Privacy negli studi legali

Relatrice: Avv. Roberta Rapicavoli
Avvocato esperto di privacy e diritto applicato alle nuove tecnologie
Convegno
GIUSTIZIA DIGITALE, PROCESO CIVILE TELEMATICO, PRIVACY NEGLI STUDI LEGALI
Casi pratici, criticità e soluzioni operative
Corte d’Appello di Roma
Sala Unità d’Italia
22 marzo 2017
Movimento forense sezione di Roma
© Copyright Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
“La Privacy e la sicurezza negli studi legali”

Regolamento UE 2016/679 (GDPR)
PRIVACY: LA NORMATIVA DI RIFERIMENTO
Direttiva 95/46/CE
(direttiva madre)
Direttiva 2002/58/CE
(direttiva e-privacy)
D. Lgs. 196/2003 (Codice Privacy)
Proposta di Regolamento della Commissione
europea che abrogherà la direttiva

Il titolare del trattamento è:
«la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od
organismo cui competono, anche unitamente ad altro titolare, le
decisioni in ordine alle finalità, alle modalità del trattamento di
dati personali e agli strumenti utilizzati, ivi compreso il profilo
della sicurezza»
(art. 4 lett. f Codice privacy)
DECISIONI SUL TRATTEMENTO: IL TITOLARE

La figura del “titolare” (o “data controller”) nel Regolamento
europeo 2016/679 rimane sostanzialmente invariata rispetto a
quella prevista nel D. Lgs. 196/2003 in quanto continua a
essere individuato nel soggetto che esercita il potere
decisionale in ordine al trattamento.
Il titolare del trattamento è:
«la persona fisica o giuridica, l'autorità pubblica, il servizio o
altro organismo che, singolarmente o insieme ad altri, determina
le finalità e i mezzi del trattamento di dati personali»
(art. 4 n. 7 Reg. UE 2016/679)
DECISIONI SUL TRATTAMENTO: IL TITOLARE

Chi riveste il ruolo di titolare all’interno di uno studio legale?
• Quando l’attività è svolta individualmente, titolare del
trattamento è lo stesso avvocato.
• Se due professionisti operano congiuntamente gli avvocati
saranno contitolari.
• Se l’attività è svolta in forma societaria o associata il
titolare è l’entità nel suo complesso.
DECISIONI SUL TRATTAMENTO: IL TITOLARE

• Fornire l’informativa privacy
• Acquisire il consenso o verificare altro presupposto di liceità
• Conferire apposite lettere di nomina
• Adottare le misure di sicurezza (minime e idonee)
• (in alcuni casi) Effettuare la notificazione al Garante privacy
ADEMPIMENTI PREVISTI DALLA NORMATIVA

Cos’è e cosa deve contenere?
Elementi indicati nell’art. 13 del Codice privacy e informazioni
richieste da specifici provvedimenti del Garante Privacy
A chi va fornita?
Alle persone fisiche cui si riferiscono i dati trattati (clienti,
dipendenti e richiedenti impiego, collaboratori dello studio,
utenti del sito web …)
L’obbligo informativo rimane anche con il Regolamento UE
2016/679 (artt. 13 e 14)
INFORMATIVA PRIVACY

Il trattamento di dati personali da parte di privati o di enti pubblici
economici è ammesso solo con il consenso espresso dell'interessato.
Il consenso è validamente prestato solo se è espresso liberamente e
specificamente in riferimento ad un trattamento chiaramente
individuato, se è documentato per iscritto, e se sono state rese
all'interessato le informazioni di cui all'articolo 13.
Il consenso è manifestato in forma scritta quando il trattamento
riguarda dati sensibili.
Nei casi previsti dall’art. 24 e, per i dati sensibili, dall’art. 26, si
individuano ulteriori condizioni che legittimano il trattamento.
Quali i casi in cui l’avvocato può trattare i dati senza consenso?
CONSENSO AL TRATTAMENTO
O ALTRA CONDIZIONE DI LICEITA’

Quali i casi in cui l’avvocato può trattare i dati senza consenso?
Non occorre richiedere il consenso del cliente quando il trattamento
dei dati comuni è necessario per adempiere agli obblighi previsti dalla
legge o derivanti dal contratto (cfr. art. 24 lett. a) e b) del Cod. privacy)
Non occorre richiedere il consenso quando il trattamento dei dati
sensibili è necessario per svolgere indagini difensive o per far valere o
difendere un diritto in sede giudiziaria. Il trattamento deve però
rientrare nell’autorizzazione del Garante Privacy.
Non è richiesto il consenso per il trattamento dei dati giudiziari, che
possono però essere trattati solo entro le prescrizioni
dell’autorizzazione del Garante privacy.

Autorizzazioni generali del Garante Privacy
Autorizzazione n. 4/2016 - Autorizzazione al trattamento dei dati
sensibili da parte dei liberi professionisti (doc. web 5797347)
Autorizzazione n. 7/2016 - Autorizzazione al trattamento dei dati
giudiziari da parte di privati, di enti pubblici economici e di soggetti
pubblici (doc. web 5803630)

L’art. 6 del Regolamento UE 2016/679
individua le condizioni di liceità del trattamento
- consenso al trattamento;
- trattamento necessario all'esecuzione di un contratto di cui l'interessato è
parte o all'esecuzione di misure precontrattuali adottate su richiesta dello
stesso;
- trattamento necessario per adempiere un obbligo legale al quale è soggetto il
titolare del trattamento;
- trattamento necessario per il perseguimento del legittimo interesse del
titolare del trattamento o di terzi, a condizione che non prevalgano gli
interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la
protezione dei dati personali, in particolare se l'interessato è un minore;
- …

RESPONSABILI
Il responsabile del trattamento è:
«la persona fisica, la persona giuridica, la pubblica amministrazione e
qualsiasi altro ente, associazione od organismo preposti dal titolare al
trattamento di dati personali»
(art. 4 lett. f Codice privacy)
La designazione del responsabile del trattamento è facoltativa
Il responsabile può essere anche esterno
Il responsabile (data processor) è indicato nel Regolamento UE
2016/679 quale «la persona fisica o giuridica, l'autorità pubblica, il
servizio o altro organismo che tratta dati personali per conto del titolare
del trattamento» (art. 4 n. 8 Reg. UE).
NOMINE

INCARICATI
Gli incaricati sono:
«le persone fisiche autorizzate a compiere operazioni di trattamento dal
titolare o dal responsabile»
(art. 4 lett. h Codice privacy)
Le persone fisiche che trattano dati personali devono essere
espressamente autorizzate per iscritto attraverso apposita lettera di
nomina.
Nel Regolamento UE 2016/679 non vi è una definizione di incaricati,
che però coincidono, di fatto, con le “persone autorizzate al
trattamento dei dati personali sotto l'autorità diretta del titolare o del
responsabile” richiamate in alcune disposizioni del nuovo testo.
NOMINE

RESPONSABILI E INCARICATI
All’interno dello studio:
- Possono essere designati dei responsabili privacy
- Ci si può avvalere dell’operato di soggetti esterni che
devono essere nominati quali responsabili privacy
- Chiunque ha accesso ai dati (praticanti, personale
amministrativo ecc.), deve essere designato quale
incaricato del trattamento
NOMINE

Figure privacy nel Regolamento UE 2016/679
NOMINA
Titolare
Data Controller
Responsabile
Data Processor
Persone
autorizzate
DPO
Data Protection Officer (o Responsabile Del Trattamento)
Obbligo di nomina se:
- trattamento effettuato da un’autorità pubblica o da un organismo pubblico,
eccettuate le autorità giurisdizionali quando esercitano le loro funzioni;
- attività principali consistono in trattamenti che, per loro natura, ambito di
applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico
degli interessati su larga scala;
- attività principali consistono nel trattamento, su larga scala, di categorie
particolari di dati personali di cui all'art. 9 o di dati relativi a condanne penali e
a reati di cui all'art. 10
(cfr. Art. 37 Reg. UE 2016/679)

DPO o RPD negli studi legali?
NOMINA
Obbligo nomina del DPO nel caso in cui le attività principali consistono nel
trattamento, su larga scala, di categorie particolari di dati personali di cui
all'art. 9 o di dati relativi a condanne penali e a reati di cui all'art. 10
Linee Guida del Gruppo di lavoro art. 29 (WP29) sui responsabili della protezione
dei dati (RPD) del 13/12/16
- Con “attività principali” si possono intendere le operazioni essenziali che
sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal
responsabile del trattamento.
- Perché il trattamento sia su “larga scala” occorre tener conto di vari fattori
(numero di soggetti interessati dal trattamento, volume dei dati e/o loro
diversa tipologia, durata o persistenza dell’attività di trattamento, portata
geografica dell’attività di trattamento).
Non si considera su larga scala il “trattamento di dati personali relativi a
condanne penali e reati svolto da un singolo avvocato”

I casi in cui occorre effettuare la notificazione sono
espressamente previste nell’art. 37 del Codice privacy
- dati genetici, biometrici o di localizzazione
- dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la
personalità dell'interessato o ad analizzare abitudini o scelte di consumo o a
monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione
dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi
agli utenti
- dati registrati in apposite banche di dati gestite con strumenti elettronici e
relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al
corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti
- …
Difficilmente uno studio legale dovrà effettuare la notificazione
NOTIFICAZIONE AL GARANTE

Il Garante ha poi escluso dall’obbligo di notifica:
- i trattamenti di dati genetici o biometrici effettuati nell'esercizio della
professione di avvocato, in relazione alle operazioni e ai dati necessari per
svolgere le investigazioni difensive di cui alla legge n. 397/2000, o comunque
per far valere o difendere un diritto anche da parte di un terzo in sede
giudiziaria
- i trattamenti di dati relativi alla solvibilità economica, alla situazione
patrimoniale, al corretto adempimento di obbligazioni, a comportamenti
illeciti o fraudolenti utilizzate in rapporti con l'interessato di fornitura di beni,
prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di
inadempimenti contrattuali, azioni di recupero del credito e contenzioso con
l'interessato
- I dati relativi all'utilizzo di marcatori elettronici o di dispositivi analoghi
installati, o memorizzati temporaneamente, e non persistenti, presso
l'apparecchiatura terminale di un utente, consistenti nella sola trasmissione
di identificativi di sessione in conformità alla disciplina applicabile,
all'esclusivo fine di agevolare l'accesso ai contenuti di un sito Internet
(cfr. Provv. 31 marzo 2004 – doc. web 852561)
NOTIFICAZIONE AL GARANTE

I dati raccolti devono essere protetti con idonee e preventive
misure di sicurezza, riducendo al minimo i rischi di
distruzione, di perdita, anche accidentale, di accesso non
autorizzato, di trattamento non consentito o non conforme
alle finalità della raccolta (art. 31 e ss. del codice).
Quali misure adottare?
MISURE DI SICUREZZA

Le misure di sicurezza minime previste dalla normativa
(artt. 33-36 e Allegato B del Codice privacy).
MISURE DI SICUREZZA
Trattamenti senza l’ausilio di strumenti elettronici (art. 35 Codice privacy):
-
- aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito agli incaricati;
- previsione di procedure per un'idonea custodia di atti e documenti affidati agli
incaricati per lo svolgimento dei relativi compiti;
- previsione di procedure per la conservazione di determinati atti in archivi ad
accesso selezionato e disciplina delle modalità di accesso finalizzata
all'identificazione degli incaricati
“Per quanto riguarda l'organizzazione del lavoro quotidiano di studio, va osservato
che, contrariamente a quanto ipotizzato in alcuni quesiti formulati da singoli
professionisti, non occorre depennare il nome delle parti dalla copertina dei fascicoli
cartacei, utilizzando al suo posto solo numeri identificativi. Resta invece necessario
seguire opportune modalità per rendere i fascicoli e la relativa documentazione
accessibili agli incaricati del trattamento nei casi e per le finalità previsti”.
(Garante privacy, parere del 3 giugno 2004 reso al Consiglio nazionale forense)

Le misure di sicurezza minime previste dalla normativa
(artt. 33-36 e Allegato B del Codice privacy).
MISURE DI SICUREZZA
Trattamenti con l’ausilio di strumenti elettronici (art. 34 del Codice privacy):
-
- autenticazione informatica;
- procedure di gestione delle credenziali di autenticazione;
- sistema di autorizzazione;
- aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli
strumenti elettronici;
- protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di
dati, ad accessi non consentiti e a determinati programmi informatici;
- procedure per custodia di copie di sicurezza e ripristino della disponibilità dei dati;
-tecniche di cifratura o di codici identificativi per determinati trattamenti di dati
sensibili effettuati da organismi sanitari.
Abolito dal d.l. 5/2012, convertito, con modificazioni, dalla l. 35/2012, l’obbligo
di tenuta e aggiornamento del DPS - il Regolamento UE 2016/679 introduce
obbligo di tenuta dei registri del trattamento dei dati (art. 30 Reg. UE)

GRAZIE PER L’ATTENZIONE
www.robertarapicavoli.it
roberta.rapicavoli@studiolegalerapicavoli.it
LINKEDIN: Roberta Rapicavoli
TWITTER: @RRapicavoli

Privacy negli studi legali

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (17)

Destaque

Destaque (7)

Semelhante a Privacy negli studi legali

Semelhante a Privacy negli studi legali (20)

Privacy negli studi legali