La protezione dei dati sensibili è diventata, ad oggi, una delle sfide principali che ogni settore è costretto ad affrontare. Il settore giuridico non è esente da questo scoglio, infatti ogni giorno giuristi e avvocati si trovano di fronte alla gestione di numerosi dati legali dei propri clienti, dei propri colleghi e di soggetti terzi. Dunque anche per gli studi legali sarà necessaria l’adozione di mezzi e misure idonee affinché queste informazioni riservate vengano gestite e trattate garantendo la massima sicurezza.
Quali sono i dati legali?
I dati legali che ogni avvocato si è trovato davanti riguardano in particolare tutte le informazioni personali e riservate dei propri clienti, colleghi e/o terzi, ad eempio:
- Dati anagrafici
- Indirizzo
- Numero di telefono
- Messaggi/comunicazioni private e confidenziali
- Documenti (ad es. contratti, cartelle cliniche, testamento etc.)
Essendo dei dati sensibili, appunto, dovranno essere trattati e conservati secondo alcune modalità e principi cardine, fra cui:
- Confidenzialità: elemento da garantire per tutta la durata del trattamento, il quale consente solo ai soggetti autorizzati di trattare i dati in questione.
- Integrità: volta a mantenere la veridicità e l’autenticità dei dati, assicurandosi che nessuno abbia manomesso o alterato le informazioni.
- Disponibilità: i dati legali devono essere resi disponibili, per il tempo stabilito, al personale autorizzato per poter svolgere correttamente il lavoro.
Misure organizzative per la protezione dei dati legali
In particolare il GDPR (Regolamento UE 679/2019) impone alcuni elementi essenziali che riguardano il trattamento dei dati personali, anche per quanto riguarda gli studi legali.
Dunque come devono procedere gli avvocati per uniformarsi alla disciplina comunitaria?
Figure necessarie per il trattamento dei dati legali
In particolare agli studi legali sono richiesti alcuni figure in modo da garantire una maggior trasparenza:
Titolare del trattamento
Ossia “la persona fisica o giuridica che determina le finalità e i mezzi del trattamento […]” (art. 4, comma 7 GDPR).
Di regola riveste tale figura il titolare dello studio, l’associazione professionale o la società tra professionisti, perché è a livello apicale che sono, appunto, determinati “le finalità e i mezzi del trattamento”.
Responsabile del trattamento
Conosciuto anche come DPO ed è “la persona fisica o giuridica […] che tratta dati personali per conto del titolare del trattamento.” (art. 4, comma 8 GDPR).
La nomina è discrezionale, ma se il titolare si avvale di soggetti esterni, che agiscono per conto del titolare stesso (art. 28, comma 1 GDPR) deve nominarli come responsabili in un contratto.
Infatti per ciascun responsabile, il titolare, e quindi anche l’avvocato, deve predisporre un contratto o un atto di nomina “che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento” (art. 28, comma 3 GDPR).
Documenti e mezzi necessari per il trattamento dei dati legali
Ulteriori elementi fondamentali quando si parla di trattamento di dati legali riguardano in particolare:
Liceità del trattamento
L’art. 6, comma 1 GDPR stabilisce cinque condizioni per le quali un trattamento dei dati possa ritenersi lecito.
In particolare però il consenso (art. 4, comma 11 GDPR), espresso nel primo punto, è una delle condizioni più importanti e anche più discusse in tema di privacy dei dati; infatti è consigliabile per un avvocato procurarsi le prove sull’esplicito consenso rilasciato dall’interessato, attraverso una informativa privacy chiara, trasparente e facilmente accessibile.
Quindi il linea di massima viene richiesto il consenso per trattare alcune categorie di dati (art. 9 comma 2 GDPR), dunque gli avvocati possono trattare dati personali, purché questi siano dati legali strettamente necessari allo svolgimento della loro professione, per esercitare i diritti dei loro clienti, riprendendo il concetto di disponibilità, di cui al primo paragrafo di questo articolo.
Informativa privacy
L’avvocato dovrà sempre fornire un’informativa ai propri clienti relativa al trattamento dei dati legali. In particolare i clienti devono essere informati su:
- L’identità e i dati di contatto del titolare del trattamento
- I dati di contatto del responsabile della protezione dei dati, ove applicabile
- Le finalità e la base giuridica del trattamento
- Qualora il trattamento si basi sull’articolo 6, comma 1f, i legittimi interessi perseguiti dal titolare del trattamento o da terzi
- I destinatari o le categorie di destinatari dei dati personali
- Flussi transfrontalieri
- Durata della conservazione
- Diritti dell’interessato e le condizioni di esercizio dei diritti
- Diritto di revocare il consenso, se è la base giuridica del trattamento
- Diritto di presentare reclamo all’autorità di controllo
Queste informazioni devono essere contenute o nel mandato con il cliente, o comunicate via email o mediante l’invio del preventivo. In alternativa possono essere presenti anche nell’apposita informativa privacy presente sul sito web dello studio legale, ma in tal caso l’avvocato dovrà dimostrare che il cliente l’abbia effettivamente letta.
Registro delle attività
Il registro delle attività di trattamento elenca le caratteristiche dei trattamenti effettuati dal titolare sotto la propria responsabilità (in conformità con l’art. 30 GDPR).
L’obbligo di tenere un registro che monitori le varie tipologie di attività di trattamento riguarda solo le organizzazioni con almeno 250 dipendenti, a meno che il trattamento dei dati non possa portare ad un effettivo rischio per i diritti degli interessati, oppure se si riferisce a particolari dati sensibili (ad es. dati relativi a condanne o a reati).
Dunque un avvocato dovrà necessariamente istituire un registro delle attività solo quando, nell’esercizio della sua professione, i dati legali trattati siano da considerarsi dati particolarmente sensibili.
Sito web
Spesso il sito web legale è un’importante punto di partenza per un avvocato, il quale attraverso le proprie piattaforme può mostrare il proprio operato e le proprie competenze attraverso, ad esempio, la stesura di articoli.
Ad oggi tuttavia la presenza di siti non a norma in materia di privacy risulta essere preponderante. Conoscere se il proprio sito è a norma o meno è fondamentale, soprattutto per instaurare un rapporto di fiducia fin da subito con il cliente, il quale ovviamente non sarebbe invogliato a visitare un sito non sicuro e tanto meno ad inserire i propri dati.
Quali principi rispettare nel trattamento dei dati legali?
Oltre ai tre criteri espressi inizialmente, è importante ricordare quelli che sono i principi cardine quando si ha a che fare con numerosi dati legali appartenenti ai propri clienti:
Conservazione
I dati possono essere conservati solo per la durata necessaria per l’obiettivo perseguito al momento della raccolta.
I dati acquisiti in sede di identificazione e verifica (D.Lgs. 231/2007) in tema di antiriciclaggio devono essere conservati per un periodo di 10 anni dalla cessazione del rapporto, della prestazione professionale o dall’esecuzione dell’operazione.
Minimizzazione
I dati personali trattati devono essere solamente quelli previsti per il raggiungimento dell’obiettivo. Dunque un avvocato dovrà evitare di trattare quei dati che esulino dalle informazioni necessarie per il corretto svolgimento della professione forense e dell’assistenza richiesta dal cliente.
Sicurezza
L’avvocato, nelle vesti di titolare del trattamento, deve procedere all’attuazione e implementazione di tutte le misure di sicurezza necessarie per garantire i tre criteri di cui al primo paragrafo.
Dunque dovrà essere garantita sia un tipo di sicurezza “fisica” con strumenti ad esempio chiavi, codici di sblocco per accesso, cassaforti, ma anche sicurezza di tipo informatico come password, antivirus, firewall etc.
