Tutela dati sensibili dei clienti. La check list per gli avvocati


Gli operatori si aspettano che il regolamento GDPR produrrà un grande impatto in termini di due diligence e la predisposizione delle migliori modalità (organizzative e tecnologiche) adeguate allo scopo non sarà facile

Molti avvocati hanno già cerchiato in rosso in agenda il 25 maggio 2018; altri invece ancora non sanno cosa significhi esattamente GDPR, un acronimo che in effetti quanto a chiarezza lascia molto a desidera.

Iniziamo dunque da qui: GDPR sta per General Data Protection Regolation, il regolamento europeo sulla protezione dei dati che sarà pienamente efficace a partire dal 25 maggio 2018.

Con una serie di novità circa gli adempienti che convenzionalmente definiamo “privacy” a carico di tutti gli operatori che per fini commerciali, professionali, sanitari gestiscono, trattano e conservano dati altrui, personali, sensibili o di qualsiasi natura.

Dati sensibili: ecco le best practice da seguire

Per esempio, scrivere i nomi dei propri assistiti sulle cartelline e lasciarle incustodite non sono proprie “buone pratiche”.

  • programmare un inventario dei sistemi informativi e dei software in uso
  • affidarsi a servizi offerti da società terze se necessario
  • mappatura dei dati e dei servizi critici
  • software di protezione, antivirus, firewall sempre aggiornati
  • collaboratori autorizzati all’accesso tramite specifiche password
  • accesso dei collaboratori ai dati proporzionato alle mansioni svolte
  • configurazione iniziale del sistema informativo con consulenti affidabili
  • backup periodici dei dati
  • dispositivi software antintrusione

Avvocati e compliance al regolamento Ue Data Protection

Tutela dati sensibili clienti

Gli operatori si aspettano che il regolamento Ue produrrà un grande impatto in termini di due diligence e predisposizione delle migliori modalità (organizzative e tecnologiche) “adeguate” allo scopo di tutela e l'acquiescenza non sarà semplicissima.

Per due ragioni principali:

  • la prima è dovuta alla complessità del regolamento stesso
  • la seconda è dovuta ad una certa confusione con la quale purtroppo il legislatore italiano opera

Nonostante poco più di un mese fa Parlamento avesse già delegato il Governo a provvedere ad una normativa generale che aggiornasse il Codice Privacy con il Regolamento europeo (con la legge di delegazione europea 2016-2017 n. 163/2017), la nuova legge europea (di appena un mese più tardi!) 167/2017 - che entra in vigore domani 12 dicembre - ha introdotto tre novità, in materia di responsabile del trattamento dei dati, di riuso dei dati personali (anche sensibili ma no genetici) a fini di ricerca e di conservazione a 72 mesi dei dati di traffico telefonico e telematico, creando problemi interpretativi e sollevando non poche critiche.

LEGGI ANCHE: Protezione dati e avvocati: come difendere il segreto professionale.

Trattamento dei dati e autorizzazioni generali per gli avvocati

Il Garante per la Privacy, dal canto suo, ha già dichiaro che cercherà di accompagnare l’applicazione del regolamento Ue in maniera soft, mantenendo tutte le istruzioni e le autorizzazioni già date nel corso dell’applicazione del codice Privacy.

Per quanto riguarda specificamente gli avvocati ricordiamo le autorizzazioni generali nn. 4, 5, 6,7 che rendono legittimo il trattamento dei dati dei clienti anche se senza specifico consenso solo ove e nella misura in cui è proporzionato allo svolgimento delle attività di rappresentanza e assistenza legale proporzionato 

Consigli di buone pratiche per nuovi adempimenti Data protection

Senza la pretesa di esaustività, in tre “puntate” cerchiamo di fornire agli avvocati alcune indicazioni operative (oltre quelle già fornite in questo blog come nel post Privacy e studi legali: la gestisci correttamente?)  per pianificare una due diligence che misuri l’effettivo grado di esposizione al rischio di perdita, sottrazione, utilizzo scorretto dei dati dei clienti dello studio legale; dati che peraltro sono spesso sensibili.

In questo breve articolo partiamo delle mosse per garantire la sicurezza “fisica” dei dati dei clienti, detenuti in funzione della attività di rappresentanza e difesa.

Infatti, qualsiasi data breach o perdita di dati può esporre lo studio legale a richieste di risarcimento e a sanzioni pesanti comminate dal garante privacy; senza contare che deontologicamente parlando l’avvocato ha il dovere di riservatezza, che nell’epoca 4.0 coinvolge anche la tutela delle informazioni possedute e conservate telematicamente.

Come premesse di carattere generale, buon senso e proporzione sono criteri sempre validi da seguire!

Matteo Migliore - Fondatore di LEGALDESK

Mettiti in contatto su LinkedIn

Cerchi PCT Enterprise?

Clicca su Mi piace!


Categoria

Privacy


ARTICOLI CONSIGLIATI


Scopri nel video come gestire al meglio il tuo studio legale

La registrazione è stata effettuata, a breve verrà verificata dallo staff.

Riceverai l'email di accesso da cui potrai scaricare LEGALDESK.

Ora verrai rediretto alla home page.