Dopo aver analizzato l’approccio e la metodologia nell’avvicinarsi allo studio legale digitale [qui l’articolo completo se non ancora l’avete letto] iniziamo ad entrare nel vivo e a fornire dei suggerimenti per le varie tipologie di studi legali.
Organizzazione è la parola chiave. Il GDPR invero, a dispetto dei quanti lo presentano come l’ennesimo adempimento composto solo di “carte” ed “informatica”, chiede e pretende da noi ordine e disciplina.
Ordine nel progettare la “filiera” e disciplina nelle attività giornaliere.
Ebbene si. Dimentichiamoci pure di occuparci di protezione dei dati una sola volta e… siamo in regola fino alla prossima normativa! Le leggi sono in continuo divenire, le tecnologie pure ed anche la nostra organizzazione.
Riporto sul punto il testo del Regolamento: “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”
Il caso del mono avvocato (no collaboratori)
E’ l’entità base. Si tratta dello Studio legale con mono avvocato: un singolo avvocato che lavora da solo. Non ha dipendenti né collaboratori esterni né domiciliatari. Ha uno studio suo (non condiviso con altri) e segue personalmente tutto.
Il modello organizzativo è semplice: abbiamo da un lato gli interessati al trattamento (i clienti) e dall’altro il titolare del trattamento (l’avvocato).
Il flusso dei dati personali è altrettanto semplice: il cliente conferisce direttamente i propri dati all’avvocato e questi li userà solo per dare esecuzione al mandato ricevuto.
L’avvocato in tal caso, prima di ricevere i dati dal cliente, avrà dovuto progettare già prima la “filiera” (ordine!) e aver chiare le modalità con cui trattare questi dati (la c.d. policy!).
La prima rende chiaro il “come” inserire nelle giuste caselle i nuovi dati in ingresso (ordine!), mentre la seconda (disciplina!) ci guiderà nel trattamento giornaliero dei dati.
Analizziamo un caso pratico: sulla gestione dei documenti informatici
Siamo un avvocato che lavora da solo (come nell’ipotesi in esame). Arriva un nuovo cliente allo studio, lo apriamo e dopo il colloquio ci chiede di redigere per lui un atto che deve essere spedito per il prossimo lunedì. Accettiamo l’incarico e ci mettiamo subito al lavoro al PC.
Ma è venerdì, sono le 18.00 e decidiamo di chiudere lo studio ed avviarci verso casa. Dato che dobbiamo completare il lavoro per il prossimo lunedì, decidiamo di portarci a casa il documento informatico che avevamo iniziato a scrivere a studio, così da terminarlo tra sabato e domenica e riportalo già pronto il lunedì seguente.
Copiamo il file su una pendrive (dove abbiamo anche altri file dello studio pregressi), insieme agli altri documenti che il cliente ci aveva consegnato (tra cui due certificati medici ed una querela per violenza sessuale).
Chiudiamo lo studio e raggiungiamo casa. All’arrivo ci accorgiamo di aver perso nel tragitto la pendrive.
Se il primo pensiero dopo l’accaduto è “peccato, era nuova e l’avevo pure pagata un botto di soldi” o peggio ancora “uffa, ho perso l’ennesima pendrive che mi aveva regalato mia moglie, ora chi la sente”…c’è qualcosa che non va. Si consiglia di tornare all’articolo n. 1 su “approccio e metodologia” [qui il link diretto] e rileggere.
Se invece la risposta è stata “ho perso tutti i dati, ora come faccio?”, siete sempre all’inferno, ma in un altro girone.
Purgatorio invece per chi “per fortuna ho un backup allo studio”.
Paradiso per chi, non solo aveva più di un backup, ma anche una pendrive con full-disk encryption*.
FULL DISK ENCRYPTION (FDE)
La crittografia dell’intero disco (FDE) è la crittografia di tutti i dati su un’unità disco. La crittografia (la scienza che si nasconde dietro l’encryption) utilizza algoritmi per trasformare dati leggibili in un formato illeggibile. E’ un metodo per codificare i messaggi e i documenti informatici in un formato che sia impossibile da leggere per chi non è autorizzato a farlo.
Semplicemente, si tratta di un metodo per tenere i dati al sicuro da spie, ladri o divulgazioni accidentali.
IN FOTO
La mia personale pendrive. Si tratta di una normale pendrive con delle modifiche ad hoc che io stesso ho applicato per renderla inaccessibile.
Ma ritorniamo alla norma: ordine e disciplina avrebbero evitato ogni possibile danno. Sia per la perdita dei dati da parte dell’avvocato sia in termini di tutela dei dati personali del cliente.
Se “organizzazione” è la prima parola chiave, e questa non può che derivare dalla corretta attuazione del diritto (per altro con un onere della prova a carico del titolare-avvocato), la seconda è “diritti degli interessati”.
L’avvocato deve tutelare l’interessato ed i suoi dati personali, fornendo lui gratuitamente tutte le informazioni e le risposte/modifiche che egli chiede. Da quelle iniziali (informativa) a quelle successive (accesso, rettifica, cancellazione, portabilità…).
Il titolare del trattamento, recita il considerando 59 del GDPR, “dovrebbe essere tenuto a rispondere alle richieste dell’interessato senza ingiustificato ritardo e al più tardi entro un mese e a motivare la sua eventuale intenzione di non accogliere tali richieste”. Se non lo fa potrebbe essere addirittura sanzionato.
Conclusione
Anche il singolo avvocato, senza dipendenti e collaboratori, è obbligato a seguire la normativa sulla protezione dei dati. A maggior ragione perché spesso esso è custode di dati importanti e particolari (giudiziari, medici, politici, etnici…) oltre che di un dovere di diligenza molto alto, derivante dal suo status.
E si faccia ben attenzione a non confondere tale ipotesi organizzativa, con quella in cui l’avvocato, pur essendo singolo professionista e senza collaboratori, riceva i dati personali non dal cliente ma da altro avvocato da altro soggetto professionale.