GDPR 2016/679 e avvocati. Ecco gli adempimenti essenziali
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
privacy
GDPR 2016/679 e avvocati. Ecco gli adempimenti
essenziali
di Deborah Bianchi
L’avvocato di fronte al GDPR. Quali sono le cose essenziali da fare?
Immaginiamo per un momento di essere un avvocato o uno studio legale alle prese con l’adeguamento al
GDPR. Ormai è scoccata l’ora fatale: siamo al 25 maggio 2018. Sarà stato fatto tutto il necessario? Potrebbe
darsi di avere dimenticato qualcosa. Nel tentativo di agevolare il nostro avvocato di fantasia, è stata
tracciata in questo testo la Check List o il Memorandum degli adempimenti essenziali per adeguarsi al
Regolamento europeo Data Protection accompagnati da qualche breve nota di presentazione. Ripassiamoli
insieme.
Il GDPR non richiede che tutti facciano tutto.
La Privacy Policy di qualsiasi struttura e quindi anche quella di uno studio legale deve tentare di
interpretare l’organico e le attività esistenti alla luce delle indicazioni del GDPR 2016/679. In sintonia con i
criteri di semplificazione e necessità dettati dal legislatore europeo, ogni avvocato o studio legale deve
provare ad individuare e a costruire la propria dimensione Data Protection risultante dal punto di
equilibrio tra le esigenze conformative privacy e le risorse disponibili della struttura senza tralasciare la
programmazione di nuove misure in un orizzonte temporale definito e sottoponibile a verifica. In definitiva
il GDPR non richiede che tutti facciano tutto ma che ciascuno si attivi responsabilmente in proporzione alla
delicatezza dei dati e/o alla mole dei flussi informativi trattati nonché rispetto alle proprie risorse umane ed
economiche. Fondamentale per il Legislatore UE è che il Titolare abbia chiaro lo stato privacy della propria
struttura in modo tale da conoscerne le lacune e da programmarne nel tempo i relativi rimedi. Sotto
quest’ultimo profilo, il Piano di Gestione del Rischio costituisce la valvola di sicurezza di tutto il sistema
privacy perché introducendo l’elemento della dinamicità - mediante la programmazione nel tempo dei vari
adeguamenti – consente il costante e progressivo adeguamento della struttura. Grazie al Piano di Gestione
del Rischio, il nostro avvocato di fantasia “visitato” dall’ispettore del Garante potrà sostenere che è
consapevole delle criticità della propria struttura e dimostrare con documento alla mano che ha già
programmato di risolvere entro sei o entro 12 mesi.
Riservatezza, Integrità, Disponibilità.
Riservatezza, Integrità, Disponibilità sono i principi-cardine della disciplina Data Protection stabilita dal
Regolamento UE GDPR 2016/679. Questo significa che la struttura titolare del trattamento dati dev’essere
in grado di raccogliere, usare e conservare le informazioni personali garantendo all’interessato la
riservatezza, la possibilità di riottenere intatto il dato (integrità) e di riottenerlo in qualsiasi momento del
ciclo di vita dello stesso nei flussi informativi generati dalla struttura (disponibilità).
L’approccio metodologico per l’applicazione delle misure privacy secondo il GDPR 2016/679 è un approccio
“Risk based” coniugato con il principio dell’“Accountability”. Il titolare deve interrogarsi ex ante sui danni
che potrebbe causare ai dati dell’interessato preoccupandosi di valutare le possibilità di rischio di incidentee conseguentemente applicare le misure di contrasto idonee o comunque prevederne l’applicazione entro
un certo orizzonte temporale in proporzione alle proprie risorse economiche. Questo processo di
valutazione del Rischio dev’essere dimostrabile perché il titolare per sgravarsi dalla responsabilità deve
essere in grado di provare che prima dell’incidente aveva adottato dei sistemi per contenere il rischio di
sinistro privacy magari mediante sistemi di tracciabilità come il file logging. Tutte queste procedure di
previsione e prevenzione del danno si pongono nell’ottica della “accountability” ovvero della
“responsabilità attiva” che vuole prevenire anzichè rimediare dopo che l’incidente è già avvenuto.
Stato della disciplina privacy al 25 maggio 2018. Contestuale applicazione GDPR, Codice interno e Decreto
di coordinamento.
Una volta approvato il Decreto legislativo di coordinamento tra normativa europea e disciplina interna (in
corso di approvazione), lo stato legislativo della privacy sarà dettato contemporaneamente dal GDPR, dal
Codice Privacy 196/03 (non abrogato) e dal Decreto di coordinamento. Verosimilmente molte delle regole
stabilite dal Garante Privacy nelle Autorizzazioni Generali resteranno in piedi agevolando gli operatori dei
vari settori che devono trattare dati di salute o particolari (es. iscrizione sindacato) nei
rapporti di lavoro oppure nelle Pubbliche Amministrazioni o ancora per motivi di studio o
didattici. In presenza di tecniche di cifratura, di pseudonimizzazione, di misure di
minimizzazione, di specifiche modalità di accesso selettivo ai dati sarà possibile anche il
trattamento autorizzato di dati genetici, biometrici e relativi alla salute.
GDPR 2016/679. Ripassiamo insieme gli adempimenti essenziali.
Il nostro avvocato di fantasia vuole assicurarsi di non aver dimenticato nulla di importante. Così decide di
ripassare con noi i punti essenziali di una Privacy Policy rispettosa del GDPR. Gli adempimenti essenziali per
adeguarsi alla regolamentazione privacy sono i seguenti:
1. Classificazione dei dati trattati e delle tipologie di interessati;
2. Mappatura Trattamenti;
o Area Amministrativo-Contabile,
o Area Produttiva (es. elaborazione atti, lettere, pareri),
o Area Promozionale: sito web, social media, eventi,
o Modalità trattamenti (minimizzazione, riservatezza, integrità, disponibilità),
o Tempi di Conservazione e seguente Cancellazione,
o Trasferimento dati in Paesi extra UE (es. newsletter Mailchimp, Facebook),
o Profilazione (es. tramite i cookies);
o Portabilità e interoperabilità (possibilità di immediato trasferimento documenti ad altro
avvocato su richiesta del cliente in caso di revoca del mandato),
o Divieto ai Minori di utilizzo sito web, social media o altri canali dell’avvocato;3. Mappatura Ruoli Privacy;
o Titolare (avvocato singolo o più avvocati contitolari per un mandato congiunto),
o Responsabili interni (avvocato coordinatore, segretaria coordinatrice),
o Responsabili Esterni,
o Addetti privacy,
o Terzi;
4. Registro dei Trattamenti (consigliato a tutti);
o Obbligatorio per.
Avvocati di diritto penale,
Avvocati di diritto famiglia e minori,
Avvocati di diritto della previdenza sociale,
Avvocati di malpractice medica,
Avvocati del risarcimento danni da lesioni personali.
5. Registro del Consenso;
o Raccolta in cartaceo o elettronica dell’attestazione di ricevimento dell’informativa
sottoscritta dal cliente unitamente al consenso per il trattamento dei dati personali e di
salute o particolari,
o Conservazione di questa raccolta delle attestazioni di informativa e di consenso al fine
di provare le dichiarazioni dell’interessato.
6. Punto Privacy Interno;
o Indirizzo e.mail cui rivolgere le richieste,
o Informazioni sui Diritti dell’Interessato,
7. Informative;
o Informativa clienti;
o Informativa fornitori;
o Informativa dipendenti;
o Informativa curricula;
o Informativa Utenti per il sito web;
o Informativa Utenti Pagina Social Media;
o Informative specifiche;
8. Consensi;
o Consenso al trattamento dei dati personali;
o Consenso alla Comunicazione a Terzi e/o Diffusione;
o Consenso a ricevere comunicazioni dal titolare del trattamento tramite e.mail,
newsletter, sms, mms, app;
o Consenso al Trasferimento dati a Paesi Extra UE;
o Avete acquisito la Prova dell’avvenuto Consenso Privacy registrata in apposito elenco
tracciato con i file di log (Registro Consensi Privacy)?
o Avete acquisito i Consensi con flag multipli e separati?
9. Lettere Incarico;
o Lettere Incaricati o Addetti Privacy;
o Lettere incarico Responsabile Interno;
o Lettera incarico Amministratore di Sistema;
10. Accordi Privacy con Responsabili Esterni;
o Avete un Accordo privacy con il vostro Responsabile Esterno/fornitore di server o di
servizi cloud? Avete verificato se è certificato ai fini del GDPR?
11. Piano di Gestione Misure di sicurezza;
o Assegnazione, ad uso esclusivo, di credenziali di autenticazione elettronica a ogni
operatore con spiegazione password;
o Disattivazione delle credenziali di autenticazione nel caso di inutilizzo per 3 mesi;
o Assegnazione, ad uso esclusivo di chiave dell’archivio cartaceo agli operatori designati;o Individuazione del profilo di autorizzazione anteriormente all’inizio del trattamento;
o Istruzioni in merito all’accesso agli archivi cartacei e/o elettronici;
o Definizione di procedure per le copie di sicurezza, la loro custodia e il ripristino dei dati;
o Formazione sugli aspetti principali della disciplina della privacy al momento dell’inizio
attività;
o Formazione privacy specifica per i trattamenti relativi al Sito web, ai Social Media e agli
Eventi dal momento dell’attribuzione delle mansioni di curatore del Sito web, Social
Media e Eventi;
o Formazione Privacy specifica per la valutazione del Rischio in tutta la struttura dal
momento dell’attribuzione di questa mansione;
o Sicurezza Fisica ed Ambientale;
Portone sicurezza;
Vigilanza;
o Sicurezza delle attività operative;
Sistemi UPS o generatori di corrente che garantiscono la continuità elettrica;
o Sicurezza Informatica ed Elettronica;
Avete un Sistema di Gestione della Sicurezza Informatica (SGSI) ISO/IEC 27001
già fatto per la Sicurezza in azienda? Potrebbe costituire una valida parte del
Piano Misure Sicurezza della Privacy Policy;
Avete dei sistemi informatici ad utilizzo minimo dati o cosiddetti privacy by
design?
Utilizzate la crittografia o l’anonimizzazione dei dati di salute e particolari (ex
dati sensibili)?
Utilizzo di un sistema Firewall;
Aggiornamento periodico del sistema Firewall;
Utilizzo di un sistema antivirus;
Aggiornamento periodico dei programmi antivirus;
Utilizzo di un filtro anti-spam;
Aggiornamento periodico del filtro anti-spam;
Dati scaricati solo in versione cifrata (dati di salute e dati particolari);
Manutenzione programmata degli strumenti;
Controllo sull’operato degli addetti alla manutenzione ogni volta che vi sia
necessità;
o Regolamento per l’utilizzo degli Strumenti Informatici, Internet, Mail aziendale,
Dispositivi mobili aziendali (cellulare, tablet, pc portatili, app mobili);
o Monitoraggio continuo delle sessioni di lavoro (es. file log);
o Monitoraggio continuo sul sistema di protezione nella trasmissione dei dati mediante
ad esempio tracciatura file log;
o Backup eseguiti regolarmente e conservati in un luogo sicuro possibilmente dislocato in
una sede lontana da quella dello studio (es. così in caso incendio non saranno bruciati);
o Piano di disaster recovery;
o Dispositivi Mobili (cellulare, tablet, pc portatili) dotati di mezzi di crittografia;
o Aggiornamento periodico dei programmi antivirus per i devices mobili;
o Dispositivi di archiviazione rimovibili (chiavette USB, CD, DVD ...) sottoposti a verifica
antivirus prima dell’applicazione al pc o ad altro dispositivo (una chiavetta usb infetta
può distruggere tutta la base dati dello studio).
12. Procedure di Audit o controllo interno:
o Procedure di verifica sullo stato privacy della struttura ogni 6 mesi;
o Procedure di verifica sull’operato dei Responsabili Esterni ogni 6 mesi;
o Procedure di verifica della sicurezza fisica ogni 6 mesi;13. Piano di Gestione del Rischio;
14. Procedura di Data Breach;
o Avete una procedura interna di segnalazione dei Data Breach?
o Quanto tempo occorre agli addetti per la segnalazione?
o Quanto tempo occorre per il primo intervento?
15. Privacy Policy Sito Web;
16. Cookies Policy;
17. Formazione continua;
18. Redazione del Documento Unico Privacy (racchiude tutti gli adempimenti della struttura);
19. Data Privacy Officer (DPO);
o Nomina DPO Esterno Condiviso (per avvocati singoli o piccole associazioni),
o Nomina DPO Esterno (per avvocati singoli o piccole associazioni),
o Nomina DPO Interno (per grandi studi legali).
Conclusioni
La nuova dimensione assunta dall’Internet coniugata con la potenza degli algoritmi applicati ai Big Data
costringe il titolare del trattamento a guardare oltre i confini materiali della propria struttura per tutelare i
patrimoni informativi affidatigli. I nuovi servizi on line basati sul cloud computing hanno abbattuto le
frontiere fisiche esaltando la preminenza dei flussi informativi. In questi fiumi di bit le informazioni che
hanno cessato il loro originario ciclo vitale possono riattivarsi e iniziare un nuovo ciclo dettato dalla leva del
riuso dei dati. Il riuso determina un iter del dato sconosciuto per l’interessato che di quel dato è
proprietario. L’interessato non è in grado di controllare questo secondo ciclo di vita informativo e questo lo
espone a un rischio altissimo di subire danni. L’informazione riusata può subire all’insaputa dell’interessato
Trasferimenti extra UE in Paesi privi delle garanzie privacy nostrane. Proprio per ovviare a tale rischio il
GDPR 2016/679 impone l’obbligo di comunicare questa attività che non può essere espletata senza il
consenso espresso dell’interessato. Si pensi che già il servizio di Newsletter fornito da una piattaforma
statunitense costituisce un trattamento vietato ove non specificamente consensuato. Il mancato rispetto
dei tempi dichiarati di Conservazione del dato costituisce altresì un illecito perché la conservazione
indefinita favorisce il riuso che come abbiamo detto sfugge al controllo dell’interessato.
Il Titolare del Trattamento deve assumere la consapevolezza che la Privacy Policy costituisce solo il punto di
partenza di un percorso destinato ad evolversi costantemente insieme ai cambiamenti delle tecnologie e
della struttura. La Privacy Policy non è e non potrà mai essere un documento definitivo ma piuttosto un
documento in costante aggiornamento sulla scorta delle indicazioni del Garante Privacy italiano e di quelli
europei.
Non si tratta dunque di un documento per essere compliant alla disciplina ma di uno strumento
indispensabile per costruire e conservare la sicurezza del proprio sistema informativo elettronico
garantendo al tempo stesso i diritti privacy sui dati degli interessati circolanti nella struttura ma anche nella
società. In una dimensione siffatta l’anello debole è il fattore umano. E’ stato rilevato che nella maggior
parte dei casi il danno privacy è dovuto a errore o incuria o ignoranza dell’Addetto o Incaricato Privacy. In
questa ottica la Formazione costituisce il carburante della Privacy Policy finalizzato ad attualizzarla e
renderla materia viva ogni giorno grazie all’introduzione di un approccio critico Risk Based. Questo
approccio Risk Based deve diventare la forma mentis dell’Addetto, del Responsabile, del Titolare affinchè
prima di compiere una qualsiasi attività scatti l’interrogativo:
“potrebbero esserci danni privacy? Come posso contenerli o eliminarne il rischio?”.Puoi anche leggere
