La mia relazione non ha certamente la pretesa di chiarirvi dubbi dandovi interpretazioni autentiche su alcuni aspetti del regolamento che ancora attendono chiarezza.
Ricordiamoci che la legge 163/2017 ha delegato il Governo ad approvare i decreti legislativi attuativi delle norme “non direttamente applicabili”, la legge 163/2017 ha integrato le disposizioni in materia di “responsabile del trattamento”, la legge bilancio 2018 (art.1 comma 1020-1025) ha previsto disposizioni finalizzate ad un primo adeguamento al GDPR ed il provvedimento del Garante emesso a febbraio in ottemperanza alle disposizioni legge bilancio 2018 è stato pubblicato in Gazzetta Ufficiale ed entrerà in vigore in ottobre.
Per l’avvocato l’approccio, o meglio, l’adeguamento al regolamento europeo non è una “passeggiata”, una serie di ulteriori adempimenti di programmazione/organizzazione si aggiungono alla nostra attività quotidiana, appesantendola…
Adempimenti che, comunque, sono anche a nostra tutela e servono per imparare a trattare correttamente i dati personali con i quali abbiamo a che fare.
Il GDPR, a differenza del codice della privacy e delle precedenti norme in materia, introduce la possibilità in capo al titolare del trattamento di decidere quale trattamento effettuare, come effettuarlo, attenendosi ai principi cardine del regolamento, riconoscendo sulla base delle sue scelte la misura della sua accountability.
Il titolare non deve più limitarsi a porre in essere adempienti elencati ma comportamenti proattivi per essere compliance al GDPR.
Oggi ci occupiamo del piccolo studio legale o del c.d. sole practitioner
Per valutare le modalità di adeguamento ed il livello di attuazione/urgenza dell’implementazione di misure a tutela della privacy dei clienti/dipendenti è importante valutare la tipologia e soprattutto il settore di attività. Quanto andrò a dire vale per il piccolo studio o il solo avvocato mentre per un professionista che sia attivo anche on line, attraverso newsletter o un web, ci sono accorgimenti più articolati a cui attenersi cosi come più articolata dovrà essere la sua informativa.
Ci sono molti settori della nostra attività particolarmente sensibili in ottica privacy per la tipologia di dati con i quali si viene a contatto. Ad esempio: penale, sanitario, famiglia-minori, curatele, tutele, amministrazioni di sostegno o immigrazione.
Questi professionisti devono prestare la massima attenzione all’adeguamento ed al modo in cui trattano i dati, con particolare riferimento al trattamento dei dati in forma digitale, che è quello che spesso nasconde le maggiori insidie.
Torniamo a noi, come dobbiamo muoversi?
Il primo passo da compiere è una verifica dello stato dell’arte o meglio del nostro studio.
Identificato il tipo di dato con cui lavoriamo, dobbiamo esaminare la nostra infrastruttura informatica, quindi quali e quanti sistemi, quali misure tecniche abbiamo in essere e quale trattamento facciamo.
Il secondo passo è verificare come avviene la gestione dei documenti cartacei, dove sono conservati, come li conserviamo come li distruggiamo.
Di primaria importanza è poi l’Identificazione dei soggetti.
L’avvocato è sicuramente il titolare del trattamento di tutte le informazioni che vengono allo stesso fornite in virtù del mandato dei dati ma se è in mandato con collega, ci sarà una contitolarità (figura espressamente prevista dal reg. all’art.26) che richiede una regolamentazione interna tra i due legali che definisca le rispettive responsabilità ed osservanza degli obblighi nel rispetto del GDPR.
Saranno responsabili del trattamento coloro i quali effettueranno operazioni per conto del titolare, quindi il domiciliatario, il consulente del lavoro, il commercialista, il gestore del sistema. Tutti questi soggetti dovranno avere un contratto o accordo giuridicamente valido dal contenuto indicato dall’art. 28 del regolamento, mentre i collaboratori o dipendenti saranno i nostri designati al trattamento, designati per iscritto conformemente a quanto indicato dall’art.29.
L’adeguata informazione e l’aggiornamento dei collaboratori e/o dipendenti in materia di privacy diviene elemento necessario come di estrema importanza diviene una policy privacy da adottare.
Definiti questi aspetti, si deve passare all’adeguamento documentale.
Informativa:si dovranno rivedere le informative ed adeguarle al GDPR inserendo quanto richiesto dal regolamento in particolare inserendo la durata della conservazione dei dati (l’avvocato deve definire una politica di durata e conservazione dei dati), i diritti in capo all’interessato di cancellazione e di reclamo all’autorità garante.
Informativa in forma scritta che deve essere concisa, trasparente, comprensibile.
Consenso:oltre all’informativa è opportuno raccogliere il consenso del cliente (i casi di esclusione del consenso sono individuati all’art. 6 del reg e art.24 codice privacy), anche se non previsto, la forma scritta permette di precostituirsi una prova. Quindi si consiglia di fare sottoscrive al cliente una dichiarazione di consenso chiara, comprensibile che non contenga clausole vessatorie.
Si evidenzia che l’interessato in qualunque momento potrà revocare il consenso ma in tal caso la revoca non pregiudica la liceità del trattamento basato sul consenso prima della revoca.
Registro dei trattamenti: sebbene l’adozione del Registro sia obbligatoria solo per i soggetti che trattano sistematicamente categorie di dati particolari (ex sensibili) ovvero che effettuano trattamenti che presentano rischi per i diritti e le libertà dell’interessato, la sua stesura è raccomandabile sia perchè impone una compiuta analisi dei rischi, sia perché diverrà uno strumento importante per dare immediata dimostrazione del percorso di adeguamento privacy che si è adottato.
Il registro non deve rispettare particolari oneri di forma è sufficiente annotare i momenti in cui il professionista viene a contatto con i dati ed i modi in cui questi vengono trattato (raccolti, archiviati, comunicati) indicando per ogni momento quali accorgimenti vengono posti in essere per proteggere i dati.
L’art. 30 del GDPr stabilisce che il registro del trattamento debba individuare:
- Il nome ed i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dati (DPO);
- Le finalità del trattamento
- Una descrizione della categoria di interessati e della categoria dei dati personali
- Le categorie dei destinatari a cui i dati sono stati o saranno comunicati, compresi destinatari di paesi terzi
- Ove applicabile, i trasferimenti di dati personali verso un paese terzo, compresa l’identificazione del paese
- I termini ultimi previsti per la cancellazione delle diverse categorie di dati
- Una descrizione generale delle misure di sicurezza tecniche ed organizzative
È importante capire sin da subito, però, che il registro dei trattamenti non è un documento che una volta redatto può rimanere fermo e immutabile per sempre, dev’essere inteso come un vero e proprio strumento di lavoro, aggiornato ed attuale.
Dopo avere messo in atto le fasi predette, inizia la fase tecnica, la valutazione dei rischi e misure di sicurezza.
Il GDPR a differenza del codice della privacy non indica un elenco di misure minime di sicurezza da porre in atto ma la disposizione dell’art. 24 stabilisce che il titolare del trattamento debba non solo mettere in atto ma anche riesaminare e aggiornare, adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengono effettuate in conformità al GDPR. L’articolo non contiene un elenco di misure qualificate adeguate, tale formulazione non è una lacuna ma è volta a garantire modernità e flessibilità allo strumento normativo, le misure adottate vanno valutate di volta in volta tenendo in considerazione una serie di elementi tra cui la natura, l’ambito di applicazione, il contesto e le finalità del trattamento nonché i rischi aventi probabilità e gravità per i diritti delle perone fisiche, misure adeguate ovvero adeguate alla struttura del titolare elaborate caso per caso.
Dobbiamo quindi verificare la sicurezza sistemi e delle applicazioni, delle comunicazioni, dei sistemi terzi adottati e la sicurezza e nella disponibilità dei dati gestiti (backup), proteggere il nostro ambiente di lavoro informatico sia sugli attacchi fisici sia dagli attacchi lato software. Sarà necessario, quindi la protezione fisica dei dispositivi (ad es. password, crittografia) e la protezione informatica degli stessi (ad es. antivirus, firewall). Dovremo poi prestare attenzione in caso di cloud a quali cloud ci affidiamo.
Anche nell’utilizzo delle comunicazioni via mail dovremmo avere un approccio consapevole con un’ottica privacy e quindi in caso di invio di dati particolari criptare il nostro messaggio email.
Tuttavia, non dobbiamo dimenticarci di proteggere anche il dato analogico e quindi proteggere il dato anche nello spazio fisico dello Studio. Ne consegue che non potremo ricevere clienti alla presenza di pile di fascicoli sul tavolo con i nomi delle parti, i mobili in cui teniamo i fascicoli dovranno essere muniti di chiusura o comunque impedire accessi dei non autorizzati, lo smaltimento dei fascicoli dovrà avvenire dopo avere reso i dati contenuti non leggibili.
Qualora sia attuata una violazione dei dati, cioè una violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o trattati, il titolare ha l’obbligo di darne informazione all’interessato senza giustificato ritardo. L’art.33 del GDPR sancisce l’obbligo di notifica all’autorità di controllo entro 72 ore e parallelamente all’interessato. Le 72 ore decorrono dalla scoperta della violazione.
Concludendo, come evidenziato da Antonello Soro, presidente del Garante per la protezione dei dati:
“Il nuovo quadro giuridico europeo in materia di protezione dati rappresenta dunque un grande passo avanti nella direzione di un governo equilibrato delle innovazioni tecnologiche che hanno profondamente modificato la nostra società. Ma ciò che più di ogni altra misura garantirà l’effettività dei diritti sanciti, sarà la diffusione di quella “cultura della privacy” necessaria per promuovere, a un tempo, sviluppo economico e libertà, efficienza amministrativa e dignità della persona.”
Arianna Petazzoni
