La privacy negli studi legali
CompLetence © 2010
LA PRIVACY NELLO STUDIO LEGALE
Monza – 15 febbraio 2010
Avv. Rosario Imperiali
La privacy negli studi legali
CompLetence © 2010
Sommario
• PARTE I - Piattaforma normativa– Codice privacy
– Codici deontologici “privacy” e forense
– Differenze e relazioni
• PARTE II - Il regime privacy per l’avvocato– Lo “spartiacque” del principio di finalità
– Adempimenti in generale e semplificazioni per l’avvocato
• Informativa, consenso, notificazione al Garante
– Misure minime di sicurezza in genere e semplificazioni
• DPS e Amministratori di sistema
– Organizzazione e modalità operative
– Come adeguarsi e conclusioni
3
CompLetence © 2010
• Codice privacy• Codice deontologico “privacy” • Codice deontologico forense• Differenze e relazioni
PARTE IPiattaforma normativa
La privacy negli studi legali
CompLetence © 2010
Codice privacy: brevi cenni ed evoluzioni
• In vigore dal 2004 da fonte comunitaria
• Corpo organico di principi e regole, generali e di settore
• Soggetto a sollecitazioni: ad oggi 18 interventi modificativi– Alcuni di semplificazione
– Altri di stampo lobbystico
• Allegazione dei codici deontologici “privacy”
• Ricorso discontinuo al parere preventivo del Garante nel processo di formazione delle leggi di “rilevanza privacy”
• Bilanciamento di interessi sotto frizione– Sicurezza pubblica, media, tecnologia, social network, giustizia
La privacy negli studi legali
CompLetence © 2010
La specificità dei codici di deontologia “privacy”
• Il dibattito privacy internazionale tra autodisciplina (USA) e regolamentazione normativa (UE)
• L’approccio UE
• La soluzione italiana– Speciale procedura di formazione
– Valore di norma atipica di rango secondario
La privacy negli studi legali
CompLetence © 2010
Redazione
Base giuridica
Verifica
Divulgazione
Efficacia
Promozione
Pubblicazione sulla Gazzetta Ufficiale
Da Garante o da legge
Rappresentanti delle categorie interessate
Raccomandazioni del Consiglio d’Europa, leggi e regolamenti
Ad opera del Garante, della conformità ai principi di legge e di regolamento
Prerequisito della liceità del trattamento
Processo di formazione dei codici deontologici “privacy”
La privacy negli studi legali
CompLetence © 2010
Il codice deontologico “privacy”
• Entrato in vigore il 1 gennaio 2009
• Vincola tutti coloro che gestiscono dati personali per le finalità e negli ambiti in esso previsti– Investigazioni difensive
– Difesa di un diritto in sede giudiziaria (ma inclusa assistenza legale stragiudiziale)
• Ambito: penale, civile, amministrativo, tributario, arbitrato, conciliazione
La privacy negli studi legali
CompLetence © 2010
Relazione tra codice privacy e codice deontologico “privacy”
Codice privacy
Codice deontologico
“privacy”
• La norma primaria (cod. privacy) prevede che il rispetto dei codici deontologici è condizione di liceità del trattamento
• I codici deontologici, quindi, sono fonte di diritto oggettivo
• Le disposizioni sono obbligatorie con funzione integrativa della legislazione
• L’efficacia dei codici deontologici non è più solo “intra” ma ultra-categoriale
• La loro violazione rende applicabili le sanzioni privacy e rileva ai fini della valutazione della risarcibilità del danno privacy (art. 15)
La privacy negli studi legali
CompLetence © 2010
Il Codice deontologico forense affronta questo tema?Inviolabilità della difesa
(art. 11)Dovere di segretezza
(art. 9)
Dovere di riservatezza e discrezione(artt. 9 e 18)
Rapporti con i testimoni(art. 52)
Dovere di fedeltà(art. 7)
Dovere di aggiornamento professionale (art. 13)
Rapporti con la stampa(art. 18)
Rapporti con i colleghi(artt. 22 e ss.)
Dovere di informazione all’assistito(art. 40)
Dovere di restituzione di documenti(art. 42)
Riferimenti al codice deontologico forense
La privacy negli studi legali
CompLetence © 2010
Quali sono le differenze tra i due codici deontologici?
• Norma atipica di secondo grado
• Integrativa della legge primaria
• Valenza ultra – categoriale
• Garante, organo amministrativo competente ad irrogare le sanzioni pecuniarie
• Applicabili le sanzioni privacy
• “esplicitazioni dei principi generali, contenuti nella legge professionale forense” interpretabili dalla Cassazione (SU n.8225/02 e n. 26810 del 2007)
• Funzione integrativa della norma legislativa in bianco
• Valenza intra – categoriale
• Consiglio Nazionale Forense quale organo speciale di giurisdizione (6° disp.trans. Cost.; SU 187/01 e 5072/03)
• Applicabili le sanzioni disciplinari
La privacy negli studi legali
CompLetence © 2010
Quali sono le relazioni tra i due codici deontologici?
Codice deontologico
“privacy”
Codice deontologico
forense
In ipotesi di violazioneNon incide necessariamente sull’applicazione delle sanzioni disciplinari
Può costituire elemento di
valutazione della correttezza del
trattamento
12
CompLetence © 2010
• Adempimenti• Misure minime di sicurezza• Organizzazione e ruoli operativi• Come adeguarsi• Conclusioni
PARTE IIRegime speciale “privacy” per
l’avvocato
La privacy negli studi legali
CompLetence © 2010
L’avvocato gode di un regime speciale privacy?
• Parzialmente. Il regime speciale non si riferisce allo avvocato, in quanto appartenente alla categoria forense
• Si applica solo all’utilizzo dei dati per scopi relativi alla assistenza legale (eccetto “stragiudiziale puro”), alla difesa di diritti in giudizio, alle investigazioni difensive
• Il “principio di finalità” è lo spartiacque tra i regimi “speciale” e generale, entrambi applicabili all’avvocato (le regole seguono la finalità non la categoria di destinatari: distinguo tra aree operativa e professionale)
Ad es. per l’uso di dati per finalità amministrativo – contabili (fatturazione, gestione di pagamenti e tributi), per la gestione del personale dello Studio
o nei rapporti di fornitura si applicano le regole generali
La privacy negli studi legali
CompLetence © 2010
Quand’è che l’avvocato deve rilasciare l’informativa?Informativa
Consenso
Notificazione
Prior checking
• Anche orale ed una tantum rispetto al complesso dei dati raccolti
• Per clienti, dipendenti, collaboratori, fornitori, ecc.
• Anche mediante affissione nei locali
• Casi in cui non è richiesta• a) i dati non sono raccolti presso
l’interessato (es. interviste a terzi o riprese audio/video) e
• b) solo per fini di difesa in giudizio o per investigazioni difensive (art. 13.5, lett. b) cod. privacy)
Ricordarsi dell’informativa nella selezione del personale, nelle sollecitazioni al contatto sul sito web, nei rapporti con soggetti esterni
La privacy negli studi legali
CompLetence © 2010
Fac-simile di informativa stragiudiziale per clienti• Intestazione (art. 13 dlgs. 196/2003 – codice privacy)
– Lo Studio …, Titolare del trattamento dei Vostri dati, Vi informa, che le informazioni che Vi riguardano (anagrafiche, coordinate bancarie, informazioni relative all’incarico) verranno utilizzate per l’esecuzione dell’incarico e per l’adempimento di obblighi di legge.
• Modalità (come sono utilizzati)– I Vostri dati personali verranno gestiti con strumenti elettronici e cartacei da
nostri Incaricati (professionisti, impiegati dell’amministrazione).
• Flussi e soggetti (come circolano)– Per i predetti scopi, i dati potranno essere comunicati a terzi che agiscono per
nostro conto (es. : penalisti, economisti, esperti in diritto ambientale), mentre non saranno diffusi.
• Diritti (come controllarne l’uso)– per accedere ai Vostri dati, chiederne l'aggiornamento o la rettifica o
l’integrazione, per opporvi al loro utilizzo e per esercitare gli altri diritti previsti dal codice privacy, inviateci un fax (accompagnato da copia del documento d’identità) al numero … .
La privacy negli studi legali
CompLetence © 2010
Quand’è che l’avvocato deve raccogliere il consenso?Informativa
Consenso
Notificazione
Prior checking
Casi in cui non è richiesto• I dati non sensibili
• a) del cliente quando necessari per l’esecuzione del mandato(es. anagrafiche, dati fiscali, retributivi, previdenziali e professionali) (art. 24.1, lett. b) cod. privacy)
• b) di chiunque • Per fini difensivi (art. 24.1, lett. f))• Per eseguire un contratto (es. dati di familiari del cliente)• Per soddisfare un obbligo di legge (es. a fini antiriciclaggio)• Quando si tratta di dati di fonte pubblica (es. dati dell’anagrafe)• Quando si stratta di dati economici (es. codice fiscale)
La privacy negli studi legali
CompLetence © 2010
Quand’è che l’avvocato deve raccogliere il consenso? (segue)
Informativa
Consenso
Notificazione
Prior checking
Casi in cui non è richiesto• Solo per fini di difesa in giudizio o per
investigazioni difensive• I dati sensibili di chiunque previa
autorizzazione del Garante (es. appartenenza politica o sindacale, fede religiosa, ecc.)
• a) per salute e vita sessuale, purchè il diritto da difendere sia di “pari rango” (art. 26.4, lett. c))
• I “dati giudiziari” – escluso per legge – purchè in conformità all’autorizzazione n.7 del Garante (art. 27)
• Trasferimento extra-Ue di dati personali (art. 43.1, lett. e))
La privacy negli studi legali
CompLetence © 2010
Quand’è che l’avvocato deve raccogliere il consenso? (segue)
Informativa
Consenso
Notificazione
Prior checking
Casi in cui non è richiesto• Solo per la gestione di rapporti di lavoro e per
la sicurezza sul lavoro• I dati sensibili in conformità
all’autorizzazione del Garante n. 1 (art. 26.4, lett. d) cod. privacy)
• Per i “dati giudiziari” – il consenso non è richiesto per legge
• In conformità all’autorizzazione del Garante n. 7 (art. 27, cod. privacy)
La privacy negli studi legali
CompLetence © 2010
Quand’è che l’avvocato deve raccogliere il consenso? (segue)
Informativa
Consenso
Notificazione
Prior checking
Sintesi sull’esonero dal consenso• Per i dati “comuni”
• del cliente–Per adempiere al mandato ricevuto
• di chiunque–Secondo le regole generali (art. 24)
• Anche per dati sensibili ma secondo le autorizzazioni generali• Per difesa in giudizio e investigazioni difensive
– per salute e vita sessuale, il diritto da difendere sia di “pari rango”
– per trasferimento all’estero di dati– per i “dati giudiziari” – consenso non richiesto per legge -
purchè in conformità all’autorizzazione n. 7 del Garante• Per la gestione dei rapporti di lavoro e di sicurezza sul lavoro
– purchè in conformità all’autorizzazione n. 1 del Garante
La privacy negli studi legali
CompLetence © 2010
Cosa deve fare l’avvocato negli altri casi?Informativa
Consenso
Notificazione
Prior checking
• Informativa–Necessaria, anche orale, informale,
sintetica ma coprendo i profili richiesti dalla legge
• Consenso–Per i dati non sensibili, richiesto solo se
non sono applicabili i casi di esonero (es. dati pubblici, art. 24)
–Per i dati sensibili, richiesto per iscritto nel rispetto delle autorizzazioni generali del Garante
–Per i “dati giudiziari”, non richiesto purchè nel rispetto dell’autorizzazione generale n. 7 del Garante
La privacy negli studi legali
CompLetence © 2010
L’avvocato deve effettuare la notificazione al Garante?Informativa
Consenso
Notificazione
Prior checking
• Raramente. E’ dovuta solo nei casi tassativamente indicati (art. 37.1, cod. privacy)
• Esonero per gli avvocati–per il trattamento di dati genetici o
biometrici per investigazioni difensive o per difesa in giudizio di un diritto “di pari rango” (provv. 31/3/2004)
–Esempi –Uso del DNA dell’imputato o di terzi a fini probatori–Uso del DNA ai fini della dichiarazione giudiziale di paternità–Uso di dati biometrici nell’ambito di investigazioni difensive–Uso di banche dati elettroniche sulla solvibilità o situazione
patrimoniale di persone
L’uso di sistemi di localizzazione satellitare a fini investigativi va notificato
La privacy negli studi legali
CompLetence © 2010
Cosa deve fare l’avvocato se riceve istanza di accesso privacy?
• Richieste di accesso, rettifica, integrazione, cancellazione, opposizione ricevute da interessati
• Possono essere sospese (art. 8.2, lett. e) cod. privacy)– nel periodo in cui sussiste un pregiudizio effettivo e concreto
– alle investigazioni difensive e al diritto di difesa in giudizio
DIRITTI
Strumento di controllo
INFORMATIVA
Strumento di trasparenza
La gestione dei fascicoli sia idonea a consentire ricerche di dati
La privacy negli studi legali
CompLetence © 2010
Può l’avvocato utilizzare i diritti privacy a fini difensivi?• Istanze di clienti per accesso, rettifica, integrazione,
cancellazione, opposizione dirette a Titolari terzi
• Sì, possono essere fonte di informazioni, utile per la costruzione della difesa– Esempi
• accesso ai dati di traffico in entrata dell’assistito per investigazioni difensive (cd. Tabulati telefonici, art. 8.2, lett. f) cod. privacy)
• riscontri della posizione bancaria dell’assistito
I diritti privacy hanno ad oggetto solo i dati personali dell’istante
La privacy negli studi legali
CompLetence © 2010
L’avvocato deve oscurare i dati identificativi delle sentenze?
Provv. giudiziario
Nessuna richiesta
Richiesta accolta dal giudice (art. 52.1)
Oscuramento d’ufficio
(art. 52.2)
Oscuramento per legge(art. 52.5)
Originale
Dati visibili
Dati visibili
Dati visibili
Dati visibili
Copia a terzo
Dati visibili
Dati visibili
Dati oscurati
Dati oscurati
Copia a fini scientifici
Dati visibili
Dati oscurati
Dati oscurati
Dati oscurati
Copia per cronaca
Dati visibili
Dati visibili
Dati visibili
Dati oscurati
Fonte: Deontologia privacy per avvocati e investigatori privati; Fulco e Bolognini - Giuffrè
Sì, ma la disciplina è articolata
25
CompLetence © 2010
• Adempimenti• Misure minime di sicurezza• Organizzazione e ruoli operativi• Come adeguarsi• Conclusioni
PARTE II Regime speciale “privacy” per
l’avvocato
La privacy negli studi legali
CompLetence © 2010
Quali sono le misure di sicurezza per l’avvocato?
• Le misure minime di sicurezza più significative per l’avvocato – Documento Programmatico sulla Sicurezza
• Quando si trattano dati sensibili o giudiziari con strumenti elettronici
• Da aggiornare annualmente entro il 31 marzo
– Amministratore di sistema
• Quando un soggetto è autorizzato ad intervenire su server, banche dati, software complessi con profili di autorizzazione elevati (cd. privilegi)
– Gestione dei fascicoli cartacei
• Fascicoli delle pratiche attive e di quelle di archivio
La privacy negli studi legali
CompLetence © 2010
Documento Programmatico per la Sicurezza (DPS)
• Il DPS è dovuto quando si usano dati sensibili o giudiziari con sistemi automatizzati– I casi di esonero o di semplificazione non sembrano applicabili
all’avvocato tipo
• Perno della politica della sicurezza idonea a ridurre al minimo i rischi di – distruzione o perdita dei dati
– accesso non autorizzato
– trattamento non consentito o non conforme
• Indica le regole di base in un’ottica di programmazione
Va redatto ed aggiornato entro il 31 marzo di ogni anno
La privacy negli studi legali
CompLetence © 2010
Come redige il DPS l’avvocato?
• La norma non contiene indicazioni vincolanti sulle modalità di compilazione– La guida operativa del Garante risulta eccessivamente
dettagliata e non corrispondente alle esigenze dell’avvocato
– Si consiglia un testo sintetico ed operativo che applichi in linea generale le regole previste dal Disciplinare Tecnico
– Le specifiche modalità operative e le procedure, al massimo, possono essere oggetto di allegati a parte
– In tal modo il DPS può essere divulgato all’interno dello Studio e costituire uno strumento di formazione per i ruoli privacy
La privacy negli studi legali
CompLetence © 2010
Fac-simile di struttura del DPS dell’avvocato
• Principi generali
• Lista dei trattamenti
• Trattamenti affidati all’esterno
• Archivi cartacei
• Analisi dei rischi
• Organizzazione e responsabilità
• Regole per gli incaricati del trattamento
• Misure di sicurezza programmate
• Revisioni del DPS
Stato dell’arte e relative regole
Sistema privacy
Pianificazione
Ciclo
La privacy negli studi legali
CompLetence © 2010
L’avvocato deve designare l’Amministratore di sistema?
• Sì, se esiste questo ruolo nello studio legale
• Presupposto– Uso di dati personali con strumenti automatizzati
• Profilo– colui che gode di privilegi per l’accesso e la gestione di banche dati,
tanto da poter assegnare profili di accesso e amministrare i dati in esse contenuti
• Ruolo privacy– Responsabile del trattamento o incaricato con uguale profilo
• Adempimenti e requisiti– Designazione formale ed individuale, competenza, elenco da custodire
e aggiornare, tracciamento dei log, vigilanza, evidenza ai dipendenti
La privacy negli studi legali
CompLetence © 2010
Le semplificazioni privacy si applicano agli studi legali?
• Molto improbabile– L’autocertificazione sostitutiva del DPS riguarda il caso in cui il
trattamento automatizzato di dati sensibili riguardi solo
• dati sull’appartenenza sindacale e
• sullo stato di salute dei dipendenti
– Le modalità di redazione semplificate del DPS e
– L’esonero dalle prescrizioni sull’Amministratore di sistema
• quando i dati sensibili sono utilizzati solo a fini amministrativo-contabili
La privacy negli studi legali
CompLetence © 2010
Come adeguare la videosorveglianza dello studio legale?
• Gli impianti di videosorveglianza sono specificamente disciplinati a fini privacy– Trasparenza verso i soggetti potenzialmente ripresi (informativa
sintetica con affissione di cartello con simbolo grafico)
– Conservazione dei dati (immagini) limitata a poche ore
– Accesso ai dati limitato nonché autorizzato a specifici ruoli privacy e documentato per iscritto
– Divieto di uso dei dati raccolti ad altri fini
La privacy negli studi legali
CompLetence © 2010
Quali regole per una security policy dello studio legale?
• Riservatezza definire in un documento ufficiale la politica di chi è autorizzato ad accedere ai dati (access control)– Vi provvede in anticipo l’avvocato con il supporto di un tecnico
• Integrità avvalersi di funzioni che tracciano la “storia” del documento, di formati non modificabili o di crittografia
• Disponibilità fare uso di tecnologie di back up
• Qualità formalizzare procedure di aggiornamento dei dati
• Riferibilità (accountability) cioè “risalire a chi ha fatto cosa” avvalendosi di funzioni che tracciano la storia di un documento e l’immissione di dati
La privacy negli studi legali
CompLetence © 2010
Quali regole per i fascicoli dello studio legale?
• Sensibilizzazione di tutti - professionisti e staff - con l’obiettivo di creare una cultura diffusa
• Desk policy - diffondere una chiara politica per il mantenimento dell’ordine del posto di lavoro
• Archiviazione - implementare metodologie codificate per pratiche e documentazione cartacea ricevuta dai clienti
• Strumentazione - regolamentare l’uso di fax, stampanti, scanner, fotocopiatrici in modo da evitare che documenti possano essere lasciati incustoditi
Dotare lo Studio di apposite apparecchiature distruggi-documenti da utilizzare sempre per sbarazzarsi della carta
La privacy negli studi legali
CompLetence © 2010
L’avvocato deve eliminare i nomi dai fascicoli?
• No. Nessuna norma impone all’avvocato l’uso di codici in sostituzione dei nomi delle parti sui fascicoli di Studio
• Occorre definire – invece – adeguate modalità per l’accesso alla documentazione da parte degli incaricati per finalità predefinite
• Vedi parere del Garante del 3/6/2004 al CNF
La privacy negli studi legali
CompLetence © 2010
Estinto il mandato, l’avvocato può conservare i documenti?
• Sì. In queste circostanze:– Per ipotizzabili altre esigenze difensive dell’assistito (es. gradi
successivi di giudizio)
– Per ipotizzabili altre esigenze difensive dell’avvocato (es. prova in un procedimento disciplinare o per la liquidazione del compenso)
– Per adempiere ad un obbligo di legge (es. fiscale o antiriciclaggio)
– Per finalità scientifiche ma in forma anonima (es. raccolta di precedenti)
In assenza di queste ipotesi, distruzione, cancellazione o consegna all’avente diritto o al Consiglio dell’Ordine
37
CompLetence © 2010
• Adempimenti• Misure minime di sicurezza• Organizzazione e ruoli operativi• Come adeguarsi• Conclusioni
PARTE II Regime speciale “privacy” per
l’avvocato
La privacy negli studi legali
CompLetence © 2010
L’organigramma privacy
Titolare
Responsabile
Incaricati al trattamento
La privacy negli studi legali
CompLetence © 2010
Chi è titolare del trattamento nello studio legale?
• Chi esercita il potere decisionale sul patrimonio informativo dello Studio, in termini di utilizzo, organizzazione, tutela – Avvocato mono-titolare
– singoli avvocati autonomi che condividono logisticamente i locali dello studio
– Associazione professionale tra avvocati
– Società tra professionisti
La privacy negli studi legali
CompLetence © 2010
Chi è Responsabile del trattamento nello studio legale?
• Nomina facoltativa
• Chi è designato dall’avvocato, con margini di discrezionalità, ad effettuare trattamenti per suo conto– Corrispondenti, domiciliatari e sostituti
– Consulenti tecnici
– Investigatori privati
– Consulenti del lavoro
– Amministratori di sistema
– Aziende informatiche per gestione e manutenzione del patrimonio IT dello Studio
Designazione scritta controfirmata per accettazione, con specifica delle attività affidate e dei presidi da rispettare. Vigilanza
La privacy negli studi legali
CompLetence © 2010
Ci vuole un Responsabile privacy nello studio legale?
• Probabilmente assente negli studi individuali o micro
• Per studi molto strutturati– Uno o più responsabili del trattamento individuati:
• Su base territoriale
• Per processi funzionali o operativi (es. sicurezza, IT, gestione delle risorse, approvvigionamenti, ecc.)
• Per singole unità organizzative (es. capi di dipartimento)
Da non sottovalutare il caso dell’affidamento di un processo operativo – o di un suo segmento - ad un’entità terza (es.
gestione dei rapporti di lavoro e dei cedolini paga)
La privacy negli studi legali
CompLetence © 2010
Quali gli incaricati del trattamento nello studio legale?
• Chi materialmente utilizza dati personali, per conto dell’avvocato, sotto la direzione sua o di un suo Responsabile ed in base a precise istruzioni– Collaboratori e praticanti
– Corrispondenti e consulenti privi di autonoma organizzazione
– Addetti alla segreteria
– Amministrativi e contabili
– Receptionist
Specifica delle istruzioni impartite con disposizione organizzativa per tipologia di incaricato. Vigilanza
La privacy negli studi legali
CompLetence © 2010
Perché occorre un MO privacy nello studio legale?
• Il data protection è norma di comportamento– interviene nella vita interna delle organizzazioni
– impone un adeguamento organizzativo (ruoli e mansioni)
– persegue l’obiettivo del presidio dei flussi informativi all’interno dello Studio e verso terzi
La privacy negli studi legali
CompLetence © 2010
Come scegliere i ruoli privacy nello studio legale?– Realtà professionale variegata, oscillante tra scenari molto
eterogenei
– Struttura: Studi individuali vs. organizzazioni complesse paragonabili ad aziende
– Tecnologia: Ricorso elementare all’informatica vs. dotazioni tecnologiche articolate e centralizzate
– Categoria professionale: Composizione mono-professionale(solo giuristi) vs. organizzazioni multi-professionali (consulenti d’azienda, gestori di processo, esperti informatici, responsabili del personale, ecc.)
– Ubicazione: Entità sostanzialmente locali vs. ramificazioni internazionali
– Decentramento operativo: Ricorso a servizi appaltati vs. organizzazioni autosufficienti
La privacy negli studi legali
CompLetence © 2010
Come considerare gli specialisti a supporto dell’avvocato?
• Es. esperti in branche specialistiche del diritto, economisti, periti, consulenti– Spesso sono professionisti legati a ordini professionali e/o
vincolati da leggi e regolamenti al rispetto del riserbo
– Oggetto dell’intervento è lo studio e l’elaborazione di contenuti con uso marginale di dati personali
– Nomina a Responsabile talvolta inidonea perché soggetti che godono di autonomia professionale
Incarico con accordo di confidenzialità comprensivo di clausola di liceità e correttezza dei trattamenti compiuti
46
CompLetence © 2010
• Adempimenti• Misure minime di sicurezza• Organizzazione e ruoli operativi • Come adeguarsi• Conclusioni
PARTE II Regime speciale “privacy” per
l’avvocato
La privacy negli studi legali
CompLetence © 2010
Da dove cominciare per l’avvocato che si adegua alla privacy?
– Mappatura del patrimonio informativo dello studio legale– Mediante censimento ed analisi dei processi operativi
• Individuazione dei soggetti interni ed esterni che utilizzano dati personali per conto dell’avvocato / studio legale
• Categorie di dati utilizzati (tipi di dati “comuni”, sensibili, giudiziari)
• Finalità d’uso (es. supporto nell’assistenza legale, nell’esercizio del diritto di difesa, gestione del personale, sicurezza del lavoro, amministrativo-contabile, ricerca)
• Attività svolte sui dati personali (es. modalità operative, margini decisionali, attività esecutive)
Consente l’individuazione dei ruoli privacy, l’adeguamento delle misure di sicurezza, il reperimento dei dati, la vigilanza
La privacy negli studi legali
CompLetence © 2010
Conclusioni: una rivoluzione di approccio
• Dalla cultura fiduciaria a quella della compliance– Analisi dei rischi sull’uso dei dati personali (valutazione
sostanziale e non formalistica)
– Programmazione delle misure di tutela (es. DPS)
– Documentazione delle scelte e dei ruoli (es. a fini di prova)
– Procedure nelle attività operative (es. gestione delle pratiche e archiviazione, gestione del posto di lavoro, gradazione del rischio privacy)
– Controlli (es. aggiornamento delle mansioni, conformità alle procedure, analisi degli scostamenti)
– Formazione degli operatori
Creazione di un presidio interno che assicuri il monitoraggio e la conformità dei flussi informativi
Top Related