L’impatto dell’emergenza COVID 19 sulla gestione della privacy negli Studi Legali.

04 Nov L’impatto dell’emergenza COVID 19 sulla gestione della privacy negli Studi Legali.

SCARICA L’ARTICOLO IN FORMATO PDF INTERATTIVO

 

L’emergenza sanitaria causata dal virus COVID 19 ha imposto una serie di comportamenti precauzionali a carico di una larga schiera di soggetti che, a diverso titolo, sono stati coinvolti nella rilevazione di dati personali, anche inerenti lo stato di salute o gli spostamenti, spesso senza che sia stato raccolto il preventivo consenso al trattamento, anche laddove obbligatorio, e senza che siano state fornite informazioni neppure standardizzate attraverso la predisposizione di apposite c.d. informative privacy.

Ciò è evidente laddove si parla di datori di lavoro – sia verso i dipendenti, posti in smart working o meno- sia verso il pubblico che accede ai servizi, imponendo la rilevazione di dati attraverso attività non previste sino al sopraggiungere dell’emergenza sanitaria ed il cui rilevamento, quasi certamente, non era stato inserito nei moduli di consenso informato predisposti.

 

Permesso che la rilevazione di tali dati –personalissimi – si è resa necessaria nella c.d. “Fase II” e lo è anche attualmente, occorre tener presente che essi riguardano primariamente la salute e dunque sono dati che certamente richiedono, sia per la rilevazione che per il trattamento che per la conservazione, il rilascio del consenso da parte del soggetto interessato.

Peraltro, i meccanismi di rilevamento di questi dati, che obbligatoriamente saranno trattati, sono atipici rispetto alla norma, laddove, per rispettare le misure prescritte dal Governo potrebbero essere stati introdotti:

• il rilevamento della temperatura corporea
• la richiesta di autocertificazioni
• l’installazione di un termoscanner e altri dispositivi automatici

 

Tralasciando la questione relativa alla gestione del consenso nelle grandi strutture, ad esempio commerciali o della grande distribuzione e dei piccoli e medi esercenti, anche ristoratori, per quanto di interesse degli Studi Legali, è utile considerare cosa e come sottoporre ai dipendenti, ai collaboratori ed ai clienti.

Infatti si rileva, in comparazione con il settore pubblico, che anche nel settore degli Studi Legali è  necessaria:

• la modifica o l’integrazione di atti e documenti previsti dal proprio modello organizzativo di gestione della privacy
• l’integrazione del Documento di Valutazione del Rischio (DVR)
• l’elaborazione o l’integrazione della valutazione di impatto privacy richiesta dal GDPR
• dare nuove autorizzazioni agli incaricati del trattamento dei dati personali
• mentre, solo raramente si potrebbe ipotizzare di non effettuare alcun intervento specifico.

 

Infatti, occorre tener conto, nella gestione della privacy, di diversi fattori che hanno introdotto un serie di rilevazione e raccolta di dati personali sin ora non contemplati e non rilevati, e questo principalmente si può ricondurre a:

• impiego di tecnologie intelligenti invasive per la privacy dei lavoratori
• criticità dello smart working o delle conference call attraverso piattaforme quali Google Meet, Skype o Zoom, riguardo alla protezione dei dati personali contenuti nelle informazioni che si scambiano in questi eventi, tenuto conto anche della possibilità di registrazione degli stessi
• non perfetta chiarezza sull’applicazione della normativa in materia nel contesto dell’emergenza.

 

Occorre anche partire dal presupposto che se l’Avvocato è il Titolare del trattamento di tutte le informazioni fornite dagli assistiti in virtù o in relazione al mandato professionale, egli lo sarà anche per i nuovi dati che si impongono da raccogliere. Laddove il GDPR prevede i contitolari del trattamento, ovvero nei casi in cui vi sia un mandato a più Colleghi è necessario un esplicito accordo interno volto a definire, in aggiunta alle altre casistiche, le rispettive responsabilità e l’osservanza degli obblighi, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14 del GDPR.

Per quanto attiene alla figura del Responsabile del trattamento, occorre ricordare l’interpretazione di questa figura fornita dal CNF, ovvero che il Responsabile sarebbe “la persona che tratta dati personali per conto dello studio legale come un contabile, un editore di software, un host web, ecc. Il responsabile è da considerarsi solo “esterno” allo studio legale; pertanto non è possibile nominare un Collega, un dipendente o un collaboratore come responsabile della protezione dei dati.”

 

Anche gli Studi Legali e gli Avvocati dunque, dovranno procedere ad una analisi di impatto di questa nuova tipologia di dati raccolti rispetto:

• ai consensi da raccogliere (con adeguamento di modulistiche e sottoposizione delle stesse a tutti gli interessati, anche attraverso l’integrazione dei consensi già prestati);
• all’impatto sulla sicurezza degli stessi durante il trattamento e la conservazione;
• l’adeguamento del Registro dei Trattamenti, laddove obbligatorio, ovvero nei casi in cui lo Studio si occupi di diritto penale, di famiglia e minori, di diritto della previdenza sociale ed in generale di vertenze in materia di risarcimento danni da lesioni personali.

 

L’adeguamento, come accennato, deve riguardare i dati raccolti a causa dell’emergenza da COVID 19 relativi al personale dipendente ed ai collaboratori, ai clienti nonché i dati raccolti attraverso un sito internet o un blog.

Quanto alla tipologia di dati, il Garante della Privacy raccomanda che dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19, astenendosi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata. In particolare ha chiarito che i datori di lavoro devono astenersi dal raccogliere, a priori e in modo sistematico e generalizzato informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. In pratica, ha sancito il principio secondo cui non si sarebbe competenti a ricevere autodichiarazioni in materia, ma se prese, occorre trattarle in conformità al GDPR.

Inoltre, sempre il Garante ha chiarito che non può essere resa nota l’identità del dipendente/collaboratore e si deve presumere estensivamente, Cliente, affetto da Covid-19 agli altri lavoratori/Clienti, spettando alle autorità sanitarie competenti informare i “contatti stretti” del contagiato, al fine di attivare le previste misure di profilassi, Mentre si è tenuti a fornire alle istituzioni competenti e alle autorità sanitarie le informazioni necessarie, che consentano loro di procedere per quanto di specifica competenza, restando ferma la messa in atto delle misure relative alla pulizia e alla sanificazione dei locali stessi, da effettuarsi secondo le indicazioni impartite dal Ministero della salute.

Quanto alla rilevazione della temperatura all’momento dell’accesso presso lo Studio Legale, non è prevista una conservazione del dato, in quanto la sua rilevazione serve solo a consentire o negare l’accesso in ossequio ai protocolli di sicurezza in vigore e tale comportamento sarebbe in linea con il principio di minimizzazione dei dati sancito dal GDPR. Tuttavia, laddove raccolta, va trattata con previa informativa.

Anche se adeguamenti temporanei, essi devono essere apportati, in primis perché attualmente non si conosce il tempo di ritorno alla normalità, e, in secondo luogo, perché, di fatto, dall’inizio dell’emergenza (fine febbraio 2020), sono comunque stati raccolti e conservati tipologie di dati del tutto peculiari in quanto legati ad una emergenza sanitaria imprevedibile, ma di detti dati e della loro sorte, soprattutto in futuri termini di diritto all’oblio, i Titolari sono:

-attualmente responsabili, unitamente ai DPO designati. Ed infatti, seppure non sempre obbligatoria, la nomina di un DPO, anche condiviso, può essere utile per seguire ed essere in regola con tutti gli adempimenti previsti dal GDPR. La nomina è obbligatoria quando le attività principali del titolare del trattamento e del responsabile del trattamento richiedono il monitoraggio sistematico degli interessati su larga scala e quando le attività principali portano a trattare -su larga scala- categorie di dati “sensibili” e dati su condanne penali e reati, tenendo conto che la “larga scala deve essere concretamente valutata, al di là della dimensione anche individuale dello Studio;

– potrebbero essere chiamati a rispondere di eventuali furti o utilizzo improprio degli stessi.

 

Inoltre, nelle ipotesi in cui lo Studio abbia esternalizzato a terzi alcuni servizi -segreteria virtuale, conservazione dei dati su cloud- o utilizza strumenti informatici come sito web, blog, servizi di consultazione on line, ci si dovrà assicurare che anche i dati in questione siano trattati in sicurezza.

 

Di certo, per le nuove informative, la base giuridica del trattamento è da rinvenire in tutta la copiosa normativa prodotta in questo periodo attraverso Decreti Legge (e relative leggi di conversione), DPCM, Decreti ministeriali in special modo del Ministero della Salute, Ordinanza locali, che dovranno essere esaminate che, per ciascuna Amministrazione, forniranno la base anche per l’estrapolazione delle tipologie di dati personali su cui impingono e che, pertanto, rendono obbligatorio l’adeguamento.

 

Ciò che dovrebbe aver già sollecitato i Titolari ed i Responsabili del Trattamento allo studio di soluzioni tecniche da applicare al fine di adeguarsi alle regole imposte dalla normativa vigente laddove si trattino queste tipologie di dati.

 

SCARICA L’ARTICOLO IN FORMATO PDF INTERATTIVO