Avvocati e GDPR. Forse anche qui è meglio fare chiarezza.

Avv. Gianni Dell’Aiuto

Purtroppo anche per i legali sembra sia necessario fare un po’ di chiarezza sull’applicazione del General Data Protection Regulation, o più semplicemente GDPR, la nuova normativa obbligatoria che impone a imprese, pubbliche amministrazioni e, allo stesso modo, liberi professionisti, di proteggere i dati personali di cui vengono in possesso per espletare i loro incarichi.

Purtroppo si sente ancora qualcuno confondere questa delicata materia con il segreto professionale e, per questo motivo, ritenere che la nostra categoria sia esentata. Duole dire che purtroppo accade così come, non di rado, ci si possa imbattere in qualcuno che pensa di avere adempiuto a questo relativamente nuovo obbligo di legge con un buon antivirus e una password. Non è proprio così. E per capirlo dovremmo anche usare una corretta terminologia e non l’abusato termine privacy che, per essere realisti, ha altro significato. Certo, non aiuta la circostanza che abbiamo un Garante per la protezione dati che si autodefinisce Garante per la Privacy e la stampa ben volentieri usa questa terminologia comoda ed entrata nella prassi ma, in realtà, distortiva del problema.

Proviamo a dirlo in parola banali. Il segreto professionale è il divieto che incombe su ogni professionista di non rivelare ad alcuno quanto appreso dai clienti e ciò che è stato detto all’interno di quella specie di confessionale che si forma durante gli incontri con chi deve necessariamente esporre fatti spesso delicati o scottanti. La Privacy (o meglio diritto alla riservatezza) è la figura giuridica che tutela l’intimità della sfera privata di una persona da interferenze altrui. Vietato spiare e farsi gli affari altrui, potrebbe essere un sunto.

Con il GDPR vengono disciplinate la modalità di raccolta, trattamento, conservazione e anche distruzione dei dati personali che occorrono per lo svolgimento di un incarico e che devono anche essere protetti. Ciò deve essere fatto non solo con l’applicazione dei criteri minimi di prudenza e diligenza, ma anche operando una valutazione soggettiva che porti alla scelta di misure tecniche e le forme di protezione dati più idonee alla tipologia degli stessi che, non dimentichiamolo, sono diventati il bene più prezioso e rubato al mondo.

Immaginiamo, ad esempio, uno studio legale specializzato in responsabilità medica che raccoglie e conserva dati sensibilissimi quali potrebbero essere indicazioni cliniche e terapeutiche oltre ai normali dati sul cliente e il nucleo familiare. Questo studio legale diventa particolarmente appetibile per hacker che potrebbero rivendere i dati a società che svolgono profilazione per case farmaceutiche che possono così proporre altre soluzioni o prodotti ai loro clienti. UN hacker attaccherebbe più probabilmente un ospedale, mi si potrebbe obiettare; giusto, ma tra il computer i di un avvocato e il sistema dell’ospedale quale dei due può presentare maggiore vulnerabilità?

Per avere un data breach, non è necessario la violazione di un computer, o almeno non solo: basta che una segretaria o un collaboratore smarrisca una chiavetta contenete i dati dei clienti ed ecco che scatta l’obbligo di segnalazione al Garante e l’avvio delle procedure previste per cercare di evitare sanzioni o provvedimenti di altra natura che potrebbero sostanziarsi in un danno anche di immagine.

Non solo quindi l’avvocato dovrà predisporre un documento da far firmare unitamente al mandato che renda edotto il cliente di come i suoi dati verranno conservati, a chi esibiti, per quanto tempo saranno conservati e così via. L’avvocato diviene Titolare del trattamento ed ha quindi l’autonomia decisionale ed il dovere di scegliere le modalità di trattamento. Deve inoltre avere chiaro che i clienti diventano “interessati” ai sensi della norma e, in quanto tali, devono poter esercitare i loro diritti anche di controllo.

Non basta quindi l’informativa scaricata da uno dei siti istituzionali: il primo passo verso l’applicazione del GDPR è avere la consapevolezza che dobbiamo proteggere dati dei nostri clienti.