Privacy: gli adempimenti al 30.06.2004. Il tuo studio legale è già in regola?
Il nuovo codice sulla privacy, in vigore dal 1 gennaio 2004, modifica, semplifica e riunisce in un unico testo le disposizioni italiane in materia di trattamento dei dati personali.
Nuovi principi, nuove norme e nuove procedure gestionali coinvolgono anche gli avvocati, che detengono e trattano dati personali di clienti, collaboratori, impiegati, fornitori.
Nessun obbligo di notifica del trattamento dei dati personali, ad oggi, deve essere effettuato dall'avvocato al Garante, nemmeno per il trattamento di dati personali c.d. sensibili essendo stata reiterata l'autorizzazione generale, tuttavia, tale obbligo può essere dovuto qualora l'avvocato abbia registrato dati di terzi "in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti" (in tale caso dovrà procedere alla notificazione di tale trattamento al Garante, entro il termine del 30 aprile 2004).
L'informativa
deve essere data indipendentemente dal fatto che detti dati verranno poi gestiti, registrati consultati tramite strumenti informatici o anche solo cartacei ed indipendentemente dall'utilizzo di banche dati; - deve essere resa dal o dagli avvocati/titolari personalmente anche nel caso di associazione professionale; - deve contenere i nominativi di tutti i componenti dello studio, abituali, sostituti d'udienza, praticanti, personale di segreteria nella qualità di incaricati del trattamento, nonchè dell'(eventuale) responsabile del trattamento; - deve indicare le finalità e modalità del trattamento; - deve indicare la natura obbligatoria o facoltativa del conferimento dei dati, con le conseguenze di un eventuale rifiuto di fornirli. La forma con cui viene resa l'informativa non deve essere necessariamente scritta, ma visto che si potrebbe porre un problema di prova, è consigliabile che sia redatta per iscritto.
Acquisizione del consenso
Il consenso al trattamento dei dati personali sia comuni che eventualmente sensibili e giudiziari deve essere sempre acquisito dal cliente in forma scritta. Per i dati comuni, secondo una diffusa interpretazione, l'avvocato sarebbe prevalentemente esente dall'obbligo di consenso in quanto agisce per definizione nell'esecuzione di un contratto di mandato in cui il Cliente è parte o per adempiere ad un obbligo precontrattuale su sua specifica richiesta. Il consenso non sarebbe poi necessario, per il tempo strettamente necessario a far valere o difendere un diritto in sede giudiziaria.
Misure minime di sicurezza - Dati informatici
Per gli archivi informatici sono fissate le seguenti misure minime: - autenticazione informatica; - adozione di procedure di gestione delle credenziali di autenticazione; - utilizzazione di un sistema di autorizzazione; Con il sistema di autenticazione, si accerta l'identità della persona, per farla entrare nel computer. Con il sistema di autorizzazione si stabilisce a quali aree (dati) del computer l'incaricato può accedere, dopo che è entrato, e quali azioni (trattamenti) può compiere.
Dati cartacei e mansionario privacy - Redazione ed aggiornamento periodico del mansionario privacy
Almeno una volta all'anno, occorre aggiornare il documento (c.d. mansionario privacy) contenente la definizione dei dati che gli incaricati sono autorizzati a trattare e la tipologia dei trattamenti consentiti. Il documento non va redatto personalmente per ogni incaricato ma si può redigere per classi omogenee di incarico, indicando altresì i nominativi degli incaricati che confluiscono nella medesima classe. - vanno impartite istruzioni scritte agli incaricati per il controllo e la custodia degli atti e documenti durante tutto il ciclo delle operazioni di trattamento dei dati personali.