La Privacy negli Studi Legali:

Transcript

1 La Privacy negli Studi Legali: Obblighi e Soluzioni Responsabilità e Opportunità

2 I RIFERIMENTI NORMATIVI

3 LE MISURE DI SICUREZZA Art. 31. Obblighi di sicurezza (Codice Privacy) I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

4 L ANALISI DEI RISCHI Analisi e valutazione del rischio ex DPS Abrogato, non inutile È importante analizzare e valutare i rischi per la sicurezza e le aree entro cui basare la propria valutazione, al fine di ridurre al minimo: Il rischio di distruzione e perdita accidentale dei dati; Il rischio di accesso non autorizzato, sia agli ambienti che alle banche dati; Il rischio di trattamento non consentito; Il rischio di trattamento non conforme alla raccolta ed alle finalità (es. Nato per lo storage e finito per fare profilazione) Gestione del rischio Una volta analizzato il fattore di rischio questo va identificato, controllato e rimosso/ridotto, secondo modalità idonee in relazione al tipo di dati trattati, al fine di impedire che possa influire negativamente sulle risorse del sistema del trattamento.

5 UN ATTIVITA PERICOLOSA Art. 15. Danni cagionati per effetto del trattamento 1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11. Art c.c. 1. Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno.

6 LE MISURE MINIME DI SICUREZZA Art. 33. Misure minime (Codice Privacy) Trattamento effettuato in assenza di strumenti elettronici Art. 35 Garantiscono la Protezione dei dati personali Art. 34 Trattamento effettuato attraverso strumenti elettronici

7 L ALLEGATO B) AL CODICE DELLA PRIVACY Disciplinare tecnico in materia di misure minime di sicurezza Trattamento effettuato mediante strumenti elettronici Sistemi di autenticazione informatica Sistema di autorizzazione Elenco pratico delle misure da adottare Altre misure di sicurezza DPS Ulteriori misure in caso di trattamento di dati sensibili o giudiziari Trattamento effettuato senza l ausilio strumenti elettronici Garanzia di custodia idonea di atti e documenti Conservazione di determinati atti in archivi ad accesso selezionato

8 LE SANZIONI PENALI Art Misure di sicurezza 1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni. 2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.

9 APPLICAZIONE TERRITORIALE DEL CODICE PRIVACY Art. 5. Oggetto ed ambito di applicazione 1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato. 2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversida quellielettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'unione europea. [ ] 3. [ ]

10 IL TRASFERIMENTO DI DATI ALL ESTERO Art. 42 Art. 43 (Area UE) (Area Extra UE) Libera circolazione dei dati trattati nell UE La circolazione nei paesi extra UE è soggetta limitazioni 1. Necessario il consenso espresso dell interessato 2. Adempimento di obblighi di legge 3. Necessità di giustizia

11 IL TRASFERIMENTO DI DATI ALL ESTERO Art. 44. Altri trasferimenti consentiti 1. Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato: a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell'ambito di società appartenenti a un medesimo gruppo. L'interessato può far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine all'inosservanza delle garanzie medesime; b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che un Paese non appartenente all'unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti. International Safe Harbor Privacy Principles OK

12 L APPLICAZIONE PRATICA

13 a smartphone knows much more than a PC did. There s an old computer science saying that a computer should never ask you a question that it should be able to work out the answer to; a smartphone can work out much more. It can see who your friends are, where you spend your time, what photos you ve taken, whether you re walking or running and what your credit card is Mobile first, di Benedict Evans May 14, 2015

14 MOBILE DEVICES E BYOD Siti Web truffaldini Regolamentazione Utilizzo PC e Dispositivi Rubrica e contatti ID Utente e Password Documenti, Scansioni e Foto Virus e Programmi Malevoli Accesso remoto (VNC e Team Viewer) Aggiornamenti Software Password Manager Programmi Craccati Wi-Fi Pubblico e Connessioni non protette Cookies di Accesso (Resa connesso )

15 MOBILE DEVICES E BYOD OPPORTUNITA RISCHI Riduzione dei costi Lavoro remoto ed in mobilità Utilizzo del dispositivo preferito Personalizzazione del prodotto Perdita o furto dei dispositivi Virus ed Accesso abusivo di terzi Accesso involontario da parte di terzi Perdita dei dati contenuti Utilizzo illecito di utente e password Mancata adozione delle misure dell Allegato B) al Codice Privacy Mancato utilizzo delle cautele dovute

16 L ARCHIVIAZIONE DEI DATI Archiviazione locale Archiviazione Cloud

17 L ARCHIVIAZIONE DEI DATI (Pc Locale) Il Private Cloud UFFICIO (Switch) INTERNET (Pc remoto) (Modem/ Router) IP Pubblico Liberamente accessibile Accesso da parte di terzi (NAS)

18 L ARCHIVIAZIONE DEI DATI OPPORTUNITA RISCHI Mobilità ed accessibilità remota Velocità di accesso ai dati Facilità di ricerca OCR integrato Collaborazione Responsabili o Autonomi Titolari? Collocazione dei Server Perdita di controllo dei dati Data Breach Data Retention Password e Single Sign-On Utilizzo su reti non protette Sicurezza delle reti di telecomunicazione Sistema di Business del fornitore?

19 WEB APP E SOFTWARE CLOUD (SaaS, PaaS, IaaS) Gestionale di Studio (Kleos, Cliens Studio Legale Web, Netlex, etc..) Software di redazione atti (Office 365, Google Docs, Open Office, etc ) e Client Mail (Gmail, Outlook, Mailbox, etc ) Utility (Calcolatori Hash)

20 WEB APP E SOFTWARE CLOUD (SaaS, PaaS, IaaS) OPPORTUNITA RISCHI Interoperabilità delle piattaforme Riduzione dei costi infrastruttura Riduzione costi licenze Minore manutenzione del software Aggiornamenti continui Collaborazione più rapida Sicurezza della connessione ( Collocazione della piattaforma Password e Single Sign-On Utilizzo su reti non protette Sicurezza delle reti di telecomunicazione Data retention? Metodo di Business?

21 UNA MAPPA DEI DATA BREACH PIU IMPORTANTI Perché un Data Breach è importante? Perché molto spesso utilizziamo le stesse password per più account Può essere problematico nel caso di utilizzo dei servizi di Single Sign-On Un Data Breach può avere anche conseguenti deflagranti sui dati inseriti nei cd. Cloud Services

22 LA CONNESSIONE DI RETE Utilizzo di reti private (Mobile Devices) (Wi-fi privato) (Internet)

23 LA CONNESSIONE DI RETE Utilizzo di reti pubbliche (Mobile Devices) Mail Gestionale Documenti Scansioni Telefonate Voip (Wi-fi pubblico) (Internet) (Server)

24 LA CONNESSIONE DI RETE OPPORTUNITA RISCHI Interoperabilità delle piattaforme Riduzione dei costi infrastruttura Riduzione costi licenze Minore manutenzione del software Aggiornamenti continui Collaborazione più rapida Sicurezza della connessione ( Collocazione della piattaforma Password e Single Sign-On Utilizzo su reti non protette Sicurezza delle reti di telecomunicazione Data retention? Metodo di Business?

25 LA REGOLAMENTAZIONE INTERNA Accesso remoto Accessi abusivi a sistemi informatici Modalità di utilizzo dei sistemi informatici, delle e dei computer L archiviazione remota Utenze e Password La gestione informatica dello studio Il Controllo a distanza Accesso alle banche dati

26 LA REGOLAMENTAZIONE INTERNA OPPORTUNITA RISCHI Aumento della produttività Verifica degli accessi ai sistemi informatici Lavoro in remoto Gestione del lavoro e del tempo Violazione normativa sul controllo a distanza Mancata o incompleta regolamentazione sull utilizzo dei computer Aumento costi di manutenzione Alta esposizione all installazione di software malevolo Applicabilità Art c.c. (Responsabilità Padroni Committenti)

27 ALTRI CASI Le Associazioni di segretarie e la gestione delocalizzata dell amministrazione dello Studio Legale La gestione da parte di enti esterni del PCT L utilizzo di sistemi in comune e gli Open Space

28 LA GIURISPRUDENZA

29 I Danni Ai Clienti

30 Trib. Milano Sez. I, 26/09/2012 TRATTAMENTO DEI DATI COME ATTIVITA PERICOLOSA In tema di trattamento e di diffusione dei dati personali, la valutazione del comportamento tenuto dal gestore di tali dati deve essere svolta alla stregua dei principi ricavabili dall'art c.c., richiamato dall'art. 15 del Codice della privacy

31 Cass. civ. Sez. III, 15/07/2014, n IL RISARCIMENTO DEL DANNO Il danno non patrimoniale risarcibile ai sensi dell'art. 15del d.lgs. 30 giugno 2003, n. 196 (cosiddetto codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall'art. 8 della CEDU, non si sottrae alla verifica della "gravità della lesione" e della "serietà del danno" (quale perdita di natura personale effettivamente patita dall'interessato), in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall'art. 11 del codice della privacy ma solo quella che che ne offenda in modo sensibile la sua portata effettiva. Il relativo accertamento di fatto è rimesso al giudice di merito e resta ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale.

32 Cass. civ. Sez. II, 24/06/2014, n L ATTIVITA PROMOZIONALE L'invio di un fax promozionale ad un numero estratto dagli elenchi telefonici, se non preceduto dall'informativa sul trattamento del dato personale e dall'acquisizione del consenso del titolare, integra due illeciti amministrativi, consistenti, da un lato, dall'omessa informativa ex artt. 13 e 161 del "codice della privacy", e, dall'altro, dalla non assentita comunicazione automatizzata ex artt. 23, 130, 162, comma 2 bis, e 167 del medesimo codice. (Rigetta, Trib. Padova, 04/04/2013)

33 Cass. civ. Sez. I, 19/05/2014, n IL TRATTAMENTO DI DATI SENSIBILI In materia di trattamento dei dati personali, i dati sensibili idonei a rivelare lo stato di salute ai sensi dell'art 4 del 30 giugno 2003, n. 196, la cui tutela è posta a protezione dei diritti fondamentali alla salute e alla riservatezza, possono essere diffusi e conservati solo mediante l'uso di cifrature o numeri di codici non identificabili. Tale accorgimento costituisce la misura minima idonea ad impedire il danno e, qualora non sia attuato, obbliga chi compie l'attività di trattamento di tali dati, da considerarsi pericolosa ai sensi dell'art cod. civ., al relativo risarcimento.

34 Cass. civ. Sez. III, 03/04/2014, n IL PARI RANGO NEL TRATTAMENTO DEI DATI PERSONALI L'interesse alla riservatezza dei dati personali, anche quando riguardino soggetti terzi rispetto alle parti del giudizio, deve cedere a fronte di autentiche esigenze di difesa di altri interessi giuridicamente rilevanti, fra cui quello al corretto e coerente esercizio del diritto di difesa in giudizio, assumendo in ogni caso e a fronte di ogni decisione come criterio direttivo la comparazione tra gli interessi concretamente coinvolti: comparazione a cui deve procedere il giudice del merito, sulla base del suo sereno ed equilibrato apprezzamento. Unica condizione richiesta è che l'utilizzazione dei dati personali - consentita in tal caso dall'art. 24 D.Lgs. n. 196/2003(c.d. codice della privacy) senza il consenso dell'interessato - sia pertinente alla tesi difensiva e non eccedente le sue finalità; che sia, cioè, utilizzata esclusivamente nei limiti di quanto necessario al legittimo ed equilibrato esercizio della propria difesa.

35 Cass. civ. Sez. I, 06/12/2013, n (rv ) IL CONSENSO AL TRATTAMENTO In tema di privacy, la circostanza che i dati personali siano stati resi noti alla stampa direttamente dagli interessati in una pregressa occasione non ha valore di consenso tacito al trattamento anche in contesti diversi dalla loro originaria pubblicazione, poiché l'interessato può essere contrario a che l'informazione da lui già resa nota riceva una ulteriore e più ampia diffusione dovendosi ritenere che la deroga prevista dall'art. 137, ultimo comma, del d.lgs. 30 giugno 2006, n. 196 concerna solo l'essenzialità del dato trattato e non anche l'interesse pubblico alla sua diffusione, di cui va apprezzata autonomamente l'idoneità, in ispecie rispetto al diritto del minore alla riservatezza e al diritto alla non divulgabilità del proprio domicilio.

36 Il Collaboratore

37 Violazioni di Policy Aziendali - Cass /2013 IL CASO C è mancanza di proporzionalita tra addebito e sanzione irrogata sulla scorta di una valutazione in concreto del fatto così come contestato (installazione ed utilizzazione del programma "emule") ritenuto generico in relazione alla parte relativa alla utilizzazione del programma, solo enunciata astrattamente, e, in quanto tale, non idonea a consentire una adeguata valutazione della sua effettiva gravità. Secondo la stessa Policy" la sanzione del licenziamento risultava essere non un conseguenza obbligata della generica installazione ed improprio uso di un programma, ma una possibile conseguenza, evidentemente da integrare con ulteriori elementi che ne delineassero la effettiva gravità in concreto. Il riferimento alla presenza di un solo precedente disciplinare in quindici anni di anzianita di servizio del dipendente ed alla mancanza di concreti danni all'azienda ricollegabili all'addebito contestato appaiono come elementi da soli certo non decisivi ma ulteriori, utilizzabili per una migliore comprensione della reale portata del fatto così come contestato.

38 Violazioni di Policy Aziendali - Cass /2013 LA DECISIONE Un dipendente viene licenziato a seguito di una perizia fatta eseguire dal datore di lavoro sul personal computer (PC) aziendale dato in uso al dipendente. Dalla perizia era emerso che il predetto aveva cancellato sistematicamente tutto il contenuto del disco fisso del detto pc, installato il programma "emule" ed altri (specificamente indicati nella contestazione), scaricato dalla rete Internet innumerevoli files video, immagini, audio - di contenuto vario, anche pornografico - a soli scopi personali, utilizzato il PC per finalita extralavorative anche in orario lavorativo, per entrare in forum ed acquistare prodotti online, il tutto in violazione di specifiche norme della "Policy Aziendale".

39 Provvedimento del Garante della Privacy 18 maggio 2006 [ ] IL FATTO Il ricorrente ha ricevuto dalla societa resistente, di cui era dipendente, una contestazione disciplinare ed una successiva comunicazione di licenziamento senza preavviso, entrambe motivate con riferimento, tra l'altro, all'esistenza nel personal computer "in dotazione per motivi di lavoro" di una cartella "D:DatiPersonale" (contenente file di immagini e di testo "prevalentemente di tipo pornografico"), nonche di una cartella "D:DatiMusica" (contenenti file audio digitali), in violazione di quanto previsto nelle "Linee guida per l'utilizzo delle postazioni di lavoro" impartite dalla resistente ai propri dipendenti.

40 Provvedimento del Garante della Privacy 18 maggio 2006 [ ] IL PROVVEDIMENTO Il ricorso viene accolto da Garante della Privacy. Il ricorrente, pur presente all'atto della ricerca, dell'individuazione e della visione del contenuto dei file conservati nelle predette cartelle, non risulta essere stato informato previamente dell'eventuale svolgimento di tali tipi di controllo. A tal fine, non possono ritenersi sufficienti le indicazioni contenute nelle linee guida che la societa dichiara di aver portato a conoscenza dei propri dipendenti le quali non riportano alcuna informativa specifica in riferimento al trattamento di dati personali che avrebbe potuto essere effettuato in attuazione di eventuali controlli (anche occasionali o "consensuali") del datore di lavoro su tali strumenti, ovvero alle modalita da seguire per gli stessi (ad es., circa la presenza dell'interessato, di rappresentanti sindacali, di personale all'uopo incaricato). [...] alla luce delle considerazioni sopra esposte, e considerato l'art. 11, comma 2, del Codice secondo cui i dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati [...]

41 La gestione delle chiavi di accesso - Cass /2013 La suprema Corte di Cassazione, con l ordinanza n del 21 maggio 2013, ha disposto che il dipendente che, con finalita ostruzionistiche, non fornisca le chiavi di accesso ai sistemi informatici, lede il rapporto di fiducia in maniera irreversibile con il datore di lavoro.

42 Cass. civ. Sez. I, 01/08/2013, n IL CONTROLLO DELLA CRONOLOGIA Viola la privacy del lavoratore il datore di lavoro che utilizzi i dati attinti dal computer di un proprio dipendente in una contestazione disciplinare, per avere indebitamente, durante il rapporto di lavoro, a lungo visitato siti sindacali, di culto e pornografici, trattandosi di dati sensibili idonei a rivelare convinzioni religiose, opinioni sindacali, nonché gusti attinenti alla vita sessuale.