Codice privacy: i professionisti fanno eccezione all’obbligo Dpo e registro trattamenti

Qualsiasi tipologia di professionista - dall’amministratore di condominio all’architetto, dall’avvocato al medico ordinario - svolge la propria attività avvalendosi di informazioni. Queste, in massima parte, sono riconducibili direttamente o indirettamente a persone e, pertanto, vanno utilizzate secondo le prescrizioni di legge a protezione dei dati personali. È comprensibile, quindi, che l’avvento del nuovo regolamento europeo 2016/679 (Gdpr) abbia sollevato numerosi interrogativi riguardo alla sua applicabilità in ambito professionale. Ogni professionista si chiede cosa cambi dal passaggio della normativa del codice privacy a quella del Gdpr e a seguito dell’introduzione del decreto di adeguamento 101/2018.

Spaventa il complesso impianto regolatorio introdotto dalla norma europea e, allo stesso tempo, il novello principio della responsabilizzazione del professionista nel valutare l’adeguatezza del proprio comportamento nell’utilizzo delle informazioni personali, aggiunge ulteriore disagio anziché consentirne di cogliere quei margini di flessibilità comportamentale che ne conseguono.

Per tentare di fare chiarezza sull’impatto, vanno distinti i contesti di riferimento e le tipologie di attività; l’impatto è naturalmente diverso per un contabile rispetto a un medico e, in quest’ultimo caso, le regole possono cambiare se si svolge l’attività sanitaria come medico ordinario piuttosto che come medico legale.

Non bisogna dimenticare, infatti, che la disciplina è scalabile in base a diversi criteri: la finalità d’uso dei dati, la natura degli stessi, la tipologia di soggetti cui i dati si riferiscono, il livello di rischio riguardo ai diritti e libertà degli interessati. Risulta chiaramente intuibile, quindi, che anche all’interno della medesima categoria professionale, l’impatto dell’adeguamento muta in dipendenza dell’esercizio della professione come singolo piuttosto che all’interno di una grande organizzazione professionale; avendo presente che l’approccio scalabile della normativa prevede un particolare regime di favore per le micro, piccole e medie imprese (inclusi artigiani e professionisti), sostanzialmente rimesso alla regolamentazione degli Stati membri e delle autorità di supervisione. Il decreto 101/2018 di adeguamento al Gdpr, attribuisce al Garante il compito di prevedere con apposite linee guida, modalità semplificate di adempimento degli obblighi di questi titolari, tra cui i professionisti. Infine, è da respingere l’errato convincimento di alcune categorie professionali secondo cui si sarebbe esentati dall’applicabilità della norma, considerata la particolare natura della professione svolta: in realtà, possono sussistere facilitazioni o deroghe giustificate dalla specificità della professione e nei limiti in cui esse siano necessarie per soddisfare un altro diritto fondamentale temporaneamente antagonista alla privacy, come quello della tutela della salute o del diritto di difesa, ma esoneri indiscriminati sono incompatibili con la natura fondamentale riconosciuta al diritto alla protezione dei dati personali.

Alcune indicazioni, comunque, possono trarsi sin d’ora: gli obblighi di tenuta del registro dei trattamenti e di designazione del Dpo (data protection officer), generalmente non saranno dovuti per singoli professionisti. Il professionista sanitario che utilizza dati personali dei pazienti per finalità di cura ed assistenza sanitaria non sarà più tenuto a richiedere il consenso dell’interessato, dovendo però fornirgli comunque chiare e semplici informazioni su tale utilizzo e sui diritti esercitabili. Qualsiasi tipo di professionista dovrà essere in grado di gestire le informazioni che usa adottando ragionevoli misure di sicurezza mentre i soggetti che supportano il professionista devono ricevere formali istruzioni comportamentali sull’uso delle informazioni personali.