di Lucia Izzo - Dal 25 maggio 2018 sarà direttamente applicabile agli stati membri il Regolamento UE 2016/679 sulla privacy, anche noto come GDPR (General Data Protection Regulation).
Leggi anche: GDPR: tutto quello che c'è da sapere
Le nuove regole e i numerosi adempimenti avranno come destinatari i professionisti e le imprese, compresi gli studi legali indipendentemente dalla loro dimensione, dalla struttura e dall'area di attività. All'uopo, il Consiglio Nazionale Forense ha diramato un'apposita guida (qui sotto allegata) quale ausilio ai professionisti nell'adeguamento alla normativa in materia di protezione dei dati personali.
Infatti, i dati ai quali l'avvocato ha accesso nell'esercizio delle sue funzioni sono, per loro natura, particolarmente sensibili e la divulgazione, anche accidentale, di questi potrebbe ledere i diritti e la libertà delle persone coinvolte.
Sorge dunque la necessità che il legale abbia una cura particolare nel proteggere tali dati, conformandosi alle previsioni normative che regolano la materia poiché la protezione dei dati personali del cliente, oltre a essere essenziale per garantire il segreto professionale, rappresenta un fattore di trasparenza e confidenzialità nel rapporto.
A tal fine, il CNF ha predisposto un modello di informativa (qui sotto allegato) ai sensi dell'art. 13 del Regolamento europeo e uno schema di registro dei trattamenti (qui sotto allegato) ai sensi dell'art. 30, comma 1, del GDPR.
Privacy e avvocati: i nuovi principi del GDPR
La guida del CNF offre uno sguardo d'insieme ai principi del GDPR, richiamando quelli già in vigore con la precedente legislazione e confermati (finalità del trattamento, necessità e proporzionalità, durata limitata, sicurezza e riservatezza) e soffermandosi sui nuovi tra cui figurano il principio di accountability o responsabilizzazione, la minimizzazione dei dati, il diritto all'oblio e alla portabilità dei dati.
Dopo un primo sguardo d'insieme alla normativa presto in vigore, la guida fornisce una serie di schede pratiche che affrontano dettagliatamente diverse tematiche: dell'avvocato quale titolare del trattamento dei dati si passa al rapporto con soggetti esterni allo studio, valorizzando anche la raccolta dati attraverso il sito web dello studio, l'adozione di buone prassi per la sicurezza dei dati e la nomina di un DPO (Responsabile della Protezione dei Dati).
Avvocati: chi è il titolare del trattamento dei dati?
L'avvocato sarà considerato titolare del trattamento di tutte le informazioni che gli vengono fornite dagli assistiti in virtù o in correlazione del mandato ricevuto. Possono ravvisarsi anche dei contitolari del trattamento in tutti i casi in cui vi sia un mandato a più colleghi che lavorano insieme e in collaborazione.
In questi casi, tuttavia, sarà necessario un esplicito accordo interno per definire le rispettive responsabilità e osservanza degli obblighi, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14 del GDPR.
Nel caso di società o associazioni, stante il mandato tra assistito e avvocato (di natura prettamente personale e fiduciaria), si ritiene che il titolare dovrà ravvisarsi nell'avvocato che riceve (o negli avvocati della società o associazione che ricevono) incarico della prestazione e non nel legale rappresentante della persona giuridica.
Invece, il mero domiciliario, trattando dati personali per conto del dominus mandatario (titolare del trattamento), sarà da qualificarsi Responsabile ai sensi dell'art. 4 par. 8 del GDPR.
Sul punto, si rammenta come sui responsabili del trattamento gravano oneri e obblighi del tutto similari a quelli previsti per i titolari: pertanto, questi dovranno presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate affinché il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell'interessato.
Il registro delle attività di trattamento
Ogni titolare del trattamento di dati dovrà tenere, sotto la sua responsabilità, un registro delle categorie di trattamento dei dati personali implementati il quale avrà lo scopo di elencare le informazioni sulle caratteristiche dei trattamenti effettuati.
Tale obbligo, spiega la guida, non vige per le organizzazioni con meno di 250 dipendenti, a meno che il trattamento non includa un rischio per i diritti e le libertà delle persone interessate, non occasionale o se si riferisce in particolare a dati sensibili o a dati relativi a condanne e reati.
Pertanto, lo studio legale sarà soggetto all'obbligo di istituire un registro delle attività trattamento ove il trattamento sia riferito a particolari categorie di dati o dati relativi a condanne e reati sanzioni. A titolo esemplificativo si annoverano: gli avvocati che si occupano di diritto penale, quelli che si occupano di famiglia e minori, di diritto della previdenza sociale, di medical malpractice e, in generale, di vertenze in materia di risarcimento danni da lesioni personali).
In ogni caso la detenzione del registro è fortemente consigliata anche all'avvocato che tratti soltanto dati comuni, poiché gli consente di mappare più chiaramente i trattamenti e di monitorare gli stessi, oltre a risultare molto utile, ove occorra, per fornire prova dell'esatto adempimento all'obbligo adeguamento al principio dell'accountability.
Avvocati: trattamento dati dei clienti
Nell'ambito dell'esercizio della professione, il trattamento dei dati personali del cliente riguarda tutti i dati necessari per la formazione del fascicolo dell'assistito e per la difesa dei suoi interessi. Poiché numerosi sono i campi di intervento dell'avvocato, i dati raccolti possono essere molto diversi e riguardare la vita personale, ma anche altri aspetti particolarmente sensibili (es. origine razziale o opinioni etniche, politiche, credenze religiose o filosofiche, l'appartenenza sindacale, l'elaborazione di dati genetici, dati biometrici, dati sanitari unici o di vita, orientamento sessuale).
Tali dati possono essere trattati nell'esercizio della professione purché strettamente necessari per esercitare o difendere i diritti dei clienti. Laddove il trattamento di dati particolari sia effettuato dall'avvocato in modo non occasionale, sarà opportuno che sia previsto nel registro dei trattamenti.
Oltre a dover dare adeguata informativa agli interessati, l'avvocato dovrà adottare misure di sicurezza adeguate alla sensibilità dei trattamenti verificando che, tanto i fascicoli digitali che quelli cartacei, siano conservati in modo sicuro.
L'avvocato, inoltre, potrà conservare i dati personali del cliente solo per il tempo necessario per il completamento dell'obiettivo perseguito durante la loro raccolta, in genere per la durata del mandato professionale e, inoltre, prima della cancellazione definitiva, finché non sia prescritta un'eventuale azione di responsabilità professionale in cui potrebbe essere implicato l'avvocato.
Avvocati: trattamento dati di personale e collaboratori
Quanto alla gestione del suo personale, l'avvocato raccoglie principalmente due tipi di dati: quelli necessari per ottemperare a un obbligo legale e quelli utili per la gestione amministrativa, l'organizzazione del lavoro e l'azione sociale.
Durante il colloquio per l'assunzione, i dati dovranno essere usati solo per valutare la capacità del candidato di eseguire il lavoro proposto. Potranno pertanto essere raccolti solo i dati relativi alla qualifica e all'esperienza del collaboratore (esempi: diplomi, precedenti lavori, ecc.) e non i dati sulla famiglia del candidato o riguardanti le sue opinioni politiche o l'appartenenza sindacale.
In conformità con i requisiti dell'arti. 13 del GDPR, sarà necessario fornire adeguata informativa agli interessati e, inoltre, all'avvocato titolare del trattamento si richiede di definire una politica di durata e di conservazione dei dati nel suo ufficio. I dati di personale dipendente/collaboratori dovranno essere conservati per il tempo della durata del rapporto, aumentato dell'eventuale tempo di maturazione della prescrizione, al fine di far valere i diritti nascenti dal rapporto.
Privacy: avvocati e Responsabile del trattamento
Lo studio legale potrà affidare il trattamento dei dati personali, per proprio conto, al c.d. Responsabile del Trattamento, una figura "esterna" allo studio stesso (dunque non sarà possibile nominare all'uopo un collega, un dipendente o un collaboratore).
Anche i soggetti a cui lo studio comunica i dati personali trattati sono considerati responsabili del trattamento (es. commercialista, consulente del lavoro, consulente, fornitori di servizi digitali, conservatori di documenti informatici, ecc.). Qualora i dati vengano affidati a un responsabile del trattamento persona fisica, bisognerà fornire l'informativa al momento della raccolta dei suoi dati personali. Nel caso di persone giuridiche, invece, si procederà con la sottoscrizione di un apposito contratto.
Anche l'avvocato potrà essere designato quale responsabile del trattamento dei dati personali nel momento in cui, ad esempio, gli sia richiesta una consulenza da un soggetto che è titolare del trattamento, oppure quando riceva una domiciliazione da parte di un collega. Diversa è la situazione dell'Avvocato al quale viene conferita la procura congiuntamente e/o disgiuntamente ad altro collega: in questo caso si di fronte ad un'ipotesi di contitolarità, così come disciplinata dall'art. 26 del GDPR.
Privacy: il sito web dello studio legale
Il progresso tecnologico si accompagna comunque al rispetto degli obblighi deontologici e normativi. Quindi, l'avvocato dovrà prestare la massima attenzione a che i dati siano trattati in modo sicuro e nel rispetto delle norme anche ove lo studio abbia esternalizzato a terzi alcuni servizi (ad esempio l'utilizzo di una segreteria virtuale, la conservazione dei dati su cloud), o utilizzi propri mezzi di comunicazione a terzi (sito web, blog, servizi di consultazione on line, utilizzo di siti terzi),
Il sito web, infatti, oltre a promuovere l'attività legale, può anche consentire la raccolta di dati personali con diverse modalità, ad esempio attraverso un modulo di contatto. In tal caso è opportuno che sia utilizzata la connessione con protocollo sicuro HTTPS (tecnologia "SSL") per garantire il rispetto delle misure di sicurezza in funzione della confidenzialità delle informazioni scambiate con il professionista.
Inoltre, l'avvocato dovrà inserire, all'interno del registro delle attività di trattamento, un apposito modulo dedicato al trattamento dei dati sul sito web. Qualora l'avvocato riceva una proposta di incarico tramite il sito web sussiste l'obbligo di formalizzare il mandato accertando l'identità del cliente.
Ancora, il GDPR obbliga i titolari del sito di informare gli utenti che lo visitano sulle modalità di utilizzo dei cookie e a fornire l'apposita informativa sul trattamento dei dati.
Studi legali: le buone prassi per la sicurezza dei dati
La guida sottolinea anche l'importanza per l'avvocato di predisporre misure di sicurezza volte a evitare la violazione dei dati personali dei clienti e assicurare la riservatezza.
In caso di documenti o fascicoli analogici si raccomanda l'adozione di misure di sicurezza fisica nello studio ad esempio limitare l'accesso all'ufficio, non archiviare fascicoli o documenti contenenti dati personale in locali accessibili a tutti e installare allarmi.
Invece, in caso di documenti o fascicoli gestiti digitalmente, si consiglia di autenticare gli utenti con password rafforzate, gestire i diritti e istruire gli utenti, eseguire il backup e pianificare la business continuity, ecc.
In caso di "data breach", ovvero di violazione dei dati personali con accidentale o illecita distruzione, perdita, alterazione, divulgazione o accesso non autorizzati ai dati personali trasmessi, conservati o altrimenti elaborati, il titolare del trattamento dovrà puntualmente documentarla, notificarla al Garante e, altresì all'interessato ove la violazione possa presentare un elevato rischio per i diritti e le libertà di una persona fisica.
Ove lo studio legale si sia avvalso di un responsabile del trattamento, sarà questi a dover notificare qualsiasi violazione di dati personali al titolare, senza ingiustificato ritardo dal momento in cui ne viene a conoscenza.
Lo studio legale deve nominare un DPO?
Il GDPR impone ai titolari del trattamento e ai responsabili la nomina del c.d. Responsabile della protezione dei dati, tra l'altro, se le loro attività principali (core business) li portano a trattare "su larga scala" categorie specifiche di dati, noti come dati "sensibili" e dati su condanne penali e reati.
Pur potendosi ritenere che la maggior parte degli studi legali non trattino siffatti dati personali su larga scala e quindi supporre che non sia necessaria la nomina di un responsabile della protezione dei dati, l'opportunità di nominare un delegato alla protezione dei dati deve essere effettuata caso per caso, in funzione di particolari parametri ovvero: numero di persone interessate dal trattamento di dati personali; volume dei dati trattati; durata; permanenza delle attività del trattamento; estensione geografica dell'attività di trattamento.
Negli altri casi, la nomina di un responsabile della protezione dei dati resta ovviamente possibile, come opzione organizzativa ulteriore e di maggior cautela. I titolari del trattamento potranno optare per un responsabile per la protezione di dati condiviso con altri, ovvero per un delegato interno all'organizzazione oppure esterno.
Inoltre, chiarisce la guida, nonostante si possa pensare che l'avvocato sia la persona più adatta a rivestire il ruolo di DPO, deve sottolinearsi la diversità di compiti che presuppone maggiori nozioni tecniche del DPO rispetto alle semplici competenze legali.
Avvocati: fino a 20 milioni euro per la violazioni alla privacy
Titolari e responsabili del trattamento possono essere soggetti a sanzioni amministrative significative per il mancato rispetto delle disposizioni del GDPR. In particolare, l'autorità Garante per la protezione dei Dati personali può rivolgere avvertimenti e ammonire l'avvocato, l'associazione o la società professionale.
Ancora, potrà limitare temporaneamente o permanentemente un trattamento, sospendere i flussi di dati, ordinare di soddisfare richieste per l'esercizio dei diritti delle persone oppure ordinare di rettificare, limitare o cancellare i dati. Il Garante potrà anche ritirare la certificazione di conformità concessa all'avvocato, allo studio, all'associazione o alla società professionale, ovvero ordinarne il ritiro all'autorità di certificazione.
Infine, l'autorità potrà comminare a chi viola quanto stabilito dal regolamentol delle sanzioni amministrative di importo compreso tra i 10 ed i 20 milioni di euro, ovvero, in caso di grandi studi internazionali, di importo compreso tra il 2% e il 4% del fatturato mondiale.
Il GDPR e l'avvocato• Foto: 123rf.com