Cos’è il GDPR?
Il General Data Protection Regulation (GDPR) è il Regolamento Europeo che ha armonizzato la disciplina del trattamento dei dati personali in Europa. É efficace a partire dal 25 Maggio 2018 ed obbliga qualsiasi soggetto giuridico, nell’ambito della propria attività d’impresa, ad assicurare un adeguato livello di protezione dei dati personali ed a conformarsi con le sue disposizioni.
Gli studi legali e gli avvocati che li compongono, i quali nell’ambito della loro attività professionale trattano una grande quantità di dati personali, anche di natura sensibile, sono anch’essi soggetti al GDPR.
In questa pagina, il nostro Studio vuole fornire ai propri clienti ed ai terzi interessati dai trattamenti, tutte le informazioni necessarie a comprendere le modalità con cui verranno gestiti i loro dati, nel rispetto dei principi di chiarezza e trasparenza imposti dal GDPR.
Alcune definizioni
Per poter comprendere pienamente le informazioni che seguiranno, occorre fornire la definizione dei termini fondamentali utilizzati dal GDPR e chiarirne il significato.
Dati personali
É un dato personale qualsiasi informazione riferita ad una persona fisica identificata o indentificabile. A titolo esemplificativo, sono dati personali il nome e il cognome, l’indirizzo, il numero di telefono, il codice fiscale, l’indirizzo di posta elettronica, le fotografie, la professione svolta, la retribuzione, i dati bancari, le condizioni di salute etc.
Non sono invece dati personali quelli riferiti alle società ed alle altre persone giuridiche, come la denominazione, la sede legale, la P.IVA, i dati di bilancio, gli indirizzi email aziendali come info@nomesocietà.it etc. Tuttavia, sono dati personali quelli delle persone fisiche che vi lavorano, come i legali rappresentanti, i dipendenti, i professionisti esterni etc.
Un dato è personale soltanto quando è possibile ricondurlo ad una persona fisica, anche compiendo uno sforzo ragionevole. Un dato completamente anonimo non è soggetto al rispetto della normativa.
Dati comuni e dati particolari (o "sensibili")
I dati personali possono essere sia di natura comune che di natura particolare (i c.d. “dati sensibili”). Entrambe le tipologie di dati sono soggette al rispetto del GDPR, tuttavia i dati sensibili richiedono un livello di attenzione superiore rispetto ai dati comuni.
Sono dati sensibili i dati relativi alla salute; vita ed orientamento sessuale; origine razziale o etnica; opinioni politiche; convinzioni religiose o filosofiche; appartenenza sindacale; dati genetici; dati biometrici (art. 9 GDPR).
Sono considerati dati di natura particolare anche i dati relativi a condanne penali e ai reati o a connesse misure di sicurezza (art. 10 GDPR).
Tutti gli altri dati personali vengono considerati dati comuni.
Trattamento di dati
Deve considerarsi trattamento qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
I ruoli del GDPR
Il GDPR distingue alcuni ruoli assunti dai soggetti giuridici nel trattamento dei dati personali. Un soggetto giuridico può infatti trattare i dati in qualità di titolare del trattamento, di responsabile del trattamento, di contitolare oppure di autorizzato al trattamento.
Titolare del trattamento
Titolare del trattamento è la persona fisica o giuridica che determina le finalità e i mezzi del trattamento di dati personali.
Ciascuna impresa è quindi titolare del trattamento di dati personali riferiti ai propri clienti, dipendenti e fornitori.
Quando si tratta di una società, titolare del trattamento non è il suo legale rappresentante, bensì la società stessa.
Contitolari del trattamento
Sono contitolari del trattamento due o più titolari che determinano congiuntamente le finalità e i mezzi del trattamento.
Responsabile del trattamento
È Responsabile del trattamento la persona fisica o giuridica che tratta dati personali per conto del Titolare del trattamento.
Quando un’impresa affida ad un fornitore esterno delle attività che comportano il trattamento di dati personali (es. consulenti del lavoro, commercialisti, fornitori di servizi IT, hosting provider etc.), quest’ultimo assume il ruolo di Responsabile esterno del trattemento.
Ai sensi dell’art. 28 GDPR, un Titolare può ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate. Il rapporto fra Titolare e Responsabile del trattamento deve inoltre essere regolato da un contratto (Data Processing Agreement) o da un altro atto giuridico idoneo a norma del diritto dell’Unione o degli Stati Membri.
Autorizzato al trattamento (o "incaricato")
Sono autorizzati al trattamento le persone fisiche che operano sotto la direzione del Titolare o del Responsabile del trattamento (come il personale dipenente) e che sono chiamati a trattare dati personali nello svolgimento dei loro compiti e delle loro mansioni.
Il ruolo dello Studio Legale Cappellini Carlesi e dei suoi professionisti
Il ruolo dell’Avvocato impone che il professionista mantenga la propria autonomia nell’assumere le decisioni. In virtù dei principi di autonomia ed indipendenza sanciti nel codice deontologico, l’Avvocato che abbia assunto un mandato professionale per conto di un cliente non può essere vincolato da istruzioni, né da parte di un superiore né da parte del cliente stesso.
Ciò vale anche per i trattamenti di dati personali che l’Avvocato effettua quando assume un incarico per conto di un cliente. In particolare, l’Avvocato può trattare dati del suo stesso cliente ma anche dati delle sue controparti, oppure di terzi interessati (si pensi ai testimoni, ai dipendenti del cliente, ai suoi famigliari etc.). Essendo l’Avvocato stesso a decidere finalità e modalità dei trattamenti dei dati, egli agisce in qualità di Titolare autonomo del trattamento, secondo le definizioni viste sopra.
Nell’ordinamento italiano, il rapporto fra Avvocato e cliente è di natura personale. Pertanto, in linea generale sarà Titolare del trattamento dei dati personali il singolo professionista a cui il cliente ha conferito mandato e non lo Studio Associato.
Nel caso in cui la difesa sia assunta da più professionisti, essi determinano congiuntamente le finalità ed i mezzi del trattamento e, pertanto, assumono il ruolo di Contitolari del trattamento.
Lo Studio professionale associato, il quale, ancorché privo di personalità giuridica, è soggetto capace di porsi come centro autonomo di rapporti giuridici e di situazioni giuridiche soggettive attive e passive, assume anch’esso il ruolo di Titolare, seppur limitatamente ad alcuni trattamenti di dati. In particolare, lo Studio associato è titolare dei trattamenti dallo stesso effettuati per finalità contabili e fiscali (es. emissione di fatture da parte dello studio associato), la riscossione dei pagamenti fatti allo Studio associato, la gestione dei dati dei fornitori e dei dipendenti, i dati trattati per funzioni di segreteria (es. risposta e smistamento delle chiamate etc.).
In alcuni casi, l’Avvocato può assumere anche il ruolo di Responsabile del trattamento per conto dei propri clienti. Ciò avviene quando l’Avvocato assume non un mandato stragiudiziale o giudiziale riservato alla categoria forense, bensì il ruolo di consulente esterno. A titolo esemplificativo, assume il ruolo di Responsabile del trattamento, l’Avvocato che assuma un incarico di consulenza per conto di un’azienda, ad esempio per assicurarne la compliance al GDPR, al D.Lgs. 231/01; alle normative in materia di sicurezza sul lavoro etc. Il ruolo di responsabile può essere assunto sia dal singolo professionista che dallo Studio professionale associato.
Informativa ex artt. 13 e 14 GDPR
Clicca su questo banner per conoscere come lo Studio Legale Cappellini Carlesi e i suoi professionisti trattano i dati personali in qualità di Titolari del trattamento.
In alcuni casi, l’Avvocato può assumere anche il ruolo di Responsabile del trattamento per conto dei propri clienti. Ciò avviene quando l’Avvocato assume non un mandato stragiudiziale o giudiziale riservato alla categoria forense, bensì il ruolo di consulente esterno. A titolo esemplificativo, assume il ruolo di Responsabile del trattamento, l’Avvocato che assuma un incarico di consulenza per conto di un’azienda, ad esempio per assicurarne la compliance al GDPR, al D.Lgs. 231/01; alle normative in materia di sicurezza sul lavoro etc. Il ruolo di responsabile può essere assunto sia dal singolo professionista che dallo Studio professionale associato.
Data Processing Agreement ex art. 28 GDPR
Clicca su questo banner per conoscere le condizioni applicate dallo Studio Legale Cappellini Carlesi e dai suoi professionisti quando trattano dati personali in qualità di Responsabili del trattamento per conto dei loro clienti.
Perché il cliente può rivelare dati personali al proprio Avvocato?
Il cliente può rivelare al proprio Avvocato informazioni riservate e dati personali, anche di natura sensibile ed anche riferiti a terzi soggetti, purché si tratti di dati funzionali allo svolgimento dell’incarico affidato.
Ciò è possibile senza violare le normative sulla privacy, in virtù del vincolo di riservatezza a cui l’Avvocato è sottoposto, a pena di sanzioni disciplinari, dal proprio ordinamento deontologico, nonché del diritto inviolabile di difesa sancito dall’art. 24 della Costituzione.
Quali sono i diritti degli interessati con riferimento ai loro dati personali?
L’interessato ha diritto di chiedere in ogni momento al Titolare e al Responsabile di conoscere i dati personali che lo riguardano e che vengono da essi trattati ai sensi dell’art. 15 Reg. UE 2016/679.
Egli ha inoltre diritto di pretendere la rettifica dei dati che lo riguardano inesatti e l’integrazione di quelli incompleti, ai sensi dell’art. 16 Reg. UE 2016/679.
L’interessato ha diritto alla cancellazione dei dati che non sono più necessari alla finalità per la quale sono trattati, di quelli trattati sulla base del suo consenso quando quest’ultimo viene revocato, di quelli illecitamente trattati etc. Per conoscere gli altri casi in cui può ottenere la cancellazione, l’interessato può far riferimento all’art. 17 Reg. UE 2016/679.
L’interessato ha diritto ad ottenere la limitazione del trattamento dei suoi dati nei casi descritti dell’art. 18 Reg. UE 2016/679, la portabilità dei suoi dati nei casi descritti dall’art. 20 Reg. UE 2016/679, nonché il diritto di opporsi al trattamento dei suoi dati nei casi descritti dall’art. 21 Reg. UE 2016/679.
Nell’eventualità in cui l’interessato ritenga vi sia stata una violazione nel trattamento dei suoi dati, potrà depositare un reclamo presso l’Autorità Garante per il trattamento dei dati personali.
La richiesta di cancellazione o l’opposizione al trattamento dei dati necessari all’esecuzione del contratto potrebbero comportare per il Titolare l’impossibilità di darvi adempimento. L’interessato non può opporsi al trattamento o pretendere la cancellazione dei dati che il Titolare è obbligato a trattare per l’adempimento degli obblighi contabili e fiscali o altri obblighi di legge.
L’interessato può revocare in ogni momento il consenso prestato per il trattamento dei suoi dati personali per finalità di marketing, senza che ciò comporti alcuna conseguenza pregiudizievole od impedisca l’esecuzione del contratto.
Esercita i tuoi diritti privacy
Clicca su questo banner per esercitare i tuoi diritti privacy.