La Privacy nello Studio Legale
Transcript
La Privacy nello Studio Legale
La privacy negli studi legali LA PRIVACY NELLO STUDIO LEGALE Monza – 15 febbraio 2010 Avv. Rosario Imperiali CompLetence © 2010 La privacy negli studi legali Sommario • PARTE I - Piattaforma normativa – Codice privacy – Codici deontologici “privacy” e forense – Differenze e relazioni • PARTE II - Il regime privacy per l’avvocato – Lo “spartiacque” del principio di finalità – Adempimenti in generale e semplificazioni per l’avvocato • Informativa, consenso, notificazione al Garante – Misure minime di sicurezza in genere e semplificazioni • DPS e Amministratori di sistema – Organizzazione e modalità operative – Come adeguarsi e conclusioni CompLetence © 2010 PARTE I Piattaforma normativa • Codice privacy • Codice deontologico “privacy” • Codice deontologico forense • Differenze e relazioni 3 CompLetence © 2010 La privacy negli studi legali Codice privacy: brevi cenni ed evoluzioni • In vigore dal 2004 da fonte comunitaria • Corpo organico di principi e regole, generali e di settore • Soggetto a sollecitazioni: ad oggi 18 interventi modificativi – Alcuni di semplificazione – Altri di stampo lobbystico • Allegazione dei codici deontologici “privacy” • Ricorso discontinuo al parere preventivo del Garante nel processo di formazione delle leggi di “rilevanza privacy” • Bilanciamento di interessi sotto frizione – Sicurezza pubblica, media, tecnologia, social network, giustizia CompLetence © 2010 La privacy negli studi legali La specificità dei codici di deontologia “privacy” • Il dibattito privacy internazionale tra autodisciplina (USA) e regolamentazione normativa (UE) • L’approccio UE • La soluzione italiana – Speciale procedura di formazione – Valore di norma atipica di rango secondario CompLetence © 2010 La privacy negli studi legali Processo di formazione dei codici deontologici “privacy” Verifica Redazione Promozione Base giuridica Da Garante o da legge Rappresentanti delle categorie interessate Raccomandazioni del Consiglio d’Europa, leggi e regolamenti CompLetence © 2010 Efficacia Divulgazione Ad opera del Garante, della conformità ai principi di legge e di regolamento Pubblicazione sulla Gazzetta Ufficiale Prerequisito della liceità del trattamento La privacy negli studi legali Il codice deontologico “privacy” • Entrato in vigore il 1 gennaio 2009 • Vincola tutti coloro che gestiscono dati personali per le finalità e negli ambiti in esso previsti – Investigazioni difensive – Difesa di un diritto in sede giudiziaria (ma inclusa assistenza legale stragiudiziale) • Ambito: penale, civile, amministrativo, tributario, arbitrato, conciliazione CompLetence © 2010 Relazione tra codice privacy e codice deontologico “privacy” • La norma primaria (cod. privacy) prevede che il rispetto dei codici deontologici è condizione di liceità del trattamento • I codici deontologici, quindi, sono fonte di diritto oggettivo • Le disposizioni sono obbligatorie con funzione integrativa della legislazione • L’efficacia dei codici deontologici non è più solo “intra” ma ultra-categoriale • La loro violazione rende applicabili le sanzioni privacy e rileva ai fini della valutazione della risarcibilità del danno privacy (art. 15) CompLetence © 2010 La privacy negli studi legali Codice privacy Codice deontologico “privacy” La privacy negli studi legali Il Codice deontologico forense affronta questo tema? Dovere di restituzione di documenti (art. 42) Inviolabilità della difesa (art. 11) Dovere di segretezza (art. 9) Dovere di informazione all’assistito (art. 40) Rapporti con i testimoni (art. 52) Dovere di riservatezza e discrezione (artt. 9 e 18) Dovere di fedeltà (art. 7) Dovere di aggiornamento professionale (art. 13) Rapporti con i colleghi (artt. 22 e ss.) Rapporti con la stampa (art. 18) CompLetence © 2010 Riferimenti al codice deontologico forense La privacy negli studi legali Quali sono le differenze tra i due codici deontologici? • • • • Norma atipica di secondo grado Integrativa della legge primaria Valenza ultra – categoriale Garante, organo amministrativo competente ad irrogare le sanzioni pecuniarie • Applicabili le sanzioni privacy CompLetence © 2010 • “esplicitazioni dei principi generali, contenuti nella legge professionale forense” interpretabili dalla Cassazione (SU n.8225/02 e n. 26810 del 2007) • Funzione integrativa della norma legislativa in bianco • Valenza intra – categoriale • Consiglio Nazionale Forense quale organo speciale di giurisdizione (6° disp.trans. Cost.; SU 187/01 e 5072/03) • Applicabili le sanzioni disciplinari La privacy negli studi legali Quali sono le relazioni tra i due codici deontologici? Non incide necessariamente sull’applicazione delle sanzioni disciplinari In ipotesi di violazione Codice deontologico “privacy” Può costituire elemento di valutazione della correttezza del trattamento CompLetence © 2010 Codice deontologico forense PARTE II Regime speciale “privacy” per l’avvocato • Adempimenti • Misure minime di sicurezza • Organizzazione e ruoli operativi • Come adeguarsi • Conclusioni 12 CompLetence © 2010 La privacy negli studi legali L’avvocato gode di un regime speciale privacy? • Parzialmente. Il regime speciale non si riferisce allo avvocato, in quanto appartenente alla categoria forense • Si applica solo all’utilizzo dei dati per scopi relativi alla assistenza legale (eccetto “stragiudiziale puro”), alla difesa di diritti in giudizio, alle investigazioni difensive • Il “principio di finalità” è lo spartiacque tra i regimi “speciale” e generale, entrambi applicabili all’avvocato (le regole seguono la finalità non la categoria di destinatari: distinguo tra aree operativa e professionale) Ad es. per l’uso di dati per finalità amministrativo – contabili (fatturazione, gestione di pagamenti e tributi), per la gestione del personale dello Studio o nei rapporti di fornitura si applicano le regole generali CompLetence © 2010 La privacy negli studi legali Quand’è che l’avvocato deve rilasciare l’informativa? • Anche orale ed una tantum rispetto al complesso dei dati raccolti • Per clienti, dipendenti, collaboratori, fornitori, ecc. • Anche mediante affissione nei locali Informativa Consenso Notificazione Prior checking • Casi in cui non è richiesta • a) i dati non sono raccolti presso l’interessato (es. interviste a terzi o riprese audio/video) e • b) solo per fini di difesa in giudizio o per investigazioni difensive (art. 13.5, lett. b) cod. privacy) Ricordarsi dell’informativa nella selezione del personale, nelle sollecitazioni al contatto sul sito web, nei rapporti con soggetti esterni CompLetence © 2010 La privacy negli studi legali Fac-simile di informativa stragiudiziale per clienti • Intestazione (art. 13 dlgs. 196/2003 – codice privacy) – Lo Studio …, Titolare del trattamento dei Vostri dati, Vi informa, che le informazioni che Vi riguardano (anagrafiche, coordinate bancarie, informazioni relative all’incarico) verranno utilizzate per l’esecuzione dell’incarico e per l’adempimento di obblighi di legge. • Modalità (come sono utilizzati) – I Vostri dati personali verranno gestiti con strumenti elettronici e cartacei da nostri Incaricati (professionisti, impiegati dell’amministrazione). • Flussi e soggetti (come circolano) – Per i predetti scopi, i dati potranno essere comunicati a terzi che agiscono per nostro conto (es. : penalisti, economisti, esperti in diritto ambientale), mentre non saranno diffusi. • Diritti (come controllarne l’uso) – per accedere ai Vostri dati, chiederne l'aggiornamento o la rettifica o l’integrazione, per opporvi al loro utilizzo e per esercitare gli altri diritti previsti dal codice privacy, inviateci un fax (accompagnato da copia del documento d’identità) al numero … . CompLetence © 2010 La privacy negli studi legali Quand’è che l’avvocato deve raccogliere il consenso? Casi in cui non è richiesto • I dati non sensibili • a) del cliente quando necessari per l’esecuzione del mandato(es. anagrafiche, dati fiscali, retributivi, previdenziali e professionali) (art. 24.1, lett. b) cod. privacy) Informativa Consenso Notificazione Prior checking • b) di chiunque • Per fini difensivi (art. 24.1, lett. f)) • Per eseguire un contratto (es. dati di familiari del cliente) • Per soddisfare un obbligo di legge (es. a fini antiriciclaggio) • Quando si tratta di dati di fonte pubblica (es. dati dell’anagrafe) • Quando si stratta di dati economici (es. codice fiscale) CompLetence © 2010 La privacy negli studi legali Quand’è che l’avvocato deve raccogliere il consenso? (segue) Casi in cui non è richiesto • Solo per fini di difesa in giudizio o per investigazioni difensive • I dati sensibili di chiunque previa autorizzazione del Garante (es. appartenenza politica o sindacale, fede religiosa, ecc.) • a) per salute e vita sessuale, purchè il diritto da difendere sia di “pari rango” (art. 26.4, lett. c)) Informativa Consenso Notificazione Prior checking • I “dati giudiziari” – escluso per legge – purchè in conformità all’autorizzazione n.7 del Garante (art. 27) • Trasferimento extra-Ue di dati personali (art. 43.1, lett. e)) CompLetence © 2010 La privacy negli studi legali Quand’è che l’avvocato deve raccogliere il consenso? (segue) Casi in cui non è richiesto • Solo per la gestione di rapporti di lavoro e per la sicurezza sul lavoro • I dati sensibili in conformità all’autorizzazione del Garante n. 1 (art. 26.4, lett. d) cod. privacy) • Per i “dati giudiziari” – il consenso non è richiesto per legge • In conformità all’autorizzazione del Garante n. 7 (art. 27, cod. privacy) CompLetence © 2010 Informativa Consenso Notificazione Prior checking La privacy negli studi legali Quand’è che l’avvocato deve raccogliere il consenso? (segue) Sintesi sull’esonero dal consenso • Per i dati “comuni” • del cliente –Per adempiere al mandato ricevuto • di chiunque –Secondo le regole generali (art. 24) Informativa Consenso Notificazione Prior checking • Anche per dati sensibili ma secondo le autorizzazioni generali • Per difesa in giudizio e investigazioni difensive – per salute e vita sessuale, il diritto da difendere sia di “pari rango” – per trasferimento all’estero di dati – per i “dati giudiziari” – consenso non richiesto per legge purchè in conformità all’autorizzazione n. 7 del Garante • Per la gestione dei rapporti di lavoro e di sicurezza sul lavoro – purchè in conformità all’autorizzazione n. 1 del Garante CompLetence © 2010 La privacy negli studi legali Cosa deve fare l’avvocato negli altri casi? Informativa • Informativa –Necessaria, anche orale, informale, Consenso sintetica ma coprendo i profili richiesti dalla Notificazione legge Prior checking • Consenso –Per i dati non sensibili, richiesto solo se non sono applicabili i casi di esonero (es. dati pubblici, art. 24) –Per i dati sensibili, richiesto per iscritto nel rispetto delle autorizzazioni generali del Garante –Per i “dati giudiziari”, non richiesto purchè nel rispetto dell’autorizzazione generale n. 7 del Garante CompLetence © 2010 La privacy negli studi legali L’avvocato deve effettuare la notificazione al Garante? • Raramente. E’ dovuta solo nei casi tassativamente indicati (art. 37.1, cod. privacy) • Esonero per gli avvocati –per il trattamento di dati genetici o biometrici per investigazioni difensive o per difesa in giudizio di un diritto “di pari rango” (provv. 31/3/2004) Informativa Consenso Notificazione Prior checking –Esempi –Uso del DNA dell’imputato o di terzi a fini probatori –Uso del DNA ai fini della dichiarazione giudiziale di paternità –Uso di dati biometrici nell’ambito di investigazioni difensive –Uso di banche dati elettroniche sulla solvibilità o situazione patrimoniale di persone L’uso di sistemi di localizzazione satellitare a fini investigativi va notificato CompLetence © 2010 La privacy negli studi legali Cosa deve fare l’avvocato se riceve istanza di accesso privacy? • Richieste di accesso, rettifica, integrazione, cancellazione, opposizione ricevute da interessati • Possono essere sospese (art. 8.2, lett. e) cod. privacy) – nel periodo in cui sussiste un pregiudizio effettivo e concreto – alle investigazioni difensive e al diritto di difesa in giudizio INFORMATIVA Strumento di trasparenza DIRITTI Strumento di controllo La gestione dei fascicoli sia idonea a consentire ricerche di dati CompLetence © 2010 La privacy negli studi legali Può l’avvocato utilizzare i diritti privacy a fini difensivi? • Istanze di clienti per accesso, rettifica, integrazione, cancellazione, opposizione dirette a Titolari terzi • Sì, possono essere fonte di informazioni, utile per la costruzione della difesa – Esempi • accesso ai dati di traffico in entrata dell’assistito per investigazioni difensive (cd. Tabulati telefonici, art. 8.2, lett. f) cod. privacy) • riscontri della posizione bancaria dell’assistito I diritti privacy hanno ad oggetto solo i dati personali dell’istante CompLetence © 2010 La privacy negli studi legali L’avvocato deve oscurare i dati identificativi delle sentenze? Sì, ma la disciplina è articolata Provv. giudiziario Originale Copia a terzo Copia a fini scientifici Copia per cronaca Nessuna richiesta Dati visibili Dati visibili Dati visibili Dati visibili Richiesta accolta dal giudice (art. 52.1) Dati visibili Dati visibili Dati oscurati Dati visibili Oscuramento d’ufficio (art. 52.2) Dati visibili Dati oscurati Dati oscurati Dati visibili Oscuramento per legge (art. 52.5) Dati visibili Dati oscurati Dati oscurati Dati oscurati Fonte: Deontologia privacy per avvocati e investigatori privati; Fulco e Bolognini - Giuffrè CompLetence © 2010 PARTE II Regime speciale “privacy” per l’avvocato • Adempimenti • Misure minime di sicurezza • Organizzazione e ruoli operativi • Come adeguarsi • Conclusioni 25 CompLetence © 2010 La privacy negli studi legali Quali sono le misure di sicurezza per l’avvocato? • Le misure minime di sicurezza più significative per l’avvocato – Documento Programmatico sulla Sicurezza • Quando si trattano dati sensibili o giudiziari con strumenti elettronici • Da aggiornare annualmente entro il 31 marzo – Amministratore di sistema • Quando un soggetto è autorizzato ad intervenire su server, banche dati, software complessi con profili di autorizzazione elevati (cd. privilegi) – Gestione dei fascicoli cartacei • Fascicoli delle pratiche attive e di quelle di archivio CompLetence © 2010 La privacy negli studi legali Documento Programmatico per la Sicurezza (DPS) • Il DPS è dovuto quando si usano dati sensibili o giudiziari con sistemi automatizzati – I casi di esonero o di semplificazione non sembrano applicabili all’avvocato tipo • Perno della politica della sicurezza idonea a ridurre al minimo i rischi di – distruzione o perdita dei dati – accesso non autorizzato – trattamento non consentito o non conforme • Indica le regole di base in un’ottica di programmazione Va redatto ed aggiornato entro il 31 marzo di ogni anno CompLetence © 2010 La privacy negli studi legali Come redige il DPS l’avvocato? • La norma non contiene indicazioni vincolanti sulle modalità di compilazione – La guida operativa del Garante risulta eccessivamente dettagliata e non corrispondente alle esigenze dell’avvocato – Si consiglia un testo sintetico ed operativo che applichi in linea generale le regole previste dal Disciplinare Tecnico – Le specifiche modalità operative e le procedure, al massimo, possono essere oggetto di allegati a parte – In tal modo il DPS può essere divulgato all’interno dello Studio e costituire uno strumento di formazione per i ruoli privacy CompLetence © 2010 La privacy negli studi legali Fac-simile di struttura del DPS dell’avvocato • • • • • • • • • Principi generali Lista dei trattamenti Trattamenti affidati all’esterno Archivi cartacei Analisi dei rischi Organizzazione e responsabilità Regole per gli incaricati del trattamento Misure di sicurezza programmate Revisioni del DPS CompLetence © 2010 Stato dell’arte e relative regole Sistema privacy Pianificazione Ciclo La privacy negli studi legali L’avvocato deve designare l’Amministratore di sistema? • Sì, se esiste questo ruolo nello studio legale • Presupposto – Uso di dati personali con strumenti automatizzati • Profilo – colui che gode di privilegi per l’accesso e la gestione di banche dati, tanto da poter assegnare profili di accesso e amministrare i dati in esse contenuti • Ruolo privacy – Responsabile del trattamento o incaricato con uguale profilo • Adempimenti e requisiti – Designazione formale ed individuale, competenza, elenco da custodire e aggiornare, tracciamento dei log, vigilanza, evidenza ai dipendenti CompLetence © 2010 La privacy negli studi legali Le semplificazioni privacy si applicano agli studi legali? • Molto improbabile – L’autocertificazione sostitutiva del DPS riguarda il caso in cui il trattamento automatizzato di dati sensibili riguardi solo • dati sull’appartenenza sindacale e • sullo stato di salute dei dipendenti – Le modalità di redazione semplificate del DPS e – L’esonero dalle prescrizioni sull’Amministratore di sistema • quando i dati sensibili sono utilizzati solo a fini amministrativo-contabili CompLetence © 2010 La privacy negli studi legali Come adeguare la videosorveglianza dello studio legale? • Gli impianti di videosorveglianza sono specificamente disciplinati a fini privacy – Trasparenza verso i soggetti potenzialmente ripresi (informativa sintetica con affissione di cartello con simbolo grafico) – Conservazione dei dati (immagini) limitata a poche ore – Accesso ai dati limitato nonché autorizzato a specifici ruoli privacy e documentato per iscritto – Divieto di uso dei dati raccolti ad altri fini CompLetence © 2010 La privacy negli studi legali Quali regole per una security policy dello studio legale? • Riservatezza definire in un documento ufficiale la politica di chi è autorizzato ad accedere ai dati (access control) – Vi provvede in anticipo l’avvocato con il supporto di un tecnico • Integrità avvalersi di funzioni che tracciano la “storia” del documento, di formati non modificabili o di crittografia • Disponibilità fare uso di tecnologie di back up • Qualità formalizzare procedure di aggiornamento dei dati • Riferibilità (accountability) cioè “risalire a chi ha fatto cosa” avvalendosi di funzioni che tracciano la storia di un documento e l’immissione di dati CompLetence © 2010 La privacy negli studi legali Quali regole per i fascicoli dello studio legale? • Sensibilizzazione di tutti - professionisti e staff - con l’obiettivo di creare una cultura diffusa • Desk policy - diffondere una chiara politica per il mantenimento dell’ordine del posto di lavoro • Archiviazione - implementare metodologie codificate per pratiche e documentazione cartacea ricevuta dai clienti • Strumentazione - regolamentare l’uso di fax, stampanti, scanner, fotocopiatrici in modo da evitare che documenti possano essere lasciati incustoditi Dotare lo Studio di apposite apparecchiature distruggi-documenti da utilizzare sempre per sbarazzarsi della carta CompLetence © 2010 La privacy negli studi legali L’avvocato deve eliminare i nomi dai fascicoli? • No. Nessuna norma impone all’avvocato l’uso di codici in sostituzione dei nomi delle parti sui fascicoli di Studio • Occorre definire – invece – adeguate modalità per l’accesso alla documentazione da parte degli incaricati per finalità predefinite • Vedi parere del Garante del 3/6/2004 al CNF CompLetence © 2010 La privacy negli studi legali Estinto il mandato, l’avvocato può conservare i documenti? • Sì. In queste circostanze: – Per ipotizzabili altre esigenze difensive dell’assistito (es. gradi successivi di giudizio) – Per ipotizzabili altre esigenze difensive dell’avvocato (es. prova in un procedimento disciplinare o per la liquidazione del compenso) – Per adempiere ad un obbligo di legge (es. fiscale o antiriciclaggio) – Per finalità scientifiche ma in forma anonima (es. raccolta di precedenti) In assenza di queste ipotesi, distruzione, cancellazione o consegna all’avente diritto o al Consiglio dell’Ordine CompLetence © 2010 PARTE II Regime speciale “privacy” per l’avvocato • Adempimenti • Misure minime di sicurezza • Organizzazione e ruoli operativi • Come adeguarsi • Conclusioni 37 CompLetence © 2010 La privacy negli studi legali L’organigramma privacy Titolare Responsabile Incaricati al trattamento CompLetence © 2010 La privacy negli studi legali Chi è titolare del trattamento nello studio legale? • Chi esercita il potere decisionale sul patrimonio informativo dello Studio, in termini di utilizzo, organizzazione, tutela – Avvocato mono-titolare – singoli avvocati autonomi che condividono logisticamente i locali dello studio – Associazione professionale tra avvocati – Società tra professionisti CompLetence © 2010 La privacy negli studi legali Chi è Responsabile del trattamento nello studio legale? • Nomina facoltativa • Chi è designato dall’avvocato, con margini di discrezionalità, ad effettuare trattamenti per suo conto – – – – – – Corrispondenti, domiciliatari e sostituti Consulenti tecnici Investigatori privati Consulenti del lavoro Amministratori di sistema Aziende informatiche per gestione e manutenzione del patrimonio IT dello Studio Designazione scritta controfirmata per accettazione, con specifica delle attività affidate e dei presidi da rispettare. Vigilanza CompLetence © 2010 La privacy negli studi legali Ci vuole un Responsabile privacy nello studio legale? • Probabilmente assente negli studi individuali o micro • Per studi molto strutturati – Uno o più responsabili del trattamento individuati: • Su base territoriale • Per processi funzionali o operativi (es. sicurezza, IT, gestione delle risorse, approvvigionamenti, ecc.) • Per singole unità organizzative (es. capi di dipartimento) Da non sottovalutare il caso dell’affidamento di un processo operativo – o di un suo segmento - ad un’entità terza (es. gestione dei rapporti di lavoro e dei cedolini paga) CompLetence © 2010 La privacy negli studi legali Quali gli incaricati del trattamento nello studio legale? • Chi materialmente utilizza dati personali, per conto dell’avvocato, sotto la direzione sua o di un suo Responsabile ed in base a precise istruzioni – – – – – Collaboratori e praticanti Corrispondenti e consulenti privi di autonoma organizzazione Addetti alla segreteria Amministrativi e contabili Receptionist Specifica delle istruzioni impartite con disposizione organizzativa per tipologia di incaricato. Vigilanza CompLetence © 2010 La privacy negli studi legali Perché occorre un MO privacy nello studio legale? • Il data protection è norma di comportamento – interviene nella vita interna delle organizzazioni – impone un adeguamento organizzativo (ruoli e mansioni) – persegue l’obiettivo del presidio dei flussi informativi all’interno dello Studio e verso terzi CompLetence © 2010 La privacy negli studi legali Come scegliere i ruoli privacy nello studio legale? – Realtà professionale variegata, oscillante tra scenari molto eterogenei – Struttura: Studi individuali vs. organizzazioni complesse paragonabili ad aziende – Tecnologia: Ricorso elementare all’informatica vs. dotazioni tecnologiche articolate e centralizzate – Categoria professionale: Composizione mono-professionale (solo giuristi) vs. organizzazioni multi-professionali (consulenti d’azienda, gestori di processo, esperti informatici, responsabili del personale, ecc.) – Ubicazione: Entità sostanzialmente locali vs. ramificazioni internazionali – Decentramento operativo: Ricorso a servizi appaltati vs. organizzazioni autosufficienti CompLetence © 2010 La privacy negli studi legali Come considerare gli specialisti a supporto dell’avvocato? • Es. esperti in branche specialistiche del diritto, economisti, periti, consulenti – Spesso sono professionisti legati a ordini professionali e/o vincolati da leggi e regolamenti al rispetto del riserbo – Oggetto dell’intervento è lo studio e l’elaborazione di contenuti con uso marginale di dati personali – Nomina a Responsabile talvolta inidonea perché soggetti che godono di autonomia professionale Incarico con accordo di confidenzialità comprensivo di clausola di liceità e correttezza dei trattamenti compiuti CompLetence © 2010 PARTE II Regime speciale “privacy” per l’avvocato • Adempimenti • Misure minime di sicurezza • Organizzazione e ruoli operativi • Come adeguarsi • Conclusioni 46 CompLetence © 2010 La privacy negli studi legali Da dove cominciare per l’avvocato che si adegua alla privacy? – Mappatura del patrimonio informativo dello studio legale – Mediante censimento ed analisi dei processi operativi • Individuazione dei soggetti interni ed esterni che utilizzano dati personali per conto dell’avvocato / studio legale • Categorie di dati utilizzati (tipi di dati “comuni”, sensibili, giudiziari) • Finalità d’uso (es. supporto nell’assistenza legale, nell’esercizio del diritto di difesa, gestione del personale, sicurezza del lavoro, amministrativo-contabile, ricerca) • Attività svolte sui dati personali (es. modalità operative, margini decisionali, attività esecutive) Consente l’individuazione dei ruoli privacy, l’adeguamento delle misure di sicurezza, il reperimento dei dati, la vigilanza CompLetence © 2010 La privacy negli studi legali Conclusioni: una rivoluzione di approccio • Dalla cultura fiduciaria a quella della compliance – Analisi dei rischi sull’uso dei dati personali (valutazione sostanziale e non formalistica) – Programmazione delle misure di tutela (es. DPS) – Documentazione delle scelte e dei ruoli (es. a fini di prova) – Procedure nelle attività operative (es. gestione delle pratiche e archiviazione, gestione del posto di lavoro, gradazione del rischio privacy) – Controlli (es. aggiornamento delle mansioni, conformità alle procedure, analisi degli scostamenti) – Formazione degli operatori Creazione di un presidio interno che assicuri il monitoraggio e la conformità dei flussi informativi CompLetence © 2010