Accountability, minimizzazione dei dati, diritto all’oblio, portabilità, comunicazioni al Garante: sono le principali novità che il GDPR introduce rispetto alle attuali norme sulla privacy, analizzate nel documento del Consiglio Nazionale Forense dedicato alle nuove norme sui dati personali in vigore in tutta Europea dal 25 maggio.
Il punto di partenza è che l’avvocato, nell’esercizio delle sue funzioni, tratta molti dati sensibili (giudiziari, ma anche personali, relativi a stato di salute, orientamento politico, situazione familiare). Quindi, indipendentemente dalla dimensione, lo studio legale è tenuto a rispettare le nuove normative. Con una particolare attenzione, determinata anche dalla natura del mandato professionale, che lega l’avvocato a un rapporto di fiducia con il suo cliente e al rispetto degli obblighi deontologici, primo fra tutti quello di garantire il segreto professionale.
Tutte le pratiche relative alla gestione e conservazione dei dati devono quindi rifarsi a questi principi di base e alle nuove regole previste dal GDPR. Che, come è noto, sono direttamente applicabili dal 25 maggio in tutta Europa.
Per assicurare un’adeguata protezione dei dati, l’avvocato dovrà non solo definire con chiarezza le finalità di trattamento dei dati e la loro trasmissione, ma anche attuare adeguate misure di sicurezza (informatica e fisica), e garantire la preparazione e la correttezza delle persone coinvolte (segreteria, praticanti, colleghi, collaboratori a qualsiasi titolo).
Anche quando lo studio esternalizza alcuni servizi (ad esempio segreteria virtuale, conservazione dei dati su cloud) o preveda l’utilizzo di propri mezzi di comunicazione da parte di terzi (sito web, blog, servizi di consultazione online), dovrà prestare la massima attenzione a sicurezza e trattamento dei dati.
Interessante la considerazione in base alla quale la norma, oltre a comportare nuovi adempimenti, offra opportunità professionali al giurista, che potrà prestare consulenza in materia di privacy ai clienti, e rivestire le funzioni di responsabile della protezione dei dati (nuova figura prevista dal regolamento).
In termini semplici, la guida per gli avvocati segnala come ci siano una serie di principi legati alla privacy che il Gdpr si limita a confermare: finalità del trattamento, necessità e proporzionalità, durata limitata, sicurezza e riservatezza, rispetto del diritto delle persone. E poi, le novità sopra descritte.
L’accountability, ovvero responsabilizzazione, è definita «pietra miliare di una visione differente di approccio al dato dell’interessato», e si sottolinea che «impone (anche) all’avvocato un profondo cambiamento culturale nel trattamento delle informazioni di cui viene in possesso o ha accesso in virtù del suo mandato e, pertanto, nella qualità di titolare del trattamento».
In pratica, niente più misure minime, ma «la responsabilità (accountability) di definire, dopo una attenta analisi dei dati trattati e dei possibili rischi connessi, le misure adeguate al fine di garantire il rispetto delle norme del GDPR. Responsabilizzazione significa, sostanzialmente, che le misure dovranno essere adeguate alla struttura del singolo titolare ed elaborate, caso per caso, ricorrendo ad una preventiva mappatura dei dati trattati, della mole degli stessi, dei rischi di trattamento dei dati gestiti», e che l’avvocato dovrà essere in grado di «rendere conto delle attività poste in essere e del fatto di aver rispettato i principi del GDPR», anche sul fronte dell’adozione di criteri e procedure di trattamento certe e di una formazione adeguata allo studio.
Il principio della minimizzazione impone che i dati personali da trattare per ogni singola attività debbano essere soltanto quelli necessari per la compiere la prestazione richiesta dal cliente. Esempio: i dati raccolti nelle visure catastali per un’indagine relativa al tenore di vita di una parte per la determinazione di congruità di un assegno di mantenimento, non possono essere utilizzati per conoscere la vita privata delle persone, e neppure utilizzati a scopi commerciali, di pubblicità politica o elettorale.
Il diritto all’oblio prevede, in base all’articolo17 del Gdpr, che l’interessato ottenga dal titolare del trattamento la cancellazione dei dati personali che lo riguardano, senza ingiustificato ritardo. L’informazione deve essere cancellata, e resa irreperibile sul web. Per l’avvocato ci sono una serie di obblighi professionali che vanno armonizzati con questa norma: il diritto all’oblio non potrà essere esercitato fino quando non sia maturato il termine di prescrizione dell’azione per la responsabilità professionale, risulta non utilmente esercitabile se compromette obblighi fiscali o si pone in contrasto con necessità archivistiche di pubblico interesse, o ancora se è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria.
La portabilità dei dati (articolo 20 del Gdpr) prevede che il cliente possa chiedere di trasferire i propri dati a un diverso responsabile del trattamento. La norma si riferisce in particolari ai dati trattati cn procedure digitali, non ai fascicoli cartacei. Si ricorda che in ogni caso l’avvocato, in base all’articolo 2235 del codice civile, non abbia diritto a trattenere i dati se non il tempo necessario alla tutela dei propri diritti.
Il documento del Consiglio forense contiene poi indicazioni precise su valutazione d’impatto, informativa, conservazione dei dati, consenso, accesso, e fornisce una serie di schede pratiche utilizzabili per capire con precisioni quali siano fìgli adempimenti necessari per lo studio legale e come effettuarli.