Immaginiamo per un momento di essere un avvocato o uno studio legale alle prese con l’adeguamento al GDPR. Ormai è scoccata l’ora fatale: sarà stato fatto tutto il necessario per essere conforme al Regolamento Europeo? Potrebbe darsi di avere dimenticato qualcosa. Nel tentativo di agevolare il nostro avvocato di fantasia, è stato tracciato in questo testo un “Vademecum” degli adempimenti essenziali per adeguarsi al Regolamento stesso. Ripassiamoli insieme.
Ogni avvocato o studio legale deve provare ad individuare e a costruire la propria dimensione risultante dal punto di equilibrio tra le esigenze conformative privacy, le risorse disponibili della struttura e la valvola di sicurezza di tutto il sistema privacy sicurezza con cui vengono trattati i dati.
In definitiva, il GDPR non richiede che tutti facciano tutto ma che ciascuno si attivi responsabilmente in proporzione alla delicatezza dei dati e/o alla mole dei flussi informativi trattati. Fondamentale per il Legislatore UE è che il Titolare abbia chiaro lo stato privacy della propria struttura in modo tale da conoscerne le lacune e da programmarne nel tempo i relativi rimedi. Grazie al Piano di Gestione del Rischio, il nostro avvocato di fantasia “visitato” dall’ispettore del Garante potrà sostenere che è consapevole delle criticità della propria struttura e dimostrare con documento alla mano che ha già programmato delle mitigazioni.
Il nostro avvocato di fantasia vuole assicurarsi di non aver dimenticato nulla di importante. Così decide di ripassare con noi i punti essenziali di una Privacy Policy rispettosa del GDPR:
1. Classificazione dei dati trattati e delle tipologie di interessati e destinatari;
2. Mappatura Trattamenti; modalità trattamenti, tempi di conservazione e seguente Cancellazione, trasferimento dati in Paesi extra UE, profilazione, portabilità e interoperabilità (possibilità di immediato trasferimento documenti ad altro avvocato su richiesta del cliente in caso di revoca del mandato);
3. Mappatura ruoli privacy; Titolare (avvocato singolo o più avvocati contitolari per un mandato congiunto), Responsabili interni (avvocato coordinatore, segretaria coordinatrice), Responsabili Esterni;
4. Registro dei Trattamenti (consigliato a tutti), obbligatorio per Avvocati di diritto penale, Avvocati di diritto famiglia e minori, Avvocati di diritto della previdenza sociale, Avvocati di procedimenti mala sanità, Avvocati del risarcimento danni da lesioni personali.
5. Informativa e Consenso raccolti in cartaceo o elettronico, attestanti il ricevimento dell’informativa sottoscritta dal cliente unitamente al consenso per il trattamento dei dati personali e di salute o particolari e, conservazione di questa raccolta (informative e consensi) al fine di provare le dichiarazioni dell’interessato;
6. Lettere di Incarico e Mansionari;
7. Piano di Gestione Misure di sicurezza all’interno dello Studio (credenziali di autenticazione elettronica, istruzioni in merito all’accesso agli archivi cartacei e/o elettronici, formazione sugli aspetti principali della disciplina della privacy, sicurezza fisica ed ambientale, sistemi UPS o generatori di corrente che garantiscono la continuità elettrica, sicurezza informatica ed elettronica, sistema di crittografia, sistema firewall, antivirus, manutenzione programmata degli strumenti, controllo sull’operato degli addetti alla manutenzione ogni volta che vi sia necessità, backup eseguiti regolarmente e conservati in un luogo sicuro possibilmente dislocato in una sede lontana da quella dello studio , dispositivi mobili (cellulare, tablet, pc portatili), chiavette USB;
8. Piano di Gestione del Rischio;
9. Procedura di Data Breach;
10. Data Privacy Officer (DPO), nomina DPO esterno.
E’ stato rilevato che nella maggior parte dei casi il danno privacy è dovuto a errore o incuria o ignoranza dell’Addetto o Incaricato Privacy. In questa ottica la Formazione costituisce il carburante della Privacy Policy finalizzato ad attualizzarla e renderla materia viva ogni giorno, grazie all’introduzione di un approccio critico sui rischi. Questo approccio deve diventare la forma mentis dell’Addetto, del Responsabile, del Titolare affinché prima di compiere una qualsiasi attività scatti l’interrogativo: “potrebbero esserci danni privacy? Come posso contenerli o eliminarne il rischio?”.