In ottemperanza al fine ultimo del Regolamento, ossia quello di proteggere i dati dei cittadini europei, il Consiglio Nazionale Forense ha emanato delle f.a.q. per interpretare e tendere ad uniformare il corretto utilizzo delle disposizioni regolamentari da parte della professione forense, con particolare riferimento ai Consigli degli Ordini distrettuali che, in quanto enti pubblici non economici, sono coinvolti in prima linea, proprio in ragione delle funzioni svolte.
Dando rilevanza alle fondamentali novità introdotte ossia, il principio di responsabilizzazione, la previsione di una practice in tema di data-breach, l’istituzione del registro dei trattamenti e la designazione del DPO, il CNF diffonde il documento teso a incentivare gli ordini ad uniformare le proprie organizzazioni al Regolamento entro il prossimo 25 maggio.
Si apprende pertanto che in funzione del principio di Accountability, le priorità sono da rinvenirsi tanto nella nomina del DPO come nell’istituzione del registro del trattamento e nell’indicazione di eventuali data breach, prevedendo in ogni caso l’adeguamento del soggetto alla normativa vigente entro e non oltre il termine ultimo del 25 maggio per aggiornare la documentazione esistente, procedere alle verifiche relative alle misure di sicurezza (informatiche e fisiche) e valutare se sia opportuno provvedere ad effettuare una valutazione d’ impatto del trattamento eseguito sul dato ai sensi dell’art.35 del medesimo Regolamento.
Tra le varie faq relative alle modalità di esecuzione degli adempimenti, di particolare importanza, appare la n.15 in tema di individuazione del DPO e relativamente alla possibilità che anche un esercente la libera professione possa rivestire il ruolo di “Data Protection Officer”.
Sul punto, il CNF specifica che, fermo il fatto che il DPO possa svolgere ulteriori compiti e funzioni, gli obblighi di riservatezza e segretezza delineati dal Regolamento al proprio art.38,5 sono doveri del pari previsti dagli artt. 12,14,15 CNF creando pertanto una non singolare “assonanza” comportamentale del DPO all’esercente la professione di avvocato nell’esplicazione del proprio incarico.
È pur vero infatti che l’esercizio della posizione di garanzia che deve compiere il DPO non può prescidere da una conoscenza approfondita della normativa, delle linee guida relative, oltre ai principi giuridici anche di ordine generale necessari per la sua applicazione.
Appare chiaro quindi che DPO possa essere un avvocato fermo restando che la mole di lavoro del legale permetta di ricoprire questa rilevante funzione, e gli permetta di eseguire con correttezza i compiti che, in funzione del proprio ruolo, si ritroverà a compiere.
Il punto, che in questi termini, apparrebbe estremamente chiaro pone, da subito, i primi problemi di contrasto con la lettura che del medesimo dettato normativo fa l’Autorità francese, la quale da mesi ha escluso che il ruolo di DPO potesse essere ricoperto da un avvocato in ragione della sua (quantomeno) non completa dedizione al compito affidato a causa dell’attività libero professionale.
I prossimi mesi saranno cruciali per fugare dubbi applicativi di questo tipo dato che, per equità tra gli ordinamenti, dovrebbe essere adottato un comportamento unanime sul tema su tutto il territorio europeo.
Diletta Simonetti