GDPR: anche il piccolo studio legale si deve adeguare?

Il Regolamento (UE) 2016/679 in materia di privacy non ha ancora definitivamente spiegato le ali dell’efficacia eppure sta già seminando paura e panico.

Non che la normativa sia stata proprio scritta a regola d’arte, come si suol dire. Anzi, si tratta di un testo a maglie larghe che detta solo principi generali e regole di condotta.

Il coraggio della paura, come disse Totò in un celebre film, ormai sta animando questi ultimi giorni prima della fatidica data del 25 maggio alla rincorsa dell’ultimo DPO disponibile.

Di cosa sto parlando? Ovviamente della paura delle sanzioni, che arrivano sino a 20.000.000 di euro o 4% del fatturato mondiale annuo, potenzialmente applicabili in caso di inadempimento ai dettami del GDPR (General Data Protection Regulation – Regolamento UE 679/2016).

Il tutto avviene, come nelle migliori tradizioni italiane, in pieno caos normativo generato non ultimo da un clamoroso annuncio governativo di una trentina di giorni fa, nel quale si dichiarava spensieratamente che – in aperta contraddizione con la legge delega ricevuta  e con quanto riferito dalla stessa Commissione Europea , l’Italia preferiva gettare alle ortiche tutta la sua storia normativa (per una volta solida e riconosciuta a livello europeo) in materia di privacy, abrogando interamente il Codice per la protezione dei dati personali.

Geniale,  non vi pare?

Ovvio che in una situazione del genere si stia generando una sorta di panico generale sfociato nella gara fra chinterpretameglioilregolamentoeuropeo.

“Chissà, magari a Tizio avvocato singolo professionista la normativa non si applica! In fondo usa solo 7 pc e 4 chiavette usb ma ha una sola scrivania!!”

Per cortesia. Calma.

Togliamoci subito il pensiero.

In base a quanto viene previsto dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 il prossimo 25 di maggio anche tutti coloro che esercitano un’attività di natura libero-professionale saranno tenuti ad adeguarsi a nuove regole in materia di trattamento dei dati personali, anche se operano singolarmente o sono organizzati in piccoli studi.

Prendiamo come esempio due casi che abbastanza comuni:

a) Il singolo professionista che raccoglie e tratta dati personali esclusivamente per finalità connesse al servizio che gli è stato richiesto da parte del cliente. Quindi, ad esempio, il caso dell’avvocato che deve curare difese e accuse in giudizio o redigere contratti o pareri.

b) Il professionista che vuole utilizzare il sito web dello studio a scopo informativo e di acquisizione di clientela.

In queste fattispecie quali saranno gli obblighi che occorre rispettare?

Innanzitutto, una delle prime operazioni da compiere, sia nel primo che nel secondo caso, è quella di verificare che il trattamento sia fondato sui principi del Regolamento (UE) 2016/679, quindi sui principi di liceità, correttezza, trasparenza (comportamento, questo, che viene già ampiamente previsto e prescritto dal Codice per la Tutela dei dati personali, codice che è tuttora vigente e tale resterà, almeno, sino al 25 di maggio).

Sarà, quindi, opportuno verificare che i dati raccolti e trattati siano esclusivamente quelli strettamente necessari, pertinenti ed adeguati a svolgere la finalità per cui sono stati richiesti, che siano state adottate le misure necessarie per aggiornarli o rettificarli tempestivamente al bisogno, che siano conservati esclusivamente per il tempo necessario ad espletare l’incarico conferito e che siano adeguatamente protetti.

Alla luce di questi principi, si ritiene che le informative, già necessariamente utilizzate per adempiere al già citato Codice per la tutela dei dati personali, debbano essere modificate per renderle conformi all’articolo 13 del Regolamento (UE) 2016/679.

Nel caso in cui più professionisti si trovino ad operare all’interno del medesimo studio (i classici “studi associati”), sarà invece opportuno verificare se alla propria compagine organizzativa debba essere applicato quanto viene previsto dall’articolo 26 del Regolamento (UE) 2016/679 e quindi verificare se i professionisti operano in qualità di contitolari del trattamento, determinando di comune accordo modalità e finalità del trattamento dei dati (in tal caso si dovrà sottoscrivere un accordo interno in cui i professionisti disciplinano le proprie responsabilità e obblighi in materia di dati personali) oppure se, diversamente, per essi operano gli articoli 28 e 29 del Regolamento e quindi se i collaboratori dello studio gestiscono dati personali per conto di un titolare che fissa finalità e modalità del trattamento. In quest’ultimo caso sarà necessario provvedere, mediante opportune lettere di incarico, che tali collaboratori vengano adeguatamente informati del loro compito e responsabilizzati.

Lo stesso si dovrà fare con il fornitore del servizio di hosting, nel quale è alloggiato l’eventuale sito web e su cui transitano le e-mail e con l’eventuale consulente IT che si occupa di aggiornare o manutenere il software gestionale dello studio e con tutti gli altri eventuali soggetti cui si trasferiscono dati di clienti o collaboratori fuori dallo studio (ad esempio coloro che forniscono il servizio di fatturazione elettronica in outsourcing).

A questo proposito, è bene prestare attenzione, perché la distinzione tra “responsabile dei dati personali” ed “incaricato del trattamento” corrisponde ad una precisa distinzione di ruoli e responsabilità del soggetto cui il ruolo viene conferito, responsabilità che può essere, come nel caso del responsabile del trattamento, assai pesante. I dipendenti che hanno accesso ai dati trattati nell’ambito dell’attività dell’ufficio dovranno essere designati come semplici “incaricati del trattamento”  o comunque autorizzati a gestire i dati limitatamente a ciò che ad essi compete.

Ai collaboratori dovranno essere impartite, inoltre, istruzioni operative o linee guida su come gestire i dati di terzi e proteggerli.

Lo studio deve, quindi, dotarsi di corrette metodologie per proteggere i dati.

Ma è opportuno sottolineare che le prescrizioni giuridico-normative si intrecciano strettamente con quelle tecnologiche in quanto le metodologie di trattamento, conservazione e trasmissione dei dati sono in continua, rapida, evoluzione acquisendo capacità che portano a stravolgere in poco tempo prassi apparentemente consolidate.

Alla luce di queste considerazioni, lo studio dovrà ovviamente essere dotato di tutti quegli strumenti tecnici e organizzativi adeguati e proporzionati al tipo di dati trattati, alla finalità del trattamento, alle modalità, al contesto organizzativo e ai rischi potenziali che il trattamento può provocare sui diritti e le libertà degli interessati, misure che consentano di garantire, l’integrità dei dati personali trattati e la disponibilità, dei sistemi utilizzati nonché un elevato grado di protezione dei dati stessi .

Sarà quindi necessario impiegare meccanismi che permettano di evitare accessi abusivi ai dati, alterazioni o modifiche degli stessi, cancellazioni, divulgazioni non autorizzate o violazioni di altro tipo.

In tal caso, ad esempio, molto si può fare impiegando meccanismi antielusione come i firewall e anche utilizzando (e facendo utilizzare) password sicure per accedere ai sistemi informatici dello studio in cui sono archiviati dati personali, provvedendo a redigere opportune best practice su come tali password dovranno essere custodite e amministrate.

Particolarmente, importante per il transito dei dati è l’uso di chiavette USB dotate di password o anche chiavette che consentono di criptare i dati ivi contenuti (il Regolamento, infatti all’articolo 32 consiglia proprio l’impiego di strumenti che consentano di cifrare i dati o comunque usare la pseudonimizzazione). Occorrerà poi ricorrere a strumenti che permettano di effettuare il backup, meglio se continuo dei dati, come ad esempio potrebbe essere un servizio di cloud fornito da un soggetto terzo di cui sarà necessario vagliare l’affidabilità e il grado di sicurezza offerto prima di sottoscrivere il contratto, designando, tra l’altro, anch’esso, responsabile del trattamento.

Credo sia scontato ma mai superfluo ricordare che è buona pratica mantenere i sistemi operativi sempre aggiornati ed i vari programmi e le applicazioni utilizzate, determinando, a priori, una manutenzione periodica.

Si tenga, poi, presente che anche il professionista, in qualità di titolare del trattamento (o contitolare) è chiamato a comunicare al Garante eventuali violazioni sui dati personali entro 72 ore dal momento in cui ne viene a conoscenza, pertanto, occorrerà pensare anche a procedure preventive che consentano di intervenire velocemente sulla violazione e procedere tempestivamente alla comunicazione all’autorità.

Questi sono, in linea di massima, gli adempimenti fondamentali previsti da parte del Legislatore europeo e definiti nel Regolamento, che dovranno essere effettivi, in quanto il professionista, in qualità di titolare del trattamento, dovrà essere in grado di dimostrare di aver messo in atto misure adeguate che provino che il trattamento viene effettuato conformemente a quanto viene dettato da parte del regolamento.

È ovvio che molta della implementazione delle metodiche di realizzazione di quanto viene previsto nel Regolamento dipende sia dal tipo di organizzazione, che dalla tipologia dei dati che vengono trattati così come dalle eventuali ulteriori finalità del trattamento, dai modi in cui i dati sono trattati e, quindi, dagli strumenti impiegati. Altrettanto ovvio è che tanto più è complessa l’organizzazione, maggiori saranno gli adempimenti per essere adempienti.

È chiaro che se, ad esempio uno studio ha il server in uno Stato estero fuori dall’Unione, su cui vengono archiviati dati personali, ad esso si applicano anche le norme relative al trasferimento di dati all’estero, mentre se si tratta di uno studio dotato di un numero elevato di professionisti e collaboratori suddiviso per settori di attività, si dovrà pensare anche di effettuare una DPIA, ovvero una “data protection impact assesment” o “valutazione d’impatto sulla protezione dei dati” (il considerando n. 91 del Regolamento esclude l’obbligatorietà della valutazione d’impatto sulla protezione dei dati solo per singoli professionisti, quali il singolo avvocato o medico) e nominare un DPO ovvero un “data protection officier”.

Quanto fin qui esposto dimostra la complessità del terreno in cui ci si deve muovere. Come detto, è bene non sottovalutare assolutamente l’attività di compliace alla normativa. Ma per farlo, da buoni italiani quali siamo, cerchiamo in primis di formattare la nostra forma mentis. In fondo anche questa è un’attività di compliace.

Giovanna Panucci

Avvocato, privacy manager e specialist

Ciao! Scrivi qui. Ti risponderemo appena possibile.

VIRGILIUM