Atti del Convegno A.I.G.A. svoltosi a Pordenone il 24 maggio 2012 sul tema "Adempimenti degli studi Legali: privacy, sicurezza e preventivi".
Slides Avvocato Stefano Corsini
1. Gli adempimenti privacy per gli avvocati
alla luce delle semplificazioni 2012
Giovedì 24 maggio 2012, ore 16.00
PORDENONE – Convento di San Francesco – Saletta Incontri - Piazza della Motta, 2
con il patrocinio dell’Ordine degli Avvocati di Pordenone
Avv. Stefano Corsini
info@avvocatocorsini.it
2. Privacy. Le fonti principali per gli Avvocati
• Decreto Legislativo 30 giugno 2003, n. 196
• Principali adempimenti in materia di protezione di dati personali
nello svolgimento dell’attività forense. (Parere del Garante del 3
giugno 2004).
• Codice di deontologia e di buona condotta per i trattamenti di
dati personali effettuati per svolgere investigazioni difensive
(G.U. N. 275 del 24-11-2008 ).
3. SEMPLIFICAZIONI
• D.L. 201/2011 (convertito con modificazioni dalla L. 214/2011)
• D.L. 5/2012 (convertito con modificazioni dalla L. 4/4/2012, n. 35)
4. CONSEGUENZE
«dato personale»
qualunque informazione relativa a persona fisica, identificata o
identificabile, anche indirettamente, mediante riferimento a qualsiasi
altra informazione, ivi compreso un numero di identificazione personale.
«interessato»
la persona fisica, cui si riferiscono i dati personali.
5. CONSEGUENZE
Art. 45 D.L. 5/2012
• All'art. 34 è soppressa la lettera g) del comma 1 (DPS) ed è abrogato
il comma 1-bis (Autocertificazione);
• Nel disciplinare tecnico in materia di misure minime di sicurezza
di cui all‘Allegato B sono soppressi i paragrafi da 19 a 19.8 e 26.
6. Quindi, quali adempimenti?
Privacy «interna» Incarichi, misure di sicurezza
Privacy «esterna» Informativa e consenso (clienti, dipendenti)
Accesso agli atti, utilizzabilità di dati (prove)
Privacy «burocratica»
acquisiti illecitamente, tutela dei diritti dei
cittadini
8. Nomina degli incaricati
• Nomina scritta
• Segreteria - praticanti - avvocati (dipendenti o collaboratori a P.Iva di
Studio)
• Istruzioni scritte (mansionario)
collaboratori, domiciliatari, sostituti, periti*, ausiliari e consulenti, a
meno che non rivestano la qualità di autonomi titolari del trattamento
* Provv.to ad hoc del Garante
9. Nomina del Responsabile
• Interno o esterno
• Nomina facoltativa (commercialista, consulente del lavoro??)
10. Altre figure previste da Provvedimenti specifici del Garante
L’Amministratore di Sistema
«… figure professionali finalizzate alla gestione e alla manutenzione di un
impianto di elaborazione o di sue componenti. Ai fini del presente
provvedimento vengono però considerate tali anche altre figure
equiparabili dal punto di vista dei rischi relativi alla protezione dei dati,
quali gli amministratori di basi di dati, gli amministratori di reti e di
apparati di sicurezza e gli amministratori di sistemi software complessi »
11. L’Amministratore di Sistema
Non rientrano invece nella definizione quei soggetti che solo
occasionalmente intervengono (p.es., per scopi di manutenzione a
seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui
sistemi software.
Ciò non toglie che tali figure possano eventualmente essere
nominate «responsabili del trattamento».
12. Informativa
OBBLIGO del Titolare - DIRITTO dell’interessato
Destinatari: CLIENTI, DIPENDENTI, FORNITORI(?)
Forma e Contenuto: Il cliente deve ricevere un’informativa, orale o
scritta, prima della raccolta dei dati, ad esempio al momento del
conferimento dell’incarico. Gli elementi da precisare sono indicati nel
Codice (art. 13)
13. Informativa
É possibile utilizzare formule colloquiali per evidenziare - anche in modo
sintetico, ma senza lacune o ambiguità - alcune circostanze che riguardano le
finalità e le modalità del trattamento cui sono destinati i dati, la natura
obbligatoria o facoltativa del loro conferimento, le conseguenze
dell’eventuale rifiuto di rispondere, i soggetti e le categorie di soggetti ai quali
possono essere comunicati o che possono venirne a conoscenza in qualità di
responsabili o incaricati, l’ambito di diffusione dei dati medesimi, i diritti del
cliente interessato (art. 7 del Codice) e gli estremi identificativi del titolare e
degli eventuali responsabili del trattamento, se designati.
14. Informativa
... essa può essere fornita, anche solo oralmente, o mediante affissione nei
locali dello studio o mediante pubblicazione sul sito internet …
15. Consenso
il consenso dell'interessato…non va richiesto per:
• adempimento di obblighi di legge;
• per i dati anche di natura sensibile utilizzati per perseguire finalità di
difesa di un diritto anche mediante investigazioni difensive.
Ciò, sia per i dati trattati nel corso di un procedimento, anche in sede
amministrativa, di arbitrato o di conciliazione, sia nella fase propedeutica
all'instaurazione di un eventuale giudizio, anche al fine di verificare con le
parti se vi sia un diritto da tutelare utilmente in sede giudiziaria, sia nella
fase successiva alla risoluzione, giudiziale o stragiudiziale della lite.
• quando è necessario per adempiere a specifici obblighi o compiti previsti
dalla legge, da un regolamento o dalla normativa comunitaria per la
gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del
lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti
dall’Autorizzazione ……
16. Autorizzazioni del Garante
Ulteriore presupposto di liceità del trattamento!
• Autorizzazione n. 1/2011 al trattamento dei dati sensibili nei rapporti di lavoro;
• Autorizzazione n. 4/2011 al trattamento dei dati sensibili da parte dei liberi
professionisti;
• Autorizzazione n. 7/2011 al trattamento dei dati a carattere giudiziario da parte
di privati, di enti pubblici economici e di soggetti pubblici;
• Autorizzazione generale al trattamento dei dati genetici.
17. Organizzazione dello Studio
Obblighi generali e misure minime
I dati personali oggetto di trattamento sono custoditi e controllati, anche in
relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei
dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al
minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i
rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non
autorizzato o di trattamento non consentito o non conforme alle finalità della
raccolta.
18. MISURE MINIME
Trattamenti informatici
a) autenticazione informatica username e password
b) procedure di gestione delle credenziali di autenticazione dominio by server
custodia password
c) utilizzazione di un sistema di autorizzazione nomina incaricati per ambiti
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli
strumenti elettronici
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati,
ad accessi non consentiti e a determinati programmi informatici Antivirus
Firewall
etc.
19. MISURE MINIME
Trattamenti informatici
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi backup e disaster recovery
g) D.P.S. ABROGATO
Viene meno così uno degli adempimenti più importanti previsti dal Codice
Privacy.
Va tenuto, però, in debita considerazione il fatto che rimangono comunque in
vigore (sanzioni comprese), oltre agli altri obblighi (informativa all’interessato,
definizione delle nomine degli incaricati e dei responsabili del trattamento)
anche tutte le altre misure minime ai sensi degli artt. 34 e 35.
20. MISURE MINIME
Trattamenti «cartacei»
a) aggiornamento periodico dell’individuazione dell’ambito del trattamento
consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli
incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad
accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione
degli incaricati.
NOMINA DEGLI INCARICATI + ISTRUZIONI (MANSIONARIO)
21. Ulteriori cautele ex Provv. del 2008
Le istruzioni devono considerare altresì l’adozione di idonee cautele per
prevenire l'ingiustificata raccolta, utilizzazione o conoscenza di dati in caso
di:
a) acquisizione anche informale di notizie, dati e documenti connotati da un
alto grado di confidenzialità o che possono comportare, comunque, rischi
specifici per gli interessati;
b) scambio di corrispondenza, specie per via telematica;
c) esercizio contiguo di attività autonome all'interno di uno studio;
d) utilizzo di dati di cui è dubbio l'impiego lecito, anche per effetto del ricorso
a tecniche invasive;
22. Ulteriori cautele ex Provv. del 2008
e) utilizzo e distruzione di dati riportati su particolari dispositivi o supporti,
specie elettronici (ivi comprese registrazioni audio/video), o documenti
(tabulati di flussi telefonici e informatici, consulenze tecniche e perizie,
relazioni redatte da investigatori privati);
f) custodia di materiale documentato, ma non utilizzato in un procedimento
e ricerche su banche dati a uso interno, specie se consultabili anche
telematicamente da uffici dello stesso titolare del trattamento situati
altrove;
g) acquisizione di dati e documenti da terzi, verificando che si abbia titolo
per ottenerli;
h) conservazione di atti relativi ad affari definiti.
Queste cautele non sono rilevanti sul piano degli illeciti disciplinari ai sensi del
codice deontologico!
23. Prospettive
E' in fase di discussione la PROPOSTA DI REGOLAMENTO EUROPEO
concernente la tutela delle persone fisiche con riguardo al trattamento dei
dati personali e la libera circolazione di tali dati.
Il Documento Programmatico sulla Sicurezza rischia di tornare sotto altre spoglie.
24. Ricapitolando…..QUALI ADEMPIMENTI ?
a) Clienti
1) Informativa
b) Dipendenti e collaboratori
c) Fornitori di beni o servizi
a) Incaricati
2) Atto di Nomina
b) Responsabile/i (facoltativo)
a) Istruzioni agli incaricati
3) Misure di sicurezza b) Adozione delle misure minime ART. 34 e 35
c) D.P.S. o Documento equipollente (facoltativo)