Quando è nata la Sua passione per il diritto delle tecnologie informatiche e in particolare per il settore della privacy?
Ho sempre nutrito una passione particolare per le tecnologie sin da bambino; mi affascina molto il concetto della innovazione che apporta miglioramenti sia in ambito lavorativo sia sociale. Sono stato tra quelli che hanno visto nascere Internet e che hanno iniziato ad utilizzare la posta elettronica da subito. Riguardo alla privacy ho seguito le diverse evoluzioni normative per occuparmi del tema via via nel tempo in maniera approfondita.
Che cosa è il CINFOR ? Quale il suo ruolo all’interno del CINFOR ?
Il CINFOR è il Centro per l’Informatica e l’Innovazione Forense; è Organismo del Consiglio dell’Ordine degli Avvocati di Foggia ed io sono il direttore. Il CINFOR si occupa degli aspetti informatici ed innovativi che si presentano nella professione forense, organizza convegni, workshop ed è generalmente a disposizione degli Avvocati iscritti all’Ordine di Foggia. Nel mio ruolo, sono a disposizione del Consiglio dell’Ordine per ogni questione che sia di mia competenza, sottopongo al Consiglio Direttivo ed eventualmente al COA ciò che a mio avviso possa essere d’interesse per l’Avvocatura, condivido e supporto l’organizzazione degli eventi ed ogni iniziativa.
È iscritto ad associazioni professionali?
Sono iscritto a diverse associazioni tra cui AIPSI (Associazione Italiana Professionisti Sicurezza Informatica – Italian chapter di ISSA, organizzazione mondiale sul tema), IIP (Istituto Italiano per la Privacy – sono sector director per e-commerce), IAPP (International Association of Privacy Professionals). Si tratta di occasioni importanti per condividere argomenti su specifiche tematiche anche in un’ottica di aggiornamento professionale.
Qual è la normativa di riferimento in materia di privacy per gli studi legali?
In Italia è il codice in materia di protezione dei dati personali, meglio noto come “codice privacy” (D.Lgs. 30/6/2003, n. 196). I principi in materia di privacy sono contenuti nel citato provvedimento e si applicano anche agli studi legali. Si attende l’approvazione della riforma europea sulla privacy che sarà adottata con un Regolamento e, quindi, direttamente applicabile in ogni stato membro. Questa riforma apporterà numerose novità tra cui la figura del Data Protection Officer, la DPIA (Data Protection Impact Assessment), l’introduzione del concetto di data protection by design and by default, ecc.
Quali tutele deve rispettare l’avvocato nei rapporti con il cliente e con i terzi per non violare la privacy? In quali sanzioni può incorrere?
L’avvocato deve sicuramente rendere l’informativa sul trattamento dei dati personali, cioè deve previamente informare il soggetto, di cui sta raccogliendo i dati, su finalità e modalità del trattamento dei dati e comunque offrendo le informazioni previste dall’art. 13 del codice privacy. Per il trattamento dei dati è necessario il rispetto degli obblighi di sicurezza con l’adozione di misure idonee ad assicurare un livello minimo di protezione dei dati personali. I dati devono essere trattati esclusivamente per le finalità per le quali sono stati forniti. Le sanzioni previste dal codice privacy sono amministrative e penali, ma è disciplinata anche (art. 15) un’ipotesi di responsabilità particolarmente gravosa, per il richiamo all’art. 2050 c.c. (attività pericolose), anche per il danno non patrimoniale nelle ipotesi in cui si cagiona un danno per l’effetto del trattamento dei dati personali.
Anche l’organizzazione dello studio legale è vincolata al rispetto della normativa sul trattamento dei dati personali?
Certamente sì. È necessario nominare come incaricato del trattamento coloro che lavorano o collaborano con lo studio legale poiché essi non sono estranei al trattamento dei dati personali di soggetti che hanno fornito i propri dati personali allo studio. Del resto, sarebbe auspicabile che qualsiasi progetto connesso all’attività professionale tenga conto sin dalle prime fasi degli aspetti connessi alla privacy, posto che già dal 2010 la 32ma Conferenza internazionale dei Garanti ha adottato la risoluzione sulla Privacy by Design che – ripresa dalla riforma europea (art. 23 del proposta di Regolamento) nella forma della data protection by design and by default – rappresenta il futuro della privacy dei prossimi 10/15 anni. Sul tema, esiste un contesto internazionale di soggetti qualificati come “Privacy by Design Ambassadors”, di cui mi onoro di far parte, che svolgono attività di approfondimento, divulgazione e sensibilizzazione.
Quali strumenti elettronici può utilizzare l’avvocato?
Qualsiasi strumento, ma sempre con l’adozione di idonee misure di sicurezza. Recentemente le tecnologie offrono spunti di riflessione su tematiche che riguardano il trattamento dei dati personali. Si pensi al modello BYOD (Bring Your Own Device) o alle sue declinazioni come BYOP (Bring Your Own Phone), BYOC (Bring Your Own Cloud) o in sintesi BYOT (Bring Your Own Technology); si tratta di situazioni in cui al collaboratore dello studio viene consentito per esigenze lavorative di utilizzare un proprio dispositivo (laptop, smartphone, tablet, ecc.) o spazio in cloud oppure una qualsiasi tecnologia. Tali scenari sono disciplinati da accordi che sono definiti policy per regolamentare l’utilizzo di tali risorse con l’obbligo di rispettare sicurezza e privacy. Il mercato sta offrendo risorse software che permettono un certo controllo in questo senso.
Le regole relative al trattamento dei dati personali si applicano agli studi associati e in collaborazione?
Chiunque ha diritto alla protezione dei dati personali che lo riguardano (così recita l’art. 1 del codice privacy). Il titolare del trattamento dei dati è il soggetto cui spetta giuridicamente la titolarità dello studio. Se si tratta di collaborazioni professionali il titolare del trattamento resta colui al quale è stato conferito l’incarico o al quale sono stati forniti i dati personali. Per i collaboratori sarà necessaria la lettera come incaricato del trattamento.
Quali le questioni giuridiche più interessanti legate al tema della privacy negli studi legali?
Negli studi legali, così come in altre realtà, è necessario prestare adeguata attenzione alla privacy dei propri clienti e comunque dei soggetti di cui sono stati acquisiti dati personali. È buona norma ricevere i clienti in locali dove non sono presenti fascicoli o documenti, custodire adeguatamente tutta la documentazione, se possibile utilizzare sistemi di codifica che anonimizzino i dati che spesso sono presenti sulle copertine dei fascicoli, utilizzare sistemi informatici per la gestione e la conservazione dei dati. Altro aspetto riguarda la modalità di trattamento elettronico dei dati, posto che – soprattutto di recente – si salvano i file di atti e documenti su sistemi in cloud, utilizzando risorse molto note, come ad esempio Dropbox. È importante valutare preventivamente tali risorse e fondamentalmente individuare come e dove i dati vengono trattati e salvati; si consiglia comunque di utilizzare sistemi crittografici per evitare possibili accessi non autorizzati. Altro aspetto potrebbe essere l’utilizzo, da parte di colleghi e collaboratori dello studio, di software che trattano dati personali dei soggetti dello stesso studio anche alla luce del processo civile telematico PCT che consente il deposito degli atti mediante token crittografico strettamente personale in quanto collegato al codice fiscale del titolare. Le questioni sono, in ogni caso, numerose e necessiterebbe una sede opportuna per una trattazione più ampia.
La privacy e lo studio legale: parla l'esperto
