Data protection e compliance degli Avvocati: consigli utili per non perdersi d’animo

Manca ormai poco più di un mese (25 maggio 2018) alla piena efficacia della normativa contenuta nel Regolamento Ue Data protection (2016/679, comunemente indicato come GDPR), destinato ad aggiornare e rafforzare adempimenti e responsabilità dei soggetti titolari del trattamento dei dati personali e i diritti e le azioni dei soggetti interessati al trattamento. Molto si è scritto (da giuristi e avvocati). Tanto è ancora da chiarire anche perché il Governo ha appena dato attuazione alla delega, contenuta nell’ 13 della legge n. 163/2017 (Legge di delegazione europea 2016-2017, GU n. 259 del 6-11-2017) per l’adeguamento della attuale normativa nazionale al GDPR. Il Consiglio dei Ministri del 21 marzo scorso ha approvato in via preliminare lo schema di decreto delegato, ora all’esame del Parlamento.
Nel comunicato il governo ha chiarito che “A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy”.
Qui scatta un primo avvertimento: la normativa europea è auto esecutiva, quindi dal 25 maggio scatteranno obblighi, oneri e responsabilità per tutti i soggetti, imprese, professionisti, enti pubblici e privati, che per ragioni legate alla propria attività raccolgono e trattano dati personali, e tra questi quelli sensibili. Dunque il consiglio è di arrivare preparati al 25 maggio, anche perché le sanzioni a fronte dei mancati adempimenti possono essere molto salate!
Qualche indicazione sul come garantire la compliance al GDPR da parte di uno studio legale. In premessa dobbiamo specificare che non esiste una guida “dedicata” alla vostra specifica realtà professionale forense. Le istituzioni forensi si sono più che altro preoccupate di organizzare corsi formativi.
Senza voler e poter essere esaustivi, in questo percorso sintetico che speriamo possa essere utile, indicheremo sinteticamente i passaggi principali da tenere presente nello studio legale, avvalendoci della guida pratica per studi legali messa a punto dalla Law society. Rimandiamo comunque alla lettura attenta della Guida all’applicazione del regolamento europeo in materia di protezione di dati personale predisposta dall’Autorità Garante della privacy nazionale (http://www.garanteprivacy.it/regolamentoue/titolare-responsabile-incaricato-del-trattamento).
In linea generale per gli studi legali valgono le stesse regole applicabili alle altre organizzazioni.
E’ importante innanzitutto stabilire se il vostro studio legale agisce come Data Controller (titolare del trattamento) o Data Processor (Responsabile del Trattamento), magari per conto di soggetti terzi.
In massima parte, però, lo studio legale sarà esso stesso Data controller, cioè titolare del trattamento dei dati personali dei propri dipendenti e dei propri clienti.
Audit interna. Per verificare in quale misura lo studio legale è tenuto a rispettare il GDPR, dovrà effettuare innanzitutto una sorta di audit interna, per verificare il livello di consapevolezza della struttura rispetto al GDPR e mappare i processi di raccolta e trattamento dei dati e a quali fini.
Aggiornare Informativa Privacy e Consenso. Dovrà poi verificare l’attualità delle informative sulla privacy già predisposte e del consenso già raccolto, alla luce dei nuovi requisiti previsti dal regolamento. In particolare è necessario verificare se è specificata la base legislativa del trattamento dei dati, il periodo di conservazione dei dati, e le informazioni utili riguardo ai diritti che spettano al soggetto interessato. Le info dovranno essere concise, semplici, chiare. Medesima prudenza per la raccolta del consenso al trattamento dei dati, che dovrà essere raccolto in modo che sia libero, specifico, informato e non ambiguo. Sarà opportuno rivedere i consensi già raccolti, alla luce delle nuove disposizioni.
Nomina del Data Protection Officers. Se è ormai assodato che gli Avvocati e gli studi legali, solo in quanto esperti in maniera specifica della materia, possono essere nominati DPO presso strutture terze (anche per contratto), si discute se lo studio legale debba o meno nominare il proprio DPO. Anche qui vale la regola della situazione reale dello studio. La governance di studio dovrà analizzare la propria attività alla luce dell’articolo 37 del GDPR, che richiede la nomina del DPO ogni qualvolta:
il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Nel caso in cui non ricorrano tali condizioni, lo studio potrà comunque nominare un DPO su base volontaristica o magari incaricare il privacy officer che sovraintenda alla verifica costante delle procedure di studio, per suggerire le migliori pratiche di compliance data protection.
Qualsiasi sia la scelta, obbligata o volontaria, è buona pratica fare un report con le ragioni che hanno spinto ad adottare la soluzione prescelta. Ricordiamo che il DPO deve avere caratteristiche di competenza, indipendenza ed essere al riparo da eventuali conflitti di interessi.
Questo significa, per inciso, che lo studio legale può essere o esprimere tra i suoi avvocati un DPO a vantaggio di un proprio clienti facendo molta attenzione al profilo del conflitto di interesse.
Il DPO non è responsabile. Occorre chiarire che, anche ove nominato, il DPO non assume su di sé le responsabilità che il regolamento assegna al titolare del trattamento, che sarà sempre chiamato a rispondere direttamente – se professionista – o nella persona del rappresentante legale del mancato adempimento agli obblighi di legge.
Verificare le procedure di risposta alle richieste da parte degli interessati. Il regolamento riconosce diversi diritti al soggetto interessato: informativa, accesso, rettifica, cancellazione, portabilità (nuovo), di esclusione di trattamento automatizzato e profilazione. E’ importante fare un audit sulle procedure necessarie per corrispondere efficacemente ad eventuali richieste che, ricordiamo, dovranno essere soddisfatte in 30 giorni. Inoltre, nel caso di rifiuto, occorre informare la persona interessata dei rimedi a suo vantaggio, come il ricorso al Garante o quello giudiziario.
La base legale del trattamento. E’importante identificare e inserire nella Dpa la base legale del trattamento dei dati. Nel nuovo regime infatti i diritti degli interessati possono essere diversi in relazione a questo elemento.
Privacy by design. E’l’architettura dei processi pensata in funzione della data protection, ed è richiesta dal Regolamento come requisito di liceità del trattamento. In certi specifici casi, parte della progettazione è anche il Privacy Impact assestement, che mappa le possibili situazioni di rischio per i diritti e le libertà delle persone e la sicurezza delle informazioni. Non deve essere effettuata “una volta per tutte”, ma ogni qualvolta ci siano rischi considerati la natura, l’oggetto, il contesto e le finalità del trattamento. Ulteriore elemento è la predisposizione del Registro dei trattamenti.
Minori. Per la prima volta il regolamento stabilisce specifiche garanzie per il trattamento dei dati dei minori, prevedendo che il titolare del trattamento debba individuare l’età delle persone interessante, dovendo chiedere ai genitori o ai tutori il consenso per il trattamento.
Data breach. La sicurezza fisica del dato è un presupposto indispensabile perché la data protection possa realizzarsi. Per questo sarà indispensabile adottare tutte le buone pratiche di cybersecurity affinché i dati posseduti siano al riparo da data breach. Il poter dimostrare di aver adottato tutte le adeguate e proporzionate pratiche per assicurare il dato sarà indispensabile per escludere forme gravi di responsabilità. Tuttavia, se il data breach dovesse verificarsi, il regolamento chiede esplicitamente che se ne faccia denuncia al Garante e- nei casi più gravi- anche ai diretti interessati.

Se hai trovato utile questo articolo, condividilo. Grazie.

Per saperne di più:

http://www.garanteprivacy.it/regolamentoue/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali

http://www.garanteprivacy.it/regolamentoue

https://www.lawsociety.org.uk/Support-services/Practice-management/GDPR-preparation/appointing-a-dpo/

https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf

 

Ti piace questo articolo? per continuare a seguirci premi il pulsante

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *