mercoledì 17 ottobre 2018

[AccademiaItalianaPrivacy] GDPR e avvocati. Un breve memo


di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy


Premessa: il GDPR deve trovare applicazione anche negli studi legali e l’avvocato è Titolare del Trattamento: su questo sussistono pochi dubbi. L’avvocato, come del resto ogni altra azienda o ente, maneggia ogni giorno dati personali sensibili che riceve direttamente dai propri clienti al momento del conferimento dell’incarico, sia da terzi sia attingendoli direttamente presso gli uffici giudiziari. Si pensi al penalista che estrae copia dei risultati di un’indagine che contiene i riferimenti di coimputati, testimoni, vittime, intercettazioni, documenti e altro. Si noti che questi ultimi dati, a differenza di quelli ricevuti dal cliente che li fornisce per l’espletamento del mandato, vengono acquisiti dall’avvocato per una corretta esecuzione dello stesso in forza di una normativa che glielo permette.
Intuitivo come la perdita possa avere conseguenze non indifferenti in caso arrivassero non solo agli organi di stampa ma, ad esempio, usati da qualche hacker per un’estorsione. Allo stesso modo qualcuno potrebbe entrare nei computer di un avvocato che si occupa di divorzi e venire a conoscenza di tradimenti o altre vicende private dei coniugi.

Quali cautele devono essere poste in essere? 
La Privacy Policy di uno studio legale, come qualsiasi altra azienda, deve essere modellata sulla struttura e sulla clientela, cercando di individuare un punto di equilibrio tra le esigenze conformative della gestione dati e le risorse disponibili, tenuto però presente la tipologia degli stessi di cui viene in possesso. In tal senso è fondamentale che il titolare abbia chiaro lo stato della propria struttura, in modo tale da conoscerne eventuali lacune e programmarne i relativi rimedi. Sul punto è inoltre opportuno ricordare che, come noto proprio agli avvocati, il primo vero nemico da cui tutelarsi non è l’ente di controllo, bensì il proprio cliente che, vittima della perdita o smarrimento dati potrebbe, oltre a richiedere eventuali danni, far avviare sia un procedimento sia un  controllo che potrebbe portare a sanzioni decisamente pesanti e afflittive, nonché un procedimento disciplinare.

Devono essere quindi poste in essere perlomeno quelle forme di cautela minime per la protezione dati, che non si limitano solo alla conservazione dei documenti e alla protezione degli archivi. L’avvocato, nella sua qualità di Titolare del trattamento, dev’essere in grado di raccogliere, usare e conservare le informazioni fornitegli garantendo all’interessato la riservatezza e, allo stesso modo, proteggere tutti i documenti di cui venga in possesso che contengano non solo dati personali, ma anche riferimenti a vicende giudiziarie altrui. In tal senso, prima di decidere di non adeguarsi al Regolamento, è quantomeno opportuno per un professionista interrogarsi ex ante sui danni che potrebbero derivare dalla perdita di dati e informazioni. Si tratta di un processo di valutazione del rischio di cui l’avvocato dovrà rendere conto non solo ad un cliente danneggiato dalla perdita o furto dei suoi dati, ma anche agli organi di controllo per l’emissione di sanzioni. Si tratta, in sintesi di porre in essere quelle ordinarie attività di previsione e prevenzione del danno nell’ottica della “accountability”, vale a dire della “responsabilità attiva” che è alla base del GDPR.

Dovrà quindi essere presa in considerazione l’attività svolta e la tipologia di clienti e possibili controparti. Ad esempio nel caso di pratiche relative a minori o gestione di recuperi credit,i è intuitivo come il furto di dati possa essere finalizzato ad un uso illecito degli stessi mentre per gli avvocati penalisti le informazioni sui procedimenti potrebbero interessare non solo alla stampa. Si tratta di elementi che dovranno essere tenuti in debita considerazione non solo al momento della sottoscrizione da parte del cliente dell’informativa e dei mandati, ma anche in relazione alle ulteriori informazioni successive, relative a terzi, di cui l’avvocato potrebbe venire in possesso nella fase di esecuzione del proprio mandato.

Quindi non solo sistemi di sicurezza per il computer e gli archivi, ma anche la previsione di un’adeguata istruzione e formazione per i collaboratori e tutti coloro che potrebbero avere accesso ai dati di clienti e controparti. Tutto ciò considerando anche il periodo di necessaria conservazione degli atti dopo la cessazione dell’incarico per esaurimento dello stesso, revoca o rinunzia al mandato.

Il DPO è obbligatorio?
La domanda per i legali, come molti altri professionisti è mal posta. Ogni singolo Titolare del trattamento dovrà chiedersi se lo ritiene utile per la protezione dei propri dati ed evitare problemi o rischi. 

Nessun commento:

Posta un commento