definire, dopo una attenta analisi dei dati trattati e dei possibili rischi connessi, le misure adeguate al fine di garantire il rispetto delle norme del GDPR, e le misure che l’avvocato deve assumere devono necessariamente essere adeguate alla struttura del singolo titolare ed elaborate, caso per caso, ricorrendo ad una preventiva analisi dei dati trattati, della mole degli stessi, dei rischi di trattamento dei dati gestiti.
Accountability, inoltre, significa anche essere in grado di “rendere conto” delle attività poste in essere e del fatto di aver rispettato i principi del GDPR, al fine di precostituire una prova della conformità del trattamento al fine di evitare pesanti sanzioni.
Scarica qui una copia gratuita del GDPR.
Guida al GDPR per avvocati
Documenti e adempimenti generali
Consenso
L’art. 6, par. 1, del GDPR indica le condizioni di liceità del trattamento, individuando 5 condizioni di cui almeno una deve ricorrere affinché il trattamento possa essere considerato lecito. Delle condizioni indicate, si evidenziano le seguenti:
- l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
- il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.
Pertanto, l’attività professionale potrebbe rientrare nella lettera b), e non sarebbe necessario un consenso esplicito, essendo sufficiente per il trattamento un consenso implicito.
Ciò nonostante, pare preferibile nell’ottica di accountability precostituirsi la prova di avere ottenuto il consenso. L’avvocato, quindi, dovrà sottoporre al cliente per la firma una dichiarazione di consenso in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive (C42).
Inoltre, l’avvocato potrebbe avere a che fare con dati personali particolarmente sensibili che rivelano l’origine razziale o opinioni etniche, politiche, credenze religiose o filosofiche, l’appartenenza sindacale, così come l’elaborazione di dati genetici, dati biometrici ai fini dell’individuazione di una persona fisica, dati sanitari unici o di vita, orientamento sessuale.
L’ articolo 9, comma 1 del GDPR prevede il divieto in linea di principio del trattamento di tali dati, salvo l’espresso consenso.
Tuttavia, l’articolo 9 prevede un’eccezione al comma 2.f) per “accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionale“.
Gli avvocati possono quindi trattare dati particolari nell’esercizio della professione purché i dati in questione siano strettamente necessari per esercitare o difendere i diritti dei clienti, ma in base a un’interpretazione stretta della norma pare che il consenso non sia necessario solo nella fase giudiziale, mentre sarebbe comunque necessario in caso di tutela stragiudiziale.
Anche per tale motivo è preferibile chiedere al proprio cliente di esprimere un consenso documentabile.
Il consenso è definito dall’art. 4, par. 1 n. 11, del GDPR come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Tale dichiarazione di consenso può essere posta in calce al mandato o all’informativa.
Scarica qui il modello di procura alle liti conforme al GDPR.
È facoltà dell’interessato revocare il proprio consenso in qualsiasi momento (art. 7, par. 2, del GDPR), ma “la revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca”.
Informativa
Mentre come accennato il consenso al trattamento dei dati potrebbe essere anche implicito, è sempre necessario per l’avvocato fornire ai propri clienti un’informativa sul trattamento.
In conformità con i requisiti della sezione 13 del GDPR, i clienti dovrebbero essere informati su:
- L’identità e i dettagli di contatto del titolare del trattamento (la ditta);
- i dettagli di contatto del responsabile della protezione dei dati quando ce n’è uno;
- L’obiettivo perseguito (gestione e monitoraggio dei file dei clienti);
- La base giuridica del trattamento (prestazione contrattuale o precontrattuale su richiesta del cliente);
- interesse legittimo del titolare se costituisce la base giuridica del trattamento ex 6. comma 1 lettera f;
- destinatari di dati (subappaltatori, ufficiali giudiziari, ecc.);
- flussi transfrontalieri;
- la durata di conservazione;
- i diritti dell’interessato;
- Condizioni per l’esercizio di questi diritti;
- Il diritto di revocare il consenso se è la base giuridica del trattamento;
- Il diritto di presentare un reclamo all’autorità di controllo;
- Informazioni sulla natura normativa o contrattuale del trattamento quando si tratta della base giuridica del trattamento.
Queste informazioni possono essere incluse nel mandato con il cliente; possono anche essere comunicate via e-mail o in occasione della trasmissione del preventivo. Il testo dell’informativa può anche essere inserito nel sito web dell’avvocato, a condizione che poi l’avvocato possa dimostrare che l’informativa è stata letta, ad esempio inserendo nel testo della procura che il cliente ha preso visione dell’informativa pubblicata sul sito, e di averla ben compresa.
In generale la modalità più pratica è predisporre un’apposita informativa da sottoporre al proprio cliente unitamente al mandato.
Scarica qui il modello di informativa conforme al GDPR.
L’avvocato deve tenere un registro dei trattamenti?
Il registro delle attività di trattamento, in conformità con l’articolo 30 del GDPR, elenca le informazioni sulle caratteristiche dei trattamenti effettuati dal titolare del trattamento sotto la propria responsabilità.
L’obbligo di tenere un registro delle categorie di trattamento dei dati personali non vige per le organizzazioni con meno di 250 dipendenti, a meno che il trattamento non includa un rischio per i diritti e le libertà delle persone interessate, sia non occasionale o se si riferisce in particolare a dati sensibili o a dati relativi a condanne e reati.
L’avvocato sarà quindi obbligato a istituire un registro delle attività trattamento solo quando nella sua attività il trattamento sia riferito a particolari categorie di dati o dati relativi a condanne e reati sanzioni, ovvero includa un rischio per i diritti e le libertà delle persone interessate o sia non occasionale.
Ad esempio, saranno tenuti a compilare il registro gli avvocati che si occupano di diritto penale, o quelli che si occupano di famiglia e minori, di diritto della previdenza sociale, di responsabilità medica e, in generale, che trattano i dati classificati come sensibili.
Il Working Party Article 29 (ora EDPB) di recente ha pubblicato un parere sul registro dei trattamenti in cui ha precisato che le tre ipotesi indicate dall’articolo 30, paragrafo, 5, che fanno scattare comunque l’obbligo di tenuta del registro anche per le imprese con meno di 250 dipendenti, non sono alternative, ed è sufficiente che occorra una sola delle condizioni per far scattare l’obbligo di tenuta del registro. In tal caso, è sufficiente registrare i soli trattamenti che attivano l’obbligo di tenuta.
Per cui, poiché quasi sempre il trattamento può definirsi “non occasionale”, la tenuta del registro è fortemente consigliata anche all’avvocato che tratti soltanto dati comuni, per fornire prova dell’esatto adempimento all’obbligo di adeguamento secondo il principio dell’accountability.
SCARICA QUI IL MODELLO DI REGISTRO DEI TRATTAMENTI CONFORME AL GDPR.
Il sito web dell’avvocato
Gli avvocati possono utilizzare siti web à per promuovere la loro attività, presentare i componenti dello studio, o pubblicare articoli.
Secondo recenti studi il 67% dei siti web non rispetta le norme sulla privacy.
Per scoprire se il proprio sito web rispetta la normativa e ottenere la conformità col GDPR, l’avvocato dovrebbe chiedere consiglio ad un esperto.
Per informazioni CLICCA QUI:
ANALISI E CONFORMITA’ PER IL TUO SITO WEB? ECCO LA SOLUZIONE
Guida al GDPR per avvocati
Principi da rispettare
Minimizzazione dei dati
E’ il principio secondo il quale i dati personali da trattare per ogni singola attività debbano essere soltanto quelli necessari per il raggiungimento dello scopo. L’avvocato deve interrogarsi sulla necessità di trattare dati personali per raggiungere le finalità richieste dal trattamento e limitare al minimo il ricorso al trattamento dei dati personali, ove sia necessario, chiedendo solo i dati essenziali, necessari e pertinenti per compiere la prestazione richiesta dal cliente.
Conservazione
I dati personali possono essere conservati solo per il tempo necessario per il completamento dell’obiettivo perseguito durante la loro raccolta. In generale, i dati dei clienti possono essere tenuti per la durata del mandato professionale e sino a che un’eventuale azione di responsabilità professionale in cui potrebbe essere implicato l’avvocato, non sia prescritta.
È inoltre importante ricordare che i dati acquisiti in sede di identificazione e adeguata verifica ai sensi del decreto legislativo n. 231 del 2007 in materia di antiriciclaggio devono essere conservati per un periodo di 10 anni dalla cessazione del rapporto continuativo, della prestazione professionale o dall’esecuzione dell’operazione occasionale (art. 31, comma 3, d. lgs. 231 del 2007).
Quanto ai dati relativi ai dipendenti o ai collaboratori, questi potranno essere conservati per il tempo della durata del rapporto, aumentato dell’eventuale tempo di maturazione della prescrizione, al fine di far valere i diritti nascenti dal rapporto.
Sicurezza e riservatezza
Il considerando 74 del GDPR dispone: “È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”.
Nell’ambito delle misure adeguate ed efficaci, rientrano quelle dirette ad assicurare la sicurezza e riservatezza dei dati deontologici, cui l’avvocato è tenuto, anche per obblighi deontologici e per il rispetto del segreto professionale
L’avvocato, pertanto, nella sua qualità di titolare del trattamento deve prevedere tutte le misure necessarie per garantire la confidenzialità, integrità e disponibilità dei dati personali. Sotto il profilo della riservatezza, occorrerà prestare cautele sia per i dati cartacei (i fascicoli ad esempio, non possono essere consultati da persone non abilitate ed espressamente istruite e autorizzate ad accedervi) che per i dati informatici (cloud, computer di studio, mail di studio, dispositivi usb). Quanto alla sicurezza, è necessario verificare garantire la sicurezza dei locali (uffici bloccati, armadietti chiusi a chiave, ecc.) e la sicurezza del sistema informatico (firewall, password, antivirus, ecc.)
Quali misure adottare? Qualche esempio
Documenti o fascicoli analogici
- Limitare l’accesso all’ufficio;
- Non archiviare fascicoli o documenti contenenti dati personali in locali dello studio accessibili a tutti;
- Installare gli allarmi nei locali dello
Documenti digitali
- Per utilizzare i PC di ufficio impostare una password per i soli autorizzati con lunghezza minima di 8 caratteri contenenti maiuscole, lettere minuscole, numeri e caratteri speciale; non condividerla; non scriverla chiaramente su un foglio; evitare la pre-registrazione; cambiarla regolarmente;
- determinare persone che hanno il diritto di accedere ai dati personali di ciascun cliente;
- rimuovere le autorizzazioni di accesso obsolete;
- fissare un regolamento di utilizzo del computer e degli strumenti informatici;
- fornire mezzi di crittografia per computer portatili e dispositivi di archiviazione rimovibili (chiavette USB, CD, DVD), evitare di memorizzare dati personali sensibili dei clienti su mezzi portatili;
- eseguire il backup periodico dei dati.
E se vi fosse una perdita o furto di dati?
La violazione dei dati personali, il c.d. data breach, è una violazione della sicurezza che comporta accidentalmente o illecitamente, distruzione, perdita, alterazione, divulgazione o accesso non autorizzati di dati di natura personale trasmessi, conservati o altrimenti elaborati. Il titolare del trattamento ha l’obbligo di documentare – e di esibire ad eventuale richiesta del Garante – qualsiasi violazione dei dati personali, le circostanze che l’hanno causata, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
In ottemperanza agli artt. 33 e 34 del GDPR l’avvocato, quale titolare del trattamento, in caso di alta probabilità di rischio dei diritti e delle libertà personali, deve notificare al Garante e comunicare agli interessati tutte le violazioni dei dati personali di cui viene a conoscenza.
Guida al GDPR per avvocati
Diritti dell’interessato
Revoca del mandato e portabilità
Come noto, in caso di revoca del mandato, l’avvocato non ha alcun diritto di ritenere gli atti e i documenti di causa nel caso in cui la parte assistita ne faccia richiesta, né può subordinare la restituzione del fascicolo o dei documenti al pagamento delle spese e dell’onorario.
Quanto al divieto di ritenzione, è l’art. 2235 c.c. a sancire che “Il prestatore d’opera non può ritenere le cose e i documenti ricevuti, se non per il periodo strettamente necessario alla tutela dei propri diritti secondo le leggi professionali.”
L’art. 66 del R.D.L. del 27 novembre 1933 n. 1578 poi dispone che “Gli avvocati e i procuratori non possono ritenere gli atti della causa e le scritture ricevute dai clienti, per il mancato pagamento degli onorari e dei diritti loro dovuti o per il mancato rimborso delle spese da essi anticipate.”
Il GDPR aggiunge a tale divieto di ritenzione, anche il diritto di portabilità dei dati, di cui all’art. 20: “L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti”.
Per cui l’avvocato che ha inizialmente trattato i dati è tenuto a comunicare i dati del suo cliente o di un collega alle seguenti condizioni:
il cliente ha espresso il suo consenso al trattamento dei suoi dati personali o il trattamento è necessario per l’esecuzione di un contratto a cui il cliente è parte o l’esecuzione delle misure precontrattuali adottate a richiesta del cliente;
il trattamento è stato effettuato con mezzi automatizzati.
Pertanto, se il cliente richiede la trasmissione dei suoi dati ad un collega, l’avvocato dovrà trasferirli in formato strutturato comunemente usato e leggibile da una macchina.
Secondo il WP29 il diritto alla portabilità si applica solo se il trattamento è effettuato con l’aiuto di procedure automatizzate, e pertanto non è esteso ai fascicoli cartacei, che sembrano dunque esclusi dal diritto alla portabilità.
Per cui in caso di fascicolo in modalità esclusivamente cartacea, non si applica il diritto alla portabilità, ma il fascicolo deve essere comunque consegnato al cliente nel minor tempo possibile per gli obblighi deontologici e civilistici che comunque incombono sul professionista.
Diritto alla cancellazione – diritto all’oblio
L’art. 17 del GDPR (C65, C66) prevede il diritto dell’interessato di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano ed il correlativo obbligo di adempiere senza ingiustificato ritardo da parte del titolare stesso.
Il diritto può essere esercitato quando:
- a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento; c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2; d) i dati personali sono stati trattati illecitamente; e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.
L’avvocato non è tenuto alla cancellazione quando il trattamento sia necessario: a) per l’esercizio del diritto alla libertà di espressione e di informazione; b) per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento; c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 9, paragrafo 2, lettere h) e i), e dell’articolo 9, paragrafo 3; d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Per l’avvocato ad esempio il diritto alla cancellazione non potrà essere esercitato sino quando non sia maturato il termine di prescrizione dell’azione per la responsabilità professionale.
Diritto di rettifica
Secondo l’art. 16 del GDPR, l’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
In tali casi, l’avvocato è tenuto ad adempiere alla richiesta di rettifica da parte del proprio cliente.
Il diritto di accesso ai dati
Il GDPR apporta le rilevanti modifiche anche sul diritto di accesso nell’art. 15 del Regolamento.
In particolare, l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un’autorità di controllo; g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Su richiesta del proprio cliente, l’avvocato può essere tenuto a fornire una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, l’avvocato può addebitare un contributo spese ragionevole basato sui costi amministrativi.
Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico (ad esempio tramite mail o PEC).
In caso di richiesta di accesso, il tempo di risposta è un mese dal ricevimento della richiesta (articolo 12.3).
Guida al GDPR per avvocati
Trattamento di dati su larga scala
Con specifico riferimento alla figura dell’avvocato ed al trattamento dei dati relativi ai propri assistiti, il C91 precisa che tale trattamento non dovrebbe mai essere considerato su larga scala. Pertanto, si può ritenere che la maggior parte degli studi legali non trattino siffatti dati personali su larga scala che pertanto, non sia per loro obbligatoria la nomina di un responsabile della protezione dei dati e la redazione di una valutazione d’impatto (DPIA).
Ciò nonostante, in caso di studi legali particolarmente grandi, potrebbe essere necessario provvedere a questi ulteriori adempimenti.
In particolare, la valutazione dell’opportunità o meno di nominare un Data Protection Officer o responsabile per la protezione dei dati deve essere effettuata caso per caso, in funzione in particolare dei seguenti parametri:
- numero di persone interessate dal trattamento di dati personali
- volume dei dati trattati,
- la durata
- permanenza delle attività del trattamento
- estensione geografica dell’attività di
Quanto invece alla valutazione di impatto – che l’art. 35 del GDPR (C84, C89-C93, C95) prescrive – quando sia probabile che un tipo di trattamento possa creare un elevato rischio per i diritti e le libertà delle persone fisiche, ivi compreso il trattamento su larga scala di dati particolari – la stessa è comunque necessaria laddove vengano soddisfatti almeno due dei nove dei criteri indicati dal WP29 (valutazione-punteggio, decisione automatica con effetto legale o simili; monitoraggio sistematico; raccolta di dati sensibili; collezione dati personali su larga scala; riferimenti incrociati di dati; persone vulnerabili; uso innovativo; esclusione del beneficio di un diritto-contratto). Maggiore è il numero di criteri soddisfatti dal trattamento, più è probabile che sia presente un rischio elevato per i diritti e le libertà degli interessati e, di conseguenza, che sia necessario realizzare una valutazione d’impatto sulla protezione dei dati.
Se il tuo studio legale è particolarmente grande e ramificato, ti consigliamo quindi di chiedere una consulenza specifica sul tuo caso cliccando QUI.
a cura di elio errichiello