PRIVACY E LIBERE PROFESSIONI
ALCUNE DOMANDE RICORRENTI
di www.privacy.itDomanda: Sono un ragioniere iscritto all’albo e mi occupo principalmente di amministrazione del personale. Pur essendoci la autorizzazione generica per i professionisti iscritti agli albi, trattando dati sensibili (iscrizioni ai sindacati dei lavoratori) ho l’obbligo di fare la notifica al garante?
Risposta: No, la notifica ormai (dopo l’entrata in vigore del Codice della Privacy) non è più un obbligo generale. E’ importante evidenziare, però, che restano fermi tutti gli altri obblighi imposti dalla legge.
Domanda: Quali gli adempimenti per uno studio legale munito anche di apparati informatici?
Risposta: In un contesto tipo nel quale in genere si opera, deve essere fatta una primissima valutazione, prima di procedere nella attuazione negli adempimenti imposti dalla legge, di come è strutturata la gestione organizzativa delle attività di trattamento, di quali siano le figure soggettive dedicate ai trattamenti (titolare, responsabile e incaricati) e predisporre, eventualmente, precise deleghe e mansionari per gli incaricati.
Successivamente, per ciascuna attività deve essere fatta una puntuale valutazione su:
- quali tipi di dati personali vengono trattati;
- quale è l’ambito di comunicazione e diffusione dei dati (per esempio alla pubblica amministrazione);
- se vengono trattati dati sensibili;
- se vengono fatti trattamenti incompatibili con le finalità di raccolta.
Dopo la valutazione, occorre passare alla gestione degli adempimenti.
Per una gestione di trattamenti in conformità alla legge, inoltre, non deve assolutamente essere trascurato l’aspetto della sicurezza degli archivi.
Inoltre, per quanto attiene al caso specifico di uno studio legale, rileviamo che:
anche la semplice raccolta di fascicoli di causa dei clienti in faldoni deve considerarsi un trattamento di dati personali, svolto senza l’ausilio di strumenti automatizzati, non soggetto all’obbligo di notifica al Garante né al consenso dell’interessato, in quanto riguarda dati necessari all’adempimento di obblighi derivanti da un contratto di cui l’interessato è parte (articolo 24, lettera b del Codice).
E’ obbligatorio, però, informare l’interessato ai sensi dell’articolo 13.
Non si dimentichi, infine, l’obbligo dell’adozione delle misure per sicurezza dei dati, dettato dal combinato disposto dell’art.31 e segg. del Codice e dall’All.B.
Domanda: Può la Federazione Nazionale di un qualsivoglia Ordine Professionale Provinciale divulgare gli indirizzi privati degli iscritti all’Ordine, contro il volere dei singoli Ordini Provinciali, qualunque sia lo scopo per il quale la divulgazione avvenga?
Risposta:
L’art. 61 del Codice prevede la possibilità di divulgare i dati degli iscritti, poiché questa è una delle precipue finalità di un ordine professionale. Un’eventuale diffusione degli indirizzi per scopi diversi da quelli previsti per la tenuta dell’albo, però, sarebbe in ogni modo illegittima per violazione dei principi di cui all’art.11 del Codice.
Se la sua domanda, però, vuole intendere per "indirizzi privati" gli indirizzi diversi da quelli dove si trova lo studio professionale, evidentemente tale attività sarebbe illegittima in quanto il menzionato articolo prevede la possibilità di diffondere quei dati — diversi da quelli sensibili e giudiziari- che devono essere inseriti in un albo professionale. Tra essi, chiaramente non rientrano gli "indirizzi privati" delle abitazioni degli iscritti.
Solo a richiesta dell’interessato, potranno essere diffusi dati ulteriori.
Domanda: Per scendere nel particolare: per compiti non istituzionali e a richiesta di un singolo, possono essere divulgati gli indirizzi privati degli iscritti ai singoli Collegi Provinciali afferenti a detta Federazione?
Risposta: Il contenuto informativo degli elenchi pubblici deve essere definito per legge o per norma regolamentare: in un Albo o Elenco professionale non possono comparire dati la cui "pubblicazione" non sia espressamente prevista. Le informazioni, pertanto, non potranno essere eccedenti rispetto alle finalità di raccolta.
Domanda:
Svolgo la professione di avvocato. I quesiti che pongo sono i seguenti:
1) la semplice raccolta di fascicoli di causa dei clienti in faldoni è trattamento dati?
Risposta:
Si, costituisce un trattamento svolto senza l’ausilio di strumenti automatizzati, non soggetto all’obbligo di notifica al Garante né al consenso dell’interessato, in quanto riguarda dati necessari all’adempimento di obblighi derivanti da un contratto di cui l’interessato è parte (articolo 24, lettera b del Codice). E’ obbligatorio, però, informare l’interessato ai sensi dell’articolo 13.
Si rammenti, infine, l’obbligo di raccogliere il consenso per il trattamento dei dati sensibili.
Domanda: 2) i fascicoli attinenti al penale sono dati sensibili?
Risposta:
I dati sensibili sono unicamente quelli elencati dall’articolo 4 comma 1 lett.d) del Codice.
Tali dati rientrano, invece, tra quelli cd. "giudiziari".
Domanda: 3) i fascicoli dove si descrive lo stato di salute del cliente (ai fini del giudizio anche civile per es. incidente stradale o quant’altro) sono dati sensibili?
Risposta:
Si. Il trattamento di questo tipo di dati da parte di professionisti è stato comunque consentito, in via generale dal Garante, con autorizzazione rilasciata annualmente.
Tenga conto, peraltro, nella valutazione delle problematiche di applicazione della legge alla Sua professione, l’aspetto della sicurezza delle banche dati, perchè, probabilmente, è la più rilevante (anche in termini di adeguamento).
Domanda: Sono un notaio e vorrei sapere per quanto attiene la mia professione come mi devo comportare riguardo alla legge in oggetto.
Risposta:
E’ difficile dare una risposta generale al quesito da Lei posto, perchè occorrerebbe verificare, nello specifico, quali tipologie di dati personali vengono trattati nell’ambito della Sua professione.
Tenga conto, comunque, delle seguenti indicazioni di massima.
In generale, il trattamento inizia al momento della raccolta dei dati presso l’interessato.
Non sussiste, invece, l’obbligo di notifica al Garante, in quanto tale adempimento non ha più carattere generale.
Per le diverse scadenze previste dalla legge, verifichi periodicamente lo specifico documento nelle "news" del nostro sito.
Senza dubbio, molte delle attività di trattamento effettuate da professionisti e aziende rientrano nell’ambito di applicazione del Codice della Privacy.
In un contesto tipo nel quale in genere si opera, deve essere fatta una primissima valutazione, prima di procedere nella attuazione negli adempimenti imposti dalla legge, di come è strutturata la gestione organizzativa delle attività di trattamento, di quali siano le figure soggettive dedicate ai trattamenti (titolare, responsabile e incaricati) e predisporre, eventualmente, precise deleghe e mansionari per gli incaricati.
Successivamente, per ciascuna attività deve essere fatta una puntuale valutazione su:
1) quali tipi di dati personali vengono trattati;
2) quale e’ l’ambito di comunicazione e diffusione dei dati (per esempio alla pubblica amministrazione);
3) se vengono trattati dati sensibili;
4) se vengono fatti trattamenti incompatibili con le finalita’ di raccolta.
Dopo la valutazione, occorre passare alla gestione degli adempimenti.
Per una gestione di trattamenti in conformità alla legge, inoltre, non deve essere assolutamente trascurato l’aspetto della sicurezza degli archivi.
Domanda:
Ho uno studio professionale ed a suo tempo ho inviato alla Prefettura di Chieti, la comunicazione di possedere archivi anagrafici informatici con la specifica dell’attività da me svolta: consulenza amministrativa, fiscale.
Vorrei sapere se questa comunicazione fatta, con la legislazione presente renderà possibile l’invio di un questionario da parte dell’Autorità garante della privacy.
La lista dei soggetti che hanno comunicato di essere in possesso di archivi anagrafici, dovrebbe essere nelle Prefetture.
Risposta:
No, la notifica a suo tempo effettuata alla Prefettura non sostituisce la notifica al Garante di cui alla legge in oggetto. Evidenziamo però che, ormai, la notificazione al garante è un adempimento residuale, previsto solo per ipotesi particolari.
Peraltro, tenga conto che gli adempimenti imposti dalla legge non si esauriscono con la sola notifica, ma sono ben altri.
Privacy e lavoratori dipendenti
Privacy: come fare per non complicarsi la vita
La privacy e le attività economiche
Video-sorveglianza e privacy