LA PRIVACY NELLO STUDIO LEGALE Monza 15 febbraio 2010 Avv. Rosario Imperiali
Sommario PARTE I - Piattaforma normativa Codice privacy Codici deontologici privacy e forense Differenze e relazioni PARTE II - Il regime privacy per l avvocato Lo spartiacque del principio di finalità Adempimenti in generale e semplificazioni per l avvocato Informativa, consenso, notificazione al Garante Misure minime di sicurezza in genere e semplificazioni DPS e Amministratori di sistema Organizzazione e modalità operative Come adeguarsi e conclusioni CompLetence 2010
PARTE I Piattaforma normativa Codice privacy Codice deontologico privacy Codice deontologico forense Differenze e relazioni 3
Codice privacy: brevi cenni ed evoluzioni In vigore dal 2004 da fonte comunitaria Corpo organico di principi e regole, generali e di settore Soggetto a sollecitazioni: ad oggi 18 interventi modificativi Alcuni di semplificazione Altri di stampo lobbystico Allegazione dei codici deontologici privacy Ricorso discontinuo al parere preventivo del Garante nel processo di formazione delle leggi di rilevanza privacy Bilanciamento di interessi sotto frizione Sicurezza pubblica, media, tecnologia, social network, giustizia CompLetence 2010
La specificità dei codici di deontologia privacy Il dibattito privacy internazionale tra autodisciplina (USA) e regolamentazione normativa (UE) L approccio UE La soluzione italiana Speciale procedura di formazione Valore di norma atipica di rango secondario
Processo di formazione dei codici deontologici privacy Redazione Verifica Efficacia Promozione Base giuridica Divulgazione Da Garante o da legge Ad opera del Garante, della conformità ai principi di legge e di regolamento Rappresentanti delle categorie interessate Raccomandazioni del Consiglio d Europa, leggi e regolamenti Pubblicazione sulla Gazzetta Ufficiale Prerequisito della liceità del trattamento
Il codice deontologico privacy Entrato in vigore il 1 gennaio 2009 Vincola tutti coloro che gestiscono dati personali per le finalità e negli ambiti in esso previsti Investigazioni difensive Difesa di un diritto in sede giudiziaria (ma inclusa assistenza legale stragiudiziale) Ambito: penale, civile, amministrativo, tributario, arbitrato, conciliazione CompLetence 2010
Relazione tra codice privacy e codice deontologico privacy La norma primaria (cod. privacy) prevede che il rispetto dei codici deontologici è condizione di liceità del trattamento I codici deontologici, quindi, sono fonte di diritto oggettivo Le disposizioni sono obbligatorie con funzione integrativa della legislazione L efficacia dei codici deontologici non è più solo intra ma ultra-categoriale La loro violazione rende applicabili le sanzioni privacy e rileva ai fini della valutazione della risarcibilità del danno privacy (art. 15) Codice privacy Codice deontologico privacy CompLetence 2010
Il Codice deontologico forense affronta questo tema? Dovere di restituzione di documenti (art. 42) Inviolabilità della difesa (art. 11) Dovere di segretezza (art. 9) Dovere di informazione all assistito (art. 40) Rapporti con i testimoni (art. 52) Dovere di riservatezza e discrezione (artt. 9 e 18) Dovere di fedeltà (art. 7) Rapporti con i colleghi (artt. 22 e ss.) Rapporti con la stampa (art. 18) Dovere di aggiornamento professionale (art. 13) Riferimenti al codice deontologico forense
Quali sono le differenze tra i due codici deontologici? Norma atipica di secondo grado Integrativa della legge primaria Valenza ultra categoriale Garante, organo amministrativo competente ad irrogare le sanzioni pecuniarie Applicabili le sanzioni privacy esplicitazioni dei principi generali, contenuti nella legge professionale forense interpretabili dalla Cassazione (SU n.8225/02 e n. 26810 del 2007) Funzione integrativa della norma legislativa in bianco Valenza intra categoriale Consiglio Nazionale Forense quale organo speciale di giurisdizione (6 disp.trans. Cost.; SU 187/01 e 5072/03) Applicabili le sanzioni disciplinari CompLetence 2010
Quali sono le relazioni tra i due codici deontologici? In ipotesi di violazione Non incide necessariamente sull applicazione delle sanzioni disciplinari Codice deontologico privacy Codice deontologico forense Può costituire elemento di valutazione della correttezza del trattamento
PARTE II Regime speciale privacy per l avvocato Adempimenti Misure minime di sicurezza Organizzazione e ruoli operativi Come adeguarsi Conclusioni 12 CompLetence 2010
L avvocato gode di un regime speciale privacy? Parzialmente. Il regime speciale non si riferisce allo avvocato, in quanto appartenente alla categoria forense Si applica solo all utilizzo dei dati per scopi relativi alla assistenza legale (eccetto stragiudiziale puro ), alla difesa di diritti in giudizio, alle investigazioni difensive Il principio di finalità è lo spartiacque tra i regimi speciale e generale, entrambi applicabili all avvocato (le regole seguono la finalità non la categoria di destinatari: distinguo tra aree operativa e professionale) Ad es. per l uso di dati per finalità amministrativo contabili (fatturazione, gestione di pagamenti e tributi), per la gestione del personale dello Studio o nei rapporti di fornitura si applicano le regole generali
Quand è che l avvocato deve rilasciare l informativa? Anche orale ed una tantum rispetto al complesso dei dati raccolti Per clienti, dipendenti, collaboratori, fornitori, ecc. Anche mediante affissione nei locali Informativa Consenso Notificazione Prior checking Casi in cui non è richiesta a) i dati non sono raccolti presso l interessato (es. interviste a terzi o riprese audio/video) e b) solo per fini di difesa in giudizio o per investigazioni difensive (art. 13.5, lett. b) cod. privacy) Ricordarsi dell informativa nella selezione del personale, nelle sollecitazioni al contatto sul sito web, nei rapporti con soggetti esterni
Fac-simile di informativa stragiudiziale per clienti Intestazione (art. 13 dlgs. 196/2003 codice privacy) Lo Studio, Titolare del trattamento dei Vostri dati, Vi informa, che le informazioni che Vi riguardano (anagrafiche, coordinate bancarie, informazioni relative all incarico) verranno utilizzate per l esecuzione dell incarico e per l adempimento di obblighi di legge. Modalità (come sono utilizzati) I Vostri dati personali verranno gestiti con strumenti elettronici e cartacei da nostri Incaricati (professionisti, impiegati dell amministrazione). Flussi e soggetti (come circolano) Per i predetti scopi, i dati potranno essere comunicati a terzi che agiscono per nostro conto (es. : penalisti, economisti, esperti in diritto ambientale), mentre non saranno diffusi. Diritti (come controllarne l uso) per accedere ai Vostri dati, chiederne l'aggiornamento o la rettifica o l integrazione, per opporvi al loro utilizzo e per esercitare gli altri diritti previsti dal codice privacy, inviateci un fax (accompagnato da copia del documento d identità) al numero. CompLetence 2010
Quand è che l avvocato deve raccogliere il consenso? Casi in cui non è richiesto I dati non sensibili a) del cliente quando necessari per l esecuzione del mandato(es. anagrafiche, dati fiscali, retributivi, previdenziali e professionali) (art. 24.1, lett. b) cod. privacy) Informativa Consenso Notificazione Prior checking b) di chiunque Per fini difensivi (art. 24.1, lett. f)) Per eseguire un contratto (es. dati di familiari del cliente) Per soddisfare un obbligo di legge (es. a fini antiriciclaggio) Quando si tratta di dati di fonte pubblica (es. dati dell anagrafe) Quando si stratta di dati economici (es. codice fiscale)
Quand è che l avvocato deve raccogliere il consenso? (segue) Casi in cui non è richiesto Solo per fini di difesa in giudizio o per investigazioni difensive I dati sensibili di chiunque previa autorizzazione del Garante (es. appartenenza politica o sindacale, fede religiosa, ecc.) a) per salute e vita sessuale, purchè il diritto da difendere sia di pari rango (art. 26.4, lett. c)) Informativa Consenso Notificazione Prior checking I dati giudiziari escluso per legge purchè in conformità all autorizzazione n.7 del Garante (art. 27) Trasferimento extra-ue di dati personali (art. 43.1, lett. e))
Quand è che l avvocato deve raccogliere il consenso? (segue) Casi in cui non è richiesto Solo per la gestione di rapporti di lavoro e per la sicurezza sul lavoro I dati sensibili in conformità all autorizzazione del Garante n. 1 (art. 26.4, lett. d) cod. privacy) Per i dati giudiziari il consenso non è richiesto per legge In conformità all autorizzazione del Garante n. 7 (art. 27, cod. privacy) Informativa Consenso Notificazione Prior checking
Quand è che l avvocato deve raccogliere il consenso? (segue) Sintesi sull esonero dal consenso Per i dati comuni del cliente Per adempiere al mandato ricevuto di chiunque Secondo le regole generali (art. 24) Informativa Consenso Notificazione Prior checking Anche per dati sensibili ma secondo le autorizzazioni generali Per difesa in giudizio e investigazioni difensive per salute e vita sessuale, il diritto da difendere sia di pari rango per trasferimento all estero di dati per i dati giudiziari consenso non richiesto per legge - purchè in conformità all autorizzazione n. 7 del Garante Per la gestione dei rapporti di lavoro e di sicurezza sul lavoro purchè in conformità all autorizzazione n. 1 del Garante
Cosa deve fare l avvocato negli altri casi? Informativa Informativa Necessaria, anche orale, informale, Consenso sintetica ma coprendo i profili richiesti dalla Notificazione legge Consenso Prior checking Per i dati non sensibili, richiesto solo se non sono applicabili i casi di esonero (es. dati pubblici, art. 24) Per i dati sensibili, richiesto per iscritto nel rispetto delle autorizzazioni generali del Garante Per i dati giudiziari, non richiesto purchè nel rispetto dell autorizzazione generale n. 7 del Garante
L avvocato deve effettuare la notificazione al Garante? Raramente. E dovuta solo nei casi Informativa tassativamente indicati (art. 37.1, cod. privacy) Consenso Esonero per gli avvocati Notificazione per il trattamento di dati genetici o biometrici per investigazioni difensive o per Prior checking difesa in giudizio di un diritto di pari rango (provv. 31/3/2004) Esempi Uso del DNA dell imputato o di terzi a fini probatori Uso del DNA ai fini della dichiarazione giudiziale di paternità Uso di dati biometrici nell ambito di investigazioni difensive Uso di banche dati elettroniche sulla solvibilità o situazione patrimoniale di persone L uso di sistemi di localizzazione satellitare a fini investigativi va notificato
Cosa deve fare l avvocato se riceve istanza di accesso privacy? Richieste di accesso, rettifica, integrazione, cancellazione, opposizione ricevute da interessati Possono essere sospese (art. 8.2, lett. e) cod. privacy) nel periodo in cui sussiste un pregiudizio effettivo e concreto alle investigazioni difensive e al diritto di difesa in giudizio INFORMATIVA Strumento di trasparenza DIRITTI Strumento di controllo La gestione dei fascicoli sia idonea a consentire ricerche di dati
Può l avvocato utilizzare i diritti privacy a fini difensivi? Istanze di clienti per accesso, rettifica, integrazione, cancellazione, opposizione dirette a Titolari terzi Sì, possono essere fonte di informazioni, utile per la costruzione della difesa Esempi accesso ai dati di traffico in entrata dell assistito per investigazioni difensive (cd. Tabulati telefonici, art. 8.2, lett. f) cod. privacy) riscontri della posizione bancaria dell assistito I diritti privacy hanno ad oggetto solo i dati personali dell istante
L avvocato deve oscurare i dati identificativi delle sentenze? Sì, ma la disciplina è articolata Provv. giudiziario Originale Copia a terzo Copia a fini scientifici Copia per cronaca Nessuna richiesta Dati visibili Dati visibili Dati visibili Dati visibili Richiesta accolta dal giudice (art. 52.1) Dati visibili Dati visibili Dati oscurati Dati visibili Oscuramento d ufficio (art. 52.2) Dati visibili Dati oscurati Dati oscurati Dati visibili Oscuramento per legge (art. 52.5) Dati visibili Dati oscurati Dati oscurati Dati oscurati Fonte: Deontologia privacy per avvocati e investigatori privati; Fulco e Bolognini - Giuffrè CompLetence 2010
PARTE II Regime speciale privacy per l avvocato Adempimenti Misure minime di sicurezza Organizzazione e ruoli operativi Come adeguarsi Conclusioni 25 CompLetence 2010
Quali sono le misure di sicurezza per l avvocato? Le misure minime di sicurezza più significative per l avvocato Documento Programmatico sulla Sicurezza Quando si trattano dati sensibili o giudiziari con strumenti elettronici Da aggiornare annualmente entro il 31 marzo Amministratore di sistema Quando un soggetto è autorizzato ad intervenire su server, banche dati, software complessi con profili di autorizzazione elevati (cd. privilegi) Gestione dei fascicoli cartacei Fascicoli delle pratiche attive e di quelle di archivio
Documento Programmatico per la Sicurezza (DPS) Il DPS è dovuto quando si usano dati sensibili o giudiziari con sistemi automatizzati I casi di esonero o di semplificazione non sembrano applicabili all avvocato tipo Perno della politica della sicurezza idonea a ridurre al minimo i rischi di distruzione o perdita dei dati accesso non autorizzato trattamento non consentito o non conforme Indica le regole di base in un ottica di programmazione Va redatto ed aggiornato entro il 31 marzo di ogni anno CompLetence 2010
Come redige il DPS l avvocato? La norma non contiene indicazioni vincolanti sulle modalità di compilazione La guida operativa del Garante risulta eccessivamente dettagliata e non corrispondente alle esigenze dell avvocato Si consiglia un testo sintetico ed operativo che applichi in linea generale le regole previste dal Disciplinare Tecnico Le specifiche modalità operative e le procedure, al massimo, possono essere oggetto di allegati a parte In tal modo il DPS può essere divulgato all interno dello Studio e costituire uno strumento di formazione per i ruoli privacy
Fac-simile di struttura del DPS dell avvocato Principi generali Lista dei trattamenti Trattamenti affidati all esterno Archivi cartacei Analisi dei rischi Organizzazione e responsabilità Regole per gli incaricati del trattamento Misure di sicurezza programmate Revisioni del DPS Stato dell arte e relative regole Sistema privacy Pianificazione Ciclo
L avvocato deve designare l Amministratore di sistema? Sì, se esiste questo ruolo nello studio legale Presupposto Uso di dati personali con strumenti automatizzati Profilo colui che gode di privilegi per l accesso e la gestione di banche dati, tanto da poter assegnare profili di accesso e amministrare i dati in esse contenuti Ruolo privacy Responsabile del trattamento o incaricato con uguale profilo Adempimenti e requisiti Designazione formale ed individuale, competenza, elenco da custodire e aggiornare, tracciamento dei log, vigilanza, evidenza ai dipendenti CompLetence 2010
Le semplificazioni privacy si applicano agli studi legali? Molto improbabile L autocertificazione sostitutiva del DPS riguarda il caso in cui il trattamento automatizzato di dati sensibili riguardi solo dati sull appartenenza sindacale e sullo stato di salute dei dipendenti Le modalità di redazione semplificate del DPS e L esonero dalle prescrizioni sull Amministratore di sistema quando i dati sensibili sono utilizzati solo a fini amministrativo-contabili
Come adeguare la videosorveglianza dello studio legale? Gli impianti di videosorveglianza sono specificamente disciplinati a fini privacy Trasparenza verso i soggetti potenzialmente ripresi (informativa sintetica con affissione di cartello con simbolo grafico) Conservazione dei dati (immagini) limitata a poche ore Accesso ai dati limitato nonché autorizzato a specifici ruoli privacy e documentato per iscritto Divieto di uso dei dati raccolti ad altri fini
Quali regole per una security policy dello studio legale? Riservatezza definire in un documento ufficiale la politica di chi è autorizzato ad accedere ai dati (access control) Vi provvede in anticipo l avvocato con il supporto di un tecnico Integrità avvalersi di funzioni che tracciano la storia del documento, di formati non modificabili o di crittografia Disponibilità fare uso di tecnologie di back up Qualità formalizzare procedure di aggiornamento dei dati Riferibilità (accountability) cioè risalire a chi ha fatto cosa avvalendosi di funzioni che tracciano la storia di un documento e l immissione di dati CompLetence 2010
Quali regole per i fascicoli dello studio legale? Sensibilizzazione di tutti - professionisti e staff - con l obiettivo di creare una cultura diffusa Desk policy - diffondere una chiara politica per il mantenimento dell ordine del posto di lavoro Archiviazione - implementare metodologie codificate per pratiche e documentazione cartacea ricevuta dai clienti Strumentazione - regolamentare l uso di fax, stampanti, scanner, fotocopiatrici in modo da evitare che documenti possano essere lasciati incustoditi Dotare lo Studio di apposite apparecchiature distruggi-documenti da utilizzare sempre per sbarazzarsi della carta
L avvocato deve eliminare i nomi dai fascicoli? No. Nessuna norma impone all avvocato l uso di codici in sostituzione dei nomi delle parti sui fascicoli di Studio Occorre definire invece adeguate modalità per l accesso alla documentazione da parte degli incaricati per finalità predefinite Vedi parere del Garante del 3/6/2004 al CNF
Estinto il mandato, l avvocato può conservare i documenti? Sì. In queste circostanze: Per ipotizzabili altre esigenze difensive dell assistito (es. gradi successivi di giudizio) Per ipotizzabili altre esigenze difensive dell avvocato (es. prova in un procedimento disciplinare o per la liquidazione del compenso) Per adempiere ad un obbligo di legge (es. fiscale o antiriciclaggio) Per finalità scientifiche ma in forma anonima (es. raccolta di precedenti) In assenza di queste ipotesi, distruzione, cancellazione o consegna all avente diritto o al Consiglio dell Ordine
PARTE II Regime speciale privacy per l avvocato Adempimenti Misure minime di sicurezza Organizzazione e ruoli operativi Come adeguarsi Conclusioni 37 CompLetence 2010
L organigramma privacy Titolare Responsabile Incaricati al trattamento
Chi è titolare del trattamento nello studio legale? Chi esercita il potere decisionale sul patrimonio informativo dello Studio, in termini di utilizzo, organizzazione, tutela Avvocato mono-titolare singoli avvocati autonomi che condividono logisticamente i locali dello studio Associazione professionale tra avvocati Società tra professionisti
Chi è Responsabile del trattamento nello studio legale? Nomina facoltativa Chi è designato dall avvocato, con margini di discrezionalità, ad effettuare trattamenti per suo conto Corrispondenti, domiciliatari e sostituti Consulenti tecnici Investigatori privati Consulenti del lavoro Amministratori di sistema Aziende informatiche per gestione e manutenzione del patrimonio IT dello Studio Designazione scritta controfirmata per accettazione, con specifica delle attività affidate e dei presidi da rispettare. Vigilanza
Ci vuole un Responsabile privacy nello studio legale? Probabilmente assente negli studi individuali o micro Per studi molto strutturati Uno o più responsabili del trattamento individuati: Su base territoriale Per processi funzionali o operativi (es. sicurezza, IT, gestione delle risorse, approvvigionamenti, ecc.) Per singole unità organizzative (es. capi di dipartimento) Da non sottovalutare il caso dell affidamento di un processo operativo o di un suo segmento - ad un entità terza (es. gestione dei rapporti di lavoro e dei cedolini paga)
Quali gli incaricati del trattamento nello studio legale? Chi materialmente utilizza dati personali, per conto dell avvocato, sotto la direzione sua o di un suo Responsabile ed in base a precise istruzioni Collaboratori e praticanti Corrispondenti e consulenti privi di autonoma organizzazione Addetti alla segreteria Amministrativi e contabili Receptionist Specifica delle istruzioni impartite con disposizione organizzativa per tipologia di incaricato. Vigilanza
Perché occorre un MO privacy nello studio legale? Il data protection è norma di comportamento interviene nella vita interna delle organizzazioni impone un adeguamento organizzativo (ruoli e mansioni) persegue l obiettivo del presidio dei flussi informativi all interno dello Studio e verso terzi
Come scegliere i ruoli privacy nello studio legale? Realtà professionale variegata, oscillante tra scenari molto eterogenei Struttura: Studi individuali vs. organizzazioni complesse paragonabili ad aziende Tecnologia: Ricorso elementare all informatica vs. dotazioni tecnologiche articolate e centralizzate Categoria professionale: Composizione mono-professionale (solo giuristi) vs. organizzazioni multi-professionali (consulenti d azienda, gestori di processo, esperti informatici, responsabili del personale, ecc.) Ubicazione: Entità sostanzialmente locali vs. ramificazioni internazionali Decentramento operativo: Ricorso a servizi appaltati vs. organizzazioni autosufficienti
Come considerare gli specialisti a supporto dell avvocato? Es. esperti in branche specialistiche del diritto, economisti, periti, consulenti Spesso sono professionisti legati a ordini professionali e/o vincolati da leggi e regolamenti al rispetto del riserbo Oggetto dell intervento è lo studio e l elaborazione di contenuti con uso marginale di dati personali Nomina a Responsabile talvolta inidonea perché soggetti che godono di autonomia professionale Incarico con accordo di confidenzialità comprensivo di clausola di liceità e correttezza dei trattamenti compiuti
PARTE II Regime speciale privacy per l avvocato Adempimenti Misure minime di sicurezza Organizzazione e ruoli operativi Come adeguarsi Conclusioni 46 CompLetence 2010
Da dove cominciare per l avvocato che si adegua alla privacy? Mappatura del patrimonio informativo dello studio legale Mediante censimento ed analisi dei processi operativi Individuazione dei soggetti interni ed esterni che utilizzano dati personali per conto dell avvocato / studio legale Categorie di dati utilizzati (tipi di dati comuni, sensibili, giudiziari) Finalità d uso (es. supporto nell assistenza legale, nell esercizio del diritto di difesa, gestione del personale, sicurezza del lavoro, amministrativo-contabile, ricerca) Attività svolte sui dati personali (es. modalità operative, margini decisionali, attività esecutive) Consente l individuazione dei ruoli privacy, l adeguamento delle misure di sicurezza, il reperimento dei dati, la vigilanza
Conclusioni: una rivoluzione di approccio Dalla cultura fiduciaria a quella della compliance Analisi dei rischi sull uso dei dati personali (valutazione sostanziale e non formalistica) Programmazione delle misure di tutela (es. DPS) Documentazione delle scelte e dei ruoli (es. a fini di prova) Procedure nelle attività operative (es. gestione delle pratiche e archiviazione, gestione del posto di lavoro, gradazione del rischio privacy) Controlli (es. aggiornamento delle mansioni, conformità alle procedure, analisi degli scostamenti) Formazione degli operatori Creazione di un presidio interno che assicuri il monitoraggio e la conformità dei flussi informativi