La Privacy nello Studio Legale

Transcript

La privacy negli studi legali
LA PRIVACY NELLO STUDIO LEGALE
Monza – 15 febbraio 2010
Avv. Rosario Imperiali
CompLetence © 2010
Sommario
• PARTE I - Piattaforma normativa
– Codice privacy
– Codici deontologici “privacy” e forense
– Differenze e relazioni
• PARTE II - Il regime privacy per l’avvocato
– Lo “spartiacque” del principio di finalità
– Adempimenti in generale e semplificazioni per l’avvocato
• Informativa, consenso, notificazione al Garante
– Misure minime di sicurezza in genere e semplificazioni
• DPS e Amministratori di sistema
– Organizzazione e modalità operative
– Come adeguarsi e conclusioni
CompLetence © 2010
PARTE I
Piattaforma normativa
• Codice privacy
• Codice deontologico “privacy”
• Codice deontologico forense
• Differenze e relazioni
3
CompLetence © 2010
Codice privacy: brevi cenni ed evoluzioni
• In vigore dal 2004 da fonte comunitaria
• Corpo organico di principi e regole, generali e di settore
• Soggetto a sollecitazioni: ad oggi 18 interventi
modificativi
– Alcuni di semplificazione
– Altri di stampo lobbystico
• Allegazione dei codici deontologici “privacy”
• Ricorso discontinuo al parere preventivo del Garante nel
processo di formazione delle leggi di “rilevanza privacy”
• Bilanciamento di interessi sotto frizione
– Sicurezza pubblica, media, tecnologia, social network, giustizia
CompLetence © 2010
La specificità dei codici di deontologia “privacy”
• Il dibattito privacy internazionale tra autodisciplina
(USA) e regolamentazione normativa (UE)
• L’approccio UE
• La soluzione italiana
– Speciale procedura di formazione
– Valore di norma atipica di rango secondario
CompLetence © 2010
Processo di formazione dei codici deontologici “privacy”
Verifica
Redazione
Promozione
Base
giuridica
Da Garante o da legge
Rappresentanti delle categorie
interessate
Raccomandazioni del Consiglio
d’Europa, leggi e regolamenti
CompLetence © 2010
Efficacia
Divulgazione
Ad opera del Garante, della conformità ai
principi di legge e di regolamento
Pubblicazione sulla
Gazzetta Ufficiale
Prerequisito della liceità del
trattamento
Il codice deontologico “privacy”
• Entrato in vigore il 1 gennaio 2009
• Vincola tutti coloro che gestiscono dati personali per le
finalità e negli ambiti in esso previsti
– Investigazioni difensive
– Difesa di un diritto in sede giudiziaria (ma inclusa assistenza
legale stragiudiziale)
• Ambito: penale, civile, amministrativo, tributario,
arbitrato, conciliazione
CompLetence © 2010
Relazione tra codice
privacy e codice
deontologico “privacy”
• La norma primaria (cod. privacy)
prevede che il rispetto dei codici
deontologici è condizione di
liceità del trattamento
• I codici deontologici, quindi,
sono fonte di diritto oggettivo
• Le disposizioni sono
obbligatorie con funzione
integrativa della legislazione
• L’efficacia dei codici
deontologici non è più solo
“intra” ma ultra-categoriale
• La loro violazione rende
applicabili le sanzioni privacy e
rileva ai fini della valutazione
della risarcibilità del danno
privacy (art. 15)
CompLetence © 2010
Codice
privacy
Codice
deontologico
“privacy”
Il Codice deontologico forense affronta questo tema?
Dovere di restituzione di
documenti
(art. 42)
Inviolabilità della difesa
(art. 11)
Dovere di segretezza
(art. 9)
Dovere di informazione
all’assistito
(art. 40)
Rapporti con i testimoni
(art. 52)
Dovere di riservatezza e
discrezione
(artt. 9 e 18)
Dovere di fedeltà
(art. 7)
Dovere di aggiornamento
professionale
(art. 13)
Rapporti con i colleghi
(artt. 22 e ss.)
Rapporti con la stampa
(art. 18)
CompLetence © 2010
Riferimenti al codice
deontologico forense
Quali sono le differenze tra i due codici deontologici?
•
•
•
•
Norma atipica di secondo grado
Integrativa della legge primaria
Valenza ultra – categoriale
Garante, organo amministrativo
competente ad irrogare le
sanzioni pecuniarie
• Applicabili le sanzioni privacy
CompLetence © 2010
• “esplicitazioni dei principi
generali, contenuti nella legge
professionale forense”
interpretabili dalla Cassazione
(SU n.8225/02 e n. 26810 del
2007)
• Funzione integrativa della norma
legislativa in bianco
• Valenza intra – categoriale
• Consiglio Nazionale Forense
quale organo speciale di
giurisdizione (6° disp.trans. Cost.;
SU 187/01 e 5072/03)
• Applicabili le sanzioni disciplinari
Quali sono le relazioni tra i due codici deontologici?
Non incide
necessariamente
sull’applicazione
delle sanzioni
disciplinari
In ipotesi di violazione
Codice
deontologico
“privacy”
Può costituire
elemento di
valutazione della
correttezza del
trattamento
CompLetence © 2010
Codice
deontologico
forense
PARTE II
Regime speciale “privacy” per
l’avvocato
• Adempimenti
• Misure minime di sicurezza
• Organizzazione e ruoli operativi
• Come adeguarsi
• Conclusioni
12
CompLetence © 2010
L’avvocato gode di un regime speciale privacy?
• Parzialmente. Il regime speciale non si riferisce allo
avvocato, in quanto appartenente alla categoria forense
• Si applica solo all’utilizzo dei dati per scopi relativi alla
assistenza legale (eccetto “stragiudiziale puro”), alla
difesa di diritti in giudizio, alle investigazioni difensive
• Il “principio di finalità” è lo spartiacque tra i regimi
“speciale” e generale, entrambi applicabili all’avvocato
(le regole seguono la finalità non la categoria di
destinatari: distinguo tra aree operativa e professionale)
Ad es. per l’uso di dati per finalità amministrativo – contabili (fatturazione,
gestione di pagamenti e tributi), per la gestione del personale dello Studio
o nei rapporti di fornitura si applicano le regole generali
CompLetence © 2010
Quand’è che l’avvocato deve rilasciare l’informativa?
• Anche orale ed una tantum rispetto al
complesso dei dati raccolti
• Per clienti, dipendenti, collaboratori,
fornitori, ecc.
• Anche mediante affissione nei locali
Informativa
Consenso
Notificazione
Prior checking
• Casi in cui non è richiesta
• a) i dati non sono raccolti presso
l’interessato (es. interviste a terzi o riprese
audio/video) e
• b) solo per fini di difesa in giudizio o per
investigazioni difensive (art. 13.5, lett. b)
cod. privacy)
Ricordarsi dell’informativa nella selezione del personale, nelle sollecitazioni
al contatto sul sito web, nei rapporti con soggetti esterni
CompLetence © 2010
Fac-simile di informativa stragiudiziale per clienti
• Intestazione (art. 13 dlgs. 196/2003 – codice privacy)
– Lo Studio …, Titolare del trattamento dei Vostri dati, Vi informa, che le
informazioni che Vi riguardano (anagrafiche, coordinate bancarie,
informazioni relative all’incarico) verranno utilizzate per l’esecuzione
dell’incarico e per l’adempimento di obblighi di legge.
• Modalità (come sono utilizzati)
– I Vostri dati personali verranno gestiti con strumenti elettronici e cartacei da
nostri Incaricati (professionisti, impiegati dell’amministrazione).
• Flussi e soggetti (come circolano)
– Per i predetti scopi, i dati potranno essere comunicati a terzi che agiscono per
nostro conto (es. : penalisti, economisti, esperti in diritto ambientale), mentre
non saranno diffusi.
• Diritti (come controllarne l’uso)
– per accedere ai Vostri dati, chiederne l'aggiornamento o la rettifica o
l’integrazione, per opporvi al loro utilizzo e per esercitare gli altri diritti
previsti dal codice privacy, inviateci un fax (accompagnato da copia del
documento d’identità) al numero … .
CompLetence © 2010
Quand’è che l’avvocato deve raccogliere il consenso?
Casi in cui non è richiesto
• I dati non sensibili
• a) del cliente quando necessari per
l’esecuzione del mandato(es. anagrafiche,
dati fiscali, retributivi, previdenziali e
professionali) (art. 24.1, lett. b) cod.
privacy)
Informativa
Consenso
Notificazione
Prior checking
• b) di chiunque
• Per fini difensivi (art. 24.1, lett. f))
• Per eseguire un contratto (es. dati di familiari del cliente)
• Per soddisfare un obbligo di legge (es. a fini antiriciclaggio)
• Quando si tratta di dati di fonte pubblica (es. dati dell’anagrafe)
• Quando si stratta di dati economici (es. codice fiscale)
CompLetence © 2010
Quand’è che l’avvocato deve raccogliere il consenso? (segue)
• Solo per fini di difesa in giudizio o per
investigazioni difensive
• I dati sensibili di chiunque previa
autorizzazione del Garante (es.
appartenenza politica o sindacale, fede
religiosa, ecc.)
• a) per salute e vita sessuale, purchè il
diritto da difendere sia di “pari rango”
(art. 26.4, lett. c))
Informativa
Consenso
Notificazione
Prior checking
• I “dati giudiziari” – escluso per legge – purchè in conformità
all’autorizzazione n.7 del Garante (art. 27)
• Trasferimento extra-Ue di dati personali (art. 43.1, lett. e))
CompLetence © 2010
• Solo per la gestione di rapporti di lavoro e per
la sicurezza sul lavoro
• I dati sensibili in conformità
all’autorizzazione del Garante n. 1
(art. 26.4, lett. d) cod. privacy)
• Per i “dati giudiziari” – il consenso non è
richiesto per legge
• In conformità all’autorizzazione del Garante
n. 7 (art. 27, cod. privacy)
CompLetence © 2010
Informativa
Consenso
Notificazione
Prior checking
Sintesi sull’esonero dal consenso
• Per i dati “comuni”
• del cliente
–Per adempiere al mandato ricevuto
• di chiunque
–Secondo le regole generali (art. 24)
Informativa
Consenso
Notificazione
Prior checking
• Anche per dati sensibili ma secondo le autorizzazioni generali
• Per difesa in giudizio e investigazioni difensive
– per salute e vita sessuale, il diritto da difendere sia di “pari
rango”
– per trasferimento all’estero di dati
– per i “dati giudiziari” – consenso non richiesto per legge purchè in conformità all’autorizzazione n. 7 del Garante
• Per la gestione dei rapporti di lavoro e di sicurezza sul lavoro
– purchè in conformità all’autorizzazione n. 1 del Garante
CompLetence © 2010
Cosa deve fare l’avvocato negli altri casi?
Informativa
• Informativa
–Necessaria, anche orale, informale,
Consenso
sintetica ma coprendo i profili richiesti dalla
Notificazione
legge
Prior checking
• Consenso
–Per i dati non sensibili, richiesto solo se
non sono applicabili i casi di esonero (es.
dati pubblici, art. 24)
–Per i dati sensibili, richiesto per iscritto nel rispetto delle
autorizzazioni generali del Garante
–Per i “dati giudiziari”, non richiesto purchè nel rispetto
dell’autorizzazione generale n. 7 del Garante
CompLetence © 2010
L’avvocato deve effettuare la notificazione al Garante?
• Raramente. E’ dovuta solo nei casi
tassativamente indicati (art. 37.1, cod. privacy)
• Esonero per gli avvocati
–per il trattamento di dati genetici o
biometrici per investigazioni difensive o per
difesa in giudizio di un diritto “di pari rango”
(provv. 31/3/2004)
Informativa
Consenso
Notificazione
Prior checking
–Esempi
–Uso del DNA dell’imputato o di terzi a fini probatori
–Uso del DNA ai fini della dichiarazione giudiziale di paternità
–Uso di dati biometrici nell’ambito di investigazioni difensive
–Uso di banche dati elettroniche sulla solvibilità o situazione
patrimoniale di persone
L’uso di sistemi di localizzazione satellitare a fini investigativi va notificato
CompLetence © 2010
Cosa deve fare l’avvocato se riceve istanza di accesso privacy?
• Richieste di accesso, rettifica, integrazione,
cancellazione, opposizione ricevute da interessati
• Possono essere sospese (art. 8.2, lett. e) cod. privacy)
– nel periodo in cui sussiste un pregiudizio effettivo e concreto
– alle investigazioni difensive e al diritto di difesa in giudizio
INFORMATIVA
Strumento di trasparenza
DIRITTI
Strumento di controllo
La gestione dei fascicoli sia idonea a consentire ricerche di dati
CompLetence © 2010
Può l’avvocato utilizzare i diritti privacy a fini difensivi?
• Istanze di clienti per accesso, rettifica, integrazione,
cancellazione, opposizione dirette a Titolari terzi
• Sì, possono essere fonte di informazioni, utile per la
costruzione della difesa
– Esempi
• accesso ai dati di traffico in entrata dell’assistito per
investigazioni difensive (cd. Tabulati telefonici, art. 8.2, lett.
f) cod. privacy)
• riscontri della posizione bancaria dell’assistito
I diritti privacy hanno ad oggetto solo i dati personali dell’istante
CompLetence © 2010
L’avvocato deve oscurare i dati identificativi delle sentenze?
Sì, ma la disciplina è articolata
Provv.
giudiziario
Originale
Copia a terzo
Copia a fini
scientifici
Copia per
cronaca
Nessuna
richiesta
Dati visibili
Dati visibili
Dati visibili
Dati visibili
Richiesta accolta
dal giudice
(art. 52.1)
Dati visibili
Dati visibili
Dati oscurati
Dati visibili
Oscuramento
d’ufficio
(art. 52.2)
Dati visibili
Dati oscurati
Dati oscurati
Dati visibili
Oscuramento
per legge
(art. 52.5)
Dati visibili
Dati oscurati
Dati oscurati
Dati oscurati
Fonte: Deontologia privacy per avvocati e investigatori privati; Fulco e Bolognini - Giuffrè
CompLetence © 2010
PARTE II
l’avvocato
• Adempimenti
• Come adeguarsi
• Conclusioni
25
CompLetence © 2010
Quali sono le misure di sicurezza per l’avvocato?
• Le misure minime di sicurezza più significative per
l’avvocato
– Documento Programmatico sulla Sicurezza
• Quando si trattano dati sensibili o giudiziari con strumenti
elettronici
• Da aggiornare annualmente entro il 31 marzo
– Amministratore di sistema
• Quando un soggetto è autorizzato ad intervenire su server,
banche dati, software complessi con profili di autorizzazione
elevati (cd. privilegi)
– Gestione dei fascicoli cartacei
• Fascicoli delle pratiche attive e di quelle di archivio
CompLetence © 2010
Documento Programmatico per la Sicurezza (DPS)
• Il DPS è dovuto quando si usano dati sensibili o giudiziari
con sistemi automatizzati
– I casi di esonero o di semplificazione non sembrano applicabili
all’avvocato tipo
• Perno della politica della sicurezza idonea a ridurre al
minimo i rischi di
– distruzione o perdita dei dati
– accesso non autorizzato
– trattamento non consentito o non conforme
• Indica le regole di base in un’ottica di programmazione
Va redatto ed aggiornato entro il 31 marzo di ogni anno
CompLetence © 2010
Come redige il DPS l’avvocato?
• La norma non contiene indicazioni vincolanti sulle
modalità di compilazione
– La guida operativa del Garante risulta eccessivamente
dettagliata e non corrispondente alle esigenze dell’avvocato
– Si consiglia un testo sintetico ed operativo che applichi in linea
generale le regole previste dal Disciplinare Tecnico
– Le specifiche modalità operative e le procedure, al massimo,
possono essere oggetto di allegati a parte
– In tal modo il DPS può essere divulgato all’interno dello Studio
e costituire uno strumento di formazione per i ruoli privacy
CompLetence © 2010
Fac-simile di struttura del DPS dell’avvocato
•
•
•
•
•
•
•
•
•
Principi generali
Lista dei trattamenti
Trattamenti affidati all’esterno
Archivi cartacei
Analisi dei rischi
Organizzazione e responsabilità
Regole per gli incaricati del trattamento
Misure di sicurezza programmate
Revisioni del DPS
CompLetence © 2010
Stato dell’arte e
relative regole
Sistema privacy
Pianificazione
Ciclo
L’avvocato deve designare l’Amministratore di sistema?
• Sì, se esiste questo ruolo nello studio legale
• Presupposto
– Uso di dati personali con strumenti automatizzati
• Profilo
– colui che gode di privilegi per l’accesso e la gestione di banche dati,
tanto da poter assegnare profili di accesso e amministrare i dati in esse
contenuti
• Ruolo privacy
– Responsabile del trattamento o incaricato con uguale profilo
• Adempimenti e requisiti
– Designazione formale ed individuale, competenza, elenco da custodire
e aggiornare, tracciamento dei log, vigilanza, evidenza ai dipendenti
CompLetence © 2010
Le semplificazioni privacy si applicano agli studi legali?
• Molto improbabile
– L’autocertificazione sostitutiva del DPS riguarda il caso in cui il
trattamento automatizzato di dati sensibili riguardi solo
• dati sull’appartenenza sindacale e
• sullo stato di salute dei dipendenti
– Le modalità di redazione semplificate del DPS e
– L’esonero dalle prescrizioni sull’Amministratore di sistema
• quando i dati sensibili sono utilizzati solo a fini
amministrativo-contabili
CompLetence © 2010
Come adeguare la videosorveglianza dello studio legale?
• Gli impianti di videosorveglianza sono specificamente
disciplinati a fini privacy
– Trasparenza verso i soggetti potenzialmente ripresi (informativa
sintetica con affissione di cartello con simbolo grafico)
– Conservazione dei dati (immagini) limitata a poche ore
– Accesso ai dati limitato nonché autorizzato a specifici ruoli
privacy e documentato per iscritto
– Divieto di uso dei dati raccolti ad altri fini
CompLetence © 2010
Quali regole per una security policy dello studio legale?
• Riservatezza definire in un documento ufficiale la politica
di chi è autorizzato ad accedere ai dati (access control)
– Vi provvede in anticipo l’avvocato con il supporto di un tecnico
• Integrità avvalersi di funzioni che tracciano la “storia” del
documento, di formati non modificabili o di crittografia
• Disponibilità fare uso di tecnologie di back up
• Qualità formalizzare procedure di aggiornamento dei
dati
• Riferibilità (accountability) cioè “risalire a chi ha fatto
cosa” avvalendosi di funzioni che tracciano la storia di un
documento e l’immissione di dati
CompLetence © 2010
Quali regole per i fascicoli dello studio legale?
• Sensibilizzazione di tutti - professionisti e staff - con
l’obiettivo di creare una cultura diffusa
• Desk policy - diffondere una chiara politica per il
mantenimento dell’ordine del posto di lavoro
• Archiviazione - implementare metodologie codificate per
pratiche e documentazione cartacea ricevuta dai clienti
• Strumentazione - regolamentare l’uso di fax, stampanti,
scanner, fotocopiatrici in modo da evitare che documenti
possano essere lasciati incustoditi
Dotare lo Studio di apposite apparecchiature distruggi-documenti da
utilizzare sempre per sbarazzarsi della carta
CompLetence © 2010
L’avvocato deve eliminare i nomi dai fascicoli?
• No. Nessuna norma impone all’avvocato l’uso di codici in
sostituzione dei nomi delle parti sui fascicoli di Studio
• Occorre definire – invece – adeguate modalità per
l’accesso alla documentazione da parte degli incaricati
per finalità predefinite
• Vedi parere del Garante del 3/6/2004 al CNF
CompLetence © 2010
Estinto il mandato, l’avvocato può conservare i documenti?
• Sì. In queste circostanze:
– Per ipotizzabili altre esigenze difensive dell’assistito (es. gradi
successivi di giudizio)
– Per ipotizzabili altre esigenze difensive dell’avvocato (es. prova
in un procedimento disciplinare o per la liquidazione del
compenso)
– Per adempiere ad un obbligo di legge (es. fiscale o
antiriciclaggio)
– Per finalità scientifiche ma in forma anonima (es. raccolta di
precedenti)
In assenza di queste ipotesi, distruzione, cancellazione o consegna
all’avente diritto o al Consiglio dell’Ordine
CompLetence © 2010
PARTE II
l’avvocato
• Adempimenti
• Come adeguarsi
• Conclusioni
37
CompLetence © 2010
L’organigramma privacy
Titolare
Responsabile
Incaricati al
trattamento
CompLetence © 2010
Chi è titolare del trattamento nello studio legale?
• Chi esercita il potere decisionale sul patrimonio
informativo dello Studio, in termini di utilizzo,
organizzazione, tutela
– Avvocato mono-titolare
– singoli avvocati autonomi che condividono logisticamente i
locali dello studio
– Associazione professionale tra avvocati
– Società tra professionisti
CompLetence © 2010
Chi è Responsabile del trattamento nello studio legale?
• Nomina facoltativa
• Chi è designato dall’avvocato, con margini di
discrezionalità, ad effettuare trattamenti per suo conto
–
–
–
–
–
–
Corrispondenti, domiciliatari e sostituti
Consulenti tecnici
Investigatori privati
Consulenti del lavoro
Amministratori di sistema
Aziende informatiche per gestione e manutenzione del
patrimonio IT dello Studio
Designazione scritta controfirmata per accettazione, con specifica delle
attività affidate e dei presidi da rispettare. Vigilanza
CompLetence © 2010
Ci vuole un Responsabile privacy nello studio legale?
• Probabilmente assente negli studi individuali o micro
• Per studi molto strutturati
– Uno o più responsabili del trattamento individuati:
• Su base territoriale
• Per processi funzionali o operativi (es. sicurezza, IT, gestione
delle risorse, approvvigionamenti, ecc.)
• Per singole unità organizzative (es. capi di dipartimento)
Da non sottovalutare il caso dell’affidamento di un processo
operativo – o di un suo segmento - ad un’entità terza (es.
gestione dei rapporti di lavoro e dei cedolini paga)
CompLetence © 2010
Quali gli incaricati del trattamento nello studio legale?
• Chi materialmente utilizza dati personali, per conto
dell’avvocato, sotto la direzione sua o di un suo
Responsabile ed in base a precise istruzioni
–
–
–
–
–
Collaboratori e praticanti
Corrispondenti e consulenti privi di autonoma organizzazione
Addetti alla segreteria
Amministrativi e contabili
Receptionist
Specifica delle istruzioni impartite con disposizione
organizzativa per tipologia di incaricato. Vigilanza
CompLetence © 2010
Perché occorre un MO privacy nello studio legale?
• Il data protection è norma di comportamento
– interviene nella vita interna delle organizzazioni
– impone un adeguamento organizzativo (ruoli e mansioni)
– persegue l’obiettivo del presidio dei flussi informativi
all’interno dello Studio e verso terzi
CompLetence © 2010
Come scegliere i ruoli privacy nello studio legale?
– Realtà professionale variegata, oscillante tra scenari molto
eterogenei
– Struttura: Studi individuali vs. organizzazioni complesse
paragonabili ad aziende
– Tecnologia: Ricorso elementare all’informatica vs. dotazioni
tecnologiche articolate e centralizzate
– Categoria professionale: Composizione mono-professionale
(solo giuristi) vs. organizzazioni multi-professionali (consulenti
d’azienda, gestori di processo, esperti informatici, responsabili
del personale, ecc.)
– Ubicazione: Entità sostanzialmente locali vs. ramificazioni
internazionali
– Decentramento operativo: Ricorso a servizi appaltati vs.
organizzazioni autosufficienti
CompLetence © 2010
Come considerare gli specialisti a supporto dell’avvocato?
• Es. esperti in branche specialistiche del diritto,
economisti, periti, consulenti
– Spesso sono professionisti legati a ordini professionali e/o
vincolati da leggi e regolamenti al rispetto del riserbo
– Oggetto dell’intervento è lo studio e l’elaborazione di contenuti
con uso marginale di dati personali
– Nomina a Responsabile talvolta inidonea perché soggetti che
godono di autonomia professionale
Incarico con accordo di confidenzialità comprensivo di clausola di liceità
e correttezza dei trattamenti compiuti
CompLetence © 2010
PARTE II
l’avvocato
• Adempimenti
• Come adeguarsi
• Conclusioni
46
CompLetence © 2010
Da dove cominciare per l’avvocato che si adegua alla privacy?
– Mappatura del patrimonio informativo dello studio legale
– Mediante censimento ed analisi dei processi operativi
• Individuazione dei soggetti interni ed esterni che utilizzano
dati personali per conto dell’avvocato / studio legale
• Categorie di dati utilizzati (tipi di dati “comuni”, sensibili,
giudiziari)
• Finalità d’uso (es. supporto nell’assistenza legale,
nell’esercizio del diritto di difesa, gestione del personale,
sicurezza del lavoro, amministrativo-contabile, ricerca)
• Attività svolte sui dati personali (es. modalità operative,
margini decisionali, attività esecutive)
Consente l’individuazione dei ruoli privacy, l’adeguamento delle
misure di sicurezza, il reperimento dei dati, la vigilanza
CompLetence © 2010
Conclusioni: una rivoluzione di approccio
• Dalla cultura fiduciaria a quella della compliance
– Analisi dei rischi sull’uso dei dati personali (valutazione
sostanziale e non formalistica)
– Programmazione delle misure di tutela (es. DPS)
– Documentazione delle scelte e dei ruoli (es. a fini di prova)
– Procedure nelle attività operative (es. gestione delle pratiche e
archiviazione, gestione del posto di lavoro, gradazione del
rischio privacy)
– Controlli (es. aggiornamento delle mansioni, conformità alle
procedure, analisi degli scostamenti)
– Formazione degli operatori
Creazione di un presidio interno che assicuri il monitoraggio e
la conformità dei flussi informativi
CompLetence © 2010

La Privacy nello Studio Legale

Transcript

Documenti analoghi

about:blank

Luca Bolognini

Associazione KI NO KENKYUKAI Italia

Abstract Ducato

richiesta informazioni - Comune di Castiglione a Casauria

Antonello Soro: i social network un rischio per un giovane su quattro

CIFAPP - Centro Italiano Formazione e Aggiornamento in Psicologia

Programma giornate formative

ADOPTED RESOLUTIONS • International

Modulo Iscrizione Zampalonga