Aggiornamenti in pillole

Professione avvocato: questione di… privacy

6 anni fa
di Laura Lecchi
708 viste
16 min. (tempo medio di lettura)
Da quando ha fatto il suo ingresso nel nostro ordinamento per la prima volta, nel 1996, la privacy ha cominciato a far parlare di sé e a generare non pochi dubbi o riflessioni circa l’impatto che questa normativa avrebbe avuto per i professionisti ed in particolare per noi avvocati.

Ora come allora, il 25 maggio 2018 gli Stati membri dell’Unione Europea sono soggetti al nuovo regolamento UE 2016/679 in materia di Privacy (Regolamento Generale sulla Protezione dei Dati, meglio conosciuto con l’acronimo GDPR, General Data Protection Regulation), il quale abroga la precedente Direttiva ed introduce importanti novità, oltre ad un impianto sanzionatorio più oneroso. Il 25 maggio, gli oltre due anni di tempo concessi dal Regolamento europeo affinché i soggetti che trattano dati personali potessero adeguarsi (il Regolamento UE è stato emanato il 27 aprile 2016), sono inesorabilmente spirati, lasciando ancora una volta gli avvocati impreparati e disorientati rispetto a norme, questa volta, direttamente impartite dall’Unione Europea.

In particolare la questione che si è posta per tutti è stata quali prescrizioni e con quale modalità un avvocato deve adeguarsi alle norme in materia di protezione dei dati.

Cerchiamo qui di dissipare i dubbi più importanti con una serie di consigli pratici che possano essere usati come “linee guida domestiche”, per così dire, per riuscire ad essere “compliance” o conformi al regolamento europeo altrimenti noto come GDPR.

GDPR: un capolavoro… “incompiuto”

Dopo oltre due anni dall’entrata in vigore del GDPR, che lascia spazio ai legislatori di ciascun  paese membro di completare alcuni dettagli in materia di protezione dei dati personali, la normativa italiana non è ancora stata adeguata con quel tanto atteso decreto legislativo di coordinamento conle norme europee che completassero il quadro normativo di riferimento italiano, lasciando la prassi indefinita.

Complici anche le elezioni e i tempi biblici di “gestazione” nella formazione del nostro nuovo governo, oggi è ancora in fase di elaborazione un Decreto nazionale che dovrà adattare le disposizioni attualmente previste dal Codice Privacy (D. Lgs. 196/2003) alle novità introdotte dal GDPR: chi si occupa di questa materia, sta aspettando la fine di agosto (n.d.a. voci di corridoio riferiscono il 21 agosto prossimo) per capire quale sarà la nostra definizione normativa nazionale.

Ma il ritardo tutto italiano nell’adeguarsi al GDPR è emerso anche da altri dettagli che hanno colto l’Italia ancora impreparata e in affanno nel risultare conforme alle regole.

Consideriamo il fatto che solo 7 giorni prima della scadenza dei termini il Garante italiano ha introdotto una procedura telematica per la comunicazione dell’eventuale Responsabile della Protezione dei Dati – RPD (meglio noto in inglese come DPO – Data Protection Officer) , come si legge al link https://www .garanteprivacy.it/documents/10160/0/Data+Protection+Officer+Scheda+infomativa.

E ancora: dallo stesso Garante e dalle associazioni di categoria, si attendono ancora le linee guida specifiche per i singoli ambiti professionali, settori merceologici, e le indicazioni su cosa fare per adeguarsi al GDPR per le Micro e Mini-imprese in ottica di riduzione e semplificazione degli adempimenti: oggi il GDPR non distingue le dimensioni dei soggetti obbligati all’adeguamento.

Solo alcuni ordini professionali (i Dottori Commercialisti in aprile, gli Avvocati in maggio, http://www.consiglionazionaleforense.it/documents/20182/445621/IL+GDPR+E+L%27AVVOCATO/ef231b75-2066-43df-8d88-570bf0ea98b3) hanno emanato le linee guida specifiche per i propri iscritti.

In tale contesto, tutt’altro che certo e chiaro, per ora solo una piccola parte di professionisti ed aziende si è adeguata (spesso le realtà più grandi o le più virtuose).

Ci troviamo poi di fronte ad un vero e proprio paradosso giuridico: chi si è adeguato diligentemente entro lo scorso 25 maggio, quando sarà finalmente revisionato il precedente Codice Privacy, ed eliminate le dissonanze con il GDPR, dovrà comunque rivedere le procedure impostate pochi mesi prima!

In questo panorama già di per sé confuso e incerto, non solo sono nate spontaneamente “leggende metropolitane” che fraintendendo la ratio delle norme UE, generando interpretazioni distorte del GDPR, ma non di meno, un po’ come nel mondo sportivo del Calcio avviene per il CT della Nazionale, in tanti (per non dire in troppi!) si sono improvvisati “Consulenti” pronti a dispensare i più creativi consigli in materia di privacy, alimentando il caos, o inducendo in errore!

A ciò si aggiungano notizie fuorvianti circa una asserita “prorogadei termini di legge che avrebbe ulteriormente dilatato i tempi per provvedere agli adeguamenti, notizie queste che, in un Paese come il nostro, della “proroga” ha fatto uno strumento strategico per consentire all’endemico ritardo italiano d’adeguarsi puntualmente alle norme, sono state capaci di rassicurare la moltitudine che era ed è tuttora in ritardo rispetto all’appuntamento che colposamente sapevamo di avere già da due anni or sono con i precetti del GDPR.

Nel mio intento di essere chiara e concreta partirò dunque dalla fine: la proroga non c’è, né come ben sappiamo ci sarà mai per il semplice fatto che, per i più distratti, trattandosi si provvedimento europeo direttamente applicabile, qual è il regolamento, la proroga non può esistere.

Cerchiamo allora in questo scenario a dir poco ingarbugliato di dipanare la matassa.

Quello che segue è una sorta di “vademecum breve” che mi sento di condividere con i Colleghi, frutto di un lungo corso ultraventennale in materia di diritto delle nuove tecnologie e privacy.

1. Chi deve adeguarsi?

Questa è una delle domande più frequenti che vengono fatte e la risposta è tutti… quelli che trattano dati delle persone fisiche.

E’ indubitabile che noi avvocati trattiamo dati e che il trattamento degli stessi è come dire “congenito” o insito nella nostra professione. L’attività che dobbiamo compiere per adeguarci, non è facile posto che deve superare un Gap culturale, una lacuna nella nostra nostra conoscenza giuridica, ma anche la fragilità della normativa previgente e la scarsa sensibilità media degli utenti (scandali quali quello di Facebook – Cambridge Analytica ne sono una chiaradimostrazione).

I dati sono non solo per noi “materia prima” della nostra professione su cui e con cui ciascuno di noi lavora ogni giorno, ma sono elementi indispensabili della nostra professione: ci siamo mai soffermati ad interrogarci come faremmo ad assolvere i nostri incarichi professionali, senza conoscere ed avere i dati dei nostriclienti?

Questo deve darci una immediata consapevolezza che tutti noi dovremmo conservare nel tempo e per il futuro: i dati sono il patrimonio di ogni studio legale e come tali vanno protetti.

Nell’era digitale, e in prospettiva con la progressiva innovazione tecnologica che trasforma la nostra professione ogni giorno, gli avvocati non possono ritenersi esentati da un’analisi dei processi e dei trattamenti che riguardano i dati personali e dall’adeguamento necessario alle nuove regole dettate dal GDPR.

Ergo, tutti noi, professionisti singoli, studi legali associati, società tra professionisti, siamo tenuti a rispettare le norme in materia, per ridurre o scongiurare ipotesi di sanzioni, ma prima ancora per tutelare il patrimonio di dati che è in nostro possesso e rappresenta la nostra prima risorsa.

2. Quali adempimenti e come gestirli

È necessario innanzitutto un approccio ai dati ed alla sicurezza, informatica, fisica, che questa volta deve fondarsi sulla logica di progettazione delle procedure e degli adempimenti da attuare.

Non si tratta più di un adempimento meramente “formale” per il quale, come in passato, il tutto si può risolvere, nel redigere una serie di documenti, traducendo l’adeguamento in “tanta carta” e adottando misure di sicurezza informatica minime, oggi da considerarsi incapaci di tutelare i dati, come prevedeva la normativa precedente, oramai 15 anni fa (il c.d. Codice Privacy risale al 2003). Adeguarsi al GDPR è un processo articolato, che può durare mesi, ed è pertanto necessario che tutti compiano questo sforzo per cominciare a rendersi conformi o compliant!.

Il “fai da te” è assolutamente sconsigliato, la conoscenza e cultura giuridica di ciascuno forse non si è negli anni consolidata in quella che oggi presenta i connotati di una vera e propria materia distinta, come il diritto civile o il diritto penale: il diritto delle nuove tecnologie e privacy,non concede di improvvisarsi, ma deve poter contare su una consolidata preparazione ed esperienza pratica acquisita anche e soprattutto sulcampo.

A tal proposito è bene ricordare che il supporto di consulenti qualificati che affianchino lo studio legale nel proprio processo di adeguamento al GDPR, sia nel caso in cui l’attività venga completamente affidata all’esterno, sia qualora il consulente venga incaricato di ricoprire il ruolo di semplice supervisione dell’adeguamento curato internamente, rappresenti il primo consiglio indispensabile. Ciascuno di noi ha le proprie competenze specifiche, non improvvisiamoci.

Chiarito quale possa essere il supporto in ausilio occorre capire cosa fare. Prima di tutto per adeguarsi al GDPR occorre elencare e analizzare:

  • Conoscere i processi interni che ricostruiscono il “ciclo” del dato personal: come e quando viene generato (raccolta del dato), che forma assume (supporto cartaceo o informatico) e i tipi di trattamento compiuti dalla raccolta alla cancellazione o distruzione;
  • Gestire i dati personali: come sono raccolti, trasmessi,conservati;
  • Proteggere i dati personali: quali soluzioni tecniche (informatiche o logistiche), legali e organizzative sono state concepite;
  • Documentare i trattamenti svolti ed adeguarli alla normativa vigente;
  • Revisionare e migliorare costantemente i processi.
  • Individuare i soggetti che trattano dati: se siete uno studio professionale individuale, sarete il Titolare, se siete uno studio Associato, sarete Contitolari, se siete una società di professionisti o più professionisti che condividono gli spazi mantenendo ciascuno la propria autonomia, ognuno sarà Titolare; i soggetti esterni che trattano i dati dello Studio Legale (dei clienti, o dei Vs. dipendenti o collaboratori) sono da nominare Responsabili esterni del trattamento; il DPO o Responsabile della protezione dei dati personali, potrebbe essere tassativo in realtà molto grandi ed estese, tuttavia, per quanto non obbligatoria, la designazione di un Data Protection Officer potrebbe essere valutata dagli studi legali come un’opportunità organizzativa nell’ormai imprescindibile gestione dei trattamenti, come ha avuto modo di precisare lo stesso Garante.
3. Come adeguarsi al GDPR in tre step

A questo punto desidero condividere con i colleghi un modus operandi sintetico che riassuma in 3 semplici tappe o step le attività da intraprendere per poter adeguare il trattamento dei dati che viene fatto nello studio legale di ciascuno al GDPR:

Gap Analysis: procedere ad elencare quali tipologie di dati abbiamo in Studio, analizzare i metodi di trattamento e quali misure di sicurezza, quali soggetti interni ed esterni entrano “in contatto” con i dati dello Studio legale: dall’incrocio di tali informazioni raccolte, già è possibile analizzare la situazione e capire quale grado di solidità possiede il modo di proteggere i dati che sono in nostro possesso e di cui siamoresponsabili;

Mappatura e implementazione delle misure di sicurezza necessarie e adeguamento dei sistemi legali ed IT. Misure fisiche (antincendio, antintrusione, videosorveglianza, gruppo di continuità, tritadocumenti, cassaforti, armadi chiusi a chiave, ecc) o informatiche (antivirus, firewall, reti VPN, Server virtuali, credenziali d’accesso, sistemi d’autorizzazione, crittografia, monitoraggio dei log, ecc) adottate, per comprendere quali soluzioni occorre adottare prima che ciascuno di noi possa considerarsi GDPR compliant. Tale fase può prevedere di mettere in atto i cambiamenti necessari;

Aggiornamento continuo: rimanere come si suol dire “sul pezzo”. Questo adeguamento infatti, non solo prevede una progettazione del sistema di governo delle regole che presidiano i dati personali all’interno dello studio legale, ma occorre pensare ad un aggiornamento o un assessment almeno annuale, che tenga conto delle probabili (per non dire certe) novità che ci saranno nel panorama normativo interno edeuropeo.

Potremmo inoltre, per capire meglio, isolare tre “anime” dell’intervento d’adeguamento:

Intervento Formale/Legale:
  1. prevedere una revisione assoluta delle informative privacy (non basta infatti come molti credono cambiare i riferimenti normativi del nuovo GDPR e lasciare le cose comesono!);
  2. generare o adeguare delle policy interne (veri e propri regolamenti per rendere cogenti le regole a tutti i membri delloStudio);
  3. adottare il c.d. Registro dei trattamenti: preparare quel documento che un po’ sulla falsa riga del vecchio DPS racconta e descrive modi, metodi e strategie di protezione del dato dentro e fuori dallostudio;
  4. incaricare i Responsabili esterni dei Trattamenti: serve preparare un contratto, ma non un contratto di conferimento incarico qualsiasi, bensì un accordo che deve contenere tutte le disposizioni che il GDPR prescrive a chi ricopre questaposizione;
  5. eventuale nomina del DPO: anche per questo ruolo, che avrà peraltro il pregio di affiancare lo studio anche quale consulente oltre che controllore del rispetto dell’adeguamento adottato (come un RSPPdella Privacy) e responsabile in caso di sinistro informatico e non di comunicare al Garante e agli interessati una eventuale perdita o violazione dei dati dello Studio;
  6. regolamentazione del trasferimento all’estero dei dati: siamo sicuri di avere dati solo nel territorio UE? chi usa un sistema di Cloudper la custodia del dato, o usa tecnologie quali whatsapp, Skype, Dropbox, o i Socialsappia che i dati possono essere all’estero e molto probabilmente anche in server extra Ue, elemento che rende importante l’osservanza di alcuni precetti;
  7. esame dei contratti con fornitori e clienti ecc.: senza studiare i contratti non si può capire il flusso dei dati e come viene trattato da soggetti con cui lo Studio siinterfaccia;
  8. esame del sito web: quanti di voi potrebbero garantire di avere un sito a norma? anche il sito merita una revisione, cercando di capire quali sono i dati raccolti e come la raccolta avviene ed è resa nota all’utente. Credo che ogni avvocato, competente o meno in materia di privacy, debba anche solo per il ruolo sociale che assolve verificare questo aspetto e adottare gli accorgimenti dovuti per essere rispettoso delle regole. E se state pensando che chi vi ha “costruito” il sito web aveva anche questo incarico, ossia quello di inserire i contenuti legali quali le informative o la privacy policy, chiedetevi anche quale competenza può mai avere un informatico in diritto… e avrete una risposta. Il fatto è questo, un informatico ha elevate competenze tecniche, ma non conosce le norme in materia di privacy se non per sommi
Intervento Organizzativo:

progettare ed organizzare procedure conformi al GDPR ed alle finalità di trattamento: come ho già detto, l’adeguamento non è solo scrivere informative, produrre dunque carta e acquistare licenze evolute che scongiurino il più possibile violazioni dei dati, o sistemi di protezione fisica; occorre darsi regole e creare processi interni, metodi, protocolli se volete per la gestione del dato, soprattutto in caso di esercizio di uno dei tanti diritti che il GDPR riconosce in capo all’interessato (colui a cui appartiene il dato, quindi cliente o dipendente, o collaboratore di studio) sarebbe bene generare procedure che non vi colgano impreparati su modi e termini che la legge garantisce:

  1. generare protocolli operativi per i membri interni allostudio;
  2. predisporreprocedure interne per la gestione delle istanze dei legittimati ad esercitarei diritti dell’interessato.
Intervento IT:

adeguare lo Studio di ciascuno di noi, affinché garantiscano l’adempimento dei nuovi obblighi in materia di privacy. Come? Ebbene una prima analisi è diretta a capire quali strumenti usate: come si compone il Vs. apparato tecnologico di Studio? Per esempio abbiamo sistemi operativi e licenze che possono essere considerate conformi alle norme? e non Vi sto parlando del rispetto delle regole in materia di diritto d’autore. Esistono sistemi operativi dei nostri PC come per esempio XP che non possono essere considerati compliant, perché oramai non ci sono più aggiornamenti rilasciati dalla software house che li ha sviluppati. Altro argomento immancabile è senza dubbio il salvataggio dei dati: quanto e come viene fatto il backup? Abbiamo preparato un piano di intervento in caso di perdita o violazione del dato o di data breach (c.d. disaster recovery)? Ma il salvataggio lo abbiamo pensato solo per i dati su supporto digitale? quale backup è stato concepito per i dati su supporto cartaceo? Un incendio, un ladro, un allagamento in studio potrebbe compromettere anche questi dati conservati attraverso la vecchia e analogica carta! Alla luce di ciò occorre:

  1. fare un censimento di tutto ciò che è digitale: pc, server, stampanti, tipo di connessione ad Internet, tablet, smartphone, cloud, software usati nellaprofessione;
  2. verificare che la dotazione tecnologica presente in Studio sia compliant con l’aiuto di un consulente;
  3. pianificare il salvataggio dei dati cartacei e digitali (c.d. backup) con l’ausilio di unesperto;
  4. pianificare il ripristino dei dati in caso di data breach o perdita o violazione del dato; prepariamo il c.d. disaster ricovery per il quale è utile un consulente che prepari un piano conforme allenorme;
  5. prevenire il c.d. H-Factor: ossia quanto sono consapevoli e edotti nel modo corretto e conforme alle norme i nostri collaboratori e dipendenti di studio? senza una adeguata formazione predisposta per i membri dello Studio, il fattore umano (h-factor) può arrecare danno e perdita di un dato tanto quanto un virus o un

Queste attività saranno pensate ed effettuate in ragione delle dimensioni dello Studio Legale, del numero di dipendenti e di collaboratori, della quantità di dati personali trattati, dal tipo di trattamenti svolti (dove, come e quando).

Last but not least, un incitamento a ciascuno: non scoraggiamoci!

Adeguarsi non è mai troppo tardi: è infatti ragionevole ritenere che ci vorranno ancora mesi per vedere un livello di conformità al GDPR diffuso ed accettabile sul territorio.

È evidente che, anche grazie all’entrata in vigore del GDPR, sta nascendo una nuova competenza professionale in una materia fino ad ora ritenuta “di nicchia”.

Occorre acquisire una nuova consapevolezza: preservare il dato è un dovere, ma anche uno sforzo, che in ogni caso si giustifica per l’attinenza che ha con la nostra professione. E dunque proprio per questo non ci si può affidare a servizi gratuiti offerti in modalità best effort (gmail, wetransfer, dropbox, ecc) e poi lamentarsi che non funzionano sempre, che non trattano i dati in modo corretto o che sono violati. In realtà i livelli di sicurezza IT e di tutela dei dati adeguate al GDPR sono cresciute, considerando che oggi molte delle tutele del GDPR sono innanzitutto regole di buon senso e di buona gestione IT (regole di igiene-digitale), che dovrebbero essere adottate a  prescindere dagli obblighinormativi.

Prima di concludere mi piacerebbe lasciare a chi ha avuto la pazienza e la volontà di leggere questo articolo un pensiero su cui invito a riflettere: interpretare l’adeguamento al GDPR come una opportunità per perfezionare sistemi e procedure, investire per accrescere la sicurezza i dati e tutelare la privacy non è solo l’adempimento dell’ennesimo obbligo per il professionista, ma mi piace pensare che possa essere colto e vissuto come un’opportunità per progredire ed aiutare nel nostro piccolo a far compiere, nell’era della economia digitale, un salto culturale necessario al nostro paese per essere al passo coi tempi e renderci competitivi e competenti nel confronto internazionale ed europeo che ciattende.

Avv. Laura Lecchi – Foro di Bologna

Vi potrebbe interessare anche

Informazioni sull'autore

Laura Lecchi

Vedi tutti gli articoli