L’avvocato, tra tutti i professionisti, è uno di coloro che tratta almeno potenzialmente tutte le categorie di dati personali: comuni, particolari (ex “sensibili”, come definiti dall’art.9 , c.1 del GDPR) e ovviamente giudiziari (art. 10). In realtà, ciò non rende più complesso l’attività di adeguamento di per sé, ma può implicare un’analisi dei rischi (e quindi una necessità delle relative contromisure) piuttosto ampia.
La minimizzazione dei dati
Dal punto di vista più sostanziale del rispetto della normativa, l’aspetto che probabilmente introduce le maggiori problematiche riguarda proprio la mole di dati, e la loro possibile criticità per i diritti e le libertà degli interessati, che l’attività legale comporta. In questo senso , vengono in aiuto le indicazioni delle Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria adottate lo scorso dicembre. Tra le altre cose, esse sottolineano il rispetto del principio di minimizzazione dei dati (art. 5, c.1, lett. b del GDPR), per il quale i dati raccolti devono essere pertinenti: infatti, viene richiesta l’adozione di idonee cautele per prevenire l’ingiustificata raccolta, utilizzazione o conoscenza di dati in tutta una serie di casi, tra cui è utile ricordare: scambio di corrispondenza, specie per via telematica; esercizio contiguo di attività autonome all’interno di uno studio; acquisizione di dati e documenti da terzi, verificando che si abbia titolo per ottenerli.
Adempimenti documentali
Sulla base delle indicazioni dell’Autorità Garante, nessun dubbio che sia necessario il Registro delle Attività di Trattamento, per quanto breve possa essere. Al di là dell’obbligatorietà, è comunque utile per l’individuazione e documentazione della base giuridica dei trattamenti.
La base giuridica, tipicamente, dovrebbe essere individuata tra gli adempimenti contrattuali o gli obblighi di legge; mentre il consenso rimane indispensabile solo per quei dati, o trattamenti, che risultano non indispensabili allo svolgimento dell’incarico. Tra questi, ricordando la necessità ribadita dal Garante per i dati sanitari (valida sia per i medici che per le altre strutture sanitarie), in considerazione della similitudine riguardo la criticità dei dati, sicuramente va incluso il consenso per la comunicazione elettronica (posta elettronica e/o messagistica istantanea) di informazioni o documenti di carattere giudiziario.
La necessità di consenso o meno pone il problema di come rendere l’informativa agli assistiti: in assenza di consenso, le già ricordate regole deontologiche permettono una modalità semplificata (cito: mediante affissione nei locali dello Studio e, se ne dispone, pubblicazione sul proprio sito Internet, anche utilizzando formule sintetiche e colloquiali), evitando quindi moduli di presa visione; mentre in presenza di uno o più consensi, è bene predisporre un modulo di raccolta del consenso stesso che riporti un’informativa breve ed il riferimento a quella completa. Tuttavia, è possibile che i dati non siano ottenuti direttamente dal proprio assistito, ma anche da altre fonti (parti in causa, tribunali, registri pubblici, etc) per cui è necessario che l’informativa risponda anche ai requisiti dell’art. 14 del GDPR e che essa sia resa disponibile (se già non lo è) ai relativi interessati.
Da non dimenticare le nomine degli eventuali addetti o autorizzati (le regole deontologiche ricordano, in proposito, i diversi ruoli tra cui i praticanti, i consulenti, i periti, etc), gli accordi/nomine con i propri Responsabili del Trattamento; entrambi i tipi, in virtù delle potenziali criticità dei dati trattati, devono contenere adeguate e stringenti istruzioni. Possibile anche la necessità di accordi/nomine dell’avvocato come Responsabile del Trattamento per i propri clienti per i quali l’incarico lo richiedesse (per esempio, l’assistenza o consulenza legale per un’azienda).
Misure di sicurezza
La già ricordata criticità dei dati personali trattati fà sì che il livello delle misure di sicurezza possa essere più alto della media.
Dal punto di vista tecnico-informatico, oltre alle protezioni che possiamo definire minime (firewall, antivirus, autenticazione personale, aggiornamenti software, backup, etc), si deve considerare come praticamente indispensabile la crittografia, mentre la psudonimizzazione risulta poco praticabile poiché i documenti giudiziari, che costituiscono la maggior, e comunque più significativa, parte dei dati personali trattati, non possono essere pseudonimizzati.
Da evitare al massimo l’utilizzo di memorie esterne, che tipicamente non vengono crittografate e cancellate e sono spesso veicolo di infezioni (virus o malware). L’alternativa è una procedura (policy) di utilizzo che detti regole molto precise, che ovviamente devono essere rispettate da tutti.
Proprio in considerazione della mole di documenti giudiziari da trattare, risulta anche molto utile un sistema informatico di gestione documentale, da usare sia come ausilio alla redazione dei documenti, ma anche come archivio di quelli scannerizzati o di natura non scritta (immagini, video, audio). Tale sistema, opportunamente configurato, permette anche di rendere più semplice le procedure di cancellazione/distruzione dei documenti per cui è stato superato il limite di conservazione.
Il ricorrere a sistemi informatici presso la propria sede o esterni (“in cloud”) è una scelta che deve tenere conto della situazione specifica: se è possibile una effettiva protezione fisica dei computer che fungono da server, se si dispone di un servizio di assistenza hardware e software adeguato, se si adottano protezioni ulteriori come UPS e backup su sistemi remoti, allora l’opzione interna è probabilmente preferibile a quella esterna.
Dal punto di vista organizzativo, bisogna porre attenzione alla protezione dei documenti cartacei. Occorre predisporre aree non accessibili agli assistiti o potenziali tali, ad altri avvocati o comunque a chiunque non sia stato specificatamente indivuduato ed autorizzato, dove conservare i fascicoli. Inoltre, deve essere predisposta una procedura interna che disciplini le modalità di estrazione dagli archivi dei fascicoli e ed il loro reinserimento, minimizzando il tempo in cui rimangono fuori.
Un’efficace organizzazione dei dati è fondamentale per assicurare non solo efficienza nel lavoro, ma anche assicurare di poter facilmente assegnare autorizzazioni puntuali ai diversi addetti, di effettuare backup e ripristini parziali, e soprattutto di assicurare agli assistiti una pronta risposta alle necessità di accesso, copia o anche trasferimento dei propri dati.
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.