avvocati gdpr checkwork

Avvocati e Data protection ai tempi del GDPR

avvocati gdpr checkwork
Nel rispetto del nuovo Regolamento europeo per la protezione dei dati personali, gli avvocati, in qualità di garanti e tutori dei diritti delle persone e dei cittadini, sono obbligati ad adempiere agli oneri di accountability per garantire la data protection:
  • del proprio studio legale e di se stessi come privati cittadini;
  • dei propri clienti rispetto alla pubblica amministrazione (per esempio rispetto al potere giurisdizionale, alle procure, ai tribunali, alle autorità investigative);
  • dei propri clienti rispetto alle imprese con cui hanno a che fare e con riferimento ad eventuali data breach.
Iniziamo parlando del Registro dei Trattamenti: non è obbligatorio redigerlo. L’obbligo scatta, a prescindere dal dato dimensionale dello studio, quando i dati oggetto del trattamento possono rappresentare rischi per la libertà e i diritti dell’interessato o siano “sensibili” o giudiziari (condanne penali per esempio).
Il registro aiuta a “mappare” le aree di rischio e dunque a rendere l’avvocato – in qualità del titolare del trattamento – consapevole della natura dei dati raccolti per l’esercizio dell’attività, la loro conservazione, le misure di sicurezza adottate.
La redazione e l’aggiornamento dello stesso non potrà prescindere dalla situazione reale, oggettiva ed effettiva in cui si opera.
Un altro aspetto importante riguarda le misure di sicurezza da porre per poter proteggere i dati trattati. Secondo il Regolamento europeo, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. Devono fare in modo che chiunque agisca sotto la loro autorità e abbia accesso a dati personali, non possa trattarli se non è istruito in tal senso.
Le misure di sicurezza quindi non possono essere standardizzate o previste in assenza di specifica analisi della effettiva situazione nella quale si opera .
L’avvocato titolare dello studio deve inoltre verificare l’attualità delle informative sulla privacy già predisposte e del consenso già raccolto, alla luce dei nuovi requisiti previsti dal regolamento. In particolare è necessario verificare se è specificata la base legislativa del trattamento dei dati, il periodo di conservazione dei dati, e le informazioni utili riguardo ai diritti che spettano al soggetto interessato. Le info dovranno essere concise, semplici, chiare.
Va da sé che ai nuovi clienti, l’avvocato dovrà consegnare la informativa che dovrà essere firmata per presa visione.
Se non vi è dubbio alcuno che gli Avvocati, solo in quanto esperti in maniera specifica della materia, possono essere nominati Data protection Officer (DPO)presso strutture terze (anche per contratto), sembra ormai chiarito il criterio per stabilire se lo studio legale debba o meno nominare il proprio DPO. Anche qui vale la regola della situazione reale, oggettiva, concreta dello studio essendo fondamentale l’analisi dell’attività effettivamente svolta .
La designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati Lo studio potrà comunque nominare un DPO su base volontaristica o magari incaricare il privacy officer, è buona pratica fare un report con le ragioni che hanno spinto ad adottare la soluzione prescelta. E’ importante però che il DPO abbia caratteristiche di competenza, indipendenza ed essere al riparo da eventuali conflitti di interessi.
Per far si che i dati siano al sicuro da Data Breach è indispensabile adottare tutte le buone pratiche di cybersecurity . La sicurezza fisica del dato è un presupposto indispensabile perché la data protection possa realizzarsi. Il poter dimostrare di aver adottato tutte le adeguate e proporzionate pratiche per assicurare il dato sarà indispensabile per escludere forme gravi di responsabilità. Tuttavia, se il data breach dovesse verificarsi, il regolamento chiede esplicitamente che se ne faccia denuncia al Garante e- nei casi più gravi- anche ai diretti interessati.
Per supportare l’adempimento di tutti gli oneri di accountability da parte degli degli studi di avvocati, Checkwork GDPR ha sviluppato un accesso multi-account, permettendo di gestire in modo semplice tutti i clienti.