La nuova privacy mette alla prova gli studi professionali: da oggi una guida in tre puntate
I ruoli della privacy. Dal titolare al responsabile del trattamento: così la designazione degli incarichi di chi deve garantire il rispetto delle regole
Titolare, incaricato, Dpo: i ruoli e le responsabilità sulla privacy. La prima puntata del focus sul Gdpr negli studi.
Anche in uno studio professionale sono diversi i ruoli legati alla protezione dei dati: ognuno con compiti e responsabilità precise. Le “posizioni” sono di fatto cinque (si veda la tabella a fianco). Il ruolo più importante ai fini della protezione dei dati è quello del titolare: la persona fisica o giuridica che determina le finalità, e cioè il motivo per cui si effettua un trattamento di dati personali, e i mezzi con cui si attua.
Dalle finalità perseguite emergerà anche la categoria di dati necessari a raggiungerle: ad esempio, nel caso di un rapporto di lavoro sarà necessario disporre di dati personali meramente identificativi, come quelli anagrafici, e di dati più delicati, come quelli sullo stato di salute, definiti dalla normativa come “particolari”.
Sia la finalità che le categorie di dati saranno i primi elementi utili a determinare le misure di protezione da applicare a tutte le informazioni raccolte. Ovviamente, vi sarà una diversa gradazione di protezione a seconda che si tratti di mere informazioni anagrafiche o di dati sanitari.
In un piccolo o medio studio di professionisti, titolare è il professionista che, attraverso la propria partita Iva, esercita la professione, seppure avvalendosi di uno o più dipendenti o collaboratori.
Mentre in uno studio associato tra più professionisti occorrerà operare un distinguo. Vi potranno essere casi in cui titolare del trattamento è l’associazione professionale, ovvero casi in cui il mandato è stato affidato dal cliente a uno o a più singoli professionisti e saranno essi, singolarmente, considerati titolari autonomi.
Può esservi anche il caso di due o più professionisti che, insieme, determinano le finalità e i mezzi del trattamento (contitolarità). In questo caso, essi redigeranno un accordo tra loro da portare a conoscenza dell’interessato che gli ha conferito il mandato. Nell’accordo sarà fondamentale indicare e regolare tra le parti le rispettive responsabilità nel trattamento di dati che ciascuno eseguirà.
Il responsabile esterno
Possono esservi anche terze parti che intervengono nel trattamento per conto del titolare. Ad esempio il consulente che redige la busta paga dei dipendenti, ma anche il professionista titolare del proprio studio, può trovarsi a ricoprire il ruolo di responsabile verso un terzo.
Il caso più ricorrente è di certo quello in cui un professionista viene incaricato da un altro professionista (a sua volta titolare) di gestire una pratica o una fase della stessa, sempre relativa al mandato ricevuto, anche solo come “domiciliatario” o come esperto di una specifica branca.
Nel ruolo di responsabile il professionista dovrà avere le medesime accortezze di quando effettua il trattamento come titolare autonomo.
Il Dpo
Il responsabile esterno non va confuso con il responsabile della protezione dati - nel regolamento privacy (il cosiddetto Gdpr) è indicato come Dpo,data protection officer - previsto solo in determinati casi e quindi tendenzialmente da escludere per studi di medie o piccole dimensioni.
Gli incaricati
Il regolamento non contempla altri ruoli. È ovvio però che nella prassi quotidiana il titolare o il responsabile, nello svolgimento del mandato ricevuto e quindi del trattamento di dati, abbiano necessità di avvalersi di uno o più collaboratori, coloro che, con la precedente normativa, venivano indicati come incaricati. Si tratta, ad esempio, di un addetto di segreteria o di un altro professionista che collabora all’interno della struttura.
Questi soggetti, che agiscono sotto l’autorità del titolare o del responsabile che li ha coinvolti nel trattamento, dovranno essere istruiti adeguatamente. Pur in assenza di specifiche indicazioni in tal senso, si suggerisce di fornire istruzioni per iscritto ovvero di avere traccia di averle impartite, per assolvere al principio di responsabilizzazione (accountability) cui il titolare deve sempre fare riferimento.