Abbiamo già affrontato il tema della privacy negli studi notarili, i quali sono per lo più legati all’uso delle copie cartacee, almeno finché non cambieranno le norme di legge; tuttavia, ciò non vuol dire che non ci possano essere delle possibilità di digitalizzazione, lì dove la legge lo permetta (o non lo vieti). Ovviamente, il passaggio da processi cartacei a processi digitali deve tenere conto della normativa sui dati personali.
Il trasferimento dei documenti
Siamo ormai nell’epoca in cui il rapporto tra le parti ed il notaio si svolge per lo più a distanza, ed il primo incontro di persona corrisponde a quello della stipula dell’atto. Questo significa che i vari documenti necessari per la preparazione vengono richiesti ed inviati tramite sistemi di comunicazione digitale. Il problema è che questa pratica avviene senza tenere conto dei rischi che comporta a vari livelli, non ultimo il tema della privacy (in questo caso intesa proprio come mantenimento della riservatezza delle informazioni).
I documenti o, più in generale, le informazioni che devono circolare appartengono, per lo più, alle categorie “comuni”, tuttavia all’interno di queste sono certamente quelle a rischio maggiore (trattandosi di dati e informazioni relative allo stato patrimoniale, alle situazioni familiari, alla storia personale, etc); e per questo, è giusto assimilarle, e quindi trattarle similmente, alle categorie “particolari” o “giudiziarie” (artt. 9 e 10 del GDPR). Questa considerazione comporta che non tutti i mezzi di comunicazione risultano opportuni.
In particolare, i sistemi di messaggistica come posta elettronica o whatsapp (ne abbiamo parlato in un precedente articolo) quasi mai risulterebbero utilizzabili, una volta fatta seriemente l’analisi del rischio dei trattamenti, sia in virtù della poca sicurezza della comunicazione stessa (posta elettronica) che della raccolta di dati personali a fini propri (whatsapp). Le modalità corrette di comunicazione devono prevedere la crittografia dei dati/documenti e la non raccolta dei metadati da parte di terzi. Questo può avvenire attraverso app di messaggistica riconosciute come più sicure, con servizi di posta elettronica che faccia uso di crittografia (nota: la PEC non è tra questi), o attraverso portali web in HTTPS associati a aree riservate personali; nonché con strumenti di crittografia che possono essere utilizzati in autonomia, ovviamente sia dal cliente che dallo studio.
Queste modalità sicure sono certamente meno comode di quelle normali, e quindi spesso vengono rifiutate dalla maggior parte delle persone che non comprendono i rischi; in questo caso, lo studio deve dimostrare di aver aderito alla preferenza espressa dal cliente, quindi attraverso una richiesta scritta o facendo preventivamente firmare un modulo di consenso all’utilizzo degli strumenti di trasferimento “insicuri”.
Verifica remota dell’identità
Con la comunicazione a distanza si pone anche il problema di come verificare l’identità dell’interlocutore, qualora sia necessario farlo prima dell’incontro di persona (che rimane sempre necessario). La modalità più comune è che si invii una copia (scansione o foto) di un documento d’identità: questo approccio può essere considerato valido assumendo che solo il titolare del documento possa inviarlo, assunzione decisamente ottimistica considerando che, proprio a causa di questo approccio, di copie di un documento ne girano parecchie.
In realtà il problema è ben noto a livello generale, senza che al momento siano in campo soluzioni certe (se escludiamo gli strumenti gestiti dallo Stato, come SPID e CIE, che però sono prettamente dedicati all’accesso ai servizi della Pubblica Amministrazione).
Una possibile soluzione non eccessivamente complicata è quella di una breve videocall in cui la persona in questione mostri il proprio documento di identità e confermi a voce di essere proprio lui/lei a procedere a quanto necessitava della conferma dell’identità. La videocall non deve essere registrata, ma potrebbe essere documentata.
Servizi online
Consideriamo che ormai praticamente tutti gli studi sono dotati di applicativi dedicati alla gestione delle attività notarili, quindi quasi tutte le informazioni raccolte per gli atti e anche ovviamente quest’ultimi sono già disponibili in formato digitale strutturato. Alcuni di questi applicativi, soprattutto quelli che risiedono fuori dello studio (“nel cloud”) rendono quindi semplice l’accesso e, come detto prima, anche lo scambio di informazioni e documenti tra lo studio ed i suoi clienti e le altre parti coinvolte. L’insieme di queste funzioni sono i servizi online che lo studio può offrire.
Tra questi c’è anche la possibilità di recuperare una copia degli atti. Tuttavia, bisogna stare attenti al possibile abuso di questo servizio: perché se da una parte è vero che gli atti notarili sono pubblici, dall’altra darne accesso indiscriminato non appare una buona idea. L’accesso digitale dovrebbe quindi essere in qualche modo condizionato a poter dimostrare l’interesse specifico verso l’atto, cosa che implica una interazione con il notaio o almeno i suoi assistenti.
Per tutti i casi in cui i dati o i documenti non siano pubblici, è necessario che il servizio online preveda l’autenticazione delle persone, attraverso la consueta modalità delle credenziali di accesso (username/password). L’assegnazione delle credenziali e quindi l’apertura dell’area riservata, potrebbe essere uno di quei casi per cui è opportuna la verifica dell’identità come prima ricordato.
Adempimenti privacy
Ricordiamo che per quanto appena descritto, è necessario che tutte le informazioni previste siano riportate nel sistema documentale privacy, quindi in primis nel registro dei trattamenti, con associata analisi dei rischi e relative misure di sicurezza. Ciò è verò soprattutto per le informative a disposizione delle parti coinvolte; l’unica libertà riguarda il valutare se sia più chiaro avere informative separate o invece accorparle in un unico documento, considerando come criteri la lunghezza complessiva del documento e l’eventuale differente messa a disposizione (es. per i servizi online un’informativa che possa essere presente sul portale, mentre per tutti gli altri aspetti un’informativa stampata da presentare al cliente).
Le valutaziondi di impatto, di base, non sono necessarie; tuttavia, potrebbero risultare utili o necessarie nel caso di utilizzo di strumenti digitali innovativi o con funzionalità non standard nell’ambito delle attività notarili.
Misure di sicurezza
Alcune misure di sicurezza specifiche sono già state accennate nella trattazione; per completezza, vediamone alcune altre che sono praticamente obbligatorie.
La prima è il backup dei dati, secondo lo schema standard 3-2-1 (anche questo trattato in un precedente articolo). Attenzione al fatto che avere i dati solo in cloud, demandando i backup esclusivamente al fornitore del servizio, non è una buona idea: i dati devono essere disponibili anche presso il titolare o in alternativa ad un altro soggetto esterno.
La seconda è la sicurezza della rete, quindi un firewall che protegga l’accesso internet (è vivamente consigliata la configurazione che filtri anche le connessioni uscenti, permettendo solo quelle indispensabili). Nel caso esista un sistema di connessione WiFi, è indispensabile che sia configurato in modo da non permettere connessioni ai sistemi dello studio da parte di ospiti e possibilimente anche da parte dei dispositivi personali dei lavoratori.
L’utilizzo di drive di memorizzazione (chiavette USB o simili) andrebbe proibito o proprio disabilitato sui computer; ciò è vero in primis per i drive “sconosciuti”, cioè di persone esterne (inclusi i clienti), poiché sono potenzialmente veicoli per i virus che aggirerebbero le protezioni; ed è opportuno anche per le persone interne allo studio, perché sono potenziali strumenti di uscita non controllata di dati. Tra questi drive, particolare attenzione va posta agli smartphone, che in aggiunta presentano il rischio della connessione internet autonoma non contrallata dal firewall.
Infine, i dispositivi (fisici) o i certificati (che alla fine sono file) relativi alle firme digitali meritano particolare protezione. Nel caso dei dispositivi, essi dovrebbero essere conservati solo dai legittimi assignatari in contenitori protetti, come i cassetti con chiusura a chiave o cassette di sicurezza; nel caso dei certificati, devono essere memorizzati sotto crittografia (attenzione che i repository interni ai browser internet non sono considerabili sicuri).
RELATED https://www.labprivacy.it/gli-studi-notarili-e-la-privacy/
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
