Privacy e professionisti: nuovo GDPR

di Patrizia Biancucci

Mercoledì 9 maggio 2018 alle ore 18,30 è stato organizzato un incontro formativo sul tema della privacy presso l’Ordine dei Medici Chirurghi e degli Odontoiatri di Torino, corso Francia 8. L’ Avv. Antonio Ciccia, esperto in materia, illustrerà i nuovi adempimenti cui sono tenuti tutti i medici e gli odontoiatri per la cura dei loro pazienti. Il convegno avrà una funzione pratica di spiegare che cosa è stato cambiato dal nuovo regolamento CEE, fornendo indicazioni pratiche di quali adempimenti siano tenuti a svolgere medici e odontoiatri per non incorrere in pesanti sanzioni economiche. Stante la complessità della materia a fine del corso l’avvocato risponderà alle domande che gli saranno rivolte dai partecipanti. Il nuovo regolamento GDPR entrerà in vigore il 25 maggio 2018 e l’avvicinarsi di questa data induce a suggerire di partecipare all’evento.

Avv. Antonio Ciccia Messina, esperto di Privacy

Avv. Ciccia, la “questione Privacy” sta mettendo in allarme i professionisti: cosa può dirci in merito?

Privacy più leggera per il singolo professionista, seppure tenuto a una serie di adempimenti: mettere a posto i propri elaboratori, documentare l’analisi dei rischi, autodenunciare una violazione di sicurezza, aggiornare le informative e i consensi. Più complicata invece la situazione delle associazioni e delle società tra professionisti. Alcuni adempimenti importanti e costosi, come la nomina di un responsabile della protezione dei dati o la stesura della valutazione di impatto non sono stati espressamente esclusi per chi svolge la professione non in forma individuale.

Il regolamento UE n. 2016/679 non chiarisce tutti gli aspetti operativi e somiglia di più a una normativa quadro che a una disciplina compiuta. Si ribatterà che questa impostazione è quella consapevolmente prescelta dal legislatore europeo, che preferisce che siano i singoli titolari del trattamento a responsabilizzarsi e a scrivere le regole concrete, assumendosene le relative responsabilità.

Avv. Ciccia, cominciamo dagli adempimenti meno gravosi e meno nuovi: cosa ci dice del registro trattamenti?

È una mappatura dei trattamenti. Chi ha compilato il Documento Programmatico sulla sicurezza (obbligatorio fino al 2012) può recuperare le schede dei trattamenti e aggiornarlo. Sarà inoltre possibile che i singoli ordini/collegi/associazioni professionali sviluppino un modello di base, valido per tutti. Ciascuna categoria professionale, infatti, normalmente si riferisce a una legge professionale, che definisce l’oggetto della attività tipica, che potrà essere considerato un punto di partenza. Si pensi a forme di comunicazione e di promozione degli studi/associazioni/società che sfociano nel marketing oppure a modalità di contatto con la propria clientela attraverso nuove tecnologie (ad esempio piattaforme interne con account per ciascun cliente abilitato ad accedere al proprio fascicolo). Di questi aspetti si deve tenere conto nella redazione del registro dei trattamenti. Attenzione anche alla norma di esonero dall’obbligo di tenere i registri dei trattamenti: se si trattano dati sensibili o altri dati particolari il registro va istituito. Sul punto il Garante potrà diffondere schemi tipi di ausilio, ma già oggi vi sono buoni esempi, come il tracciato della notificazione al Garante.

Anche l’informativa sulla privacy non sembra una novità, è così? In effetti questo adempimento non è nuovo, essendo già diffuso tra i professionisti l’obbligo di consegnare un preventivo o di stendere un contratto di incarico professionale: saranno quelle occasioni da cogliere per dare l’informativa privacy, rinnovata nei contenuti dal regolamento Ue.

E per i dipendenti?

I dipendenti degli studi ora sono designati “autorizzati al trattamento” anziché “incaricati del trattamento”

Quello della sicurezza sembra essere un aspetto spinoso: perché?

Spinoso perché probabilmente implicherà anche qualche spesa per crittografare i server, comprare dispositivi mobili con la password, sistemare i back up degli elaboratori, ma così facendo si migliora anche la gestione documentale e dovrebbero essere considerate investimenti necessari per studi che lavorano con strumenti telematici. Peraltro ci sono ancora punti da chiarire e si attende un intervento del Garante, soprattutto per gli studi professionali associati.

Avv. Ciccia non crede che il consenso a trattamento dei dati sia piuttosto confuso?

Su alcuni aspetti importanti, che toccano i professionisti, il regolamento UE ha demandato ai singoli stati il completamento della disciplina privacy. Qui un nodo da sciogliere è quello dei dati sanitari, per cui il regolamento prevede la possibilità di trattare dati senza consenso per le professioni sanitarie: su questo si aspetta il legislatore italiano come e se si pronuncerà (ci riferiamo al decreto legislativo attuativo dell’articolo 13 della legge 163/2017, in scadenza al 21 maggio 2018).

Cosa ci dice riguardo i rapporti con i committenti?

Non è esplicitamente previsto se professioni debbano farsi nominare responsabili del trattamento dai propri committenti che trasferiscono dati di persone fisiche. L’aspetto è particolarmente rilevante a fronte della necessità di sottoscrivere un contratto e della responsabilità civile solidale (tra titolare e responsabile esterno del trattamento). In materia i Garanti europei (riuniti nell’organismo chiamato WP29) hanno affermato che la questione dipende dal grado di autonomia nell’esecuzione dell’incarico.

Si parla di codici di condotta: in che senso?

Il codice di condotta serve per avere certezze sugli adempimenti e per diminuire la responsabilità. Le professioni hanno dunque tutto l’interesse a definire al più presto questo codice. Il regolamento UE 2016/679 sollecita gli organismi rappresentativi di categorie, come quelle professionali, a scrivere un codice di condotta “privacy”, da far approvare dal Garante.

qui di seguito le Tabelle degli adempimenti

GDPR Tabelle adempimenti