LA COMPLIANCE DELLO STUDIO LEGALE

TRA OBBLIGHI NORMATIVI E DEONTOLOGICI

Il Codice Deontologico pur non contenendo disposizioni concernenti direttamente il trattamento deidati personali prevede che:

Art. 1 c. 2 L’avvocato, nell’esercizio del suo ministero, vigila sulla conformità delle leggi ai principidella Costituzione e dell’Ordinamento dell’Unione Europea e sul rispetto dei medesimi principi,nonché di quelli della Convenzione per la salvaguardia dei diritti dell’uomo e delle libertàfondamentali, a tutela e nell’interesse della parte assistita.

Art. 13 L’avvocato è tenuto, nell’interesse del cliente e della parte assistita, alla rigorosaosservanza del segreto professionale e al massimo riserbo su fatti e circostanze in qualsiasi modoapprese nell’attività di rappresentanza e assistenza in giudizio, nonché nello svolgimentodell’attività di consulenza legale e di assistenza stragiudiziale e comunque per ragioni professionali.

Art. 28 È dovere, oltre che diritto, primario e fondamentale dell’avvocato mantenere il segreto e ilmassimo riserbo sull’attività prestata e su tutte le informazioni che gli siano fornite dal cliente edalla parte assistita, nonché su quelle delle quali sia venuto a conoscenza in dipendenza delmandato.

2. L’obbligo del segreto va osservato anche quando il mandato sia stato adempiuto, comunqueconcluso, rinunciato o non accettato

….

L’avvocato deve adoperarsi affinché il rispetto del segreto professionale e delmassimo riserbo sia osservato anche da dipendenti, praticanti, consulenti ecollaboratori, anche occasionali, in relazione a fatti e circostanze appresenella loro qualità o per effetto dell’attività svolta.

4. È consentito all’avvocato derogare ai doveri di cui sopra qualora ladivulgazione di quanto appreso sia necessaria: a) per lo svolgimentodell’attività di difesa; b) per impedire la commissione di un reato diparticolare gravità; c) per allegare circostanze di fatto in una controversia traavvocato e cliente o parte assistita; d) nell’ambito di una proceduradisciplinare.

In ogni caso la divulgazione dovrà essere limitata a quanto strettamentenecessario per il fine tutelato.

5. La violazione dei doveri di cui ai commi precedenti comporta l’applicazionedella sanzione disciplinare della censura e, nei casi in cui la violazioneattenga al segreto professionale, l’applicazione della sospensionedall’esercizio dell’attività professionale da uno a tre anni

…

Art 18 Nei rapporti con gli organi di informazione l’avvocato deve ispirarsi acriteri di equilibrio e misura, nel rispetto dei doveri di discrezione eriservatezza; con il consenso della parte assistita, e nell’esclusivo interesse diquest’ultima, può fornire agli organi di informazione notizie purché noncoperte dal segreto di indagine.2. L'avvocato è tenuto in ogni caso adassicurare l’anonimato dei minori.

L’avvocato nell’esercizio dell’attività professionale tratta dati personali(quantomeno i dati dei clienti; dei dipendenti e collaboratori; dei fornitori)ed è tenuto a rispettare la normativa in materia di trattamento dei datipersonali.

PROFILO SOGGETTIVO

TITOLARE DEL TRATTAMENTO: persona fisica o giuridica che determina finalità e mezzi ditrattamento dei dati personali. Nel caso di libero professionista che esercita la professione in formanon associata è la persona fisica in quanto tale; nel caso di associazioni professionali o società traprofessionisti è l’entità nel suo complesso; se più avvocati non associati sono in mandato, si parla diCONTITOLARI (due o più titolari che determinano congiuntamente le finalità e i mezzi ditrattamento)

RESPONSABILE DEL TRATTAMENTO: persona fisica o giuridica che tratta dati personali per conto deltitolare da nominare a mezzo contratto o altro atto giuridico. Si tratta di soggetti terzi rispetto lostudio a cui vengono affidati a mezzo contratto o incarico dati personali (es. commercialista;consulenti di parte; interpreti; consulente del lavoro; amministratore di sistema; gestore cloud etc.)su cui il titolare mantiene obbligo di vigilanza e responsabilità a titolo di culpa in eligendo (art. 32c. 4 Gdpr)

INCARICATO (interno) DEL TRATTAMENTO: soggetto interno all’organizzazione aziendale su cui iltitolare mantiene obbligo di vigilanza e responsabilità a titolo di culpa in eligendo (art. 32 c.4)

L’ORGANIZZAZIONE INTERNA DELLA GESTIONE DEI DATI PERSONALI COSTITUIRA’ IL NOSTRO ORGANIGRAMMA PRIVACY DA DISCIPLINARE A MEZZO POLICY AZIENDALE

L’AVVOCATO DEVE NOMINARE IL DPO?

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793

Chi sono i soggetti per i quali non è obbligatoria la designazione delresponsabile della protezione dei dati personali?

Nei casi diversi da quelli previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento(UE) 2016/679, la designazione del responsabile del trattamento non èobbligatoria (ad esempio, in relazione a trattamenti effettuati da liberiprofessionisti operanti in forma individuale; agenti, rappresentanti e mediatorioperanti non su larga scala; imprese individuali o familiari; piccole e medieimprese, con riferimento ai trattamenti dei dati personali connessi alla gestionecorrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 delRegolamento, in relazione alla definizione di attività "accessoria").

In ogni caso, resta comunque raccomandata, anche alla luce del principio di"accountability" che permea il Regolamento, la designazione di tale figura (v., inproposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza,rimangono gli stessi sopra indicati.

DPO

L’avvocato tra vecchie e nuove sfide

E se uno studio ha sede in varie province/regioni o tratta dati per loro natura

relativi a persone di diversa provenienza (es. zone turistiche o zone in cui è

presente una base militare straniera) e come attività principale tratta dati

«particolari» ex art. 9 Gdpr o giudiziari ex art. 10 Gdpr?

Oppure se uno studio fornisce consulenze on line (dietro corresponsione di un

compenso) e tale attività costituisce parte rilevante del fatturato?

LICEITA’ DEL TRATTAMENTO: CONSENSO

ARTT. 6 SS GDPR

AUTORIZZAZIONE GENERALE GARANTE PRIVACY N. 4 E 7 DEL 2002 E SS. PP.

DATI PERSONALI: non occorre richiedere il consenso del cliente quando il

trattamento dei dati "comuni" è necessario per adempiere agli obblighi del

contratto di prestazione d'opera;

DATI DI TERZI: il consenso non è richiesto quando il trattamento è necessario

per svolgere indagini difensive o per far valere o difendere un diritto in sede

giudiziaria.

DATI «PARTICOLARI»: non occorre richiedere il consenso quando il trattamento

è necessario per svolgere indagini difensive o per far valere o difendere un

diritto in sede giudiziaria. In tal caso, i dati devono essere trattati

esclusivamente per tali finalità e per il periodo strettamente necessario al

loro perseguimento.

….

Quando, tra i dati sensibili, si utilizzano quelli idonei a rivelare lo stato disalute e la vita sessuale, il loro trattamento può avvenire senza consensoquando il diritto difeso o fatto valere in giudizio è di rango pari a quello dellapersona cui si riferiscono i dati.

In tal caso, il diritto tutelato deve consistere in un diritto della personalità oin un altro diritto o libertà fondamentale o inviolabile.

Nel procedere a tale specifica valutazione, è necessario utilizzare comeparametro di raffronto il diritto sottostante che il terzo intende far valeresulla base del materiale documentale che chiede di conoscere, anziché il"diritto di azione e difesa", pure costituzionalmente garantito (e preso permolti altri aspetti in considerazione dal Codice a prescindere dall'"importanza"del diritto sostanziale fatto valere: provv. del Garante 9 luglio 2003).

Sempre in materia di dati sulla salute e la vita sessuale, va richiamatal'attenzione sulla necessità di rispettare anche le specifiche prescrizionidell'autorizzazione generale n. 2/2002.

….

Il consenso al trattamento dei dati personali ai sensi degli artt. 6 ss. del GDPR deve trovare fondamento su una base giuridica e quindi:

per i dati necessari a far valere un diritto in giudizio potrà trovare fondamento nel provvedimento di autorizzazione generale del Garante;

per i dati necessari a far valere un diritto in sede stragiudiziale potrà trovare fondamento nel contratto di conferimento di incarico (che stabilità anche le finalità del trattamento);

per i dati es. acquisiti a mezzo web per l’invio di newsletter dovrà essere acquisito un consenso specifico (e dovrà essere fornita apposita informativa);

per i dati es. acquisiti a mezzo web a mezzo di un form «collabora con noi» (es. cv) dovrà essere acquisito un consenso specifico (e dovrà essere fornita apposita informativa) etc.

Il sito internet dovrà rispettare la c.d. cookie law in relazione alle eventuali attività di profilazione e dovrà in ogni caso essere dotato di idonea informativa (è dato personale anche l’identificativo on line)

INFORMATIVA ARTT. 13 E 14 GDPR

I principi di trattamento corretto e trasparente implicano che l’Interessato sia informato dell’esistenza del trattamento e delle sue finalità.

Il cliente deve ricevere un'informativa, orale o scritta, prima della raccolta dei dati, ad esempio al momento del conferimento dell'incarico.

L’avvocato deve rendere l’informativa ai soggetti di cui tratta i dati sia in applicazione del D. Lgs 196/2003, che degli artt. 13 e 14 GDPR.

Va raccolta in occasione del primo incontro (in cui acquisisce dati personali) ovvero, qualora non sia stata ottenuta presso l’interessato, va fornita entro un termine ragionevole e comunque entro 30 giorni

Non è necessario fornire l’informativa:

- se l’interessato dispone già dell’informazione;

- se la registrazione o la comunicazione di dati personali sono necessarie per legge;

- se informare l’interessato si rivela impossibile o richiederebbe uno sforzo sproporzionato.

NOVITA’ NEL CONTENUTO

DELL’INFORMATIVA

a) l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f) ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

Ulteriori contenuti…

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

c) qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d) il diritto di proporre reclamo a un'autorità di controllo;

e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

f) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

MODELLO DI INFORMATIVA

http://www.consiglionazionaleforense.it/ricerca-

avvocato?p_p_id=101&p_p_lifecycle=0&p_p_state=maximized&p_p_mode=vie

w&_101_struts_action=%2Fasset_publisher%2Fview_content&_101_assetEntryI

d=431090&_101_type=document&inheritRedirect=false

IL CNF NELLE FAQ DEL 28 MARZO 2018 HA FORNITO UN MODELLO DI

INFORMATIVA PER I COA

http://www.avvocatitriveneto.it/vademecum-privacy-unione-triveneta-2018/

LA SCORSA SETTIMANA E’ STATO PUBBLICATO IL VADEMECUM DEL TRIVENETO

PRIVACY BY DESIGN E PRIVACY BY

DEFAULT NELLO STUDIO LEGALE Art. 25 gdpr

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura,dell’ambito di applicazione, del contesto e delle finalità del trattamento, comeanche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà dellepersone fisiche costituiti dal trattamento, sia al momento di determinare i mezzidel trattamento sia all’atto del trattamento stesso il titolare del trattamentomette in atto misure tecniche e organizzative adeguate, quali lapseudonimizzazione, volte ad attuare in modo efficace i principi di protezione deidati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzieal fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degliinteressati.

2. Il titolare del trattamento mette in atto misure tecniche e organizzativeadeguate per garantire che siano trattati, per impostazione predefinita, solo i datipersonali necessari per ogni specifica finalità del trattamento. Tale obbligo valeper la quantità dei dati personali raccolti, la portata del trattamento, il periodo diconservazione e l’accessibilità. In particolare, dette misure garantiscono che, perimpostazione predefinita, non siano resi accessibili dati personali a un numeroindefinito di persone fisiche senza l’intervento della persona fisica.

ACCOUNTABILITY

WP 29 PARERE 3/2010

ELENCO MISURE COMUNI CHE SODDISFANO IL

PRINCIPIO DI ACCOUNTABILITY

Definire procedure interne prima di porre in essere nuovi trattamenti;

Introdurre policy vincolanti da applicare ai nuovi trattamenti;

mappare i processi e gestire l’inventario (registro attività di trattamento);

Designare un DPO se necessario o funzioni similari;

Attuare programmi di formazione, istruzione, sensibilizzazione del personale;

Definire procedure per la gestione dei diritti dell’interessato;

Istituire un meccanismo interno per la gestione dei reclami;

Definire procedure interne per la notifica e la comunicazione delle violazioni della sicurezza (data breach);

Effettuare la valutazione d’impatto sulla protezione dei dati per i trattamenti che comportano rischi specifici;

Effettuare procedure di verifica per assicurare che tutte le misure siano applicate ed efficaci

MISURE ORGANIZZATIVE:

La valutazione delle misure organizzative dipende dalla modalità di gestione dello studio che deve essere orientata ai seguenti principi:

Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura,dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischiodi varia probabilità e gravità per i diritti e le libertà delle persone fisiche, iltitolare del trattamento e il responsabile del trattamento mettono in atto misuretecniche e organizzative adeguate per garantire un livello di sicurezza adeguato alrischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l'integrità, ladisponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei datipersonali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l'efficacia dellemisure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

ESEMPI DI MISURE TECNICHE:

Possono essere ritenuti esempi di misure tecniche adeguate le «misure di

sicurezza minime» previste dall’allegato B del Codice della Privacy

Autenticazione informatica e gestione delle credenziali di autenticazione: i

singoli incaricati devono essere dotati di credenziali di autenticazione (user id

e password; otp…) previo accesso; l’assegnazione di un user ID identifica

l’incaricato del trattamento ed è personale; la password deve essere

conservata in luogo non accessibile ad alcuno tranne i soggetto ad essa

afferente e deve essere composta da almeno 8 caratteri (maiuscole +

minuscole+numeri+segni speciali) e non deve essere direttamente riferibile al

soggetto; deve essere modificata al primo accesso e successivamente ogni 6

mesi o ogni 3 mesi per i dati particolari; le credenziali non utilizzate per oltre

6 mesi vanno disattivate;

Aggiornamento periodico dell’ambito di trattamento;

….

Protezione degli strumenti elettronici: lo studio deve censire i sistemi hardware esoftware e valutare la funzionalità alla luce dei principi dell’art. 32 gdpr;software: lo studio ad esempio deve essere dotato di sistemi operativi aggiornati esuscettibili di ricevere patch di aggiornamento (es. windows 2000; 2007 e vista nonsono a norma); deve essere presente un antivirus aggiornato e deve essereeffettuato con regolarità il back up almeno settimanalmente; hardware devonoessere dotati di un gruppo di continuità (garantire la resilienza) e di sistemi fisiciantivirus es firewall; se i dati vengono mantenuti su un server fisicamente posto instudio verificare la conformità dei locali; se i dati vengono mantenuti su un clouddi un’azienda terza sarà necessario contrattualizzare il terzo quale responsabileesterno del trattamento e verificare se i server su cui tali dati sono poggiati hasede in UE o l’azienda abbia aderito e attuato i principi di cui al GDPR;

Custodia di copie di sicurezza;

Tecniche di cifratura per i dati sulla salute e la vita sessuale;

Conservazione documentale informatica

I documenti e gli atti sottoscritti digitalmente e le fatture elettroniche

trasmessi a mezzo pec devono essere sottoposti a procedure di conservazione

documentale in quanto, sia la firma digitale del sottoscrittore che le

certificazioni apposte dal gestore pec del mittente che del ricevente, sono

soggette a scadenza.

Sarà, pertanto, necessario dotarsi di uno spazio di archiviazione presso un

soggetto terzo in grado di certificare la validità delle firme alla data di

sottoscrizione.

TRATTAMENTO DATI MANUALE E

CARTACEO

Per i dati trattati senza l’ausilio di strumenti elettronici (es. fascicoli

cartacei) sarà necessario:

mantenere un archivio situato in locali con accesso riservato (senza accesso

diretto dei clienti e dei terzi) e mantenuti in un armadio chiuso a chiave;

Evitare che persone non autorizzate possano conoscere nomi di clienti o di

terzi che eventualmente risultino dal contenitore, anonimizzando la

copertina;

ARCHIVI

Art. 2 c. 1 Il presente regolamento si applica al trattamento interamente o

parzialmente automatizzato di dati personali e al trattamento non automatizzato

di dati personali contenuti in un archivio o destinati a figurarvi.

Considerando n. 39 richiede che il trattamento – per essere lecito – sia : adeguato;

pertinente e limitato nel tempo (in attuazione del Principio di Minimizzazione)

Art. 5 I dati personali sono: conservati in una forma che consenta l’identificazione

degli interessati per un arco di tempo non superiore al conseguimento delle

finalità per le quali sono trattati; i dati personali possono essere conservati per

periodi più lunghi a condizione che siano trattati esclusivamente a fini di

archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini

statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di

misure tecniche e organizzative adeguate richieste dal presente regolamento a

tutela dei diritti e delle libertà dell’interessato («limitazione della

conservazione»);

Artt. 13 e 14 Il periodo di conservazione dei dati va inserito nell’informativa

COME GESTIRE L’ARCHIVIO DEI DATI?

Determinare il periodo di conservazione o individuare i criteri per

determinarlo.

In alcuni casi è previsto dalla legge (es. per i fascicoli degli avvocati è previsto un

termine di conservazione di 10 anni dalla fine della causa; per i dati fiscali può

essere utilizzato il termine di 5 anni dei controlli dall’Agenzia delle Entrate etc);

Scaduto il termine cancellare i dati o anonimizzarli

POLICY DATA RETENTION

REGISTRO DEI TRATTAMENTI:

L’art. 30 del GDPR prevede che «ogni titolare del trattamento e, ove

applicabile, il suo rappresentante tengono un registro delle attività di

trattamento svolte sotto la propria responsabilità».

Par. 5 Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o

organizzazioni con meno di 250 dipendenti, a meno che il trattamento che

esse effettuano possa presentare un rischio per i diritti e le libertà

dell'interessato, il trattamento non sia occasionale o includa il trattamento di

categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali

relativi a condanne penali e a reati di cui all'articolo 10

Gli avvocati per la natura dei dati trattati sono tenuti alla redazione e

conservazione del Registro

In ogni caso…

Il registro dei trattamenti (elettronico o cartaceo) è fondamentale, sia perdisporre di un quadro aggiornato dei trattamenti svolti, ma anche per uneventuale richiesta di supervisione e richiesta di esibizione dal Garante(ACCOUNTABILITY)

Serve a dimostrare che il Titolare o il Responsabile del trattamento si conforma alGdpr ed ha funzione di :

Censire le banche dati e i trattamenti in essere;

Rappresentare l’organizzazione sotto il profilo dell’attività di trattamento ai finidi informazione, consapevolezza e condivisione interna;

Costituisce strumento di pianificazione e controllo dei trattamenti per garantire laloro riservatezza e disponibilità;

Riduce sprechi di tempo, risorse, duplicazioni di informazioni;

Riduce i rischi di trattamento illecito.

MODELLO DI REGISTRO DEL

TRATTAMENTO

Va tenuto in forma scritta, anche in formato elettronico

http://www.consiglionazionaleforense.it/ricerca-

avvocato?p_p_id=101&p_p_lifecycle=0&p_p_state=maximized&p_p_mode=vie

w&_101_struts_action=%2Fasset_publisher%2Fview_content&_101_assetEntryI

d=431113&_101_type=document&inheritRedirect=false

IL CNF HA ELABORATO UN MODELLO DI REGISTRO DEI TRATTAMENTI PER I COA

(ADATTABILE ALLO STUDIO PRIVATO)

http://www.avvocatitriveneto.it/vademecum-privacy-unione-triveneta-2018/

LO STUDIO LEGALE DEVE ESEGUIRE UNA

DPIA?

L’art. 35 par 1 Gdpr prevede che «Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi. […]

La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; o

c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

IL LEGISLATORE UTILIZZA IL MEDESIMO CRITERIO «TRATTAMENTO SUL LARGA SCALA» UTILIZZATO PER LA NOMINA DEL DPO

…

PAR. 10 Qualora il trattamento effettuato ai sensi dell'articolo 6, paragrafo 1,lettere c) o e), trovi nel diritto dell'Unione o nel diritto dello Stato membrocui il titolare del trattamento è soggetto una base giuridica, tale dirittodisciplini il trattamento specifico o l'insieme di trattamenti in questione, e siagià stata effettuata una valutazione d'impatto sulla protezione dei datinell'ambito di una valutazione d'impatto generale nel contesto dell'adozionedi tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Statimembri ritengano necessario effettuare tale valutazione prima di procederealle attività di trattamento.

Il trattamento di dati sottoposti ad autorizzazione generale del Garante non èsoggetto a PIA. Per i trattamenti di dati per fini diversi va effettuata unavalutazione.

ACCOUNTABLE RISK BASED APPROACH

UN MODELLO DI PIA:

https://www.cnil.fr/en/privacy-impact-assessment-pia

DATA BREACH RISCHI E OBBLIGHI

PER LO STUDIO LEGALE

Art. 4 Gdpr definisce «violazione dei dati personali»: la violazione di

sicurezza che comporta accidentalmente o in modo illecito la distruzione, la

perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati

personali trasmessi, conservati o comunque trattati;

Art. 33 In caso di violazione dei dati personali, il titolare del trattamento

notifica la violazione all'autorità di controllo competente a norma dell'articolo

55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in

cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione

dei dati personali presenti un rischio per i diritti e le libertà delle persone

fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72

ore, è corredata dei motivi del ritardo.

….

2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.

3. La notifica di cui al paragrafo 1 deve almeno:

a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c) descrivere le probabili conseguenze della violazione dei dati personali;

d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

REGISTRO DELLE VIOLAZIONI

5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali,comprese le circostanze a essa relative, le sue conseguenze e i provvedimentiadottati per porvi rimedio. Tale documentazione consente all'autorità di controllodi verificare il rispetto del presente articolo.

In caso di Data Breach il titolare deve:

- compilare il registro delle violazioni;

- valutare l’impatto della violazione: deve notificare l’evento all’Autorità salvo ilcaso in cui sia improbabile che la violazione sia suscettibile di presentare unrischio elevato per i diritti e le libertà degli interessati;

- se è probabile che la violazione costituisca un rischio elevato per i diritti e lelibertà degli interessati e il titolare non aveva adottato misure tecniche eorganizzative per proteggere i dati personali oggetto di violazione; nésuccessivamente ha adottato misure in grado di scongiurare tale pericolo devecomunicare la violazione all’interessato (art. 34 Gdpr)

Grazie per l’attenzione!