Gdpr per avvocati: il titolare del trattamento dei dati

Che cosa fa il titolare del trattamento dei dati?

Nei rapporti con il cliente l’avvocato, in linea di massima, è il titolare del trattamento dei dati cioè il soggetto che decide i mezzi e le finalità del trattamento dei dati personali.

E’ l’avvocato che decide come trattare i dati, ad esempio in formato cartaceo o in formato elettronico, con conservazione in cloud, piuttosto che sul server, con trasmissione telematica dei dati, piuttosto che, ove possibile, con deposito del cartaceo.

Il cliente in quest’ambito non dà istruzioni al legale. Secondo le linee guida del Working Party ex art. 29 (il Gruppo dei Garanti Europei), infatti, la professione dell’avvocato è altamente tecnica e, conseguentemente, il legale deve poter agire in piena autonomia almeno con riferimento al trattamento dei dati.

Del pari è l’avvocato che decide le finalità del trattamento, cioè che decide in autonomia a quale scopo utilizzare i dati.

Chi è il titolare del trattamento dei dati negli studi complessi?

Nel caso di uno studio associato, le linee guida del Consiglio Nazionale Forense, individuano il titolare nel singolo avvocato che riceve il mandato giudiziale.

Se il Cliente conferisce il mandato a più avvocati, costoro saranno contitolari del trattamento dei dati; conseguentemente dovranno stipulare un accordo di contitolarità ex art. 26 GDPR, in cui dovranno ripartirsi rispettivi ruoli e responsabili anche con riferimento alla tutela dei diritti dell’interessato, cioè il cliente.

Il ruolo privacy dei collaboratori dell’avvocato

Tutti coloro che collaboreranno con l’avvocato alla gestione della pratica,” impiegate, praticanti, avvocati di studio”, dovranno essere nominati una volta per tutte quali soggetti “designati al trattamento dei dati” con uno specifico atto di cui parleremo in un altro post.

I sostituti processuali esterni allo studio ed i domiciliatari vanno nominati “responsabili esterni del trattamento” con specifico atto ex art. 28 GDPR. Quest’ atto non ha nulla a che vedere con la delega processuale che può rimanere orale.

Nota bene

Eccezione: secondo il Consiglio Nazionale Forense, se l’avvocato assume l’incarico per una mera consulenza da parte di un’impresa o un’associazione andrebbe qualificato come responsabile esterno del trattamento e non come titolare. In tal senso, il cliente dovrebbe firmare all’avvocato oltre all’informativa sulla privacy, anche l’atto di nomina di responsabile esterno del trattamento ex art. 26 GDPR. Personalmente ritengo che questo genere di eccezioni possa creare una certa confusione di cui si sarebbe fatto volentieri a meno.