Privacy negli studi legali

Relatrice: Avv. Roberta Rapicavoli

Avvocato esperto di privacy e diritto applicato alle nuove tecnologie

Convegno GIUSTIZIA DIGITALE, PROCESO CIVILE TELEMATICO, PRIVACY NEGLI STUDI LEGALI

Casi pratici, criticità e soluzioni operative

Corte d’Appello di RomaSala Unità d’Italia

22 marzo 2017Movimento forense sezione di Roma

© Copyright Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it

“La Privacy e la sicurezza negli studi legali”

Regolamento UE 2016/679 (GDPR)

PRIVACY: LA NORMATIVA DI RIFERIMENTO


Direttiva 95/46/CE (direttiva madre)

Direttiva 2002/58/CE (direttiva e-privacy)

D. Lgs. 196/2003 (Codice Privacy)

Proposta di Regolamento della Commissione europea che abrogherà la direttiva

Il titolare del trattamento è:«la persona fisica, la persona giuridica, la pubblicaamministrazione e qualsiasi altro ente, associazione odorganismo cui competono, anche unitamente ad altro titolare, ledecisioni in ordine alle finalità, alle modalità del trattamento didati personali e agli strumenti utilizzati, ivi compreso il profilodella sicurezza»

(art. 4 lett. f Codice privacy)

DECISIONI SUL TRATTEMENTO: IL TITOLARE


La figura del “titolare” (o “data controller”) nel Regolamentoeuropeo 2016/679 rimane sostanzialmente invariata rispetto aquella prevista nel D. Lgs. 196/2003 in quanto continua aessere individuato nel soggetto che esercita il poteredecisionale in ordine al trattamento.

Il titolare del trattamento è:«la persona fisica o giuridica, l'autorità pubblica, il servizio oaltro organismo che, singolarmente o insieme ad altri, determinale finalità e i mezzi del trattamento di dati personali»

(art. 4 n. 7 Reg. UE 2016/679)

DECISIONI SUL TRATTAMENTO: IL TITOLARE


Chi riveste il ruolo di titolare all’interno di uno studio legale?

• Quando l’attività è svolta individualmente, titolare del trattamento è lo stesso avvocato.

• Se due professionisti operano congiuntamente gli avvocati saranno contitolari.

• Se l’attività è svolta in forma societaria o associata il titolare è l’entità nel suo complesso.

DECISIONI SUL TRATTAMENTO: IL TITOLARE


• Fornire l’informativa privacy

• Acquisire il consenso o verificare altro presupposto di liceità

• Conferire apposite lettere di nomina

• Adottare le misure di sicurezza (minime e idonee)

• (in alcuni casi) Effettuare la notificazione al Garante privacy

ADEMPIMENTI PREVISTI DALLA NORMATIVA


Cos’è e cosa deve contenere?

Elementi indicati nell’art. 13 del Codice privacy e informazionirichieste da specifici provvedimenti del Garante Privacy

A chi va fornita?

Alle persone fisiche cui si riferiscono i dati trattati (clienti,dipendenti e richiedenti impiego, collaboratori dello studio,utenti del sito web …)

L’obbligo informativo rimane anche con il Regolamento UE 2016/679 (artt. 13 e 14)

INFORMATIVA PRIVACY


Il trattamento di dati personali da parte di privati o di enti pubblicieconomici è ammesso solo con il consenso espresso dell'interessato.

Il consenso è validamente prestato solo se è espresso liberamente especificamente in riferimento ad un trattamento chiaramenteindividuato, se è documentato per iscritto, e se sono state reseall'interessato le informazioni di cui all'articolo 13.

Il consenso è manifestato in forma scritta quando il trattamentoriguarda dati sensibili.

Nei casi previsti dall’art. 24 e, per i dati sensibili, dall’art. 26, siindividuano ulteriori condizioni che legittimano il trattamento.

Quali i casi in cui l’avvocato può trattare i dati senza consenso?

CONSENSO AL TRATTAMENTO O ALTRA CONDIZIONE DI LICEITA’


Quali i casi in cui l’avvocato può trattare i dati senza consenso?

Non occorre richiedere il consenso del cliente quando il trattamentodei dati comuni è necessario per adempiere agli obblighi previsti dallalegge o derivanti dal contratto (cfr. art. 24 lett. a) e b) del Cod. privacy)

Non occorre richiedere il consenso quando il trattamento dei datisensibili è necessario per svolgere indagini difensive o per far valere odifendere un diritto in sede giudiziaria. Il trattamento deve peròrientrare nell’autorizzazione del Garante Privacy.

Non è richiesto il consenso per il trattamento dei dati giudiziari, chepossono però essere trattati solo entro le prescrizionidell’autorizzazione del Garante privacy.



Autorizzazioni generali del Garante Privacy

Autorizzazione n. 4/2016 - Autorizzazione al trattamento dei datisensibili da parte dei liberi professionisti (doc. web 5797347)

Autorizzazione n. 7/2016 - Autorizzazione al trattamento dei datigiudiziari da parte di privati, di enti pubblici economici e di soggettipubblici (doc. web 5803630)



L’art. 6 del Regolamento UE 2016/679 individua le condizioni di liceità del trattamento

- consenso al trattamento; - trattamento necessario all'esecuzione di un contratto di cui l'interessato è

parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;

- trattamento necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

- trattamento necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore;

- …



RESPONSABILI

Il responsabile del trattamento è:«la persona fisica, la persona giuridica, la pubblica amministrazione equalsiasi altro ente, associazione od organismo preposti dal titolare altrattamento di dati personali»

(art. 4 lett. f Codice privacy)

La designazione del responsabile del trattamento è facoltativa

Il responsabile può essere anche esterno

Il responsabile (data processor) è indicato nel Regolamento UE2016/679 quale «la persona fisica o giuridica, l'autorità pubblica, ilservizio o altro organismo che tratta dati personali per conto del titolaredel trattamento» (art. 4 n. 8 Reg. UE).

NOMINE


INCARICATI

Gli incaricati sono:«le persone fisiche autorizzate a compiere operazioni di trattamento daltitolare o dal responsabile»

(art. 4 lett. h Codice privacy)

Le persone fisiche che trattano dati personali devono essereespressamente autorizzate per iscritto attraverso apposita lettera dinomina.

Nel Regolamento UE 2016/679 non vi è una definizione di incaricati,che però coincidono, di fatto, con le “persone autorizzate altrattamento dei dati personali sotto l'autorità diretta del titolare o delresponsabile” richiamate in alcune disposizioni del nuovo testo.

NOMINE


RESPONSABILI E INCARICATI

All’interno dello studio:

- Possono essere designati dei responsabili privacy- Ci si può avvalere dell’operato di soggetti esterni che

devono essere nominati quali responsabili privacy- Chiunque ha accesso ai dati (praticanti, personale

amministrativo ecc.), deve essere designato qualeincaricato del trattamento

NOMINE


Figure privacy nel Regolamento UE 2016/679

NOMINA


Titolare Data Controller

Responsabile Data Processor

Persone autorizzate

DPO

Data Protection Officer (o Responsabile Del Trattamento)

Obbligo di nomina se:

- trattamento effettuato da un’autorità pubblica o da un organismo pubblico,eccettuate le autorità giurisdizionali quando esercitano le loro funzioni;

- attività principali consistono in trattamenti che, per loro natura, ambito diapplicazione e/o finalità, richiedono il monitoraggio regolare e sistematicodegli interessati su larga scala;

- attività principali consistono nel trattamento, su larga scala, di categorieparticolari di dati personali di cui all'art. 9 o di dati relativi a condanne penali ea reati di cui all'art. 10

(cfr. Art. 37 Reg. UE 2016/679)

DPO o RPD negli studi legali?

NOMINA


Obbligo nomina del DPO nel caso in cui le attività principali consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui

all'art. 9 o di dati relativi a condanne penali e a reati di cui all'art. 10

Linee Guida del Gruppo di lavoro art. 29 (WP29) sui responsabili della protezione dei dati (RPD) del 13/12/16

- Con “attività principali” si possono intendere le operazioni essenziali chesono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dalresponsabile del trattamento.- Perché il trattamento sia su “larga scala” occorre tener conto di vari fattori(numero di soggetti interessati dal trattamento, volume dei dati e/o lorodiversa tipologia, durata o persistenza dell’attività di trattamento, portatageografica dell’attività di trattamento).

Non si considera su larga scala il “trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato”

I casi in cui occorre effettuare la notificazione sonoespressamente previste nell’art. 37 del Codice privacy

- dati genetici, biometrici o di localizzazione- dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la

personalità dell'interessato o ad analizzare abitudini o scelte di consumo o amonitorare l'utilizzo di servizi di comunicazione elettronica con esclusionedei trattamenti tecnicamente indispensabili per fornire i servizi medesimiagli utenti

- dati registrati in apposite banche di dati gestite con strumenti elettronici erelative al rischio sulla solvibilità economica, alla situazione patrimoniale, alcorretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti

- …

Difficilmente uno studio legale dovrà effettuare la notificazione

NOTIFICAZIONE AL GARANTE


Il Garante ha poi escluso dall’obbligo di notifica:- i trattamenti di dati genetici o biometrici effettuati nell'esercizio della

professione di avvocato, in relazione alle operazioni e ai dati necessari persvolgere le investigazioni difensive di cui alla legge n. 397/2000, o comunqueper far valere o difendere un diritto anche da parte di un terzo in sedegiudiziaria

- i trattamenti di dati relativi alla solvibilità economica, alla situazionepatrimoniale, al corretto adempimento di obbligazioni, a comportamentiilleciti o fraudolenti utilizzate in rapporti con l'interessato di fornitura di beni,prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso diinadempimenti contrattuali, azioni di recupero del credito e contenzioso conl'interessato

- I dati relativi all'utilizzo di marcatori elettronici o di dispositivi analoghiinstallati, o memorizzati temporaneamente, e non persistenti, pressol'apparecchiatura terminale di un utente, consistenti nella sola trasmissionedi identificativi di sessione in conformità alla disciplina applicabile,all'esclusivo fine di agevolare l'accesso ai contenuti di un sito Internet

(cfr. Provv. 31 marzo 2004 – doc. web 852561)

NOTIFICAZIONE AL GARANTE


I dati raccolti devono essere protetti con idonee e preventivemisure di sicurezza, riducendo al minimo i rischi didistruzione, di perdita, anche accidentale, di accesso nonautorizzato, di trattamento non consentito o non conformealle finalità della raccolta (art. 31 e ss. del codice).

Quali misure adottare?

MISURE DI SICUREZZA


Le misure di sicurezza minime previste dalla normativa(artt. 33-36 e Allegato B del Codice privacy).

MISURE DI SICUREZZA


Trattamenti senza l’ausilio di strumenti elettronici (art. 35 Codice privacy):-

- aggiornamento periodico dell'individuazione dell'ambito del trattamentoconsentito agli incaricati;- previsione di procedure per un'idonea custodia di atti e documenti affidati agliincaricati per lo svolgimento dei relativi compiti;- previsione di procedure per la conservazione di determinati atti in archivi adaccesso selezionato e disciplina delle modalità di accesso finalizzataall'identificazione degli incaricati

“Per quanto riguarda l'organizzazione del lavoro quotidiano di studio, va osservatoche, contrariamente a quanto ipotizzato in alcuni quesiti formulati da singoliprofessionisti, non occorre depennare il nome delle parti dalla copertina dei fascicolicartacei, utilizzando al suo posto solo numeri identificativi. Resta invece necessarioseguire opportune modalità per rendere i fascicoli e la relativa documentazioneaccessibili agli incaricati del trattamento nei casi e per le finalità previsti”.

(Garante privacy, parere del 3 giugno 2004 reso al Consiglio nazionale forense)

Le misure di sicurezza minime previste dalla normativa(artt. 33-36 e Allegato B del Codice privacy).

MISURE DI SICUREZZA


Trattamenti con l’ausilio di strumenti elettronici (art. 34 del Codice privacy):-

- autenticazione informatica;- procedure di gestione delle credenziali di autenticazione;- sistema di autorizzazione;- aggiornamento periodico dell'individuazione dell'ambito del trattamentoconsentito ai singoli incaricati e addetti alla gestione o alla manutenzione deglistrumenti elettronici;- protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti didati, ad accessi non consentiti e a determinati programmi informatici;- procedure per custodia di copie di sicurezza e ripristino della disponibilità dei dati;-tecniche di cifratura o di codici identificativi per determinati trattamenti di datisensibili effettuati da organismi sanitari.

Abolito dal d.l. 5/2012, convertito, con modificazioni, dalla l. 35/2012, l’obbligo di tenuta e aggiornamento del DPS - il Regolamento UE 2016/679 introduce

obbligo di tenuta dei registri del trattamento dei dati (art. 30 Reg. UE)

GRAZIE PER L’ATTENZIONE

www.robertarapicavoli.it

[email protected]

LINKEDIN: Roberta Rapicavoli

TWITTER: @RRapicavoli


Privacy negli studi legali

Law

Transcript of Privacy negli studi legali