Quando si svolge l'attività di avvocato si entra a contatto inevitabilmente con dati personali e dati sensibili. Fino al 25 maggio del 2018 il riferimento principale per il trattamento di questi dati era il codice privacy, oggi, invece c'è il GDPR, il Regolamento Generale sulla Protezione dei Dati, che si applica in tutta l'Unione Europea.
Il regolamento in oggetto ha creato non pochi dubbi ai professionisti che lavorano con tali dati perché prevede diversi obblighi per tutti coloro che si trovano a dover raccogliere dati personali e sensibili per esigenze di lavoro.
Qui si cercherà di capire come può uno studio legale adeguarsi senza commettere errori.
Dati personali e dati sensibili
La prima cosa da fare è capire quali sono i dati personali e quali i dati sensibili. I dati personali sono le informazioni che permettono di identificare la persona direttamente o indirettamente.
Non si tratta semplicemente di nome, cognome, sesso, età, domicilio e residenza, ma comprendono tutti i dati che possono rivelare direttamente o indirettamente abitudini e stili di vita, relazioni personali, condizioni di salute e situazione economica.
I dati sensibili non sono una categoria a se stante, ma un'ulteriore qualificazione di alcuni dati personali.
Di conseguenza all'interno della categoria dei dati personali devono essere ricompresi i dati sensibili. Si tratta di dati molto rilevanti e per i quali è necessario porre in essere particolare attenzione in quanto se esposti in modo errato possono procurare disagi ai soggetti interessati.
Tra i dati sensibili rientrano quelli relativi ad appartenenza a gruppi religiosi, sessualità, origine etniche e razziali, informazioni relative alla salute.
Una novità sui dati sensibili arriva proprio dal Regolamento UE 2016/679 (GDPR) in quanto vengono inclusi nei dati sensibili anche quelli relativi a dati genetici e biometrici.
Si tratta di informazioni relative a DNA e che possono portare all'identificazione univoca del soggetto e all'individuazione anche di patologie.
Il regolamento precisa il divieto di trattamento dei dati sensibili e prevede espressamente anche una deroga, cioè è possibile il trattamento dei dati sensibili se questo è necessario per difendere un diritto in sede giudiziaria e comunque nell'esercizio delle funzioni giurisdizionali.
Avvocato, dati sensibili e dati personali: protezione dei dati
Stabilito il campo di applicazione è necessario capire cosa può fare un avvocato per difendere i diritti dei propri assistiti e per evitare di cadere in un'erronea applicazione del GDPR.
Quando un cliente arriva nello studio legale è ovvio che vengano raccolti dei dati inerenti il caso, questi possono ricadere nella sfera di applicazione del Regolamento dell'Unione Europea sulla protezione dei dati. Ecco perché è necessario predisporre misure di protezione.
Il primo accorgimento da porre in essere è evitare che le cartelle dei singoli clienti siano lasciate a vista con i nomi sulla parte frontale.
In secondo luogo è necessario creare un sistema digitale che sia in grado di evitare che i dati siano resi noti. Qui è opportuna un'ulteriore precisazione. Se sei un avvocato già sai che oggi molti atti devono essere espletati con la procedura telematica, questo vuol dire dover dotare lo studio di un software per l'accesso al Polisweb.
Il software quindi va ad accumulare gli atti dei processi pendenti e di quelli già risolti. Questo vuol dire che l'accesso allo stesso deve essere limitato in modo che estranei non possano intrufolarsi e quindi rubare i dati.
Per raggiungere questo obiettivo è necessario che l'accesso sia gestito tramite password e che lo stesso sia limitato sono agli stretti collaboratori in modo che non ci sia un'inutile quanto dannosa condivisione.
Il sistema deve inoltre essere protetto anche da accessi da remoto, quindi accesso al computer attraverso altri computer non autorizzati. Per raggiungere questo obiettivo è bene che ci siano costanti aggiornamenti dei sistemi antivirus e dispositivi antintrusione che possibilmente siano di buona qualità.
I vari dispositivi devono essere sottoposti a back up periodici. Per una maggiore protezione può essere opportuno anche adottare dei codici per evitare che il cliente sia identificato nel sistema con nome e cognome.
In questo modo solo chi ha generato il codice è in grado di ricollegarlo al cliente. Periodicamente è bene anche verificare il corretto funzionamento del sistema adottato.
LEGGI ANCHE: Parametri forensi
La gestione del sistema informatico affidata a terzi
Nel caso in cui si ritenga di non essere in grado da soli di gestire un sistema informatico in grado di proteggere i dati è possibile anche rivolgersi a soggetti terzi specializzati in tali attività.
Per avere a disposizione un software di qualità per l'accesso al sistema Polisweb che allo stesso tempo offra buone garanzie di protezione dati c'è Legaldesk. Questo software oltre a dare le funzioni base previste dalla normativa, prevede anche funzioni aggiuntive che ti aiutano a gestire lo studio in maniera efficiente.
Ha il vantaggio di essere di semplice uso e di conseguenza anche chi ha poca dimestichezza con le nuove tecnologie può riuscire in breve tempo a gestire la piattaforma. Inoltre è possibile provarlo per 30 giorni .
Devi infine ,sapere che se sei un avvocato e quindi ti trovi a dover raccogliere e trattare dati, degli stessi sei titolare e responsabile.
Di conseguenza se vi è una qualche violazione, ad esempio perché comunque qualcuno è riuscito ad entrare nel sistema, hai l'obbligo di comunicare tale evento al Garante e nei casi più gravi anche ai diretti interessati.
In questo caso si parla anche di Data Breach.
Avvocato, dati sensibili e dati personali: registro del trattamento dati
Per gli avvocati titolari di studi legali non vi è solo l'obbligo di avere un sistema di protezione dei dati personali e sensibili, ma vi è anche l'obbligo di avere un Registro per il trattamento dei dati. Anche qui è bene andare con ordine.
Il registro va a costituire una sorta di mappatura dei dati raccolti dai diversi clienti e deve essere in formato digitale o cartaceo.
L'adozione del Registro non è obbligatoria per tutti gli studi, infatti non è previsto per gli studi di piccole o medie dimensioni.
Questo esonero però è particolarmente labile, infatti, la normativa comunque stabilisce che l'obbligo prescinde dalla dimensione dell'attività nel caso in cui si lavori con dati la cui diffusione può risultare particolarmente lesiva per il soggetto interessato, tra questi i dati sensibili e i dati giudiziari.
Ecco perché, indipendentemente dalle dimensioni del tuo studio legale, predisporre il Registro può essere la scelta migliore anche per tutelarsi.
Proprio per questo il Garante italiano suggerisce anche a chi non ha tale obbligo di munirsi del Registro dei Trattamenti.
Come predisporre il Registro
Il Registro dei Trattamenti può essere predisposto con l'uso di un pratico modello, anche un semplice foglio Excel. Deve contenere:
- nome e i dati del contatto del titolare del trattamento (se vi sono più titolari devono essere indicati anche costoro), nome e contatto del rappresentante del titolare e del responsabile del trattamento.
- la finalità per la quale i dati vengono raccolti.
- le categorie dei dati raccolti (personali, sensibili, giudiziari) e degli interessati.
- gli eventuali trasferimenti dei dati verso paesi terzi o organizzazioni internazionali.
- i termini previsti per la cancellazione dei dati in base alle diverse tipologie.
- ove possibile anche una descrizione delle misure tecniche adottate per la protezione dei dati.
- nel registro deve essere indicato anche se gli stessi sono stati raccolti da minori.
Il registro, a richiesta, deve essere messo a disposizione delle autorità di controllo.
In relazione ai termini per la cancellazione dei dati, deve essere sottolineato che il Regolamento all'articolo 17 contiene un vero e proprio diritto alla cancellazione dei dati.
Lo stesso matura quando non vi è più alcun interesse alla detenzione dei dati, in caso di revoca del consenso da parte dell'interessato e non vi è motivo legittimo per continuare a conservarli, in caso di opposizione da parte dell'interessato al trattamento, se sono stati trattati illecitamente oppure ottenuti da un minore.
LEGGI ANCHE: Calcolo interessi legali e rivalutazione
Titolare e responsabile del trattamento dei dati personali e sensibili
Si è parlato nelle righe precedenti di titolare e responsabile del trattamento, ma chi sono costoro? Il titolare è la persona fisica (ad esempio l'avvocato), l'impresa o ente pubblico o privato, associazione, che raccoglie e stabilisce l'uso che deve essere fatto dei dati.
Il responsabile è invece colui a cui il titolare affida la gestione e il controllo di tali dati. In particolare è possibile anche affidare il registro a società terze che si occuperanno di proteggere i dati e utilizzarli solo per le finalità per le quali sono stati raccolti.
Il responsabile del trattamento è anche denominato DPO, Data Protection Officer.
Non vi è l'obbligo di individuare un responsabile dei dati in particolare nel caso in cui si tratti di professionisti come avvocati o agenti di commercio. Se non nominato titolare e responsabile coincidono.
Deve altresì essere sottolineato che, se anche viene nominato il DPO, è sempre il titolare del registro ad essere responsabile nel caso in cui ci sia un trattamento errato dei dati personali e sensibili.
Avvocato: il consenso informato prima della raccolta dati sensibili e personali
Finora abbiamo parlato del professionista, ora invece è necessario chiamare in causa anche l'interessato, cioè il soggetto a cui i dati si riferiscono.
Questo deve essere informato della raccolta dei dati e deve firmare il consenso. Il modello deve ovviamente essere predisposto dall'avvocato. Affinché si abbia un consenso informato è necessario che sia redatta un'informativa per il cliente.
La stessa deve essere chiara, trasparente ed esplicita, di conseguenza deve contenere l'indicazione del titolare del trattamento, i diritti dell'interessato relativi al trattamento dei dati, le finalità del trattamento e le misure di sicurezza adottate per proteggere i dati personali e sensibili.
All'interno del documento deve essere indicata anche la normativa di riferimento che viene applicata (regolamento GDPR) e il periodo di conservazione dei dati. I dati successivamente a tale periodo devono essere distrutti.
Il consenso deve ovviamente essere firmato dall'interessato e deve essere esplicito, inequivocabile e specifico.
