LA PRIVACY NELLO STUDIO LEGALE Avvocati di Monza e... · Codice privacy Codice deontologico “privacy” •La norma primaria (cod. privacy) prevede che il rispetto dei codici deontologici

La privacy negli studi legali

CompLetence © 2010

LA PRIVACY NELLO STUDIO LEGALE

Monza – 15 febbraio 2010

Avv. Rosario Imperiali


CompLetence © 2010

Sommario

• PARTE I - Piattaforma normativa– Codice privacy

– Codici deontologici “privacy” e forense

– Differenze e relazioni

• PARTE II - Il regime privacy per l’avvocato– Lo “spartiacque” del principio di finalità

– Adempimenti in generale e semplificazioni per l’avvocato

• Informativa, consenso, notificazione al Garante

– Misure minime di sicurezza in genere e semplificazioni

• DPS e Amministratori di sistema

– Organizzazione e modalità operative

– Come adeguarsi e conclusioni

3

CompLetence © 2010

• Codice privacy• Codice deontologico “privacy” • Codice deontologico forense• Differenze e relazioni

PARTE IPiattaforma normativa


CompLetence © 2010

Codice privacy: brevi cenni ed evoluzioni

• In vigore dal 2004 da fonte comunitaria

• Corpo organico di principi e regole, generali e di settore

• Soggetto a sollecitazioni: ad oggi 18 interventi modificativi– Alcuni di semplificazione

– Altri di stampo lobbystico

• Allegazione dei codici deontologici “privacy”

• Ricorso discontinuo al parere preventivo del Garante nel processo di formazione delle leggi di “rilevanza privacy”

• Bilanciamento di interessi sotto frizione– Sicurezza pubblica, media, tecnologia, social network, giustizia


CompLetence © 2010

La specificità dei codici di deontologia “privacy”

• Il dibattito privacy internazionale tra autodisciplina (USA) e regolamentazione normativa (UE)

• L’approccio UE

• La soluzione italiana– Speciale procedura di formazione

– Valore di norma atipica di rango secondario


CompLetence © 2010

Redazione

Base giuridica

Verifica

Divulgazione

Efficacia

Promozione

Pubblicazione sulla Gazzetta Ufficiale

Da Garante o da legge

Rappresentanti delle categorie interessate

Raccomandazioni del Consiglio d’Europa, leggi e regolamenti

Ad opera del Garante, della conformità ai principi di legge e di regolamento

Prerequisito della liceità del trattamento

Processo di formazione dei codici deontologici “privacy”


CompLetence © 2010

Il codice deontologico “privacy”

• Entrato in vigore il 1 gennaio 2009

• Vincola tutti coloro che gestiscono dati personali per le finalità e negli ambiti in esso previsti– Investigazioni difensive

– Difesa di un diritto in sede giudiziaria (ma inclusa assistenza legale stragiudiziale)

• Ambito: penale, civile, amministrativo, tributario, arbitrato, conciliazione


CompLetence © 2010

Relazione tra codice privacy e codice deontologico “privacy”

Codice privacy

Codice deontologico

“privacy”

• La norma primaria (cod. privacy) prevede che il rispetto dei codici deontologici è condizione di liceità del trattamento

• I codici deontologici, quindi, sono fonte di diritto oggettivo

• Le disposizioni sono obbligatorie con funzione integrativa della legislazione

• L’efficacia dei codici deontologici non è più solo “intra” ma ultra-categoriale

• La loro violazione rende applicabili le sanzioni privacy e rileva ai fini della valutazione della risarcibilità del danno privacy (art. 15)


CompLetence © 2010

Il Codice deontologico forense affronta questo tema?Inviolabilità della difesa

(art. 11)Dovere di segretezza

(art. 9)

Dovere di riservatezza e discrezione(artt. 9 e 18)

Rapporti con i testimoni(art. 52)

Dovere di fedeltà(art. 7)

Dovere di aggiornamento professionale (art. 13)

Rapporti con la stampa(art. 18)

Rapporti con i colleghi(artt. 22 e ss.)

Dovere di informazione all’assistito(art. 40)

Dovere di restituzione di documenti(art. 42)

Riferimenti al codice deontologico forense


CompLetence © 2010

Quali sono le differenze tra i due codici deontologici?

• Norma atipica di secondo grado

• Integrativa della legge primaria

• Valenza ultra – categoriale

• Garante, organo amministrativo competente ad irrogare le sanzioni pecuniarie

• Applicabili le sanzioni privacy

• “esplicitazioni dei principi generali, contenuti nella legge professionale forense” interpretabili dalla Cassazione (SU n.8225/02 e n. 26810 del 2007)

• Funzione integrativa della norma legislativa in bianco

• Valenza intra – categoriale

• Consiglio Nazionale Forense quale organo speciale di giurisdizione (6° disp.trans. Cost.; SU 187/01 e 5072/03)

• Applicabili le sanzioni disciplinari


CompLetence © 2010

Quali sono le relazioni tra i due codici deontologici?

Codice deontologico

“privacy”

Codice deontologico

forense

In ipotesi di violazioneNon incide necessariamente sull’applicazione delle sanzioni disciplinari

Può costituire elemento di

valutazione della correttezza del

trattamento

12

CompLetence © 2010

• Adempimenti• Misure minime di sicurezza• Organizzazione e ruoli operativi• Come adeguarsi• Conclusioni

PARTE IIRegime speciale “privacy” per

l’avvocato


CompLetence © 2010

L’avvocato gode di un regime speciale privacy?

• Parzialmente. Il regime speciale non si riferisce allo avvocato, in quanto appartenente alla categoria forense

• Si applica solo all’utilizzo dei dati per scopi relativi alla assistenza legale (eccetto “stragiudiziale puro”), alla difesa di diritti in giudizio, alle investigazioni difensive

• Il “principio di finalità” è lo spartiacque tra i regimi “speciale” e generale, entrambi applicabili all’avvocato (le regole seguono la finalità non la categoria di destinatari: distinguo tra aree operativa e professionale)

Ad es. per l’uso di dati per finalità amministrativo – contabili (fatturazione, gestione di pagamenti e tributi), per la gestione del personale dello Studio

o nei rapporti di fornitura si applicano le regole generali


CompLetence © 2010

Quand’è che l’avvocato deve rilasciare l’informativa?Informativa

Consenso

Notificazione

Prior checking

• Anche orale ed una tantum rispetto al complesso dei dati raccolti

• Per clienti, dipendenti, collaboratori, fornitori, ecc.

• Anche mediante affissione nei locali

• Casi in cui non è richiesta• a) i dati non sono raccolti presso

l’interessato (es. interviste a terzi o riprese audio/video) e

• b) solo per fini di difesa in giudizio o per investigazioni difensive (art. 13.5, lett. b) cod. privacy)

Ricordarsi dell’informativa nella selezione del personale, nelle sollecitazioni al contatto sul sito web, nei rapporti con soggetti esterni


CompLetence © 2010

Fac-simile di informativa stragiudiziale per clienti• Intestazione (art. 13 dlgs. 196/2003 – codice privacy)

– Lo Studio …, Titolare del trattamento dei Vostri dati, Vi informa, che le informazioni che Vi riguardano (anagrafiche, coordinate bancarie, informazioni relative all’incarico) verranno utilizzate per l’esecuzione dell’incarico e per l’adempimento di obblighi di legge.

• Modalità (come sono utilizzati)– I Vostri dati personali verranno gestiti con strumenti elettronici e cartacei da

nostri Incaricati (professionisti, impiegati dell’amministrazione).

• Flussi e soggetti (come circolano)– Per i predetti scopi, i dati potranno essere comunicati a terzi che agiscono per

nostro conto (es. : penalisti, economisti, esperti in diritto ambientale), mentre non saranno diffusi.

• Diritti (come controllarne l’uso)– per accedere ai Vostri dati, chiederne l'aggiornamento o la rettifica o

l’integrazione, per opporvi al loro utilizzo e per esercitare gli altri diritti previsti dal codice privacy, inviateci un fax (accompagnato da copia del documento d’identità) al numero … .


CompLetence © 2010

Quand’è che l’avvocato deve raccogliere il consenso?Informativa

Consenso

Notificazione

Prior checking

Casi in cui non è richiesto• I dati non sensibili

• a) del cliente quando necessari per l’esecuzione del mandato(es. anagrafiche, dati fiscali, retributivi, previdenziali e professionali) (art. 24.1, lett. b) cod. privacy)

• b) di chiunque • Per fini difensivi (art. 24.1, lett. f))• Per eseguire un contratto (es. dati di familiari del cliente)• Per soddisfare un obbligo di legge (es. a fini antiriciclaggio)• Quando si tratta di dati di fonte pubblica (es. dati dell’anagrafe)• Quando si stratta di dati economici (es. codice fiscale)


CompLetence © 2010

Quand’è che l’avvocato deve raccogliere il consenso? (segue)

Informativa

Consenso

Notificazione

Prior checking

Casi in cui non è richiesto• Solo per fini di difesa in giudizio o per

investigazioni difensive• I dati sensibili di chiunque previa

autorizzazione del Garante (es. appartenenza politica o sindacale, fede religiosa, ecc.)

• a) per salute e vita sessuale, purchè il diritto da difendere sia di “pari rango” (art. 26.4, lett. c))

• I “dati giudiziari” – escluso per legge – purchè in conformità all’autorizzazione n.7 del Garante (art. 27)

• Trasferimento extra-Ue di dati personali (art. 43.1, lett. e))


CompLetence © 2010


Informativa

Consenso

Notificazione

Prior checking

Casi in cui non è richiesto• Solo per la gestione di rapporti di lavoro e per

la sicurezza sul lavoro• I dati sensibili in conformità

all’autorizzazione del Garante n. 1 (art. 26.4, lett. d) cod. privacy)

• Per i “dati giudiziari” – il consenso non è richiesto per legge

• In conformità all’autorizzazione del Garante n. 7 (art. 27, cod. privacy)


CompLetence © 2010


Informativa

Consenso

Notificazione

Prior checking

Sintesi sull’esonero dal consenso• Per i dati “comuni”

• del cliente–Per adempiere al mandato ricevuto

• di chiunque–Secondo le regole generali (art. 24)

• Anche per dati sensibili ma secondo le autorizzazioni generali• Per difesa in giudizio e investigazioni difensive

– per salute e vita sessuale, il diritto da difendere sia di “pari rango”

– per trasferimento all’estero di dati– per i “dati giudiziari” – consenso non richiesto per legge -

purchè in conformità all’autorizzazione n. 7 del Garante• Per la gestione dei rapporti di lavoro e di sicurezza sul lavoro

– purchè in conformità all’autorizzazione n. 1 del Garante


CompLetence © 2010

Cosa deve fare l’avvocato negli altri casi?Informativa

Consenso

Notificazione

Prior checking

• Informativa–Necessaria, anche orale, informale,

sintetica ma coprendo i profili richiesti dalla legge

• Consenso–Per i dati non sensibili, richiesto solo se

non sono applicabili i casi di esonero (es. dati pubblici, art. 24)

–Per i dati sensibili, richiesto per iscritto nel rispetto delle autorizzazioni generali del Garante

–Per i “dati giudiziari”, non richiesto purchè nel rispetto dell’autorizzazione generale n. 7 del Garante


CompLetence © 2010

L’avvocato deve effettuare la notificazione al Garante?Informativa

Consenso

Notificazione

Prior checking

• Raramente. E’ dovuta solo nei casi tassativamente indicati (art. 37.1, cod. privacy)

• Esonero per gli avvocati–per il trattamento di dati genetici o

biometrici per investigazioni difensive o per difesa in giudizio di un diritto “di pari rango” (provv. 31/3/2004)

–Esempi –Uso del DNA dell’imputato o di terzi a fini probatori–Uso del DNA ai fini della dichiarazione giudiziale di paternità–Uso di dati biometrici nell’ambito di investigazioni difensive–Uso di banche dati elettroniche sulla solvibilità o situazione

patrimoniale di persone

L’uso di sistemi di localizzazione satellitare a fini investigativi va notificato


CompLetence © 2010

Cosa deve fare l’avvocato se riceve istanza di accesso privacy?

• Richieste di accesso, rettifica, integrazione, cancellazione, opposizione ricevute da interessati

• Possono essere sospese (art. 8.2, lett. e) cod. privacy)– nel periodo in cui sussiste un pregiudizio effettivo e concreto

– alle investigazioni difensive e al diritto di difesa in giudizio

DIRITTI

Strumento di controllo

INFORMATIVA

Strumento di trasparenza

La gestione dei fascicoli sia idonea a consentire ricerche di dati


CompLetence © 2010

Può l’avvocato utilizzare i diritti privacy a fini difensivi?• Istanze di clienti per accesso, rettifica, integrazione,

cancellazione, opposizione dirette a Titolari terzi

• Sì, possono essere fonte di informazioni, utile per la costruzione della difesa– Esempi

• accesso ai dati di traffico in entrata dell’assistito per investigazioni difensive (cd. Tabulati telefonici, art. 8.2, lett. f) cod. privacy)

• riscontri della posizione bancaria dell’assistito

I diritti privacy hanno ad oggetto solo i dati personali dell’istante


CompLetence © 2010

L’avvocato deve oscurare i dati identificativi delle sentenze?

Provv. giudiziario

Nessuna richiesta

Richiesta accolta dal giudice (art. 52.1)

Oscuramento d’ufficio

(art. 52.2)

Oscuramento per legge(art. 52.5)

Originale

Dati visibili

Dati visibili

Dati visibili

Dati visibili

Copia a terzo

Dati visibili

Dati visibili

Dati oscurati

Dati oscurati

Copia a fini scientifici

Dati visibili

Dati oscurati

Dati oscurati

Dati oscurati

Copia per cronaca

Dati visibili

Dati visibili

Dati visibili

Dati oscurati

Fonte: Deontologia privacy per avvocati e investigatori privati; Fulco e Bolognini - Giuffrè

Sì, ma la disciplina è articolata

25

CompLetence © 2010


PARTE II Regime speciale “privacy” per

l’avvocato


CompLetence © 2010

Quali sono le misure di sicurezza per l’avvocato?

• Le misure minime di sicurezza più significative per l’avvocato – Documento Programmatico sulla Sicurezza

• Quando si trattano dati sensibili o giudiziari con strumenti elettronici

• Da aggiornare annualmente entro il 31 marzo

– Amministratore di sistema

• Quando un soggetto è autorizzato ad intervenire su server, banche dati, software complessi con profili di autorizzazione elevati (cd. privilegi)

– Gestione dei fascicoli cartacei

• Fascicoli delle pratiche attive e di quelle di archivio


CompLetence © 2010

Documento Programmatico per la Sicurezza (DPS)

• Il DPS è dovuto quando si usano dati sensibili o giudiziari con sistemi automatizzati– I casi di esonero o di semplificazione non sembrano applicabili

all’avvocato tipo

• Perno della politica della sicurezza idonea a ridurre al minimo i rischi di – distruzione o perdita dei dati

– accesso non autorizzato

– trattamento non consentito o non conforme

• Indica le regole di base in un’ottica di programmazione

Va redatto ed aggiornato entro il 31 marzo di ogni anno


CompLetence © 2010

Come redige il DPS l’avvocato?

• La norma non contiene indicazioni vincolanti sulle modalità di compilazione– La guida operativa del Garante risulta eccessivamente

dettagliata e non corrispondente alle esigenze dell’avvocato

– Si consiglia un testo sintetico ed operativo che applichi in linea generale le regole previste dal Disciplinare Tecnico

– Le specifiche modalità operative e le procedure, al massimo, possono essere oggetto di allegati a parte

– In tal modo il DPS può essere divulgato all’interno dello Studio e costituire uno strumento di formazione per i ruoli privacy


CompLetence © 2010

Fac-simile di struttura del DPS dell’avvocato

• Principi generali

• Lista dei trattamenti

• Trattamenti affidati all’esterno

• Archivi cartacei

• Analisi dei rischi

• Organizzazione e responsabilità

• Regole per gli incaricati del trattamento

• Misure di sicurezza programmate

• Revisioni del DPS

Stato dell’arte e relative regole

Sistema privacy

Pianificazione

Ciclo


CompLetence © 2010

L’avvocato deve designare l’Amministratore di sistema?

• Sì, se esiste questo ruolo nello studio legale

• Presupposto– Uso di dati personali con strumenti automatizzati

• Profilo– colui che gode di privilegi per l’accesso e la gestione di banche dati,

tanto da poter assegnare profili di accesso e amministrare i dati in esse contenuti

• Ruolo privacy– Responsabile del trattamento o incaricato con uguale profilo

• Adempimenti e requisiti– Designazione formale ed individuale, competenza, elenco da custodire

e aggiornare, tracciamento dei log, vigilanza, evidenza ai dipendenti


CompLetence © 2010

Le semplificazioni privacy si applicano agli studi legali?

• Molto improbabile– L’autocertificazione sostitutiva del DPS riguarda il caso in cui il

trattamento automatizzato di dati sensibili riguardi solo

• dati sull’appartenenza sindacale e

• sullo stato di salute dei dipendenti

– Le modalità di redazione semplificate del DPS e

– L’esonero dalle prescrizioni sull’Amministratore di sistema

• quando i dati sensibili sono utilizzati solo a fini amministrativo-contabili


CompLetence © 2010

Come adeguare la videosorveglianza dello studio legale?

• Gli impianti di videosorveglianza sono specificamente disciplinati a fini privacy– Trasparenza verso i soggetti potenzialmente ripresi (informativa

sintetica con affissione di cartello con simbolo grafico)

– Conservazione dei dati (immagini) limitata a poche ore

– Accesso ai dati limitato nonché autorizzato a specifici ruoli privacy e documentato per iscritto

– Divieto di uso dei dati raccolti ad altri fini


CompLetence © 2010

Quali regole per una security policy dello studio legale?

• Riservatezza definire in un documento ufficiale la politica di chi è autorizzato ad accedere ai dati (access control)– Vi provvede in anticipo l’avvocato con il supporto di un tecnico

• Integrità avvalersi di funzioni che tracciano la “storia” del documento, di formati non modificabili o di crittografia

• Disponibilità fare uso di tecnologie di back up

• Qualità formalizzare procedure di aggiornamento dei dati

• Riferibilità (accountability) cioè “risalire a chi ha fatto cosa” avvalendosi di funzioni che tracciano la storia di un documento e l’immissione di dati


CompLetence © 2010

Quali regole per i fascicoli dello studio legale?

• Sensibilizzazione di tutti - professionisti e staff - con l’obiettivo di creare una cultura diffusa

• Desk policy - diffondere una chiara politica per il mantenimento dell’ordine del posto di lavoro

• Archiviazione - implementare metodologie codificate per pratiche e documentazione cartacea ricevuta dai clienti

• Strumentazione - regolamentare l’uso di fax, stampanti, scanner, fotocopiatrici in modo da evitare che documenti possano essere lasciati incustoditi

Dotare lo Studio di apposite apparecchiature distruggi-documenti da utilizzare sempre per sbarazzarsi della carta


CompLetence © 2010

L’avvocato deve eliminare i nomi dai fascicoli?

• No. Nessuna norma impone all’avvocato l’uso di codici in sostituzione dei nomi delle parti sui fascicoli di Studio

• Occorre definire – invece – adeguate modalità per l’accesso alla documentazione da parte degli incaricati per finalità predefinite

• Vedi parere del Garante del 3/6/2004 al CNF


CompLetence © 2010

Estinto il mandato, l’avvocato può conservare i documenti?

• Sì. In queste circostanze:– Per ipotizzabili altre esigenze difensive dell’assistito (es. gradi

successivi di giudizio)

– Per ipotizzabili altre esigenze difensive dell’avvocato (es. prova in un procedimento disciplinare o per la liquidazione del compenso)

– Per adempiere ad un obbligo di legge (es. fiscale o antiriciclaggio)

– Per finalità scientifiche ma in forma anonima (es. raccolta di precedenti)

In assenza di queste ipotesi, distruzione, cancellazione o consegna all’avente diritto o al Consiglio dell’Ordine

37

CompLetence © 2010



l’avvocato


CompLetence © 2010

L’organigramma privacy

Titolare

Responsabile

Incaricati al trattamento


CompLetence © 2010

Chi è titolare del trattamento nello studio legale?

• Chi esercita il potere decisionale sul patrimonio informativo dello Studio, in termini di utilizzo, organizzazione, tutela – Avvocato mono-titolare

– singoli avvocati autonomi che condividono logisticamente i locali dello studio

– Associazione professionale tra avvocati

– Società tra professionisti


CompLetence © 2010

Chi è Responsabile del trattamento nello studio legale?

• Nomina facoltativa

• Chi è designato dall’avvocato, con margini di discrezionalità, ad effettuare trattamenti per suo conto– Corrispondenti, domiciliatari e sostituti

– Consulenti tecnici

– Investigatori privati

– Consulenti del lavoro

– Amministratori di sistema

– Aziende informatiche per gestione e manutenzione del patrimonio IT dello Studio

Designazione scritta controfirmata per accettazione, con specifica delle attività affidate e dei presidi da rispettare. Vigilanza


CompLetence © 2010

Ci vuole un Responsabile privacy nello studio legale?

• Probabilmente assente negli studi individuali o micro

• Per studi molto strutturati– Uno o più responsabili del trattamento individuati:

• Su base territoriale

• Per processi funzionali o operativi (es. sicurezza, IT, gestione delle risorse, approvvigionamenti, ecc.)

• Per singole unità organizzative (es. capi di dipartimento)

Da non sottovalutare il caso dell’affidamento di un processo operativo – o di un suo segmento - ad un’entità terza (es.

gestione dei rapporti di lavoro e dei cedolini paga)


CompLetence © 2010

Quali gli incaricati del trattamento nello studio legale?

• Chi materialmente utilizza dati personali, per conto dell’avvocato, sotto la direzione sua o di un suo Responsabile ed in base a precise istruzioni– Collaboratori e praticanti

– Corrispondenti e consulenti privi di autonoma organizzazione

– Addetti alla segreteria

– Amministrativi e contabili

– Receptionist

Specifica delle istruzioni impartite con disposizione organizzativa per tipologia di incaricato. Vigilanza


CompLetence © 2010

Perché occorre un MO privacy nello studio legale?

• Il data protection è norma di comportamento– interviene nella vita interna delle organizzazioni

– impone un adeguamento organizzativo (ruoli e mansioni)

– persegue l’obiettivo del presidio dei flussi informativi all’interno dello Studio e verso terzi


CompLetence © 2010

Come scegliere i ruoli privacy nello studio legale?– Realtà professionale variegata, oscillante tra scenari molto

eterogenei

– Struttura: Studi individuali vs. organizzazioni complesse paragonabili ad aziende

– Tecnologia: Ricorso elementare all’informatica vs. dotazioni tecnologiche articolate e centralizzate

– Categoria professionale: Composizione mono-professionale(solo giuristi) vs. organizzazioni multi-professionali (consulenti d’azienda, gestori di processo, esperti informatici, responsabili del personale, ecc.)

– Ubicazione: Entità sostanzialmente locali vs. ramificazioni internazionali

– Decentramento operativo: Ricorso a servizi appaltati vs. organizzazioni autosufficienti


CompLetence © 2010

Come considerare gli specialisti a supporto dell’avvocato?

• Es. esperti in branche specialistiche del diritto, economisti, periti, consulenti– Spesso sono professionisti legati a ordini professionali e/o

vincolati da leggi e regolamenti al rispetto del riserbo

– Oggetto dell’intervento è lo studio e l’elaborazione di contenuti con uso marginale di dati personali

– Nomina a Responsabile talvolta inidonea perché soggetti che godono di autonomia professionale

Incarico con accordo di confidenzialità comprensivo di clausola di liceità e correttezza dei trattamenti compiuti

46

CompLetence © 2010

• Adempimenti• Misure minime di sicurezza• Organizzazione e ruoli operativi • Come adeguarsi• Conclusioni


l’avvocato


CompLetence © 2010

Da dove cominciare per l’avvocato che si adegua alla privacy?

– Mappatura del patrimonio informativo dello studio legale– Mediante censimento ed analisi dei processi operativi

• Individuazione dei soggetti interni ed esterni che utilizzano dati personali per conto dell’avvocato / studio legale

• Categorie di dati utilizzati (tipi di dati “comuni”, sensibili, giudiziari)

• Finalità d’uso (es. supporto nell’assistenza legale, nell’esercizio del diritto di difesa, gestione del personale, sicurezza del lavoro, amministrativo-contabile, ricerca)

• Attività svolte sui dati personali (es. modalità operative, margini decisionali, attività esecutive)

Consente l’individuazione dei ruoli privacy, l’adeguamento delle misure di sicurezza, il reperimento dei dati, la vigilanza


CompLetence © 2010

Conclusioni: una rivoluzione di approccio

• Dalla cultura fiduciaria a quella della compliance– Analisi dei rischi sull’uso dei dati personali (valutazione

sostanziale e non formalistica)

– Programmazione delle misure di tutela (es. DPS)

– Documentazione delle scelte e dei ruoli (es. a fini di prova)

– Procedure nelle attività operative (es. gestione delle pratiche e archiviazione, gestione del posto di lavoro, gradazione del rischio privacy)

– Controlli (es. aggiornamento delle mansioni, conformità alle procedure, analisi degli scostamenti)

– Formazione degli operatori

Creazione di un presidio interno che assicuri il monitoraggio e la conformità dei flussi informativi

Documents

LA PRIVACY NELLO STUDIO LEGALE Avvocati di Monza e... · Codice privacy Codice deontologico “privacy” •La norma primaria (cod. privacy) prevede che il rispetto dei codici deontologici