Lo Studio Legale Digitale - GDPR, Fatturazione Elettronica e Deontologia

28 FEBBRAIO 2019
O R E 1 5 . 0 0 - 1 8 . 0 0
Sala della Gran Guardia
Via Cesare Battisti n. 8
Rovigo
LO STUDIO LEGALE DIGITALE
GDPR, Fatturazione Elettronica e Deontologia
M O V I M E N T O
F O R E N S E
R O V I G O
Evento in collaborazione con

Avvocato
E D O A R D O F E R R A R O
Presidente MF Padova
Consigliere dell'Ordine degli Avvocati di Padova
LO STUDIO LEGALE DIGITALE:
L’EVOLUZIONE DELLA PROFESSIONE
M O V I M E N T O
F O R E N S E
R O V I G O

Una nuova professione forense: sviluppo in fasi
L’evoluzione della professione forense è conseguenza ovvia della
digitalizzazione della nostra vita.
Il processo non è diventato telematico perché hanno
digitalizzato gli atti e i documenti, ma semplicemente perché
quegli atti e quei documenti sono oggi originali digitali, e il
processo si è adattato alla realtà.
Avv.EdoardoFerraro
MovimentoForense
Un processo evolutivo

Il Giurista nell’era digitale: chi è?
“La tecnologia non è più appannaggio esclusivo di scienziati, ingegneri e
addetti ai lavori, ma è entrata nelle case, negli uffici, negli studi
professionali e la portata rivoluzionaria di questa irruzione appare riﬂettersi
inevitabilmente nel campo del diritto, ponendo nuove sfide al giurista”;
“per queste ragioni, non può più considerarsi tale chi si ostini a non
volersi occupare dell’informatica, a rifiutare di capire come e quanto possa
servire a migliorare la qualità della vita, a non cercare di vederne le
applicazioni professionali”;
“Un avvocato che si rifiutasse di compiere questo sforzo si porrebbe allo
stesso livello di chi volesse comprendere il diritto vigente senza saper
essere uomo del suo tempo”.
Prof. Renato Borruso (1928 - 2014), Pres. Agg. Onorario Corte di Cassazione
“L’Informatica negli studi legali e nel processo civile”
pubblicazione dell'Unione Triveneta Avvocati
Avv.EdoardoFerraro
MovimentoForense

… e infatti la Cassazione…
Cassazione Civile, Ord. Sez. 6, N. 22320 del 2017
“l'autorizzazione all'impiego della notifica col mezzo telematico implica
intuitivamente (ma di necessità) l'onere che il suo destinatario […] si doti
degli strumenti minimali per leggere una notifica che quei requisiti rispetti:
altrimenti pervenendosi alla bizantina o assurda conclusione che sarebbe
lecito per il notificante eseguire un'attività completamente inutile o la cui
funzionalità od utilità sarebbero rimesse alla mera condiscendenza o buona
volontà o discrezionalità del destinatario, ciò che contraddice ogni principio
processuale, prima che lo stesso buon senso”;
“la normativa sulle notifiche telematiche [...] costituisce la mera evoluzione
della disciplina delle notificazioni tradizionali ed il suo adeguamento al
mutato contesto tecnologico ed alle relative esigenze legate al contesto
di operatività del professionista legale”.
Avv.EdoardoFerraro
MovimentoForense

… o detto in modo brutale…
Oggi, il Giurista
non informatizzato è
un giurista analfabetaanalfabeta.
Prof. Ugo Pagallo
Docente di Filosofa del Diritto e Informatica Giuridica
presso l’Università degli Studi di Torino
Avv.EdoardoFerraro
MovimentoForense

Redazione degli atti
Consultazioni dei fascicoli
Deposito degli atti giudiziari
Ricezione di comunicazioni e avvisi
Richiesta di copie
Pagamento del contributo unificato
Posta elettronica
Notifiche a mezzo PEC
Diffide e “raccomandate”
Avv.EdoardoFerraroAvv.EdoardoFerraro
MovimentoForense
Come si è evoluto
lo studio legale?

HARDWARE (computer, video, schermo,
tastiera, mouse, server, hard disk esterni, ecc.)
SOFTWARE (programmi informatici, gestionali,
redattori atti del PCT, agenda digitale, client di
posta elettronica, ecc.)
RETE INTERNET (fissa e mobile)
POSTA ELETTRONICA (ordinaria e certificata)
FIRMA DIGITALE
Avv.EdoardoFerraro
MovimentoForense
Lo studio legale digitale

Regole di base
LEGGERE LE NORME
AGGIORNAMENTO COSTANTE (computer
performanti, sistema operativo non “scaduto”,
redattori atti e software di firma aggiornati, ecc.)
TÙ IS MEGL CHE UAN - cit. Avv. Nicola Gargano
(avere sempre un sistema di riserva: firma
digitale, rete internet, pc… insomma un “piano B”)
Avv.EdoardoFerraro
MovimentoForense

Regole di base
CONOSCERE GLI STRUMENTI
NON FIDARSI MAI DI “ME L’HA DETTO IL
CANCELLIERE” (di regola, il loro interesse è
“quello che è più comodo per loro”)
ANTIVIRUS (per evitare di perdere i dati di
studio a causa di virus o cryptolocker)
BACKUP (farlo “prima” dei guai, meglio se non
automatico)
Avv.EdoardoFerraro
MovimentoForense

Regole di base
NON FIDARSI DEI “BIGLIETTI DI CANCELLERIA”
IMPARARE AD APRIRE E CONOSCERE LE PEC
(non solo come deposito telematico)
GUARDARE “L’AGENDA DELL’AVVOCATO”
… e, come favore personale…
NON CHIAMARE CINQUANTA VOLTE AL
GIORNO I VOSTRI REFERENTI INFORMATICI
Avv.EdoardoFerraro
MovimentoForense

GLI ATTI DELL’AVVOCATO
SONO ATTI INFORMATICI O DIGITALI
NON PER OBBLIGO DI LEGGE
MA SEMPLICEMENTE PERCHÉ SI SCRIVONO COL COMPUTER
Come tali, vanno:
1. SALVATI
2. CONSERVATI NEL LORO FORMATO DIGITALE
3. EVENTUALMENTE CONSEGNATI AL COLLEGA
Il fatto di stampare gli atti è una
MERA COMODITÀ
Avv.EdoardoFerraro
MovimentoForense
Gli atti

Che tipo di atti informatici dobbiamo
obbligatoriamente conoscere?
L’ORIGINALE INFORMATICO
IL DUPLICATO INFORMATICO
LA COPIA INFORMATICA
DI UN ATTO ANALOGICO
LA COPIA INFORMATICA
DI UN ATTO INFORMATICO
Avv.EdoardoFerraro
MovimentoForense
Gli atti informatici

È quel documento che noi generiamo attraverso il nostro programma
di videoscrittura e che trasformiamo direttamente in formato PDF
senza scansione. Nasce quindi digitale e viene predisposto o per
essere depositato telematicamente o per essere notificato tramite
PEC.
La caratteristica di tale tipo di PDF è che consentirà di selezionare, una
parte o tutto, il testo in esso riprodotto, copiarlo e incollarlo in altro
documento di word.
Tale tipo di documento informatico, prima di essere depositato
telematicamente o allegato alla PEC per essere notificato in proprio,
dovrà ESSERE SOTTOSCRITTO DIGITALMENTE; ciò che prima del PCT
firmavano a penna con il cartaceo adesso è obbligo firmarlo
digitalmente.
Tale tipo di documento informatico, essendo originale digitale, NON
RICHIEDE NESSUNA ATTESTAZIONE DI CONFORMITÀ.
Avv.EdoardoFerraro
MovimentoForense
1. L’originale informatico

Il duplicato informatico ha lo stesso valore dell’atto originale da cui
viene estratto: la sua struttura è identica a quella dell’originale sia dal
punto di vista informatico che dal punto di vista del contenuto.
Facendo la prova con l’impronta Hash del file, i duplicati avranno
sempre impronta identica a quella dell’originale.
È per tale motivo che se dal fascicolo informatico estraiamo i files
presenti quali duplicati informatici (da usare per notifica o deposito)
NON DOVREMO ATTESTARE ALCUNA CONFORMITÀ in quanto “I
duplicati informatici hanno il medesimo valore giuridico, ad ogni
effetto di legge, del documento informatico da cui sono tratti…” (art.
23 comma 1 decreto legislativo 7 marzo 2005 n. 82).
I duplicati informatici NON VANNO PER NESSUN MOTIVO
ULTERIORMENTE FIRMATI DIGITALMENTE.
Avv.EdoardoFerraro
MovimentoForense
2. Il duplicato informatico

È quel documento informatico che si ottiene in formato PDF dopo
aver effettuato la scansione di un documento cartaceo. Abbiamo il
nostro documento su carta, dobbiamo depositarlo telematicamente o
notificarlo tramite PEC e, per tale motivo, tramite scanner, ne creiamo
una copia informatica in PDF.
A differenza del documento informatico nativo digitale, il PDF così
ottenuto non consentirà di selezionare una parte o tutto il testo in
esso riprodotto, copiarlo e incollarlo in altro documento di word.
L’originale sarà sempre il documento cartaceo dal quale, tramite
scansione, abbiamo ottenuto una copia informatica (stesso valore di
una fotocopia, ove non autenticato).
Non andranno sottoscritti digitalmente, ma autenticati sull’atto
stesso o su atto separato (in caso di notifica, sulla relata).
Avv.EdoardoFerraro
MovimentoForense
3. Copia informatica
da atto analogico

La copia informatica dei nostri atti informatici presenti nel fascicolo
telematico è uguale all’originale depositato solamente dal punto di
vista del contenuto (il testo dell’atto), mentre è un atto “diverso” dal
punto di vista informatico.
In primo luogo non avrà la sottoscrizione digitale (il file sarà privo
dell’estensione .p7m). Inoltre, conterrà l’indicazione del fatto che
l’originale è firmato (la c.d. coccardina a margine).
La loro impronta Hash sarà sempre diversa da quella dell’originale:
ogni download di copia informatica produrrà un atto con impronta
diversa dal duplicato e dalle altre copie.
In caso di deposito telematico, potrà anche non essere autenticata
(non previsto da nessuna norma).
In caso di notifica a mezzo PEC, tali atti DOVRANNO ESSERE
AUTENTICATI nella relata di notifica. Le copie informatiche NON
VANNO ULTERIORMENTE FIRMATE DIGITALMENTE.
Avv.EdoardoFerraro
MovimentoForense
4. Copia informatica
da atto informatico

In informatica, un link ipertestuale (anche detto hyperlink o
collegamento ipertestuale) è una connessione tra due
documenti o unità informative; nella sostanza, si crea una
raccordo tra un documento ed una ulteriore fonte di
informazioni nello stesso citata (immagine, documento, altra
sezione del documento stesso, sito internet, indirizzo email,
ecc.), al fine di consentire un rapido passaggio tra più fonti.
Per poter essere notato dal lettore, un collegamento ipertestuale
normalmente viene distinto per qualche peculiarità grafica: le
più tipiche sono la sottolineatura o il mutamento del colore del
testo (di solito in blu). L'attivazione di un collegamento viene
effettuata attraverso un clic del mouse, cui segue la
visualizzazione della destinazione del collegamento.
Avv.EdoardoFerraro
MovimentoForense
I link ipertestuali

Per gli avvocati, che di norma usano programmi di videoscrittura
(Word, LibreOffice, OpenOffice, ecc.), si accede dal pannello
INSERISCI oppure come comando sulla barra, di norma
illustrato come un mondo con anelli di catena o semplicemente
con anelli di catena.
Avv.EdoardoFerraro
MovimentoForense
I link ipertestuali

1) Inserire in un folder l’atto con tutti i documenti predisposti
da allegare, già correttamente nominati.
2) Successivamente, si dovrà aprire l’atto con il proprio
programma di video scrittura.
3) Andrà selezionato nel testo, tenendo premuto il tasto
sinistro del mouse, le parole che diventeranno la fonte del
collegamento (ad es. doc. n. 01), come si vede nella foto 4.
Avv.EdoardoFerraro
MovimentoForense
I link ipertestuali:
collegare un documento

Cliccare su Applica e quindi salvare il file e convertirlo in PDF: i
link ipertestuali rimarranno presenti nel nuovo file.
Avv.EdoardoFerraro
MovimentoForense
collegare un documento

Selezionare la porzione di testo che sarà la destinazione della
navigazione (di norma il titolo della sezione che si intende
raggiungere).
Avv.EdoardoFerraro
MovimentoForense
creare un indice

Successivamente si dovrà cliccare sul comando di inserimento
del segnalibro e si aprirà una finestra per l’inserimento del
nome del segnalibro.
Avv.EdoardoFerraro
MovimentoForense
creare un indice

Quindi procedere come in precedenza per l’inserimento del link,
con destinazione non ad un file esterno ma verso una “sezione”
del documento stesso.
Avv.EdoardoFerraro
MovimentoForense
creare un indice

Dal 27 aprile 2018 è in vigore il DM 37/2018 che modifica il
precedente DM 55/2014 in tema di liquidazione dei compensi
per l’attività degli avvocati.
Tra le novità introdotte:
1-bis . Il compenso determinato tenuto conto dei parametri
generali di cui al comma 1 è di regola ulteriormente aumentato
del 30 per cento quando gli atti depositati con modalità
telematiche sono redatti con tecniche informatiche idonee ad
agevolarne la consultazione o la fruizione e, in particolare,
quando esse consentono la ricerca testuale all’interno dell’atto e
dei documenti allegati, nonché la navigazione all’interno
dell’atto.
VADEMECUM PER LA CREAZIONE DEI LINK IPERTESTUALI
Avv.EdoardoFerraro
MovimentoForense
perché farli?

Inizialmente era consentito solo il protocollo CAdES, che crea una
busta crittografata “attorno” all'atto, che viene codificato e vede
aggiunta l'estensione .p7m dopo l’estensione del file (ad esempio il
file firmato muta da file.pdf a file.pdf.p7m): può essere usata per tutti
i files.
Con le specifiche tecniche del 16.04.14 (art. 12 – 19 bis), è
consentita anche la firma col protocollo PAdES (o “firma aggiunta al
PDF), che può essere “grafica” o “invisibile”.
Può essere usato solo per file PDF, e il vantaggio è dato dal fatto che
il file resta un PDF leggibile, con in alcuni casi l'aggiunta
dell'indicazione “_signed” dopo il nome del file.
Altro protocollo è lo XAdES, che potrà essere usato per i file .xml (ad
esempio le fatture elettroniche).
Avv.EdoardoFerraro
MovimentoForense
I protocolli di frma digitale

Da tenere sempre a mente che
SCADE
POTREBBE ROMPERSI
POTRESTE PERDERLA
IL CERTIFICATO È DI “NON RIPUDIO”: MOLTO
DIFFICILE DARE PROVA CONTRARIA
IDENTIFICA L’AVVOCATO ANCHE IN “ALTRI”
RAPPORTI CON LA PUBBLICA
AMMINISTRAZIONE
Avv.EdoardoFerraro
MovimentoForense
La frma digitale

SI TRATTA DI DOCUMENTI INFORMATICI
LA STAMPA DI EMAIL ORDINARIA E DI PEC FA
PROVA SOLO FINO AL DISCONOSCIMENTO
VA SALVATA NEI FORMATI CONSENTITI PER IL
DEPOSITO TELEMATICO (EML O MSG)
LE PEC “SCADONO”: QUANDO IL CERTIFICATO
VIENE RINNOVATO, NON FA PIÙ PIENA
PROVA SALVO CONSERVAZIONE
Avv.EdoardoFerraro
MovimentoForense
La posta elettronica
(ordinaria e certifcata)

SI POSSONO AVERE PIÙ PEC, MA SOLO UNA
VA COMUNICATA AL COA
MAI DISATTIVARE UNA PEC PRIMA DI AVER
SCARICATO L’ARCHIVIO
NON È SUFFICIENTE UN BACKUP, MA È
SICURAMENTE NECESSARIO
LE PEC VANNO “CONSERVATE” A NORMA DI
LEGGE
Avv.EdoardoFerraro
MovimentoForense
La posta elettronica
(ordinaria e certifcata)

Art. 12 - Dovere di diligenza
L’avvocato deve svolgere la propria attività con coscienza e
diligenza, assicurando la qualità della prestazione
professionale.
Art. 13 - Dovere di segretezza e riservatezza
L’avvocato è tenuto, nell’interesse del cliente e della parte
assistita, alla rigorosa osservanza del segreto professionale
e al massimo riserbo su fatti e circostanze in qualsiasi
modo apprese nell’attività di rappresentanza e assistenza in
giudizio, nonché nello svolgimento dell’attività di
consulenza legale e di assistenza stragiudiziale e comunque
per ragioni professionali.
Avv.EdoardoFerraro
MovimentoForense
Brevi cenni deontologici:
Codice Deontologico Forense

Art. 26 - Adempimento del mandato
1. L’accettazione di un incarico professionale presuppone la
competenza a svolgerlo.
2. L’avvocato, in caso di incarichi che comportino anche
competenze diverse dalle proprie, deve prospettare al
cliente e alla parte assistita la necessità di integrare
l’assistenza con altro collega in possesso di dette
competenze.
3. Costituisce violazione dei doveri professionali il mancato,
ritardato o negligente compimento di atti inerenti al
mandato o alla nomina, quando derivi da non scusabile e
rilevante trascuratezza degli interessi della parte assistita.
Avv.EdoardoFerraro
MovimentoForense

Art. 28 - Riserbo e segreto professionale
1. È dovere, oltre che diritto, primario e fondamentale
dell’avvocato mantenere il segreto e il massimo riserbo
sull’attività prestata e su tutte le informazioni che gli siano
fornite dal cliente e dalla parte assistita, nonché su quelle
delle quali sia venuto a conoscenza in dipendenza del
mandato.
Avv.EdoardoFerraro
MovimentoForense

Principio (g) - competenza professionale:
L’avvocato non può fornire consulenza o rappresentare
efficacemente il cliente se non ha un’adeguata formazione
professionale, formazione che deve essere permanente
come risposta ai rapidi mutamenti del diritto e della
pratica dell’avvocatura e del contesto economico e
tecnologico. Le norme professionali sottolineano che
l’avvocato non può accettare un incarico se non è
competente nella materia della controversia che è
sottoposta alla sua attenzione.
Avv.EdoardoFerraro
MovimentoForense
Codice Deontologico CCBE

Avvocato
FATTURAZIONE ELETTRONICA
TRA PRIVATI
M O V I M E N T O
F O R E N S E
R O V I G O

La fatturazione elettronica obbligatoria tra privati e verso i
consumatori è entrata in vigore dal 1° gennaio 2019.
Il primo passo è stato fatto nel 2014 con la fattura elettronica
obbligatoria verso la Pubblica Amministrazione per tutti i
rapporti con la PA, gli enti pubblici e poi verso le società
quotate inserite nell’indice FTSE MIB della Borsa Italiana.
Dal 2017 il Sistema di Interscambio (il sistema dell’Agenzia delle
Entrate utilizzato per lo scambio delle fatture elettroniche) è
stato messo a disposizione anche degli operatori economici
privati per poter trasmettere e/o ricevere fatture elettroniche in
modo facoltativo.
La fatturazione elettronica:
normativa e scadenze
MovimentoForense
Avv.EdoardoFerraro

L’Italia ha chiesto alla Commissione Europea di poter introdurre
nell’ordinamento nazionale l’obbligo di emettere fatture
elettroniche anche nel settore privato, come già fatto con
successo verso la PA, in parziale deroga a quando contenuto
nella Direttiva 2006/112/CE in materia di IVA.
Tale richiesta è stata motivata dalla volontà di:
1) incrementare la capacità dell’Amministrazione Finanziaria di
prevenire e contrastare l’evasione fiscale e, soprattutto, le
frodi IVA, il cui gap è particolarmente elevato nel nostro paese;
2) aumentare la semplificazione fiscale;
3) ridurre il numero degli adempimenti fiscali, grazie ad una
maggiore quantità di dati a disposizione del Amministrazione
Finanziaria.
Avv.EdoardoFerraro
MovimentoForense

I termini previsti per la fatturazione elettronica tra privati
1) emissione della fattura elettronica obbligatoria dal 1 luglio
2018 per le cessioni di benzina o gasolio (poi rinviato al 1°
gennaio 2019 con provvedimento del Governo)
2) emissione della fattura elettronica obbligatoria dal settembre
2018 nei confronti dei soggetti extra-UE per quanto riguarda le
fatture emesse in ambito tax free shopping (ai sensi dell’art.
4-bis del Decreto Legge 22 ottobre 2016, n. 193)
3) emissione della fattura elettronica obbligatoria dal 1°
gennaio 2019 per tutte le operazioni tra privati, persone
fisiche e giuridiche
Avv.EdoardoFerraro
MovimentoForense

La fatturazione elettronica è un sistema digitale di emissione,
trasmissione e conservazione delle fatture che permette di
abbandonare per sempre il supporto cartaceo.
Sarà importante iniziare a prendere confidenza con concetti
quali “conservazione a norma” delle fatture elettroniche (e non
solo di quelle) che fino ad ora sono stati trascurati: cambia il
modo di “produrre” la fattura, ma anche di conservarla.
Il formato delle fatture è sostanzialmente un flusso di dati
strutturati in formato digitale con gli stessi contenuti
informativi di una fattura cartacea, ma scritto in linguaggio
XML...
KEEP CALM: non diventerete programmatori informatici
come funziona?
Avv.EdoardoFerraro
MovimentoForense

La fattura elettronica viene compilata tramite un software di
fatturazione elettronica.
Viene firmata digitalmente (tramite firma elettronica qualificata
con protocollo CADES o XADES) dal soggetto che emette la
fattura o dal suo intermediario in modo da garantire origine e
contenuto.
Chi emette la fattura dovrà poi inviarla al destinatario tramite
il Sistema di Interscambio che, per legge, è il punto di
passaggio obbligato per tutte le fatture elettroniche emesse
verso la Pubblica Amministrazione e verso i privati.
Dopo i controlli tecnici automatici, il Sistema di Interscambio
provvede a recapitare il documento alla PA o al soggetto
privato a cui è indirizzato.
come funziona?
Avv.EdoardoFerraro
MovimentoForense

Va fatta una distinzione tra:
1) fattura elettronica B2B (tra soggetti privati con Partita IVA)
2) fattura alla Pubblica Amministrazione
3) fattura verso consumatori (B2C)
Per sapere a chi recapitare la fattura elettronica il Sistema di
Interscambio leggerà un “codice” all'interno della fattura stessa,
che sarà diverso a seconda del tipo di destinatario:
1) B2B: tramite indirizzo PEC o Codice Destinatario SdI
2) PA: tramite il Codice Univoco dell'Ufficio
3) B2C: tramite il CF nel “Cassetto” dell'Agenzia delle Entrate
Il consumatore potrà chiedere anche la copia cartacea.
come funziona?
Avv.EdoardoFerraro
MovimentoForense

Una volta che prodotta la fattura elettronica (il file .XML) sarà
necessario firmarla digitalmente tramite firma elettronica
qualificata e poi inviarla tramite il Sistema d’Interscambio al
destinatario.
Si potrà fare sia “manualmente” - tramite i programmi di firma
digitale e successivamente con invio a mezzo Posta Elettronica
Certificata al Sistema di Interscambio - che tramite appositi
software o programmi gestionali che seguano in modo
automatico tutta la procedura.
Successivamente si dovrà obbligatoriamente procedere alla
conservazione sostitutiva il documento elettronico per 10 anni
tramite apposito sistema informatico.
come funziona?
Avv.EdoardoFerraro
MovimentoForense

La conservazione sostitutiva è una procedura informatica che
permette di conferire valore legale nel tempo a un documento
informatico equiparandolo all’originale cartaceo. La normativa
prevede che i lotti di fatture elettroniche vengano conservati per
10 anni sia da chi emette la fattura che da chi la riceve.
Vantaggi pratici della conservazione:
1. eliminazione dei costi di conservazione “cartacea”;
2. eliminazione del rischio di distruzione, corruzione o perdita;
3. abbattimento dei tempi per ricerca e consultazione.
Per tale procedura si dovrà utilizzare un apposito software, che
potrà essere o meno integrato in un gestionale.
conservazione sostitutiva
Avv.EdoardoFerraro
MovimentoForense

Dal 1° gennaio 2019 l’obbligo di emissione di fatture
elettroniche mediante il sistema di interscambio SdI fornito
dall’Agenzia delle Entrate è stato esteso a tutte le cessioni di
beni e le prestazioni di servizi effettuate tra soggetti privati
(partite IVA e consumatori finali).
Nel caso degli avvocati, tale obbligo è entrato in vigore nel caso
si tratti di prestazioni da e verso soggetti:
1) residenti;
2) stabiliti;
3) identificati nel territorio dello Stato.
soggetti obbligati
Avv.EdoardoFerraro
MovimentoForense

I soggetti NON obbligati all’emissione di fatture elettroniche
secondo la normativa sono:
1) coloro che applicano il regime forfettario (commi 54-89, art.
1, legge 190/2014);
2) coloro che applicano il regime dei minimi o regime di
vantaggio (commi 1 e 2, art. 27, decreto legge 98/2011);
3) chi effettua cessioni di beni e prestazioni di servizi nei
confronti di non residenti, comunitari ed extra comunitari.
ATTENZIONE!
I soggetti esclusi sono esonerati dalla sola EMISSIONE di
fatture elettroniche: questi dovranno dovranno pertanto
attrezzarsi per ricevere le fatture elettroniche.
soggetti “non” obbligati
Avv.EdoardoFerraro
MovimentoForense

Avvocato
GDPR: CASI D'USO PRATICI
E CENNI DEONTOLOGICI
M O V I M E N T O
F O R E N S E
R O V I G O

I dati sono diventati, soprattutto negli ultimi anni, un bene
meritevole di tutela.
Proprio in ragione di ciò, si sono sviluppate legislazioni e
normative al fine di garantirne la sicurezza.
I dati come oggetto di tutela
Avv.EdoardoFerraro
MovimentoForense

Il regolamento comunitario n. 679 del 2016, entrato in vigore il
25 maggio 2016 ma con termine per l’adeguamento fino al 25
maggio 2018, coinvolge anche gli studi professionali ed in
particolare, gli studi legali.
Il regolamento, comunemente abbreviato con l’acronimo GDPR
(General Data Protection Regulation) si occupa della protezione
dei dati personali e di tutelare la libera circolazione dei dati e
prevede significative novità rispetto al Codice c.d. Privacy
portato dal D.Lgs. 196/2003, passando da una tutela spesso
rimasta solo formale, a una tutela sostanziale del dato.
Si passa da una impostazione di Civil Law (di cui alla precedente
legislazione nazionale ed europea), ad una chiara struttura
normativa di Common Law.
I princìpi applicabili al
trattamento dei dati personali
Avv.EdoardoFerraro
MovimentoForense

Il Legislatore europeo responsabilizza i Titolari (e i Responsabili
del Trattamento) e affida loro il compito di adottare «misure
adeguate» di protezione dati, con ciò sganciandosi dalle check-
list e dalle misure minime di sicurezza del D.Lgs. 196/2003
(peraltro abrogate ora post D.Lgs. 101/2018).
Fondamentali per capire come interpretare ed applicare il GDPR,
ma anche la normativa italiana del D.Lgs. 101/2018, è
comprendere i due princìpi fondamentali che permeano il
regolamento:
Accountability = Responsabilizzazione
Compliance = Adeguamento spontaneo
Avv.EdoardoFerraro
MovimentoForense

Il GDPR non impone prescrizioni di dettaglio, ma chiede nella
sostanza che il dato venga tutelato al meglio delle possibilità
consentite dallo “stato dell’arte”, e che il titolare possa
dimostrare di aver attuato azioni positive per la tutela.
Ad oggi la realtà degli studi legali vede convivere studi formati
da un unico professionista, studi associati, studi che usano spazi
e servizi (es. la segreteria) condivisi, studi con sede in varie
regioni se non in vari stati, STP e studi con soci di capitale.
L’attuale assetto degli studi legali e la necessità di una tutela
sostanziale dei dati (che dipende dalla struttura e
dall’organizzazione dello studio oltreché dalle soluzioni tecniche
adottate) rende difficile individuare soluzioni omogenee o
standard.
Avv.EdoardoFerraro
MovimentoForense

Accountability si può interpretare come:
1) Disegnare procedure interne prima di porre in essere nuovi
trattamenti prevedendo “a monte” misure adeguate di
protezione dei dati già formate (privacy by design e by default)
2) Introdurre policy in materia di protezione dati, e
applicarle/pubblicarle (formare il personale!)
3) Mappare i trattamenti dati effettuati ed elaborare un
inventario (registro dei trattamenti) degli stessi
4) Istruire per iscritto i «soggetti designati» interni (art. 2
quaterdecies Codice novellato)
5) Designare un DPO (in alcuni casi obbligatorio, in altri
altamente consigliato) e comunicare il nominativo all’Autorità
Garante
Il principio di
accountability
Avv.EdoardoFerraro
MovimentoForense

6) Creare le procedure di gestione dei diritti degli Interessati
(stabilendo regole per l’accesso, la gestione del contenzioso, il
riscontro tempestivo etc.)
7) Introdurre le procedure per la rilevazione e comunicazione
(se del caso) dei data breach
8) Effettuare, ove necessario, le DPIA (valutazioni di impatto -
art 35)
9) Effettuare la valutazione dei rischi relativi ad ogni singolo
trattamento (ivi inclusa la valutazione dell’adeguatezza delle
misure tecnologiche/fisiche adottate a protezione dei dati
trattati).
10) Mantenere costantemente aggiornato e verificato il sistema
«privacy/data protection» introdotto
Il principio di
accountability
Avv.EdoardoFerraro
MovimentoForense

Legato alla natura “sfaccettata” e molteplice degli studi legali, è
il secondo principio che informa il GDPR, ovvero il principio di
compliance, in relazione al quale le attività del titolare devono
basarsi e adattarsi alla realtà di ogni singolo trattamento.
Volendo esemplificare, molti studi legali hanno un sito internet
“vetrina”, ma alcuni prevedono anche interazioni dirette con il
cliente tramite applicazioni o l’invio di newsletters, etc etc.
È chiaro che, quando si parla di tutela del dato, ad ogni realtà
corrisponde un diverso grado di rischio e, conseguentemente,
saranno diverse le attività da svolgere.
Il principio di
compliance
Avv.EdoardoFerraro
MovimentoForense

Dati personali: “qualsiasi informazione riguardante una persona
fisica identificata o identificabile («interessato»); si considera
identificabile la persona fisica che può essere identificata,
direttamente o indirettamente, con particolare riferimento a un
identificativo come il nome, un numero di identificazione, dati
relativi all'ubicazione, un identificativo online o a uno o più
elementi caratteristici della sua identità fisica, fisiologica,
genetica, psichica, economica, culturale o sociale”.
Trattamento: “qualsiasi operazione o insieme di operazioni [...]
e applicate a dati personali o insiemi di dati personali”.
I profli oggettivi
nel GDPR
Avv.EdoardoFerraro
MovimentoForense

Dati “particolari”(già detti “sensibili”): “dati personali che
rivelino l'origine razziale o etnica, le opinioni politiche, le
convinzioni religiose o filosofiche, o l'appartenenza sindacale,
nonché trattare dati genetici, dati biometrici intesi a identificare
in modo univoco una persona fisica, dati relativi alla salute o alla
vita sessuale o all'orientamento sessuale della persona”.
Il divieto di trattamento di tali dati non opera quando “il
trattamento è necessario per accertare, esercitare o difendere un
diritto in sede giudiziaria o ogniqualvolta le autorità
giurisdizionali esercitino le loro funzioni giurisdizionali”.
I profli oggettivi
nel GDPR
Avv.EdoardoFerraro
MovimentoForense

Natura dei dati raccolti:
Finalizzati: raccolti e trattati per uno scopo preciso, da
indicare.
Accurati: verificati e esatti, con eventuale correzione e
adeguamento.
Limitati: raccolti nei limiti di quanto serve allo scopo.
Riservati: custoditi con sistemi di sicurezza.
A tempo: trattati e conservati per il tempo strettamente
necessario allo scopo.
I profli oggettivi
nel GDPR
Avv.EdoardoFerraro
MovimentoForense

Titolare del Trattamento: persona fisica o giuridica che
determina finalità e mezzi di trattamento dei dati personali.
Nel caso di libero professionista che esercita la professione in
forma non associata è la persona fisica in quanto tale.
Nel caso di associazioni professionali o società tra
professionisti è l’entità nel suo complesso.
Nel caso di più avvocati associati in mandato, si parla di
contitolari (due o più titolari che determinano
congiuntamente le finalità e i mezzi di trattamento).
I profli soggettivi
nel GDPR
Avv.EdoardoFerraro
MovimentoForense

Con-titolari del Trattamento: due (o più) titolari che
determinano congiuntamente le finalità e i mezzi del
trattamento
Definiscono mediante un accordo interno, le rispettive
responsabilità in merito all’osservanza degli obblighi derivanti
dal presente regolamento, con particolare riguardo all’esercizio
dei diritti dell’interessato, e le rispettive funzioni di
comunicazione delle informazioni: l’accordo riflette i rispettivi
ruoli e i rapporti dei contitolari con gli interessati. Il contenuto
essenziale dell’accordo è messo a disposizione dell’interessato.
La responsabilità è “solidale”: l’interessato può esercitare i
propri diritti ai sensi del GDPR nei confronti di, e contro, ciascun
titolare del trattamento.
I profli soggettivi
nel GDPR
Avv.EdoardoFerraro
MovimentoForense

Responsabile del Trattamento: persona fisica o giuridica che
tratta dati personali per conto del titolare da nominare a mezzo
contratto o altro atto giuridico.
Si tratta di soggetti terzi rispetto lo studio a cui vengono
affidati a mezzo contratto o incarico dati personali (es.
commercialista, consulenti di parte, interpreti, consulente del
lavoro, amministratore di sistema, gestore cloud etc.) su cui il
titolare mantiene obbligo di vigilanza e responsabilità a titolo
di culpa in eligendo.
Soggetti designati (def. da D.Lgs. 101/2018) al Trattamento:
soggetto interno all’organizzazione su cui il titolare mantiene
obbligo di vigilanza e responsabilità a titolo di culpa in
eligendo. Va indicato nell'organigramma dell'organizzazione.
I profli soggettivi
nel GDPR
Avv.EdoardoFerraro
MovimentoForense

DPO - Responsabile Protezione Dati Personali: soggetto
designato dal titolare o dal responsabile del trattamento per
assolvere a funzioni di supporto e controllo, consultive,
formative e informative relativamente all'applicazione del
Regolamento medesimo.
Il suo nominativo va comunicato al Garante.
La sua nomina non è obbligatoria in relazione a trattamenti
effettuati da liberi professionisti operanti in forma individuale.
Resta comunque consigliata.
I profli soggettivi
nel GDPR
Avv.EdoardoFerraro
MovimentoForense

I dati vanno trattati in virtù di una base giuridica (art. 6)
affinché il trattamento possa considerarsi lecito.
Non è necessario ottenere sempre il consenso della persona
di cui si trattano i dati.
Va effettuata una valutazione in ragione della finalità del
trattamento e della tipologia del dato che viene trattato.
Tipologie di Basi giuridiche del trattamento:
Autorizzazioni generali del Garante (rinnovate a luglio 2018)
Consenso del soggetto interessato
Necessità di esecuzione di un contratto
Adempimento di un obbligo legale
Salvaguardia di interessi vitali
Esecuzione di un compito o un interesse pubblico
La base giuridica
del trattamento dei dati
Avv.EdoardoFerraro
MovimentoForense

Esemplificazioni di basi giuridiche del trattamento:
per i dati necessari a far valere un diritto in giudizio potrà
trovare fondamento nel provvedimento di autorizzazione
generale del Garante (rinnovate il 19 luglio 2018);
per i dati necessari a far valere un diritto in sede
stragiudiziale potrà trovare fondamento nel mandato;
per i dati acquisiti a mezzo web per l’invio di newsletter
dovrà essere acquisito un consenso specifico;
per i dati acquisiti a mezzo web a mezzo di un form
«collabora con noi» (es. cv) dovrà essere acquisito un
consenso specifico;
il sito internet dovrà rispettare la c.d. cookie law in relazione
alle attività di profilazione e dovrà esservi idonea informativa.
La base giuridica
del trattamento dei dati
Avv.EdoardoFerraro
MovimentoForense

Ove necessario il consenso per il trattamento dei dati personali,
questo dovrà essere preceduto dalle necessarie informazioni
relativamente alla finalità ed alle modalità del trattamento dei
dati.
Il consenso dovrà riferirsi ad un specifico trattamento e ad
una specifica finalità:
non può essere generico
non può essere estendibile a vari possibili trattamenti
va esclusa ogni forma di consenso tacito o mediante opzioni
preselezionate.
Il consenso
Avv.EdoardoFerraro
MovimentoForense

L'informativa (artt. 13 e 14) per la raccolta del consenso non
deve essere necessariamente scritta: potrà essere anche orale.
In ogni caso, si raccomanda di utilizzare la forma scritta in
quanto il GDPR impone al titolare di dover eventualmente
“dimostrare che l’interessato ha prestato il proprio consenso al
trattamento dei propri dati personali”.
Sarà quindi utile far anche sottoscrivere una dichiarazione in tal
senso.
L'informativa va raccolta in occasione del primo incontro, al
momento in cui viene affidato l'incarico e quando si
acquisiscono i dati personali.
Qualora non sia stata ottenuta presso l’interessato, va fornita
entro un termine ragionevole e comunque entro 30 giorni.
L'informativa
Avv.EdoardoFerraro
MovimentoForense

I contenuti che l'informativa deve avere sono i seguenti:
l'identità e i dati di contatto del titolare
i dati di contatto del responsabile della protezione dei dati
le finalità del trattamento (e la base giuridica)
gli eventuali destinatari dei dati personali
il periodo di conservazione dei dati personali
l'esistenza del diritto dell'interessato di chiedere al titolare
del trattamento l'accesso ai dati personali e la rettifica o la
cancellazione, oltre al diritto alla portabilità dei dati
l'esistenza del diritto di revocare il consenso
il diritto di proporre reclamo al Garante o al Giudice
se la comunicazione di dati personali è un obbligo legale o
contrattuale, nonché le possibili conseguenze della mancata
comunicazione di tali dati
L'informativa
Avv.EdoardoFerraro
MovimentoForense

Il GDPR (art. 25) introduce i due concetti di:
Privacy by design: la tutela della privacy come elemento atto
a prevenire il danno e non a rimediare ai problemi,
nell'ottica di una tutela sostanziale e non meramente
formale dei dati, caratterizzata da funzionalità e trasparenza
Privacy by default: per impostazione predefinita le imprese
dovrebbero trattare solo i dati personali nella misura
necessaria e sufficiente per le finalità previste e per il
periodo strettamente necessario a tali fini. Occorre, quindi,
progettare il sistema di trattamento di dati garantendo la
non eccessività dei dati raccolti
Privacy by default e
Privacy by design
Avv.EdoardoFerraro
MovimentoForense

Possono esemplificarsi alcune misure comuni che rispettino i
suddetti princìpi del GDPR:
definire procedure interne prima dei nuovi trattamenti
introdurre policy vincolanti per i nuovi trattamenti
mappare i processi (registro attività di trattamento)
designare un DPO se necessario, o funzioni similari
attuare programmi di formazione del personale
creare meccanismi interni per la gestione dei reclami
definire procedure interne per la notifica delle violazioni
della sicurezza (data breach)
effettuare la valutazione d’impatto per i trattamenti di dati
che comportano rischi specifici
effettuare procedure di verifica per assicurare che tutte le
misure siano applicate ed efficaci
Misure comuni
(esemplifcazione)
Avv.EdoardoFerraro
MovimentoForense

Non vi sono, comunque, misure organizzative valide per ogni
situazione: la valutazione e la scelta delle misure da
implementare dipende dalla modalità di gestione dello
studio.
Il GDPR statuisce che si debba tener conto “dello stato dell'arte
e dei costi di attuazione, nonché della natura, dell'oggetto, del
contesto e delle finalità del trattamento, come anche del
rischio di varia probabilità e gravità per i diritti e le libertà
delle persone fisiche, il titolare del trattamento e il responsabile
del trattamento mettono in atto misure tecniche e
organizzative adeguate per garantire un livello di sicurezza
adeguato al rischio”.
Misure comuni
(da valutare caso per caso)
Avv.EdoardoFerraro
MovimentoForense

Come esempi di misure tecniche adeguate possono essere
riprese le “misure di sicurezza minime” previste dall’allegato B
del Codice della Privacy:
Autenticazione informatica e gestione delle credenziali di
autenticazione (password, id personale, ecc.)
Aggiornamento periodico dell’ambito di trattamento
Protezione degli strumenti elettronici: lo studio deve
censire i sistemi hardware e software e valutare la
funzionalità (antivirus, sistemi operativi aggiornati, wi-fi)
Custodia di copie di sicurezza e verifica periodica della
corrispondenza e della funzionalità delle copie di backup
al fine di verificare integrità e disponibilità dei dati
Tecniche di cifratura per i dati “sensibili” (salute, sesso)
Conservazione documentale informatica
Misure tecniche
(un richiamo al Codice Privacy?)
Avv.EdoardoFerraro
MovimentoForense

Per provare (principio di accountability) l’adempimento alla
normativa privacy dobbiamo produrre alcuni documenti.
1) Documenti fondamentali:
Registro delle attività di trattamento dei dati
Definizione organigramma di studio
Policy utilizzo strumenti informatici e logistica dello studio
Informativa sul trattamento dei dati
Linee guida Data Breach (moduli notifica, registro violazioni)
2) Documenti che comunque è meglio produrre:
Contratto di co-titolarità
Contratto di nomina a responsabile esterno
Kit formazione nuovi dipendenti/collaboratori
Documento per l'esercizio dei diritti dell'interessato
Documento verifica gestione del rischio (DPIA)
La prova del rispetto
delle norme del GDPR
Avv.EdoardoFerraro
MovimentoForense

Il titolare del trattamento dovrà valutare l'attività dello studio
legale e come la stessa comporti il trattamento dei dati.
Ciò consentirà anche di impostare il registro dei trattamenti.
STEP 1
Individuare i soggetti interessati al trattamento
dipendenti
clienti
STEP 2
Individuare le tipologie e le finalità in ragione degli
interessati
dipendenti: gestione anagrafica, dati retributivi e
previdenziali, salute
clienti: gestione anagrafica, dati per l'incarico ricevuto
La valutazione del trattamento e
l'impostazione del registro
Avv.EdoardoFerraro
MovimentoForense

STEP 3
Individuare le categorie di dati
dipendenti: dati comuni e particolari (salute)
clienti: dati comuni e particolari (salute, condanne penali)
STEP 4
Individuare la base giuridica del trattamento
dipendenti: contratto
clienti: incarico / adempimento di legge / consenso
STEP 5
Individuare gli altri soggetti che trattano i dati in concreto
dipendenti: commercialista / consulente del lavoro
(responsabili)
clienti: collaboratore / co-mandatario / domiciliatario
(incaricati o responsabili)
Avv.EdoardoFerraro
MovimentoForense

STEP 6
Individuare i soggetti cui si comunicano i dati
dipendenti: PA / soggetti privati per date attività
clienti: autorità giudiziaria / PA
STEP 7
Individuare modalità e tempi di trattamento dei dati
dipendenti: 10 anni da cessazione rapporto di lavoro
Clienti: 10 anni da cessazione incarico / fine causa
Tutti questi dati, potranno essere utilizzati per redigere il
registro dei trattamenti.
Altre categorie di soggetti interessati potrebbero essere stagisti,
incaricati, responsabili.
Avv.EdoardoFerraro
MovimentoForense

Altro passaggio fondamentale sarà l'individuazione
dell'organigramma dello studio legale (da aggiornare ad ogni
modificazione), con indicazione dei ruoli di dipendenti e
collaboratori, tipologia dei dati trattati dagli stessi, ed ogni altra
indicazione utile per “censire” la struttura organizzativa.
Unitamente a tale descrizione, potranno aggiungersi la
descrizione delle misure tecniche-informatiche (descrizione
della strumentazione hardware, dei software, delle misure di
salvaguardia, ecc.), e la descrizione logistica dello studio (luoghi,
archivi, ecc.).
Il tutto andrà a delineare le misure “adeguate” poste in essere
dal titolare del trattamento.
L'organigramma dello studio e
la privacy policy
Avv.EdoardoFerraro
MovimentoForense

All'interno dello studio legale può succedere che più colleghi
seguano e gestiscano medesime posizioni o gli stessi clienti: il
caso del mandato congiunto è sicuramente il più comune.
Tale situazione comporta il dover determinare modalità e
finalità del trattamento attraverso un accordo interno in cui i
professionisti disciplinano anche le proprie responsabilità.
Il GDPR richiede nel contratto che andrà firmato tra i co-titolari,
alcuni elementi specifici:
Definizione dei ruoli dei contitolari per quanto riguarda il
trattamento dei dati
Regolamentazione sulla comunicazione delle informative
Definizione responsabilità in merito all’esercizio dei diritti
Individuazione di un punto di contatto tra gli interessati
Accordo interno di
con-titolarità
Avv.EdoardoFerraro
MovimentoForense

Vi sono soggetti “esterni” che sono sicuramente coinvolti nel
trattamento dei dati.
Tra questi i principali sono:
- Commercialisti
- Responsabili IT
- Periti / consulenti esterni (laddove non siano Co-titolari)
Tali soggetti devono impegnarsi a rispettare quanto stabilito
dal Titolare del trattamento quanto mezzi e finalità per le quali i
dati sono conferiti, nonché garantire l’adozione di misure
adeguate per la sicurezza del trattamento.
Il GDPR prevede che i trattamenti da parte dei Responsabili del
trattamento siano disciplinati da un contratto od altro atto
giuridico a norma del diritto comunitario o degli stati membri.
Contratto con il
responsabile del trattamento
Avv.EdoardoFerraro
MovimentoForense

In caso di Data Breach (“violazione di sicurezza che comporta
accidentalmente o in modo illecito la distruzione, la perdita, la
modifica, la divulgazione non autorizzata o l'accesso ai dati
personali trasmessi, conservati o comunque trattati”), il titolare
del trattamento notifica all'autorità di controllo competente
senza ingiustificato ritardo e, ove possibile, entro 72 ore dal
momento in cui ne è venuto a conoscenza, a meno che sia
improbabile che la violazione dei dati personali presenti un
rischio per i diritti e le libertà delle persone fisiche.
Qualora la notifica all'autorità di controllo non sia effettuata
entro 72 ore, è corredata dei motivi del ritardo.
Sarà onere del titolare giudicare se sia necessario effettuare la
segnalazione.
Data Breach:
l'obbligo di segnalazione
Avv.EdoardoFerraro
MovimentoForense

La notifica al Garante deve:
descrivere la natura della violazione dei dati personali
compresi, ove possibile, le categorie e il numero
approssimativo di interessati in questione, nonché le
categorie e il numero approssimativo di registrazioni dei dati
comunicare il nome e i dati di contatto del responsabile
della protezione dei dati o di altro punto di contatto presso
cui ottenere più informazioni
descrivere le probabili conseguenze della violazione
descrivere le misure adottate o di cui si propone l'adozione
da parte del titolare del trattamento per porre rimedio alla
violazione dei dati personali e anche, se del caso, per
attenuarne i possibili effetti negativi
Data Breach:
la segnalazione al Garante
Avv.EdoardoFerraro
MovimentoForense

DPIA: Quando e Come
Quando un tipo di trattamento, allorché prevede in particolare
l’uso di nuove tecnologie, considerati la natura, l’oggetto, il
contesto e le finalità del trattamento, può presentare un rischio
elevato per i diritti e le libertà delle persone fisiche, il titolare
del trattamento effettua, prima di procedere al trattamento, una
valutazione dell’impatto dei trattamenti previsti sulla
protezione dei dati personali.
Il titolare del trattamento, allorquando svolge una valutazione
d’impatto sulla protezione dei dati, si consulta con il
responsabile della protezione dei dati, qualora ne sia
designato uno.
La valutazione del rischio:
DPIA
Avv.EdoardoFerraro
MovimentoForense

DPIA: Quando e Come
La valutazione d’impatto sulla protezione dei dati di cui al
paragrafo 1 è richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali
relativi a persone fisiche, basata su un trattamento
automatizzato, compresa la profilazione, e sulla quale si fondano
decisioni che hanno effetti giuridici o incidono in modo analogo
significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati
personali di cui all’articolo 9, paragrafo 1, o di dati relativi a
condanne penali e a reati di cui all’articolo 10; o
c) la sorveglianza sistematica su larga scala di una zona
accessibile al pubblico.
La valutazione del rischio:
DPIA
Avv.EdoardoFerraro
MovimentoForense

Il D.Lgs. 101/2018:
normativa di “adeguamento”
Dal 19 settembre 2018 non ci sono più scuse: è stato pubblicato
in Gazzetta Ufficiale il Decreto Legislativo n. 101/2018 del 10
agosto 2018, che contiene la normativa di adeguamento del
precedente Codice della Privacy al GDPR.
Si deve ricordare che anche se operativamente le regole del
GDPR erano già entrate in vigore in modo automatico dallo
scorso 24 maggio 2018, si attendeva la normativa di cui sopra in
quanto alcune parti del Regolamento Europeo non avrebbero
potuto essere applicate “de facto”.
Oggi, tutti coloro che non si adegueranno alle norme vigenti
rischieranno sanzioni amministrative che si applicheranno
anche alle violazioni commesse in precedenza.
Avv.EdoardoFerraro
MovimentoForense

Il D.Lgs. 101/2018:
i princìpi generali
Il Decreto specifica e chiarisce alcune disposizione del GDPR ed
in particolare:
1) definisce in modo chiaro cosa si intenda per comunicazione
(dare conoscenza a uno o più soggetti determinati) e diffusione
(dare conoscenza a soggetti indeterminati) dei dati personali
2) individua nel Garante della Privacy l’Autorità incaricata del
controllo e della promozione delle regole deontologiche in
materia (circostanza assai rilevante, investendo problematiche di
“legittimazione attiva”)
3) stabilisce che il consenso al trattamento dei dati personali
potrà essere espresso solo al compimento dei 14 anni di età
Avv.EdoardoFerraro
MovimentoForense

Il D.Lgs. 101/2018:
4) tutti gli organi giudiziari avranno l’obbligo di nominare il
DPO e si precisano le limitazioni ai diritti degli interessati in
relazione a ragioni di giustizia
5) si rafforza il divieto di pubblicazione dei dati dei minori, e
si prevede una relativa sanzione penali
6) assume come rilevante l’interesse pubblico, che può portare
ad utilizzare i dati personali di determinati soggetti
7) dovranno essere adottate misure adeguate di sicurezza,
come tecniche di cifratura e di pseudonomizzazione a tutela
del dato personale, misure di minimizzazione e le specifiche
modalità per l’accesso selettivo ai dati
Avv.EdoardoFerraro
MovimentoForense

Il D.Lgs. 101/2018:
8) le misure di garanzia che riguardano i dati genetici e il
trattamento dei dati relativi alla salute per finalità di
prevenzione, diagnosi e cura sono adottate sentito il Ministro
della salute che, a tal fine, acquisisce il parere del Consiglio
superiore di sanità
9) è ammesso l’utilizzo dei dati biometrici con riguardo alle
procedure di accesso fisico e logico ai dati da parte dei
soggetti autorizzati, nel rispetto delle misure di garanzia e
protezione;
10) al Garante viene assegnato il compito di scrivere le misure
di garanzia per il trattamento di dati genetici, biometrici, sanitari;
Avv.EdoardoFerraro
MovimentoForense

L’Autorità di controllo irroga le sanzioni amministrative
pecuniarie previste in relazione alle violazioni del presente
regolamento in modo che siano in ogni singolo caso effettive,
proporzionate e dissuasive.
Ai fini sanzionatori si tiene conto di:
- la natura, la gravità e la durata della violazione
- la natura, l’oggetto o a finalità del trattamento
- numero di interessati lesi e la tipologia dei dati
- il carattere doloso o colposo della violazione
- le misure adottate dal titolare del trattamento
- precedenti violazioni
- la cooperazione con l’Autorità
- eventuali aggravanti o attenuanti
L’impianto sanzionatorio
- GDPR -
Avv.EdoardoFerraro
MovimentoForense

Misura delle sanzioni: a seconda del tipo di violazione e dei
criteri di valutazione, l’Autorità potrà comminare:
- sanzioni amministrative pecuniarie fino a 10.000.000 €, o per
le imprese, fino al 2 % del fatturato mondiale totale annuo
dell’esercizio precedente, se superiore
- sanzioni amministrative pecuniarie fino a 20.000.000 €, o per
le imprese, fino al 4 % del fatturato mondiale totale annuo
dell’esercizio precedente, se superiore
L’esercizio da parte dell’autorità di controllo dei poteri
attribuitile è soggetto a garanzie procedurali adeguate in
conformità del diritto dell’Unione e degli Stati membri,
inclusi il ricorso giurisdizionale effettivo e il giusto processo.
- GDPR -
Avv.EdoardoFerraro
MovimentoForense

- il D.Lgs. 101/2018 -
Le norme incriminatrici del vecchio Codice Privacy sono state
sostituite da quelle previste dal D.Lgs. 101/2018 e sono inoltre
affiancate sia da quelle previste dal GDPR.
Il vecchio art. 169 del Codice è stato depenalizzato (inosservanza
delle misure di sicurezza) e si è deciso di puntare su una
maggiore applicazione delle sanzioni amministrative nei casi
previsti dal Regolamento (GDPR).
Le sanzioni penali ancora permangono nella normativa italiana
ma “quando per lo stesso fatto è stata applicata a norma del
presente Codice o del Regolamento a carico dell’imputato o
dell’Ente una sanzione amministrativa pecuniaria dal Garante e
questa è stata riscossa, la pena è diminuita”.
Avv.EdoardoFerraro
MovimentoForense

- il D.Lgs. 101/2018 -
Un chiarimento in tema di applicazione delle sanzioni
In sede di audizione avanti le Commissioni di Camera e Senato è
stato richiesto un periodo di “moratoria” dalle sanzioni
amministrative di 8 mesi dall'entrata in vigore della normativa,
come avviene in Francia.
Il Governo non ha accolto tale richiesta sostenendo che ciò non
sia possibile. In ogni caso, nel D.Lgs. 101/2018 è previsto che, ai
fini dell’applicazione delle sanzioni amministrative per i primi
otto mesi il Garante terrà conto della fase di prima
applicazione ovvero l’autorità adotterà particolare prudenza e
giudizio nell’applicazione delle sanzioni amministrative, che
sono oggi molto elevate.
Avv.EdoardoFerraro
MovimentoForense

Aspetti deontologici
Come si collega la normativa sul trattamento dei dati
personali con la deontologia forense?
Art. 13 - Dovere di segretezza e riservatezza
L’avvocato è tenuto, nell’interesse del cliente e della parte
assistita, alla rigorosa osservanza del segreto professionale e al
massimo riserbo su fatti e circostanze in qualsiasi modo
apprese nell’attività di rappresentanza e assistenza in giudizio,
nonché nello svolgimento dell’attività di consulenza legale e di
assistenza stragiudiziale e comunque per ragioni professionali.
Avv.EdoardoFerraro
MovimentoForense

Art. 26 - Adempimento del mandato
3. Costituisce violazione dei doveri professionali il mancato,
ritardato o negligente compimento di atti inerenti al
mandato o alla nomina, quando derivi da non scusabile e
rilevante trascuratezza degli interessi della parte assistita.
Art. 28 - Riserbo e segreto professionale
1. È dovere, oltre che diritto, primario e fondamentale
dell’avvocato mantenere il segreto e il massimo riserbo
sull’attività prestata e su tutte le informazioni che gli siano
fornite dal cliente e dalla parte assistita, nonché su quelle delle
quali sia venuto a conoscenza in dipendenza del mandato.
Avv.EdoardoFerraro
MovimentoForense

Codice Deontologico CCBE
Principio (b) - Rispetto del segreto professionale e della
riservatezza delle controversie oggetto del mandato:
Uno degli elementi essenziali della professione forense è la
comunicazione all’avvocato di informazioni riservate che il
cliente, non rivelerebbe a nessun altro - le informazioni più
intime o i segreti commerciali più preziosi - e che l’avvocato
debba riceverle in via riservata. Senza la certezza della
riservatezza non può esservi fiducia. La Carta sottolinea la
duplice natura di tale principio - il rispetto della riservatezza
non è soltanto un dovere dell’avvocato, ma anche un diritto
fondamentale del cliente. Le norme in materia di segreto
professionale vietano di utilizzare le comunicazioni intercorse tra
avvocato e cliente contro quest’ultimo. [...]
Avv.EdoardoFerraro
MovimentoForense

Un breve vademecum a cura
del Movimento Forense
Cliccate sulle immagini per scaricare i vademecum
Avv.EdoardoFerraro
MovimentoForense

Le presente presentazione è aggiornata al momento della sua
pubblicazione.
Ciò nonostante, la natura stessa degli argomenti trattati esclude
la possibilità di controllare tutte le fonti esistenti e gli autori non
possono fornire alcuna garanzia in merito all'affidabilità ed
all'esattezza delle notizie riportate e declinano pertanto ogni
responsabilità per qualsiasi danno, diretto, indiretto, incidentale
e consequenziale legato all'uso, proprio o improprio delle
informazioni contenute in questo vademecum, ivi inclusi, senza
alcuna limitazione, la perdita di profitto, l'interruzione di attività
aziendale o professionale, la perdita di programmi o altro tipo di
dati ubicati sul sistema informatico dell'utente o altro sistema, e
ciò anche qualora gli autori fossero stati espressamente messi al
corrente della possibilità del verificarsi di tali danni.
Disclaimer
Avv.EdoardoFerraro
MovimentoForense

K E E P
C A L M
A N D
T R U S T
I N Y O U R P C
Grazie per l'attenzione
M O V I M E N T O
F O R E N S E
R O V I G O

Lo Studio Legale Digitale - GDPR, Fatturazione Elettronica e Deontologia

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Lo Studio Legale Digitale - GDPR, Fatturazione Elettronica e Deontologia

Similar to Lo Studio Legale Digitale - GDPR, Fatturazione Elettronica e Deontologia (20)

More from Edoardo Ferraro

More from Edoardo Ferraro (20)

Lo Studio Legale Digitale - GDPR, Fatturazione Elettronica e Deontologia