Il GDPR nel mondo degli Avvocati

Riassunto del compendio pubblicato dal Consiglio Nazionale Forense

GDPR negli studi legali

E’ entrato in vigore il tanto chiacchierato GDPR (Regolamento UE 2016/679) relativo alla protezione dei dati personali. Anche gli studi legali devono adeguarsi alla normativa, sia che il trattamento dei dati sia fatto internamente allo studio sia che si affidi a società terze ed esterne.

I dati in gestione da parte di uno studio legale, del resto, sono per loro natura particolarmente sensibili.

In questo articolo vado a riassumere brevemente le indicazioni del compendio pubblicato dal Consiglio nazionale forense intitolato “Il GDPR e l’avvocato” lo scorso 22 maggio 2018. Partendo dal testo del compendio, cercherò di inserire approfondimenti specifici orientati alle problematiche correlate aei siti web degli avvocati.

Incontri di orientamento GDPR per avvocati

Tramite SostituzioniLegali ho stipulato un accordo con Fabio Frisella di Law Solutions al fine di organizzare qualcosa di più concreto di un incontro formativo.

Rispetto alle tante proposte già viste, l’aspetto che contraddistingue questa proposta è l’ottenimento di un risultato concreto: la produzione della documentazione da esibire in caso di eventuali controlli.

Durante l’incontro ogni partecipante compilerà una checklist che verrà analizzata da Fabio ed i suoi collaboratori. Questa analisi servirà a generare la documentazione da esibire durante i controlli, che ti verrà recapitata pochi giorni dopo.

L’incontro avrà una durata di 4 ore e naturalmente anche una valenza formativa: ti verrà consegnato un attestato di partecipazione che potrai allegare alla tua documentazione per la compliance GDPR.

Il servizio ha un costo di 170€ per partecipante. Non sottovalutare che non si tratta della solita formazione fine a sè stessa (spesso finalizzata alla promozione di un prodotto), si tratta di qualcosa di molto più concreto: essere in regola di fronte ad un controllo.

Se l’offerta ti sembra interessante, comincia a spargere la voce tra i colleghi e prendi contatto con me per il supporto nell’organizzazione.

Per organizzare un incontro nella tua zona servono almeno 10 persone.

Le richieste di informazioni vanno inoltrate all’indirizzo info@sostituzionilegali.it

I dati dei collaboratori

L’avvocato tratta i dati relativi non solo dei clienti ma anche del personale dipendente e dei collaboratori esposti attraverso il sito internet. L’avvocato, come datore di lavoro,  deve quindi informare dipendenti e collaboratori attraverso un documento apposito o aggiungendo specifici paragrafi nell’accordo di collaborazione o nel contratto di lavoro.

Responsabilità dei dati negli studi associati

Nel caso dei studi associati sarà comunque l’avvocato che riceve l’incarico della prestazione ad essere titolare del trattamento, questo perchè, anche nel caso cambiasse studio, sarà sempre lui a rispondere per i dati del cliente.

Secondo il principio della portabilità dei dati gli interessati possono comunque esigere dall’avvocato titolare del trattamento la trasmissione dei loro dati ad un altro titolare, senza che il primo si possa opporre.

Informativa privacy per lo studio associato

Nel paragrafo dedicato ai titolari del trattamento dei dati dell’informativa privacy di uno studio legale, vanno riportati tutti i componenti dello studio. Se si preferisce non far figurare tutti i professionisti, è fondamentale assicurarsi che le persone non menzionate non abbiano possibilità di accedere ai dati a cui si riferisce il documento.

Dati raccolti sul sito web

Quasi sempre, sul sito web dello studio legale è presente il form di contatto tramite il quale i visitatori del sito possono richiedere una consulenza.

Anche in questo caso è necessario limitarsi a raccogliere solo i dati strettamente necessari a svolgere il servizio richiesto: rispondere ad una richiesta di contatto. La cosa migliore è limitarsi sempre a chiedere nome, cognome ed indirizzo email per la risposta.

Se tramite il form di contatto vengono raccolti dati aggiuntivi rispetto a quelli strettamente necessari, l’ideale sarebbe utilizzare l’informativa privacy per spiegare all’utente il perchè di tale raccolta.

Evitare la perdita dei dati

L’avvocato deve accertarsi che non ci siano rischi di perdita dei dati sensibili dei suoi clienti, nel nome di quella trasparenza e confidenzialità che caratterizza il rapporto con loro.

A tal proposito, deve:

  1. Definire in maniera chiara le finalità di trattamento dei dati.
  2. Individuare, definire e attuare le misure di sicurezza.
  3. Informare le persone coinvolte (segreteria, praticanti, colleghi, collaboratori a qualsiasi titolo) nel processo di protezione dei dati personali.

Parliamo dei soli dati essenziali e pertinenti per compiere la prestazione richiesta dal cliente, secondo il principio di minimizzazione, gli unici che l’avvocato può trattare. Attenzione quindi a non raccogliere dati non strettamente necessari per lo svolgimento del proprio compito, la normativa è piuttosto categorica in merito.

Opportunità di business per gli avvocati

La nuova normativa ha anche un altro risvolto , spesso poco considerato. Il GDPR rappresenta infatti una grande opportunità lavorativa per gli avvocati. I giuristi potranno offrire una consulenza in materia di privacy ai loro clienti e, qualora in posseggono degli dovuti requisiti, essere nominati responsabili della protezione dei dati.

Questa figura di responsabile, il Data Protection Officer (DPO), avrà la responsabilità di informare il titolare del trattamento dei dati sugli obblighi e il corretto comportamento da adottare.

Si tratta di una figura di cui le aziende non potranno fare a meno: le sanzioni per gli enti pubblici e privati che non seguono il GDPR potranno arrivare fino a 20 milioni di euro!

Il protocollo HTTPS

Sul sito web dell’avvocato è opportuno che sia utilizzata la connessione con protocollo sicuro (tecnologia “SSL”) per garantire il rispetto delle misure di sicurezza in funzione della confidenzialità delle informazioni trattate.

Già da alcuni mesi l’applicazione del protocollo di comunicazione https era salito alla ribalta negli ambienti più tecnici in quanto parametro utilizzato da Google per stabilire il posizionamento di un sito, ora il suo utilizzo assume ancora più valore in virtù della sua importanza in materia di protezione dei dati.

Informativa sul trattamento dei dati e la sicurezza online

L’informativa deve avere forma concisa, trasparente, comprensibile e deve essere facilmente accessibile.

Il testo dell’informativa può essere inserito nel sito web dell’avvocato, a condizione che nel testo della procura firmata dal cliente vi sia riferimento al fatto che il cliente stesso abbia preso visione dell’informativa pubblicata sul sito e di averla ben compresa.

Luogo di conservazione dei dati

Nell’informativa resa al cliente deve essere specificato se i dati saranno soggetti a trasferimento all’estero. Questo aspetto chiama in causa diverse tematiche legate all’ambito informatico, soprattutto al cloud, e non tutti hanno piena coscenza di dove risiedano i dati inseriti nei software che utilizzano.

Con l’avvento della normativa GDPR si rende necessario conoscere con precisione dove risiedono i server utilizzati per fornire i propri servizi. Successivamente si deve modificare di conseguenza la propria privacy policy, andando a specificare se la memorizzazione dei dati verrà effettuata sul suolo Italiano, in uno stato estero soggetto al GDPR o addirittura in uno stato estero non soggetto a questa normativa.

Attenzione: se tieni una copia dei tuoi documenti di studio su dropbox stai trasferendo i dati dei tuoi clienti all’estero!

Durata di conservazione dei dati

Dopo aver ottenuto il consenso tramite dichiarazione in una forma comprensibile e facilmente accessibile (non è obbligatorio, ma raccomandato), i dati dei clienti possono essere tenuti per la durata del mandato professionale tra l’avvocato e il suo cliente.

Questi dati possono essere conservati anche dopo la cessazione del rapporto professionale, come tutela nei confronti del cliente e per resistere ad eventuali azioni di responsabilità.

Anche in questo caso il tutto deve essere riportato nell’informativa rilasciata.

Condividi!

Aiutami con una semplice condivisione !

Commenta!

Domande o Suggerimenti ?
Sei nel posto giusto !

7 commenti
    • Damiano Daccò dice:

      In linea di massima sì, ma è preferibile che i gruppi siano composti di figure omogenee: durante l’incontro viene redatta una checklist della situazione GDPR di ognuno e differenziare troppo causa delle difficoltà.
      Se le fà piacere mi scriva a info@sostituzionilegali.it: posso darle ulteriori informazioni riguardo incontri che abbiamo organizzato dedicati ai clienti di altri avvocati, per lei può essere un’opportunità di business!

      Rispondi
  1. Marco Rigoloni dice:

    Io ho partecipato all’incontro di Rovigo, Fabio è un grande!
    Ho un pò di cose da sistemare, ma almeno ho tempo di pianificarle: col manuale di trattamento dei dati, in caso di controllo non avrò problemi.

    Rispondi
    • Damiano Daccò dice:

      Mi spiace ma devo contraddirla. Durante questi incontri ognuno viene guidato nella redazione di una checklist GDPR che alla fine viene consegnata ai relatori. Qualche giorno dopo viene recapitato a domicilio il manuale di trattamento dei dati che può essere usato, in caso di controlli da parte delle autorità competenti, per dimostrare di essersi attivati sul GDPR ed evitare sanzioni.
      Oltre a questo viene rilasciato un attestato di partecipazione utile per lo stesso scopo.
      C’è molta differenza rispetto a quanto lei dice!

      Rispondi

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *