GDPR: il vademecum di Fondazione AIGA


AIGA, Associazione Italiana Giovani Avvocati, ha redatto una sorta di vademecum per aiutare gli avvocati a predisporsi e ad applicare correttamente la nuova normativa europea in materia di privacy

Tempo di lettura: 11 minuti



Come è ormai noto, dal 25 maggio scorso, è scattato il termine finale per dare applicazione al Regolamento Ue 2016/679 relativo alla protezione delle persone fisiche (comunemente chiamato GDPR), così l’AIGA, Associazione Italiana Giovani Avvocati, ha redatto una sorta di vademecum per aiutare gli avvocati (sia che gli stessi esercitino la professione in forma individuale sia che lo facciano in forma associata) a predisporsi e ad applicare correttamente la nuova normativa europea in materia di privacy.

Pilastro della nuova normativa è il principio di accountability (responsabilizzazione), che tende a garantire che il titolare del trattamento non solo rispetti gli obblighi previsti nel Regolamento, ma che svolga anche una continua attività di controllo e di verifica delle proprie attività di trattamento.

Pertanto, ogni studio legale, ha dovuto o dovrà, in primo luogo procedere ad una mappatura dei trattamenti dei dati personali effettuati, e poi, per ciascuno di essi, valutare se le modalità siano o meno sufficientemente sicure.

Per valutare le modalità di gestione privacy adottate dallo studio innanzitutto bisogna capire quali dati vengono trattati, cosa si intende per trattamento e nel caso in cui i rischi siano alti, quali possono essere gli accorgimenti da porre in essere per ridurli.

AIGA Vademecum GDPR

AIGA Vademecum GDPR

Sarebbe opportuno, per questo, seguire uno schema.

1) Individuare chi sia il Titolare del trattamento, cioè “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4.7 GDPR): nel caso di uno studio singolo, l’avvocato sarà il Titolare, mentre in caso di studio associato questa figura sarà rappresentata dallo studio stesso.

2) Analizzare la tipologia di dati che vengono trattati, che possono essere differenti da studio a studio. Tutti gli studi legali tratteranno quelli che, secondo la definizione data dall’art. 4.1 del Regolamento, sono considerati dati personali, vale a dire “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. Alcuni (la maggior parte) tratterà anche la tipologia di dati particolari (art. 9 c. 1 GDPR), cioè quelli che “possono rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi ad indentificare in modo univoco una persona fisica, dati relativi alla salute, alla vita sessuale, o all’orientamento sessuale della persona”. In numero minore, saranno gli studi che trattano anche dati giudiziari, di cui all’art. 10 del Regolamento, cioè quelli “relativi alle condanne penali e ai reati o a connesse misure di sicurezza”.

Si dovrà, poi, valutare se all'interno dello studio ci sono trattamenti di dati c.d. semi sensibili come, ad esempio, quelli relativi a dati finanziari o alla videosorveglianza.

Fondamentale è poi verificare se i dati conservati dagli studi, vengano trattati in modo lecito, secondo quanto disposto dagli articoli 6 e 9 del Regolamento.

3) Effettuare una mappatura delle attività di trattamento. Il Titolare del trattamento, devo poter individuare e chiarire, pero ogni categoria di dati, quali sono le relative finalità di trattamento. I dati personali di un cliente, infatti, possono essere raccolti per diverse finalità (per l’esercizio del mandato professionale, per poter inviare comunicazioni relative alle iniziative formative promosse ed organizzate dallo Studio legale). Individuata la finalità di ogni singolo trattamento, sarà necessario ricercarne la relativa condizione di liceità e l’esistenza del consenso dell’interessato.

Questa attività è necessaria, non solo per dimostrare il rispetto delle condizioni di liceità previste dal Regolamento, ma anche per redigere in modo chiaro e corretto il Registro delle attività di trattamento (art. 30 GDPR).

4) Analisi degli strumenti usati per ogni tipologia di Trattamento, cioè “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione” (art. 4.2 GDPR).

In questo caso, sarà importante l’ausilio di tecnici esterni, soprattutto per quanto attiene al trattamento fatto con strumenti informatici.

Si valuterà infatti, sia il modo in cui vengono trattate le informazioni su supporto analogico (dato che la maggior parte degli studi continua ad effettuare il trattamento anche su supporti cartacei).

Sia il modo in cui viene effettuato il trattamento con strumenti digitali, valutando se gli strumenti e le misure poste in essere siano o meno adeguati alla quantità e tipologia di dati che vengono trattati.

LEGGI ANCHE: Privacy e consenso dei dati personali via email ed sms

5) Analizzare chi tratta i dati per conto dello studio, siano essi dipendenti o soggetti esterni. Nel caso in cui si tratti di dipendenti dello studio, l’art. 29 del regolamento pone in capo al Titolare o al Responsabile del trattamento un obbligo di istruzione. Di conseguenza, sarà necessario valutare il grado di formazione dei dipendenti, e magari predisporre del materiale per istruirli sui nuovi strumenti da adoperare e le nuove regole da seguire.

6) Sarebbe opportuno allegare il modello di informativa e di consenso utilizzati dallo studio, valutando se gli stessi siano o meno adeguati al Regolamento (magari consultando il modello di informativa elaborato dalla Commissione CNF in materia di Privacy).

7) Predisporre il Registro dei trattamenti, che secondo quanto previsto dall’art. 30 del Regolamento, è una misura necessaria per tutte le imprese od organizzazioni con almeno 250 dipendenti, o nel caso in cui il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato, o ancora quando il trattamento includa categorie particolari di dati di cui all’articolo 9 paragrafo 1 o i dati personali relativi a condanne penali ed a reati di cui all’articolo 10. In sostanza però, quasi tutti gli studi legali dovranno redigerlo ed aggiornarlo, oltre a mostrarlo in caso di controllo, anche perché è stato lo stesso Garante per la privacy a consigliare a tutte le aziende, anche qualora non ricorrano nei casi previsti dal menzionato articolo, di procedere comunque alla redazione del registro.

8) In caso di violazione dei dati (data breach), l’articolo 33 del GDPR, stabilisce l’obbligo, in capo al titolare del trattamento, di segnalarle la violazione alla autorità di controllo competente senza ingiustificato ritardo e comunque entro le 72 ore (la notifica sarà corredata dai motivi del ritardo qualora non avvenga entro le 72 ore) dal momento in cui il Titolare ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

9) La valutazione di impatto (DPIA), indicata dall’art. 35 del Regolamento,“quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”.

La DPIA è obbligatoria nel caso in cui:

  • vi sia una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche.
  • il trattamento su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10.
  • la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

10) Incontri periodici, che dovranno essere programmati al fine di poter verificare la reale situazione dei trattamenti effettuati.

11) Ogni studio dovrà poi valutare se nominare o meno la figura del Responsabile della Protezione dei dati (Data Protection Officer) di cui all’articolo 37 del GDPR, che prescrive che tale figura sia nominata dal Titolare del trattamento quando:

  1. il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali.
  2. le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
  3. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.

In base alle FAQ della commissione CNF in materia di Privacy, la qualifica di DPO può essere rivestita anche da un soggetto interno ed attribuita, con un contratto di servizi, ad un avvocato.

Clicca su Mi piace!


Categoria

Privacy

ARTICOLI CONSIGLIATI


Scopri nel video come gestire al meglio il tuo studio legale


La registrazione è stata effettuata, a breve verrà verificata dallo staff.

Riceverai l'email di accesso da cui potrai scaricare LEGALDESK.

Ora verrai rediretto alla home page.