Come sappiamo il GDPR e il conseguente D.lgs 101/18 obbligano anche l’avvocato ad uniformarsi alle nuove regole sulla privacy.
Prima facie sembrerebbe ridondande o superfluo questo adeguamento!
In fondo il nostro codice deontologico già detta regole di riservatezza, basate in primis sul rapporto fiduciario che il professionista assume con il proprio cliente.
A ben guardare però, il nuovo Regolamento sulla privacy impone una serie di adempimenti che completano e rafforzano le norme dettate dal Codice deontologico.
Di seguito alcuni suggerimenti pratici:
L’informativa può sembrare un documento superfluo in quanto ridondante poichè l’avvocato opera in conformità al codice deontologico, che obbliga al rispetto del segreto professionale.
La raccolta dei dati deve essere preceduta da una informativa che contenga tutte le informazioni richieste dall’ art.13 GDPR.
Primo fra tutti l’obbligo di utilizzare un “linguaggio semplice e chiaro”.
Dovremo accertare che i clienti abbiano compreso il perché della richiesta del consenso.
Il GDPR non prevede obbligatoriamente la forma scritta per il consenso; pur tuttavia, la forma scritta è opportuna e raccomandata, in quanto l’art. 7 GDPR onera il titolare del trattamento “di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”.
L’informativa integra e rafforza il segreto professionale previsto dal Codice deontologico ed è, pertanto, necessaria.
Il Consiglio Nazionale Forense fornisce un esempio di registro del trattamento dei dati che l’Avvocato può adottare. Si tratta di un file excel contenente tutti gli obblighi al quale si è soggetti; indicazione del titolare (o del responsabile nominato), definizione del dato, data di cancellazione del dato, finalità del trattamento, descrizione delle categorie degli interessati (es. clienti, fornitori, dipendenti).
Senza dimenticare di inserire la data di creazione del registro e la data dell’ultimo aggiornamento. Aggiornamento che dovrà essere costante e puntuale.
Qualora si avesse difficoltà a maneggiare agevolmente un foglio excel, si può optare per qualsiasi tipo di formato elettronico o cartaceo, purché si rispetti l’obbligo della forma scritta come previsto dal Regolamento ex art.30.
L’approccio del GDPR è centrato sulla valutazione del rischio, con il quale si determina la misura di responsabilità del titolare del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti.
Allora ci dobbiamo chiedere se:
Ho organizzato le mie attività in modo da raccogliere e trattare solo ed esclusivamente i dati che mi sono necessari?
Chi ha accesso ai dati?
Come conservo il dato? I dati sono crittati? Oppure sono “compressi” e nascosti in cartelle accessibili solo con password?
I device sono protetti dalle minacce esterne? Come sono protetto dalle mail di phishing o dai diversi malware?
Ho attuato una procedura in caso di perdita di dati? Ad esempio anche in relazione alla perdita di una memoria USB contenente dati sensibili?
Come elimino i file dal cestino del pc? Il semplice “elimina”, tramite il tasto destro del mouse, non è sufficiente.
In presenza di una stampante wifi dovrò proteggere la memoria interna da un attacco esterno.
E in caso di rete condivisa? Serve procedere ad una pseudonimizzazione dei dati stessi.
E’ disponibile, in caso di bisogno, del nominativo di un tecnico-informatico di fiducia al quale chiedere la soluzione di specifici problemi?
E per i supporti cartacei?
Spesso sono presenti i fascicoli sulla scrivania o nella stanza della segretaria, o peggio in sala d’attesa per quastioni di “spazio”. Niente di più sbagliato!
Anche la sicurezza fisica deve essere tutelata.
Bisogna proteggere l’accesso a tutti quei documenti che contengono dati sensibili, chiudendoli in un armadietto, ad esempio.
Per far sì che il principio di privacy by default sia attuato occorre progettare il sistema di trattamento dei dati garantendo la non eccessività dei dati raccolti e il periodo strettamente necessario per la conservazione:
l’avvocato è tenuto a indicare anche il periodo di conservazione del dato in modo certo e non più ad libitum.
In conformità con l’art. 2496 c.c., sono previsti dieci anni di detenzione e conservazione del fascicolo e di tutte le informazioni e documenti raccolti nell’esercizio delle proprie funzioni.
Se si ha un archivio “storico” è bene che i dati sensibili (e particolari) vengano anonimizzati (trascorsa la prescrizione di 10 anni) e che l’archivio digitale sia di difficile consultazione per i soggetti non autorizzati. Ad esempio, si può aggiungere una password all’apertura della cartella, oppure rendere la cartella “nascosta”.
Basta credere di essere immuni dal controllo del Garante!
Ricordiamo che le segnalazioni all’Autorità possono essere fatte da chiunque, anche da clienti o colleghi.
Le sansioni previste dal Codice della Privacy per il mancato adeguamento sono:
- per mancata o inidonea informativa le sanzioni previste dall’art. 161 vanno da un minimo di 6.000 ad un massimo di 36.000 Euro;
- per installazione di cookie (sul proprio sito internet) senza consenso la sansione è compresa fra i 10.000 e i 120.000 Euro. (art.162);
- per la mancata notificazione di avvenuta violazione del dato si va dai 20.000 ai 120.000 Euro (art.163).