La Privacy e la sicurezza negli studi legali Monza, 24 aprile 2018 Avv. Ombretta galimberti GORRETA & GALIMBERTI Studio Legale

GORRETA & GALIMBERTI Studio Legale IL TITOLARE Il Titolare del trattamento è: “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”. GORRETA & GALIMBERTI Studio Legale

GORRETA & GALIMBERTI Studio Legale La Figura del Titolare La Figura del Titolare (o data controller) nel Regolamento Europeo 2016/679 rimane sostanzialmente invariata rispetto a quella prevista nel D. Lgs. 196/2003 in quanto continua ad essere individuato nel soggetto che esercita il potere decisionale in ordine al trattamento. Il Titolare del trattamento è: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. Chi riveste il ruolo di Titolare all’interno di uno studio legale? Quando l’attività è svolta individualmente, titolare del trattamento è lo stesso avvocato. Se due professionisti operano congiuntamente, gli avvocati saranno contitolari. Se l’attività è svolta in forma associata o societaria, il Titolare è l’entità nel suo complesso. GORRETA & GALIMBERTI Studio Legale

Che cosa deve fare il Titolare? Fornire l’informativa privacy. Acquisire il consenso. Conferire apposite e specifiche lettere di nomina. Adottare le misure di sicurezza tecniche ed organizzative (adeguate ed idonee). In alcuni casi effettuare la notificazione al garante della Privacy. GORRETA & GALIMBERTI Studio Legale

Attività preliminari da effettuare L’informativa privacy deve contenere gli elementi indicati dall’art. 13 del Codice Privacy: dal 25 Maggio 2018, dovrà obbligatoriamente essere utilizzato un linguaggio semplice e chiaro. Il principio generale è presente tanto nel Testo Unico (art. 11) quanto nel Regolamento (art. 5 c.d. minimizzazione dei dati): si raccolgono e si trattano esclusivamente i dati personali che non siano eccedenti rispetto alla finalità del trattamento, ovvero che siano “limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. La disponibilità di dati estranei alla finalità esplicitata segnala la sussistenza di un trattamento abusivo, ulteriore e distinto. Adempimenti: verificare la rispondenza delle informative al contenuto delineato dagli artt. 13 e 14, apportando modifiche ed integrazioni entro il 25.05.2018; adottare le misure organizzative interne idonee a garantire il rispetto della tempistica prevista per l’informativa nel caso di dati personali non raccolti direttamente presso l’interessato. GORRETA & GALIMBERTI Studio Legale

Principi generali art. 5, 6 e 7 GDPR Trattamento lecito: Consenso per le specifiche finalità, necessario di contratto o misure precontrattuali, obbligo legale Trattamento necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; Trattamento necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento. Trattamento necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. Trattamento corretto: adeguamento se necessario Diritti dell’interessato: (art.1 7) consenso o non consenso, libertà ed esplicitazione del consenso – sbilanciamento contrattuale Trasparenza: informazione e consenso GORRETA & GALIMBERTI Studio Legale

Consenso al trattamento Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’art. 13. Il consenso deve essere libero e informato. Prima di esprimere il proprio consenso, l’interessato è, pertanto, informato delle modalità di trattamento, delle finalità e dei propri diritti. Nell’informativa sono presenti tutte le informazioni essenziali all’esercizio dei diritti dell’interessato, come per esempio le informazioni di contatto del titolare e l’indirizzo di posta elettronica per le comunicazioni che facilitino l’esercizio dei diritti e di un’eventuale revoca del consenso. L’informativa deve essere precisa e dettagliata quanto alle finalità per cui viene posto in essere il trattamento. Quando le finalità del titolare venissero modificate nel tempo, sarà necessario provvedere alla modifica dell’informativa e all’acquisizione di un nuovo consenso. Il consenso deve essere specifico, riferirsi ad uno specifico trattamento, e non generico. Adempimenti: esaminare la modulistica e verificare che la richiesta di acquisizione del consenso sia chiaramente distinguibile da altre richieste rivolte alla parte interessata, sia comprensibile ed utilizzi un linguaggio chiaro e semplice. GORRETA & GALIMBERTI Studio Legale

GORRETA & GALIMBERTI Studio Legale Quali sono i casi in cui l’Avvocato può trattare i dati senza consenso? Non occorre richiedere il consenso del cliente quando il trattamento dei dati comuni è necessario per adempiere agli obblighi previsti dalla Legge o derivanti dal contratto. Non occorre richiedere il consenso quando il trattamento dei dati sensibili è necessario per svolgere indagini difensive o per valere o difendere un diritto in sede giudiziaria. Il trattamento deve però rientrare nell’autorizzazione del Garante Privacy. Non è richiesto il consenso per il trattamento dei dati giudiziari che possono essere trattati solo entro le prescrizioni dell’autorizzazione del Garante Privacy. GORRETA & GALIMBERTI Studio Legale

GORRETA & GALIMBERTI Studio Legale Nomine: Responsabili Il Responsabile del Trattamento (o Data Protection Officer)è: “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento dei dati personali”. Il Responsabile può essere anche esterno alla compagine organizzativa e strutturale dello Studio. Il Responsabile è indicato nel Regolamento UE 2016/679 quale “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento”. Vi è un obbligo di nomina se: Il trattamento viene effettuato da un’autorità pubblica o da un organismo pubblico, fatta eccezione per le autorità giurisdizionali quando esercitano le loro funzioni. Le Attività principali consistono in trattamenti che, per la loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala. Le Attività principali consistono nel trattamento su larga scala, di categorie particolari di dati personali di cui all’art. 9 o di dati relativi a condanne penali e a reati di cui all’art 10. GORRETA & GALIMBERTI Studio Legale

GORRETA & GALIMBERTI Studio Legale Nomine: incaricati Gli incaricati sono: “le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile”. Le persone fisiche che trattano dati personali devono essere espressamente autorizzate per iscritto attraverso apposita lettera di nomina. Nel regolamento UE 2016/679 non vi è una definizione di incaricati che, tuttavia, coincidono con le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”. GORRETA & GALIMBERTI Studio Legale

Nomine: Responsabili e incaricati all’interno dello studio Possono essere designati dai responsabili privacy. Ci si può avvalere dell’operato di soggetti esterni che devono essere nominati quali responsabili. Chiunque abbia accesso ai dati (collaboratori, tirocinanti, personali amministrativo), deve essere designato quale incaricato del trattamento. GORRETA & GALIMBERTI Studio Legale

GORRETA & GALIMBERTI Studio Legale DPO negli studi legali? La nomina è obbligatoria nel caso in cui le attività principali consistano nel trattamento, su larga scala, di categorie particolari di dati personali. Con attività principali si possono intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento. Perché il trattamento sia su larga scala, occorre tenere conto di vari fattori (numero di soggetti interessati dal trattamento, volume dei dati, tipologia dei dati, durata o persistenza dell’attività di trattamento, portata geografica dell’attività di trattamento). Non si considera su larga scala il “trattamento dei dati personali relativi a condanne penali e reati svolto da un singolo avvocato”. GORRETA & GALIMBERTI Studio Legale

GORRETA & GALIMBERTI Studio Legale Nuovi obblighi Principio di accountability (rendicontazione-responsabilizzazione), contemplato dalla nuova normativa europea, si traduce in un approccio proattivo e in obblighi pregnanti i quali si concretizzano nel dimostrare l’adozione delle misure tecniche ed organizzative atte a garantire l’applicazione del Regolamento. Privacy by design e by default: sono due principi chiave, previsti dall’art. 25 del Regolamento, di cui il Titolare deve tenere conto nell’adozione di misure tecniche ed organizzative. Il primo significa protezione dei dati sin dal tempo della progettazione. Il secondo richiede, invece, l’adozione di misure tecniche ed organizzative adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Registro delle attività di trattamento: il Titolare ed il Responsabile del Trattamento hanno l’obbligo di tenere un registro delle rispettive attività di trattamento, contenente le informazioni indicate all’art. 30 del Regolamento (tra cui vi sono ad esempio le finalità, una descrizione delle categorie di dati e di interessati, i termini previsti per la cancellazione exc.). L’obbligo è derogato per la aziende con meno di 250 dipendenti che trattino dati in maniera occasionale e comunque senza particolari livelli di rischio. Adempimenti: si consiglia a tutti i Titolari e responsabili, a prescindere dalle dimensioni organizzative della compagine, di dotarsi di tali registri ed effettuare una ricognizione dei trattamenti effettuati, anche nell’ottica della valutazione di impatto e dell’analisi dei rischi. E’ necessario come adempimento logico e operativo prima che giuridico perché il soggetto attivo del trattamento che ne è anche responsabile riesce, attraverso una mappatura specifica, a censire con precisione tutte le banche dati rilevanti per la valutazione del rischio. Sicurezza dei dati: approntamento di misure adeguate. * pesudonimizzazione e cifratura dei dati personali; capacità di assicurare su base permanente la riservatezza, l’integrità, la resilienza dei sistemi; *la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente tecnico; *una procedura per verificare e testare regolarmente l’efficacia delle misure tecniche e organizzative utilizzate al fine di garantire la sicurezza del trattamento. Data breach: il Regolamento introduce l’obbligo per tutti i Titolari (attualmente è previsto solo per i fornitori di servizi di comunicazione elettronica accessibili al pubblico), di notificare all’autorità di controllo ogni violazione di dati senza ingiustificato ritardo da quando ne hanno conoscenza. Ciò salvo che ritengano improbabile che da tale violazione possano derivare rischi per i diritti e le libertà delle persone fisiche. Valutazione d’impatto: novità assoluta, sostituisce l’obbligo generale di notificare all’autorità di controllo il trattamento dei dati personali. La valutazione è obbligatoria nei casi di valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, su cui si fondano decisioni che hanno effetti giuridici sulle persone fisiche; trattamento su larga scala di categorie particolari di dati; sorveglianza sistematica su larga scala di una zona accessibile al pubblico. GORRETA & GALIMBERTI Studio Legale

GORRETA & GALIMBERTI Studio Legale Misure di sicurezza I dati raccolti devono essere protetti con idonee e preventive misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità del raccolta. GORRETA & GALIMBERTI Studio Legale

GORRETA & GALIMBERTI Studio Legale Misure adeguate di sicurezza: trattamenti senza l’ausilio di strumenti elettronici Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito agli incaricati; Previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati nello svolgimento dei relativi compiti; Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati. GORRETA & GALIMBERTI Studio Legale

GORRETA & GALIMBERTI Studio Legale Misure adeguate di sicurezza: trattamenti con l’ausilio di strumenti elettronici Autenticazione informatica. Procedure di gestione delle credenziali di autenticazione. Sistema di autorizzazione: * aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici. * protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici. * procedure per la custodia di copie di sicurezza e ripristino della disponibilità dei dati. * Tecniche di cifratura o di codici identificativi per determinati trattamenti di dati sensibili effettuati da organismi sanitari. ABOLITO DAL D.L. 5/12 CONVERTITO CON MODIFICAZIONI, DALLA LEGGE 35/12, L’OBBLIGO DI TENUTA E DI AGGIORNAMENTO DEL DPS – IL REGOLAMENTO UE 2016/679 INTRODUCE L’OBBLIGO DI TENUTA DEI REGISTRI DEL TRATTAMENTO DEI DATI (ART. 30). GORRETA & GALIMBERTI Studio Legale

Grazie per l’attenzione!! GORRETA & GALIMBERTI Studio Legale