Dopo alcune riflessioni sullo studio legale composto da un singolo professionista [se te lo fossi perso, qui il link diretto], aggiungiamo una piccola componente alla nostro ricostruzione: i dipendenti.
Ed è bene fugare fin da subito alcuni dubbi circa questa componente (spesso essenziale) per uno studio legale. Dipendente qui è inteso quale prestatore di lavoro subordinato – colui chi si obbliga, mediante retribuzione a collaborare per il datore, prestando il proprio lavoro intellettuale o manuale alle dipendenze e sotto la direzione del datore di lavoro.
Può sembrare un specificazione inutile a prima vista, ma ha grandi conseguenze dal punto di vista della gestione della privacy e dei sistemi informatici.
Al netto della querelle in corso circa la natura di “dipendente” di alcuni collaboratori negli studi legali, il classico esempio di lavoratore dipendente di uno studio legale è la segretaria/o. Una figura praticamente presente in tutti gli studi legali, che svolge mansioni spesso molto delicate…ed ovviamente tratta i dati personali dei clienti di uno studio legale.
Se il flusso dei dati personali, nell’ipotesi di uno studio legale mono-professionista (senza dipendenti nè collaboratori) si limitava perlopiù secondo la direttrice cliente/interessato->avvocato/titolare, nel caso in cui vi fosse un dipendente, e questi svolgesse dei trattamenti, allora le cose possono cambiare. Dobbiamo tenerlo in considerazione ai fini della corretta gestione ed organizzazione dello studio per non violare alcuna norma.
E’ innegabile che una segretaria tratta dati personali. Su questo ci sono pochi dubbi.
MA COSA VUOL DIRE TRATTARE DATI PERSONALI?
La definizione di “trattamento” la ricaviamo dall’art. 4 n. 2 dal Reg. UE 679/2016:
“Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;”
L’avvocato pertanto, che nel proprio complesso organizzativo, assumerà il ruolo di Titolare del Trattamento, avrà l’obbligo di “inquadrare” i soggetti che, all’interno del suo studio, potranno trattare i dati che lo stesso ha raccolto. Se non lo fa, il trattamento da parte di questi è illegittimo.
La/il segretaria/o pertanto dovrà essere inquadrata nel modello organizzativo privacy dello studio. Qual è quindi il suo ruolo?
Sebbene il GDPR non prevede espressamente la figura dell’incaricato, ma non ne esclude la nomina, facendo riferimento a persone autorizzate al trattamento dei dati sotto l’autorità diretta del titolare o del responsabile (art. 4, n. 10 GDPR), ci viene in soccorso l’art. Art. 2-quaterdecies del novellato D.Lgs 196/2003, così come modificato dal D. Lgs 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 (GDPR)”.
Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
Gli elementi distintivi di tale figura, che prende appunto il nome di soggetto autorizzato/designato al trattamento (o “incaricato” secondo la vecchia dizione), sono chiari e hanno molti elementi in comune con la definizione di dipendente che all’inizio davo.
Il soggetto autorizzato si trova:
1) sotto la responsabilità del titolare;
2) inserito nell’assetto organizzativo del titolare;
3) è sottoposto all’autorità del titolare.
ATTENZIONE
L’altra figura concorrente, che vederemo nelle prossime puntate, è quella del Responsabile del Trattamento. Cioè il soggetto che tratta dati per conto dell’Avvocato/Titolare.
Quali sono per l’avvocato le conseguenze pratiche di tale scelta?
1) Gestione accessi e autorizzazioni
Prevedere un livello di autorizzazione specifico. L’incaricato, a seconda delle mansioni, potrà vedere e trattare solo alcuni dati. Questo ha importanti conseguenze sia in ambito del trattamento cartaceo che quello digitale.
Sul cartaceo tutti bravi…o si spera: catalogare tutti i documenti secondo un livello di autorizzazione. Se la mansione di un incaricato è quella di aprire e chiudere la porta, fissare gli appuntamenti e registrare i fascicoli…perché mai questa dovrebbe accedere alle cartelle cliniche del cliente? O alla sentenza penale di condanna di un altro cliente? Il principio è chiaro: granularità degli accessi in base alle mansioni. E ciò si disciplina a monte con indicazioni precise nella “lettera di incarico”.
E sul digitale? Sui sistemi informatici e la gestione dei documenti digitali? Negli anni ho visto troppi archivi unici, dove tutti vedono tutto, e troppe cartelle (con sopra tutta l’esistenza dello studio) in cloud, condivise mediante link…perennemente attivi. Cosa vuol dire? Farò un articolo dedicato sulla gestione in cloud dello studio legale e delle cartelle in locale.
Per ora vi basti sapere che è molto più semplice catalogare i documenti informatici e legare a questi un livello di autorizzazione diverso per ogni dipendente. Quello che sicuramente è da evitare come la peste è il tutto in un solo posto accessibile da chiunque in qualunque luogo senza regole.
2 ) Formazione
Sul Titolare/Avvocato graverà l’onere di formare ed istruire il dipendente/incaricato, oltre che per le faccende strettamente legate alla gestione dello studio, anche sulla protezione dei dati.
E si badi bene, formazione sulla protezione dei dati personali vuol dire fare formazione in diritto, in informatica e in sicurezza.
La protezione del dato è il risultato finale che la norma pretende. Come proteggerlo è affare del Titolare/Avvocato. E tutte le persone che per lui lavorano (trattano dati) devono essere all’altezza della missione. L’avvocato/titolare può prevedere tutte le misure di sicurezza fisiche, organizzative ed informatiche, ma se poi lui consente l’aggiramento di queste, allora l’intero castello costruito…sarà un castello di carte, che alla prima email infetta cadrà rovinosamente sotto i colpi di un CryptoLocker.
E’ ampiamente dimostrato che l’anello più debole in una organizzazione, non è la macchina o l’archivio blindato…ma l’essere umano. I migliori attacchi (in termini di risorse impiegate e risultati) sono quelli che colpiscono l’uomo (non a caso si parla, nel mondo informatico, di social engineering).
Per farvi un esempio, che sicuramente avrete visto in giro: la Banca (o anche il Tribunale, l’ho visto spesso) ha previsto tutte le misure di sicurezza possibili, ma i dipendenti usano aprire la porta di emergenza (sebbene il cartello e gli allarmi) per fumare sulla soglia.
Per questo è di fondamentale importanza, nonché obbligatorio, per l’avvocato/titolare prevedere almeno un paio di corsi di formazione/aggiornamento ogni anno, per sé e per i propri dipendenti…non soltanto per tutelare il suo studio, ma anche per responsabilizzare chi lavora per lui. E se il dipendente/incaricato sbaglia, nei confronti del cliente/interessato, risponderà solo l’avvocato/titolare!