Trattamento dei dati e cloud nello studio legale

Torino, 19 gennaio 2018
Aula Magna del Palagiustizia
“Trattamento dati e servizi cloud nello studio legale:
aspetti informatici e responsabilità”
Pietro Calorio e Giuseppe Vitrani
Avvocati
Consiglio Ordine Avvocati Torino
Commissione ScientificaCentro Studi Processo Telematico

Gli avvocati e il digitale
Trattamento dati e servizi cloud nello studio legale: aspetti informatici e responsabilità – Calorio – Vitrani – 19/1/2018 - slide 2 di 54
Sono un avvocato del 2017!
https://youtu.be/XFWqtRea_78

 Velocità
 Economicità (poca spesa, grande resa)
 Scalabilità
 Duttilità
 Mobilità
 Libertà (di lavorare forse di più, ma certamente meglio)
 Trasparenza (a benefcco del clcente)
I “superpoteri” che acquisiamo col digitale

La responsabilità:
saper governare il cambiamento
Dal “Charter of Core Prcnccples of the European Legal Professcon
and Code of Conduct for European Lawyers”
http://www.ccbe.eu/fleadmin/speciality_distribution/public/docu
ments/DEONTOLOGY/DEON_CoC/IT_DEON_CoC.pdf

Il comune sentire
oscilla tra questo
e questo...
Vignetta di Dino Aloi nell’opuscolo
“Privacy: primi passi” di Ethos Academy Editore
Sicurezza e protezione dei dati

In realtà, in fondo,
parliamo di SAGGEZZA
DIKW
pyramid

Dato (nel linguaggio corrente):
“descrczcone elementare, spesso codcfcata, dc un'entctà, dc un
fenomeno, dc una transazcone, dc un avvencmento o dc altro.
L'elaborazione dei dati può portare alla conoscenza di un’
Informazione
“l'cnsceme dc datc, correlatc tra loro, con cuc un'cdea
(o un fatto) prende forma ed è comunccata”

Protezione e circolazione dei dati – opportunità e criticità verso il GDPR - 15/1/2018 - slide 8 di 54Avv. Pietro Calorio
Data processing →
Information
Information
processing →
Knowlegde
Knowledge
processing →
Wisdom

Il signifcato giuridico di (data) Processing (Trattamento)
(art. 4, comma 1 lett. a) d. lgs. 196/2003 - Codice Privacy)
“qualunque operazcone o complesso dc operazconc, effettuatc
anche senza l'ausclco dc strumentc elettronccc, concernentc la
raccolta, la regcstrazcone, l'organczzazcone, la conservazcone, la
consultazcone, l'elaborazione, la modcfcazcone, la selezcone,
l'estrazcone, cl raffronto, l'utclczzo, l'cnterconnesscone, cl blocco, la
comunccazcone, la dcffuscone, la cancellazcone e la dcstruzcone dc
datc, anche non regcstratc cn una banca dc datc”
= ogni “evento di contatto” con i dati
(ben oltre la “mera” elaborazcone,
per come la cntenderebbe cl data sccentcst)

“Processing” secondo il GDPR
(art. 4, sottoparagrafo 1, n. 2, Regolamento UE 2016/679)
“qualscasc operazcone o cnsceme dc operazconc, compcute con o senza
l’ausclco dc processc automatczzatc e applccate a dati personali o cnscemc
dc datc personalc, come la raccolta, la regcstrazcone, l’organczzazcone, la
strutturazcone, la conservazcone, l’adattamento o la modcfca,
l’estrazcone, la consultazcone, l’uso, la comunccazcone medcante
trasmcsscone, dcffuscone o qualscasc altra forma dc messa a dcsposczcone,
cl raffronto o l’cnterconnesscone,
la lcmctazcone, la cancellazcone o la dcstruzcone”
La parola “elaborazione” sparisce:
maggiore ampiezza della nozione giuridica
→ queste norme sono volte alla TUTELA della PERSONA

●Attuale situazione normativa in Italia
●
● Il D. Lgs. 196/2003 (Codice Privacy) è tuttora in vigore
● Alcuni provvedimenti generali del Garante decadono il 25/5/2018
(anche l’Aut. Gen. 4/2016 al trattamento dei dati sensibili da parte dei liberi professionisti)
● Delega al Governo ad adeguare il Codice (art. 13 L. 25/10/2017 n. 163)
● Alcuni interventi (anche discutibili) sono già stati attuati
● Le autorità di controllo europee e nazionali emanano linee
guida, vademecum e pareri che forniscono sovente spunti
importanti
● Il quadro è in continua e tumultuosa evoluzione

“Identikit” del GDPR
(Regolamento UE 2016/679)
● “General Data Protectcon Regulatcon”
● Direttamente applicabile a tutti i Paesi UE
● Aggiorna e abroga la “Direttiva Madre” (95/46), ormai superata
● In vigore dal maggio 2016, applicabile dal 25 maggio 2018
● Risultato di 4 anni di dibattito
● Si applica in maniera ubcquctarca (sia ai soggetti stabiliti in UE
sia ai trattamenti di dati di persone fsiche che sc trovano in UE)
● E’ la prima parte del “pacchetto” di norme UE sui dati
(seguiranno quelle sul “free fow” - libera circolazione dei dati non
personali: 2ND DATA PACKAGE)

GDPR - a cosa si applica (1 di 2)
Dato Personale
“qualscasc cnformazcone rcguardante una persona fsica
identifcata o identifcabile («cnteressato»); sc conscdera
cdentcfcabcle la persona fscca che può essere cdentcfcata,
direttamente o indirettamente, con partccolare rcfercmento a
un cdentcfcatcvo come cl nome, un numero dc cdentcfcazcone,
datc relatcvc all’ubccazcone, un cdentcfcatcvo onlcne o a uno o pcù
elementc carattercstccc della sua cdentctà fscca, fscologcca,
genetcca, pscchcca, economcca, culturale o soccale”

GDPR - a cosa si applica (2 di 2)
Dati Particolari
● genetici
● biometrici
● relativi alla salute
● relativi alle condanne penali e ai reati o a connesse misure di sicurezza
● Il Codice Privacy parlava di “dati sensibili”
Non esiste una lista, ma solo dei criteri
Cos’è dunque dato personale?

GDPR - a chi si applica
1) Controller (Titolare): decide mezzi e fnalità del trattamento
2) Processor (Responsabile): tratta dati per conto del Controller
3) Authorised (“Incaricato”): persona fsica dipendente da 1 o 2
4) Data Subject (Interessato): persona fsica a cui si riferiscono i dati
5) Recipient (Destinatario): chi riceve comunicazione di dati

Chi tratta dati personali deve
● farlo per fnalità legittime, esplicite e preventivamente defnite
● applicare principi/diritti (mcncmczzazcone, lcmctazcone, cancellazcone (“oblco”),
prcvacy by descgn, prcvacy by default) e tecniche (pseudoncmczzazcone, ccfratura)

Adempimenti a carico
di Controller e Processor
● Informativa agli Interessati (elementc nuovc)
● Ottenimento del consenso (ove necessario)
● Attuazione misure tecniche e organizzative “adeguate”
● Misure di sicurezza e Valutazione dei rischi
● Dimostrazione/rendicontazione di quanto attuato (prin-
cipio dell’accountability)
● Riesame e aggiornamento delle misure ove necessario
→ Nello specifco per gli studi legali, v. infra

Il Data Subject ha diritto di
● ricevere l’informativa
● accedere ai dati
● chiederne rettifca e cancellazione (“oblco”)
● opporsi al trattamento o chiederne la limitazione
● richiedere la portabilità dei dati
● proporre reclamo ad un’Autorità di Controllo
● dare mandato a organizzazioni per la tutela dei
propri diritti (art. 80 - class action)

Responsabilità
● Il Controller deve provare di non aver alcuna
responsabilità nella causazione del danno (= dc avere
attuato le mcsure adeguate)
● Il Processor risponde solo se non ha rispettato il
regolamento o ha operato senza osservare le legittime
istruzioni del Controller
● Il Data Subject danneggiato può rivolgersi all’uno o
all’altro, che sono responsabili in solido (con possibilità di
regresso interno)

Sanzioni
● Amministrative pecuniarie:
➔ Fascca bassa: fno a €110M e 2 fatturato annuo globale
➔ Fascca alta: fno a €120M e 4 fatturato annuo globale
➔ Cumulo giuridico in caso di più violazioni (art. 83.3)
➔ Criteri per graduare la sanzione
➔ Non sono previste soglie minime
● Penali (→ Codcce Prcvacy)

Il GDPR ci chiede
un cambio di approccio
Ispcrazcone da “What Is Personal Data Under GDPR?”
(https://www.youtube.com/watch?v=qJX3fbq3fOg=)

✔ Codice privacy: Il trattamento di dati personali è attività
pericolosa ai sensi dell'art. 2050 c.c., e il risarcimento di danni
non patrimoniali è dovuto per legge (art. 15 Cod. Privacy)
✔ MISURE DI SICUREZZA: “idonee e preventive” e “minime”
✔ Regolamento UE 2016/679 (“GDPR”) – applicabile dal 25
maggio 2018
✔ MISURE TECNICHE E ORGANIZZATIVE “ADEGUATE” →
“accountability”
Art. 13 Cod. Deontologico: dovere di segretezza e
riservatezza: si estende anche ai dati contenuti nei
computer… → rilevanza anche disciplinare delle violazioni
della normativa privacy
Dal Codice Privacy al GDPR

Cosa va fatto? (1 di 2)
● Revisione informative (chiarezza, concisione) →
anche per il scto web, anche per consolidare
immagine e reputazione dello studio!
● Acquisizione del consenso (dati particolari!!!)
● Contratto come responsabile del trattamento dei
dati personali (di soggetti diversi dai clienti)
(cfr. Parere WP29 n. 1/2010, pag. 29 e v. nuovo art. 29 c. 4-bis d. lgs. 196/2003)

Cosa va fatto? (2 di 2)
● Contratti/nomine di incaricati/autorizzati (collaboratori e
dipendenti)
● Contratti di trattamento dati (responsabili esterni: es.
consulente fscale; i contratti di servizi IT di norma regolano questi
aspetti, ma prestare attenzione)
● Notifca dei data breach (art. 31 GDPR) [“senza ingiustifcato ritardo
e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia
improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà
delle persone fsiche. Qualora la notifca all’autorità di controllo non sia effettuata entro 72
ore, è corredata dei motivi del ritardo”]
● Tenuta del registro dei data breach
● Policy e procedure sui dispositivi e servizi informatici
(es. PEC e frma digitale!)

Cosa potrebbe doversi fare? (1 di 2)
● Registro dei trattamenti? V. art. 30.5 GDPR: no registro
“a meno che cl trattamento [...] possa presentare un rcschco per c dcrcttc
e le lcbertà dell’cnteressato, cl trattamento non sca occasconale o
cncluda cl trattamento dc categorce partccolarc [...], o c datc personalc
relatcvc a condanne penalc e a reatc [...]” → diffcile rientrare in
esenzione!
●
Valutazione d’impatto (DPIA)? v. considerando 91:
”cl trattamento dc datc personalc non dovrebbe essere conscderato un
trattamento su larga scala qualora rcguardc datc personalc dc [...] clcentc
da parte dc un scngolo [...] avvocato. In talc casc non dovrebbe essere
obblcgatorco procedere a una valutazcone d’cmpatto sulla protezcone
dec datc” → quid se (ad es.) studio associato?

Cosa potrebbe doversi fare? (2 di 2)
● Nomina di un Responsabile della protezione dei
dati (Data Protection Offcer – DPO): art. 37.1 lett. c)
GDPR: “le attcvctà prcnccpalc del tctolare [...] conscstono nel
trattamento, su larga scala, dc categorce partccolarc dc datc
personalc o dc datc relatcvc a condanne penalc e a reatc [...]” ( per la
nozione di “larga scala” → Parere WP29 n. 243 sul DPO, pp. 9-11)
● Organizzarsi (non è ancora chcaro come) per
consentire l’esercizio dei diritti degli Interessati:
➔alla cancellazione (“oblio”) - art. 17 GDPR
➔alla portabilità dei dati – art. 20 GDPR

✔PASSWORD (computer, apparatc dc rete, wc-f, smartphone):
aggiornamento, custodia adeguata, salvataggio
informatico (non su agende o fogliacci, ci sono software
appositi – KeePass, consigliato anche da Edward Snowden)!
✔BACKUP: TRAGICO ricordarsene solo quando si
perdono i dati!!!
http://messaggeroveneto.gelocal.it/udine/cronaca/2016/10/14/news/rubati-i-computer-ditta-in-
ginocchio-1.14249804
✔ Crittografa (cominciamo dai drive USB!)
✔ CLOUD v. ampiamente dopo→
"No Privacy without Security”

Guida del CCBE sulle principali misure di compliance per gli studi
legali (in inglese)
I controlli essenziali di cybersecurity (Cyber Intelligence and In
formation Security dell'Università "La Sapienza" di Roma)
(spuntc da http://www.altalex.com/avvocatoquattropuntozero,
rubrcca della gcornalcsta e gcurcsta Claudca Morellc)
Per approfondire

GENERALMENTE
✔ l’assicurazione copre il rischio derivante dalla custodia di
documenti (v. anche D.M. 22/9/2016)
✔ esclude la perdita o alterazione di dati a causa di disfunzioni
di sistemi informatici e/o accesso non autorizzato agli stessi
RISCHIO INOPERATIVITA’ DELLA POLIZZA
Ricadute assicurative
VALUTARE COPERTURE ASSICURATIVE SUI RISCHI INFORMATICI

L’angolo del buonumore

E’ problema solo tecnico? NIENTE AFFATTO

Occorre promuovere la
CULTURA del DATO nello studio
dal punto di vista tecnico (certamente),
ma a monte attenzione massima ai fattori
UMANI
(formazione, istruzione, consapevolezza, motivazione)
e GIURIDICI
(contratti, policy e procedure)

Anno del Signore 2015
e-mail da uno studio legale:
“purtroppo cerc sera sono statc
rubatc c computer sca dell’avv. X
che dell’avv. Y: chcedcamo pertanto
a tuttc dc rcmandare le macl
dell’anno 2015, compresa, se
posscbcle, l’eventuale rcsposta.
Grazce della collaborazcone.”
Ormai un grande classico

IL CLOUD COMPUTING
PER LO STUDIO PROFESSIONALE

Che cos’è il cloud computing?
https://www.youtube.com/watch?v=OWbKKtLSd
3s

UNA DEFINIZIONE PIU’ SERIA…..
Il cloud computing è un modello per abilitare,
tramite la rete l’accesso diffuso, agevole e a
richiesta, ad un insieme condiviso e
confgurabile di risorse di elaborazione (ad
esempio reti, server, memoria, applicazioni e
servizi) che possono essere acquisite e rilasciate
rapidamente e con minimo sforzo di gestione o
di interazione con il fornitore di servizi
(fonte: N.I.S.T. - National Institute for Standard and
Technology)

I MODELLI DI CLOUD COMPUTING

Perché occorre difendersi
dai rischi del cloud?

Quali sono i rischi?
MANCANZA DI CONTROLLO SUI DATI
Affdando dati personali a sistemi gestiti da un fornitore di
servizi cloud, i clienti rischiano di perdere il controllo
esclusivo dei dati e di non poter prendere le misure
tecniche e organizzative necessarie per garantire la
disponibilità, l’integrità, la riservatezza, la trasparenza,
l’isolamento, la portabilità dei dati e la possibilità di
intervento sugli stessi

COME SI POSSONO
CONCRETIZZARE TALI RISCHI?
● scarsa interoperabilità
● mancanza di riservatezza
● scarsa possibilità di intervento in termini di:
➔ accesso
➔ cancellazione
➔ correzione dei dati

MA IL CLOUD COMPUTING
HA ANCHE DEI VANTAGGI
MISURE DI
SICUREZZA
SISTEMI
FLESSIBILI
COSTI
CONTENUTI

LE RISPOSTE DEL GDPR
Il Regolamento Generale sulla Protezione dei dati personali si
applica:
1) al trattamento di dati personali nel contesto delle attività di uno
stabilimento di un Titolare o di un Responsabile nell’Unione,
indipendentemente dal fatto che il trattamento abbia luogo o
meno nella UE;
2) al trattamento di dati personali effettuato da titolari non stabiliti
nell’Unione Europea se il trattamento ha ad oggetto dati
personali di interessati che si trovano nella UE e riguarda (1)
l’offerta di beni o servizi (anche non a pagamento) ai suddetti
interessati (2) il monitoraggio del loro comportamento nel
territorio dell’Unione Europea.

QUINDI….
POTREMO INVOCARE CONTRO «I COLOSSI» DEL CLOUD I
DIRITTI RICONOSCIUTI DAL REGOLAMENTO PRIVACY:
 DIRITTO ALLA PORTABILITA’ DEI DATI
 DIRITTO ALL’OBLIO / ALLA DEINDICIZZAZIONE
 LIMITI ESISTENTI PER LE ATTIVITA’ DI PROFILAZIONE

ABBIAMO RISOLTO TUTTI I PROBLEMI?

IN REALTA’…..
il Cloud Provider sarà contitolare del
trattamento o responsabile esterno
responsabile in via solidale
con il titolare (es. l’avvocato)
ove sorgano problemi ben diffcilmente
ne verrà evocata la responsabilità

INOLTRE
●il cliente deve (e dovrà) essere debitamente
informato che i suoi dati vengono trattati su
piattaforme cloud
●potrà esercitare i propri diritti nei confronti di
e contro ciascun titolare (o contitolare) del
trattamento
●e in caso di inadempimento del Cloud
Provider c’è sempre la responsabilità solidale

SPOSTIAMO L’ATTENZIONE
SULLE CONDIZIONI DI SERVIZIO

QUALI CAUTELE PER GLI AVVOCATI?
http://www.ccbe.eu/fleadmin/speciality_distribution/public/documents/IT_LAW/ITL_Position_pap
ers/EN_ITL_20120907_CCBE_guidelines_on_the_use_of_cloud_computing_services_by_lawyers.pdf

MOLTO IMPORTANTE

IL QUADRO EUROPEO
➢ 24.6 percent of cloud services are GDPR-ready
➢ Webmail makes up 42.3 percent of DLP violations
➢ 67.1 percent of them did not specify that the customer owns the
data,
➢ 80.4 percent of the services did not support encryption at rest
➢ 41.9 percent replicated data in geographically dispersed data
centers
Fonte Netskope settembre 2017 report

MA POSSIAMO SAPERE
DOVE SONO I NOSTRI DATI?
IN ALCUNI CASI SI’
https://products.offce.com/it-IT/where-is-your-
data-located?ms.offceurl=datamaps&geo=All

UN INVITO….
NON GESTIRE I DATI COSI’…..
https://www.youtube.com/watch?v=CZ5GsLeyfec

Grazie per l'attenzione
Presentazione preparata dagli Avv. Pietro Calorio e Giuseppe Vitrani del foro di Torino,
Soci fondatori del Centro Studi Processo Telematico
http://it.linkedin.com/in/pietrocalorio/
http://it.linkedin.com/in/giuseppevitrani
Rilasciata, salvo dove diversamente specifcato, con licenza Creative Commons
(www.creativecommons.org)
attribuzione – non commerciale - condividi allo stesso modo 4.0 Italia (CC NC-BY-SA 4.0 IT)
https://creativecommons.org/licenses/by-nc-sa/4.0/deed.it
(credits a Claudia Morelli, G.B. Gallus, Simone Aliprandi,
Francesco Paolo Micozzi, Andrea Ghirardini,
agli avvocati e all’Internet in generale :D)
@PietroCalorio
@GVitrani

Trattamento dei dati e cloud nello studio legale

More Related Content

What's hot

Similar to Trattamento dei dati e cloud nello studio legale

More from Pietro Calorio

Trattamento dei dati e cloud nello studio legale