In Italia possiamo datare con certezza la vera rivoluzione digitale per l’avvocato: 30 giugno 2014.
E’ solo da quella data che gli avvocati hanno iniziato a preoccuparsi di cose a cui fino ad allora non pensavano li riguardassero: protezione dei dati personali, antivirus, conservazione dei files.
Quella data è il nastro di partenza del Processo telematico, fino ad allora usato da pochi pionieri, sperimentatori dei vari Consigli degli Ordini di Italia. Del resto sappiamo bene che la categoria (io sono testimone, facendone parte), finchè non v’è obbligo legislativo, non è spinta ad abbandonare la confortevole routine.
Dicevamo, il 30 giugno 2014 parte l’obbligatorietà dell’invio telematico degli atti endoprocessuali. Ed iniziò il delirio…
Tutti noi abbiamo preso d’assalto software, redattori e gestionali per avere qualcosa con cui spedire la famigerata busta telematica. Abbiamo imparato termini strettamente informatici: pdf nativo, token, cifratura, hash…HASH! Siamo stati bravi, chi più chi meno. Siamo stati pronti al cambiamento, anche se c’è ancora qualcuno che non ne capisce l’importanza e la portata. Per fortuna pochi.
Adesso ci tocca lo step successivo, o meglio gli step.
Sto parlando di privacy, sicurezza e conservazione a norma del documento informatico.
Privacy e sicurezza
Con il Dlgs 196/2003 il legislatore obbligò diverse categorie professionali a compilare il famoso DPS (Documento Programmatico sulla Sicurezza) che doveva contenere tutta una serie di informazioni relative alla modalità di acquisizione e conservazione dei dati personali gestiti da soggetti che ne venissero in possesso in ragione del lavoro svolto. Tra queste c’erano anche gli avvocati, che, il 31 marzo di ogni anno, si incontravano nelle file chilometriche dell’ufficio postale per apporre a questo malloppo di fogli il timbro che cristallizzava l’avvenuta presentazione agli uffici competenti e quindi la regolare tenuta di tale documento. Ve lo ricordate?
Solo pochi anni dopo tale obbligo cessò. E con esso il Dlgs 196/2003 divenne un fastidioso ricordo.
Il problema è che non cessò l’obbligo di attenersi alle regole in esso contenuto. In particolare:
Art. 31 (Obblighi di sicurezza) I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Art. 33 (Misure minime) Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.
Art. 34 (Trattamenti con strumenti elettronici) Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza (BACKUP!!!), il ripristino della disponibilità dei dati e dei sistemi;
[g) (abrogato) ]
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Non voglio spaventarvi cari lettori, ma a queste prescrizioni son legate anche delle sanzioni per chi non si attiene a quanto in esse disposto…
Al titolo III del decreto troviamo le sconosciute sanzioni, che vengono distinti in violazioni amministrative (artt. 161-166) e illeciti penali (artt. 167-172).
Tanto per citarne qualcuna di queste violazioni, quella che la maggior parte di noi involontariamente potrebbe aver commesso:
art. 161 Omessa o inidonea informativa all’interessato: sanzione amministrativa da € 6.000 a € 36.000.
Caso tipico: arriva il cliente in studio con la sua bella cartellina piena di documenti che, secondo lui, giustificano l’apertura di un procedimento o il semplice invio di una diffida (quindi atto stragiudiziale). Il “bravo” avvocato dovrebbe, insieme alla procura alle lite, far firmare al cliente anche il documento con cui quest’ultimo lo autorizza al trattamento dei suoi dati personali. Voi normalmente lo fate? Occhio alle sanzioni…
Poi ci sono i casi più gravi:
art. 167 Trattamento illecito dei dati: è punito, se dal fatto deriva nocumento, con la reclusione da 6 a 18 mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da 6 a 24 mesi.
Caso limite: noi abbiamo fatto tutto quanto richiesto dal decreto (o pensavamo di averlo fatto), ma… arriva uno sconosciuto e ci ruba il pc o il suo contenuto, anche da sedi remote (l’hacker). E qui son dolori… Non so se vi è capitato di leggere qualche tempo fa un articolo in cui un famoso hacker affermava che il 2015 ci sarebbe stata un’ondata di devastazione informatica a danno di avvocati e commercialisti. Ecco, a qualcuno di voi sarà capitato di sicuro. Quindi prendiamo le dovute precauzioni.
Quello sulla sicurezza informatica è un tema talmente vasto e delicato che preferirei occuparmene in altro momento, anche per non traumatizzarvi troppo!
Per il momento restiamo concentrati sul Codice privacy e sugli obblighi in esso contenuti.