L’Ordine è tenuto a compilare un registro di tutti i trattamenti svolti
Ai fini dell’adeguamento al nuovo Regolamento Ue 679/2016 (GDPR), il CNDCEC ha pubblicato ieri, con l’informativa n. 39, le Linee guida in materia di privacy e protezione dei dati personali e alcuni modelli che dovranno essere adottati dagli Ordini territoriali.
Dopo l’informativa n. 25/2018, dunque (si veda “Adempimenti privacy aggiornati con le nuove Linee guida” del 28 marzo 2018), il Consiglio nazionale torna sul tema fornendo anche alcuni fac simile che riguardano:
– gli accordi di contitolarità sul trattamento dei dati personali (art. 26 del Regolamento);
– l’informativa per il trattamento dei dati personali in riferimento ai fornitori e agli utenti che consultano il sito web dell’ODCEC (artt. 13 e 14 del Regolamento);
– la designazione del Responsabile della protezione dei dati (art. 37 del Regolamento);
– la nomina dei responsabili del trattamento, interni o esterni (art. 28 del Regolamento).
Fra le tipologie di trattamento che interessano l’Ordine vi sono la gestione anagrafica degli iscritti, la gestione e la tutela dell’Albo, dei registri e degli elenchi, l’organizzazione e la gestione degli esami di Stato, la gestione dei dati in materia disciplinare (ricorsi/reclami), la gestione dei compensi e contratti dei dipendenti, consulenti e fornitori.
Nell’ambito dei soggetti coinvolti nel trattamento vi sono, innanzitutto, l’Ordine, in quanto titolare del trattamento dei dati, in persona del Presidente dell’Ordine. Infatti, ai sensi dell’art. 4 n. 7 del Regolamento, è l’Ordine che determina in maniera autonoma finalità e mezzi del trattamento dei dati personali, nel caso specifico, degli iscritti.
Si fa presente che al titolare del trattamento (oltre che al responsabile del trattamento) è affidato un ruolo pro-attivo, dovendo – nel rispetto del più generale principio di responsabilizzazione (“accountability”) – porre in essere e aggiornare tutte le misure tecniche e organizzative adeguate volte a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato in maniera conforme al Regolamento (artt. 5 e 24 par. 1 del Regolamento).
L’Ordine, fra gli adempimenti privacy, è tenuto a compilare un registro di tutti i trattamenti svolti sotto la propria responsabilità (art. 30 par. 1 del Regolamento). L’Ordine, poi, effettua, secondo quanto prescritto dall’art. 35 par. 3 del Regolamento, una valutazione d’impatto sulla protezione dei dati (DPIA) per i trattamenti su larga scala che incidono su un vasto numero di interessati e che comportano un elevato rischio connesso, fra l’altro, all’utilizzo di particolari categorie di dati. L’Ordine deve anche garantire un livello di sicurezza adeguata al rischio per i diritti e le libertà degli interessati, adottando determinate misure tecnico-organizzative, quali, ad esempio, la pseudonimizzazione e la cifratura dei dati personali (art. 32 par. 1 del Regolamento).
Accanto all’Ordine può essere previsto un contitolare del trattamento, qualora le finalità ed i mezzi dei trattamenti siano determinati congiuntamente (art. 26 del Regolamento). Mediante uno specifico accordo sono disciplinate anche le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal Regolamento, con particolare riguardo all’esercizio dei diritti degli interessati e ai ruoli per la comunicazione dell’informativa.
In considerazione, poi, della molteplicità delle funzioni dell’Ordine, il CNDCEC ha predisposto anche due modelli relativi alla designazione dei responsabili del trattamento (art. 28 del Regolamento), definiti dall’art. 4 n. 8 del Regolamento come i soggetti che trattano dati personali per conto del titolare del trattamento. Si precisa che, qualora il responsabile del trattamento determini in maniera autonoma finalità e mezzi del trattamento, è considerato direttamente un titolare del trattamento in questione.
I trattamenti svolti da parte del responsabile del trattamento – che può essere interno o esterno – sono disciplinati da un contratto o altro atto giuridico avente ad oggetto la durata, la natura, la finalità del trattamento, il tipo di dati personali e le categorie degli interessati, le responsabilità affidate allo stesso responsabile, gli obblighi ed i diritti del titolare. Il titolare deve impartire specifiche istruzioni al responsabile del trattamento ai fini del trattamento dei dati personali; in caso di trattamenti particolarmente complessi, il responsabile può nominare, a sua volta, un sub-responsabile.
Accanto al titolare del trattamento (e al responsabile) vi sono le figure delle persone autorizzate al trattamento, che agiscono – dietro apposita nomina – sotto l’autorità dello stesso. In concreto, si tratta di tutti quei soggetti, quali dipendenti, collaboratori, consulenti e outsourcers, che intervengono nell’esecuzione dei trattamenti rispetto alle proprie mansioni e competenze (art. 29 del Regolamento).
Infine, va menzionata anche la nomina, nei casi di cui all’art. 37 par. 1 del Regolamento, del Responsabile della protezione dei dati (RPD), che può essere un dipendente dell’Ordine o un soggetto esterno nominato in forza di un contratto di servizi.