GDPR e sistemi informatici per lo studio legale:  approccio e metodologia

GDPR e sistemi informatici per lo studio legale: approccio e metodologia

Dopo una breve introduzione [STUDIO LEGALE DIGITALE: introduzione e storia dell’innovazione legale] siamo pronti per passare alle basi di GDPR e sistemi informatici per lo studio legale.

Questo probabilmente è l’episodio più importante. Il corretto approccio e la giusta metodologia possono determinare il successo o il fallimento del nostro lavoro.

Iniziamo subito con una domanda semplicissima: chi può accedere al sistema informatico dello studio legale?

La domanda può sembrare banale ma vi assicuro che non lo è affatto. E’ la prima cosa che chiedo quando mi chiamano per un adeguamento o semplicemente per valutare il lavoro che è stato fatto. In questa banalissima domanda si nasconde buona parte della ratio della normativa.

Dalla risposta capiamo subito tante cose. Perché vedete, sono fantastiche le soluzioni che si possono adottare, ma se partiamo da premesse sbagliate è inevitabile che anche i risultati lo saranno.

Allora? Chi può accedere al sistema informatico del vostro studio legale? E ancora meglio, chi può accedere ai dati e quindi alle informazioni che il vostro studio legale tratta?

Facciamo subito una prima distinzione:
1) GDPR e sistemi informatici per lo studio legale mono professionista e senza dipendenti;
2) GDPR e sistemi informatici per lo studio legale mono professionista ma con dipendenti;
3) GDPR e sistemi informatici per lo studio legale mono professionista ma con dipendenti e collaboratori esterni;
4)  GDPR e sistemi informatici per lo studio legale condiviso da più professionisti.
(Non tratterò l’ipotesi organizzativa, seppur diffusa, delle associazioni professionali né quella delle società professionali.)

A seconda della formula organizzativa verrà determinata la risposta. Il GDPR infatti, sotto sotto, non è altro che un insieme di norme che riguardano (anche e soprattutto) il modello organizzativo.

Il vero messaggio della nuova normativa sulla protezione dei dati è: organizzati e garantisci un risultato (quella della protezione dei dati). Quindi tutto parte dell’organizzazione.

Riscontro normativo di quanto appena affermato è facilmente rinvenibile nel GDPR stesso (Regolamento UE 2016/679).

All’art. 25 rubricato “Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita”. (Lo riporto qui per comodità di fruizione)

Comma 1
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

Comma 2

Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

Comma 3. (non rilevate ai fini della presente analisi)

All’art. 32 rubricato “Sicurezza del trattamento”. (Lo riporto qui per comodità di fruizione)

Comma 1
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso…

Quindi organizzazione è la parola chiave. Bisogna organizzarsi per dimostrare di aver adempiuto a due principi fondamentali che confermano ancora una volta tale esigenza. Sto parlando della tanto sbandierata “Privacy by design e by default”.

Tradotto?

Privacy by design = pensare ed organizzare le cose fin dalla progettazione dello studio legale.
Parola chiave: PROGETTARE.

Privacy by default = protezione per impostazione predefinita. Tutti i rapporti sono automaticamente inquadrati nella nuova organizzazione che si è creata. Tutti sanno cosa fare e come farlo. E questo deve essere di base e applicato a tutto.
Parola chiave: PREVEDERE.

Due considerazioni:

– la prima è quella (ancora una volta di metodo) che ci deve vedere nell’ottica di titolari del trattamento “pediatri” e non “oncologi”. E mi rendo conto che per la categoria degli avvocati (categoria della quale anche io faccio parte) è difficile, perché abituati spesso a ragionare nella fase “patologica”, quando oramai il danno è fatto e si va davanti ad un giudice.
Pensare a prevenire (proprio come farebbe un buon genitore che porta il proprio figlio dal pediatra) è quello che il GDPR ci chiede. Se non si è disposti a farlo, è inutile continuare a leggere;

– la seconda è di tipo ancor più pratico. Se lo studio sta nascendo adesso, è questo il momento per adeguarsi. “Fin dalla progettazione” dice la norma: quindi oltre che all’architetto, all’idraulico, all’elettricista, al mobiliere etc…dovete pensare anche alla privacy. Farlo dopo vorrà dire (nella migliore delle ipotesi) modificare quanto fatto, ripensare e ristrutturare…insomma bruciare tempo e budget!
Se lo studio già esiste, bisogna adeguarlo. Adeguare vuol dire RI-ORGANIZZARE. Ri-organizzare vuol dire ri-formulare contratti con i dipendenti, contratti con i collaboratori, organizzare la formazione, redigere/adeguare i contratti con i fornitori…ma anche ristrutturare locali, aggiornare sistemi e procedure…e dopo tutto questo finalmente si potrà pensare alle “scartoffie” (che non lo sono!): informative, registri dei trattamenti, nomine degli autorizzati, contratti con i responsabili, registro delle violazioni…

prima conclusione

Quindi, chi può accedere al sistema informatico dello studio?

Per chi pensava che in questo articolo avrebbe trovato la risposta fenomenale sempre valida ed imperitura, forse dovrebbe cambiare approccio.

Per coloro che invece sono alla ricerca della ricetta magica, del metodo segreto, della procedura esotica o dell’ultimo software che in automatico fa tutto, consiglio vivamente una lettura attenta della norma. Non i commenti alla norma, come questo, ma la norma grezza. In particolare suggerisco la lettura sia del GDPR (Regolamento UE 2016/679) che dell’aggiornato D.Lgs. 196/2003.

In particolare per quanto riguarda le sanzioni. Non quelle pecuniarie (che si, sono molto salate…ma pur sempre soldi restano) piuttosto quelle penali, che dovrebbero essere la vera preoccupazione, soprattutto per chi con la “fedina penale pulita” ci lavora.

Segnalo, tra gli altri, l’art. 168 del D.Lgs. suddetto, rubricato “Falsita’ nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”. (Lo riporto qui per comodità di fruizione)

“Salvo che il fatto costituisca piu’ grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, e’ punito con la reclusione da sei mesi a tre anni. 2. Fuori dei casi di cui al comma 1, e’ punito con la reclusione sino ad un anno chiunque intenzionalmente cagiona un’interruzione o turba la regolarita’ di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti.”

Siamo ancora convinti che il software che fa tutto automaticamente sia la scelta giusta? Che la ricetta magica (magari anche un po’ esotica) ci risolva in un solo colpo tutto il problema? Come lo spieghiamo in caso di controllo? Siamo ancora convinti di voler “mettere in ordine le carte” (la forma) senza pensare alla “sostanza”?

Dalla nostra categoria, io mi aspetterei maggior diligenza. E non solo io!

Ecco, la diligenza, altro concetto fondamentale nell’analisi: come credete che possa essere visto il nostro status (di cultori della legge) in sede di valutazione della diligenza? Alla pari dell’uomo medio? L’asticella di questa si alza o si abbassa? Da noi è richiesta più o meno diligenza?

Per oggi finiamo così. Troverete qui sotto, man mano che li pubblicherò, altri spunti di riflessione su GDPR e sistemi informatici per lo studio legale.

Cari avvocati, non avete (e non abbiamo) bisogno di padroni che ci dicano cosa fare e come interpretare la legge. Al massimo abbiamo bisogno di qualche dritta e di qualche duro invito a riflettere.

Ripendiamoci la nostra autonomia e la nostra dignità, ribadiamo il nostro ruolo, perchè saremo noi a scrivere le pagine di questa nuova storia.

Dura lex, sed lex.

Con stima