GDPR 2016/679 e avvocati. Ecco gli adempimenti essenziali
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
privacy GDPR 2016/679 e avvocati. Ecco gli adempimenti essenziali di Deborah Bianchi L’avvocato di fronte al GDPR. Quali sono le cose essenziali da fare? Immaginiamo per un momento di essere un avvocato o uno studio legale alle prese con l’adeguamento al GDPR. Ormai è scoccata l’ora fatale: siamo al 25 maggio 2018. Sarà stato fatto tutto il necessario? Potrebbe darsi di avere dimenticato qualcosa. Nel tentativo di agevolare il nostro avvocato di fantasia, è stata tracciata in questo testo la Check List o il Memorandum degli adempimenti essenziali per adeguarsi al Regolamento europeo Data Protection accompagnati da qualche breve nota di presentazione. Ripassiamoli insieme. Il GDPR non richiede che tutti facciano tutto. La Privacy Policy di qualsiasi struttura e quindi anche quella di uno studio legale deve tentare di interpretare l’organico e le attività esistenti alla luce delle indicazioni del GDPR 2016/679. In sintonia con i criteri di semplificazione e necessità dettati dal legislatore europeo, ogni avvocato o studio legale deve provare ad individuare e a costruire la propria dimensione Data Protection risultante dal punto di equilibrio tra le esigenze conformative privacy e le risorse disponibili della struttura senza tralasciare la programmazione di nuove misure in un orizzonte temporale definito e sottoponibile a verifica. In definitiva il GDPR non richiede che tutti facciano tutto ma che ciascuno si attivi responsabilmente in proporzione alla delicatezza dei dati e/o alla mole dei flussi informativi trattati nonché rispetto alle proprie risorse umane ed economiche. Fondamentale per il Legislatore UE è che il Titolare abbia chiaro lo stato privacy della propria struttura in modo tale da conoscerne le lacune e da programmarne nel tempo i relativi rimedi. Sotto quest’ultimo profilo, il Piano di Gestione del Rischio costituisce la valvola di sicurezza di tutto il sistema privacy perché introducendo l’elemento della dinamicità - mediante la programmazione nel tempo dei vari adeguamenti – consente il costante e progressivo adeguamento della struttura. Grazie al Piano di Gestione del Rischio, il nostro avvocato di fantasia “visitato” dall’ispettore del Garante potrà sostenere che è consapevole delle criticità della propria struttura e dimostrare con documento alla mano che ha già programmato di risolvere entro sei o entro 12 mesi. Riservatezza, Integrità, Disponibilità. Riservatezza, Integrità, Disponibilità sono i principi-cardine della disciplina Data Protection stabilita dal Regolamento UE GDPR 2016/679. Questo significa che la struttura titolare del trattamento dati dev’essere in grado di raccogliere, usare e conservare le informazioni personali garantendo all’interessato la riservatezza, la possibilità di riottenere intatto il dato (integrità) e di riottenerlo in qualsiasi momento del ciclo di vita dello stesso nei flussi informativi generati dalla struttura (disponibilità). L’approccio metodologico per l’applicazione delle misure privacy secondo il GDPR 2016/679 è un approccio “Risk based” coniugato con il principio dell’“Accountability”. Il titolare deve interrogarsi ex ante sui danni che potrebbe causare ai dati dell’interessato preoccupandosi di valutare le possibilità di rischio di incidente
e conseguentemente applicare le misure di contrasto idonee o comunque prevederne l’applicazione entro un certo orizzonte temporale in proporzione alle proprie risorse economiche. Questo processo di valutazione del Rischio dev’essere dimostrabile perché il titolare per sgravarsi dalla responsabilità deve essere in grado di provare che prima dell’incidente aveva adottato dei sistemi per contenere il rischio di sinistro privacy magari mediante sistemi di tracciabilità come il file logging. Tutte queste procedure di previsione e prevenzione del danno si pongono nell’ottica della “accountability” ovvero della “responsabilità attiva” che vuole prevenire anzichè rimediare dopo che l’incidente è già avvenuto. Stato della disciplina privacy al 25 maggio 2018. Contestuale applicazione GDPR, Codice interno e Decreto di coordinamento. Una volta approvato il Decreto legislativo di coordinamento tra normativa europea e disciplina interna (in corso di approvazione), lo stato legislativo della privacy sarà dettato contemporaneamente dal GDPR, dal Codice Privacy 196/03 (non abrogato) e dal Decreto di coordinamento. Verosimilmente molte delle regole stabilite dal Garante Privacy nelle Autorizzazioni Generali resteranno in piedi agevolando gli operatori dei vari settori che devono trattare dati di salute o particolari (es. iscrizione sindacato) nei rapporti di lavoro oppure nelle Pubbliche Amministrazioni o ancora per motivi di studio o didattici. In presenza di tecniche di cifratura, di pseudonimizzazione, di misure di minimizzazione, di specifiche modalità di accesso selettivo ai dati sarà possibile anche il trattamento autorizzato di dati genetici, biometrici e relativi alla salute. GDPR 2016/679. Ripassiamo insieme gli adempimenti essenziali. Il nostro avvocato di fantasia vuole assicurarsi di non aver dimenticato nulla di importante. Così decide di ripassare con noi i punti essenziali di una Privacy Policy rispettosa del GDPR. Gli adempimenti essenziali per adeguarsi alla regolamentazione privacy sono i seguenti: 1. Classificazione dei dati trattati e delle tipologie di interessati; 2. Mappatura Trattamenti; o Area Amministrativo-Contabile, o Area Produttiva (es. elaborazione atti, lettere, pareri), o Area Promozionale: sito web, social media, eventi, o Modalità trattamenti (minimizzazione, riservatezza, integrità, disponibilità), o Tempi di Conservazione e seguente Cancellazione, o Trasferimento dati in Paesi extra UE (es. newsletter Mailchimp, Facebook), o Profilazione (es. tramite i cookies); o Portabilità e interoperabilità (possibilità di immediato trasferimento documenti ad altro avvocato su richiesta del cliente in caso di revoca del mandato), o Divieto ai Minori di utilizzo sito web, social media o altri canali dell’avvocato;
3. Mappatura Ruoli Privacy; o Titolare (avvocato singolo o più avvocati contitolari per un mandato congiunto), o Responsabili interni (avvocato coordinatore, segretaria coordinatrice), o Responsabili Esterni, o Addetti privacy, o Terzi; 4. Registro dei Trattamenti (consigliato a tutti); o Obbligatorio per. Avvocati di diritto penale, Avvocati di diritto famiglia e minori, Avvocati di diritto della previdenza sociale, Avvocati di malpractice medica, Avvocati del risarcimento danni da lesioni personali. 5. Registro del Consenso; o Raccolta in cartaceo o elettronica dell’attestazione di ricevimento dell’informativa sottoscritta dal cliente unitamente al consenso per il trattamento dei dati personali e di salute o particolari, o Conservazione di questa raccolta delle attestazioni di informativa e di consenso al fine di provare le dichiarazioni dell’interessato. 6. Punto Privacy Interno; o Indirizzo e.mail cui rivolgere le richieste, o Informazioni sui Diritti dell’Interessato, 7. Informative; o Informativa clienti; o Informativa fornitori; o Informativa dipendenti; o Informativa curricula; o Informativa Utenti per il sito web; o Informativa Utenti Pagina Social Media; o Informative specifiche; 8. Consensi; o Consenso al trattamento dei dati personali; o Consenso alla Comunicazione a Terzi e/o Diffusione; o Consenso a ricevere comunicazioni dal titolare del trattamento tramite e.mail, newsletter, sms, mms, app; o Consenso al Trasferimento dati a Paesi Extra UE; o Avete acquisito la Prova dell’avvenuto Consenso Privacy registrata in apposito elenco tracciato con i file di log (Registro Consensi Privacy)? o Avete acquisito i Consensi con flag multipli e separati? 9. Lettere Incarico; o Lettere Incaricati o Addetti Privacy; o Lettere incarico Responsabile Interno; o Lettera incarico Amministratore di Sistema; 10. Accordi Privacy con Responsabili Esterni; o Avete un Accordo privacy con il vostro Responsabile Esterno/fornitore di server o di servizi cloud? Avete verificato se è certificato ai fini del GDPR? 11. Piano di Gestione Misure di sicurezza; o Assegnazione, ad uso esclusivo, di credenziali di autenticazione elettronica a ogni operatore con spiegazione password; o Disattivazione delle credenziali di autenticazione nel caso di inutilizzo per 3 mesi; o Assegnazione, ad uso esclusivo di chiave dell’archivio cartaceo agli operatori designati;
o Individuazione del profilo di autorizzazione anteriormente all’inizio del trattamento; o Istruzioni in merito all’accesso agli archivi cartacei e/o elettronici; o Definizione di procedure per le copie di sicurezza, la loro custodia e il ripristino dei dati; o Formazione sugli aspetti principali della disciplina della privacy al momento dell’inizio attività; o Formazione privacy specifica per i trattamenti relativi al Sito web, ai Social Media e agli Eventi dal momento dell’attribuzione delle mansioni di curatore del Sito web, Social Media e Eventi; o Formazione Privacy specifica per la valutazione del Rischio in tutta la struttura dal momento dell’attribuzione di questa mansione; o Sicurezza Fisica ed Ambientale; Portone sicurezza; Vigilanza; o Sicurezza delle attività operative; Sistemi UPS o generatori di corrente che garantiscono la continuità elettrica; o Sicurezza Informatica ed Elettronica; Avete un Sistema di Gestione della Sicurezza Informatica (SGSI) ISO/IEC 27001 già fatto per la Sicurezza in azienda? Potrebbe costituire una valida parte del Piano Misure Sicurezza della Privacy Policy; Avete dei sistemi informatici ad utilizzo minimo dati o cosiddetti privacy by design? Utilizzate la crittografia o l’anonimizzazione dei dati di salute e particolari (ex dati sensibili)? Utilizzo di un sistema Firewall; Aggiornamento periodico del sistema Firewall; Utilizzo di un sistema antivirus; Aggiornamento periodico dei programmi antivirus; Utilizzo di un filtro anti-spam; Aggiornamento periodico del filtro anti-spam; Dati scaricati solo in versione cifrata (dati di salute e dati particolari); Manutenzione programmata degli strumenti; Controllo sull’operato degli addetti alla manutenzione ogni volta che vi sia necessità; o Regolamento per l’utilizzo degli Strumenti Informatici, Internet, Mail aziendale, Dispositivi mobili aziendali (cellulare, tablet, pc portatili, app mobili); o Monitoraggio continuo delle sessioni di lavoro (es. file log); o Monitoraggio continuo sul sistema di protezione nella trasmissione dei dati mediante ad esempio tracciatura file log; o Backup eseguiti regolarmente e conservati in un luogo sicuro possibilmente dislocato in una sede lontana da quella dello studio (es. così in caso incendio non saranno bruciati); o Piano di disaster recovery; o Dispositivi Mobili (cellulare, tablet, pc portatili) dotati di mezzi di crittografia; o Aggiornamento periodico dei programmi antivirus per i devices mobili; o Dispositivi di archiviazione rimovibili (chiavette USB, CD, DVD ...) sottoposti a verifica antivirus prima dell’applicazione al pc o ad altro dispositivo (una chiavetta usb infetta può distruggere tutta la base dati dello studio). 12. Procedure di Audit o controllo interno: o Procedure di verifica sullo stato privacy della struttura ogni 6 mesi; o Procedure di verifica sull’operato dei Responsabili Esterni ogni 6 mesi; o Procedure di verifica della sicurezza fisica ogni 6 mesi;
13. Piano di Gestione del Rischio; 14. Procedura di Data Breach; o Avete una procedura interna di segnalazione dei Data Breach? o Quanto tempo occorre agli addetti per la segnalazione? o Quanto tempo occorre per il primo intervento? 15. Privacy Policy Sito Web; 16. Cookies Policy; 17. Formazione continua; 18. Redazione del Documento Unico Privacy (racchiude tutti gli adempimenti della struttura); 19. Data Privacy Officer (DPO); o Nomina DPO Esterno Condiviso (per avvocati singoli o piccole associazioni), o Nomina DPO Esterno (per avvocati singoli o piccole associazioni), o Nomina DPO Interno (per grandi studi legali). Conclusioni La nuova dimensione assunta dall’Internet coniugata con la potenza degli algoritmi applicati ai Big Data costringe il titolare del trattamento a guardare oltre i confini materiali della propria struttura per tutelare i patrimoni informativi affidatigli. I nuovi servizi on line basati sul cloud computing hanno abbattuto le frontiere fisiche esaltando la preminenza dei flussi informativi. In questi fiumi di bit le informazioni che hanno cessato il loro originario ciclo vitale possono riattivarsi e iniziare un nuovo ciclo dettato dalla leva del riuso dei dati. Il riuso determina un iter del dato sconosciuto per l’interessato che di quel dato è proprietario. L’interessato non è in grado di controllare questo secondo ciclo di vita informativo e questo lo espone a un rischio altissimo di subire danni. L’informazione riusata può subire all’insaputa dell’interessato Trasferimenti extra UE in Paesi privi delle garanzie privacy nostrane. Proprio per ovviare a tale rischio il GDPR 2016/679 impone l’obbligo di comunicare questa attività che non può essere espletata senza il consenso espresso dell’interessato. Si pensi che già il servizio di Newsletter fornito da una piattaforma statunitense costituisce un trattamento vietato ove non specificamente consensuato. Il mancato rispetto dei tempi dichiarati di Conservazione del dato costituisce altresì un illecito perché la conservazione indefinita favorisce il riuso che come abbiamo detto sfugge al controllo dell’interessato. Il Titolare del Trattamento deve assumere la consapevolezza che la Privacy Policy costituisce solo il punto di partenza di un percorso destinato ad evolversi costantemente insieme ai cambiamenti delle tecnologie e della struttura. La Privacy Policy non è e non potrà mai essere un documento definitivo ma piuttosto un documento in costante aggiornamento sulla scorta delle indicazioni del Garante Privacy italiano e di quelli europei. Non si tratta dunque di un documento per essere compliant alla disciplina ma di uno strumento indispensabile per costruire e conservare la sicurezza del proprio sistema informativo elettronico garantendo al tempo stesso i diritti privacy sui dati degli interessati circolanti nella struttura ma anche nella società. In una dimensione siffatta l’anello debole è il fattore umano. E’ stato rilevato che nella maggior parte dei casi il danno privacy è dovuto a errore o incuria o ignoranza dell’Addetto o Incaricato Privacy. In questa ottica la Formazione costituisce il carburante della Privacy Policy finalizzato ad attualizzarla e renderla materia viva ogni giorno grazie all’introduzione di un approccio critico Risk Based. Questo approccio Risk Based deve diventare la forma mentis dell’Addetto, del Responsabile, del Titolare affinchè prima di compiere una qualsiasi attività scatti l’interrogativo: “potrebbero esserci danni privacy? Come posso contenerli o eliminarne il rischio?”.
Puoi anche leggere