Partiamo con la più ovvia delle premesse: alla stregua di tutte le Società e Associazioni, il Libero Professionista (Avvocato, Notaio, Commercialista, Consulente del Lavoro, Architetto, Ingegnere, Psicologo, Medico, ecc.) è considerato dal GDPR un Titolare del Trattamento Dati e, per tali ragioni, “costretto” ad essere compliant con quanto previsto dal Regolamento Europeo 2016/679.

Per la sua attività, il Professionista deve aver predisposto un Registro del Trattamento ex art. 30 (sulla qualità dei dati trattati, le categorie degli interessati coinvolte ed eventuali “autorizzati” al trattamento degli stessi per suo conto), una Valutazione sulla Sicurezza dei Trattamenti effettuati a norma dell’art. 32 (con valutazione in merito ai rischi della gestione di dati cartacei e digitali, oltre che eventuali Valutazioni specifiche per modalità di trattamento “particolari”, come ad esempio videosorveglianza, tecnologie particolarmente invasive in materia di qualità dati, ecc.), una Privacy Policy da rendere pubblica ed accessibile il più possibile e, ai sensi degli artt. 13 e 14, delle Informative per i Clienti al fine di fornire, al momento della raccolta, dettagli sulla organizzazione e sulla modalità di Trattamento dei dati.

Non occorrerà, invece, la nomina di un Data Protection Officer (Responsabile Protezione Dati) ex artt. 37-38 e 39 del Reg. UE 2016/679, necessitato solo nei casi dei grandi Studi Associati. 

Dato per assodato che, essendo passati circa 900 giorni dall’entrata in vigore del Regolamento summenzionato, tutti siano in perfetta forma GDPR (vero caro Professionista che ci stai leggendo?) e, per tali motivi, al di fuori della portata sanzionatoria del nostro Garante, andiamo a verificare il rapporto Professionista-Praticante all’interno della “impalcatura” Privacy.

Il Professionista, in cambio di formazione, si avvale frequentemente della collaborazione di un Praticante per gli incarichi a lui affidati; nella maggior parte dei casi, questi ultimi sono soggetti a loro volta iscritti in albi specifici (con relativi codici deontologici da rispettare) e “collegati” direttamente al Professionista presso il quale svolgono la loro attività discente-assistenziale.

Il Cliente deve sempre essere informato in merito alla possibilità che, nel dare seguito all’incarico, il Professionista possa avvalersi di altri soggetti; occorrerà, però, qualificarli correttamente all’interno dell’impalcatura Privacy a seconda del ruolo che essi ricopriranno ed in virtù delle diverse modalità collaborative presenti.

1 Praticante – Incaricato al trattamento

La fattispecie più comune si configura nel caso in cui l’aspirante professionista faccia esclusivamente parte dello studio dove svolge la pratica (in virtù del semplice vincolo Dominus – Praticante o anche in presenza di un contratto di qualsiasi genere che disciplini il rapporto tra le parti), utilizzi esclusivamente un computer appartenente al Professionista e non possegga un archivio personale. Per questi motivi, lo stesso non avrebbe alcun bisogno di predisporre una propria privacy poiché da considerarsi totalmente “interno” all’attività professionale svolta e, di conseguenza, qualificato come semplice Incaricato al trattamento dei dati.

2 Praticante – Co-Titolare del trattamento

La fattispecie più semplice da analizzare si configura quando il Professionista e il Praticante sono entrambi ritenuti soggetti Titolari del trattamento per il lavoro da conseguire; ciò accade quando sono entrambi a sottoscrivere un mandato professionale e, conseguentemente, a dover gestire i dati personali del mandante ognuno all’interno di una propria e personale struttura privacy. 

Un esempio? Il Praticante Avvocato abilitato ha la possibilità di svolgere alcune prestazioni legali entro determinate soglie: qualora dovesse realizzare una prestazione professionale in co-procura con l’Avvocato presso il quale svolge la pratica forense, risulterebbe co-Titolare del trattamento dei dati forniti dal cliente insieme al summenzionato.

3 Praticante – Responsabile del trattamento

Infine, vi è la fattispecie meno comune; come noto, ai sensi dell’Art. 28, comma I del Regolamento UE 2016/679: “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.”

Sarà necessaria questa procedura nei casi in cui un Praticante, che non ha sottoscritto il mandato professionale insieme al Professionista, svolga le pratiche per conto di quest’ultimo in totale autonomia, utilizzando il proprio computer e con un archivio personale. In questo caso, oltre alla necessità per il Praticante in questione di dotarsi di una propria struttura privacy (come nel caso n. 2 di Co-Titolarità), l’utilizzo del collaboratore dovrà essere previsto, oltre che nell’informativa da dare al cliente, anche nel Registro del Trattamento e nella Valutazione sulla Sicurezza dei Trattamenti effettuati. 

In tutti i tre casi summenzionati, comunque, è consigliata la predisposizione di un Vademecum contenente le best practices in materia di protezione dei dati da fornire al Praticante o, perché no, di un mini Codice di Condotta Privacy con relativo sistema sanzionatorio in pieno stile aziendale.

Per il Cliente (nonché Interessato ai sensi del GDPR) sarà comunque fatta salva la possibilità di richiedere che i dati conferiti al Libero Professionista vengano trattati esclusivamente da quest’ultimo.

Avv. Stefano Alberto Brandimarte