La Legge 24 dicembre 2012, n. 228, recante “Disposizioni per la formazione del bilancio annuale e pluriennale dello Stato”, ha introdotto l’obbligo di deposito per via telematica degli atti processuali e dei documenti, nei procedimenti civili, contenziosi e di volontaria giurisdizione, a decorrere dal 30 giugno 2014.
Il progetto del processo civile telematico (PCT) fa parte del processo di digitalizzazione della pubblica amministrazione e della giustizia, e ha come obiettivo principale quello di trasformare il processo, tradizionalmente condotto attraverso strumenti e supporti cartacei (o “analogici”) attraverso l’introduzione di un sistema gradualmente proiettato verso una gestione digitale delle procedure.
Oggi, quindi, tutti i soggetti coinvolti nel processo civile (avvocati, magistrati, cancellieri, consulenti, ecc..) possono, e per certi atti devono, nell’espletare le proprie attività processuali, utilizzare i documenti in formato digitale.
Questa rivoluzione digitale del processo ha portato, e porterà, ad un inevitabile cambiamento nella gestione dei dati e dei fascicoli dello studio legale. L’obbligo di deposito telematico richiede, quantomeno, che il professionista sia dotato di postazioni informatiche con accesso alle infrastrutture ministeriali dedicate al PCT, sia munito di un dispositivo per l’apposizione della propria firma digitale e sia dotato di una casella di posta elettronica certificata.
Appare evidente, quindi, che le procedure introdotte con il PCT obbligano i professionisti, nell’ambito della propria attività professionale di assistenza legale, a trattare i dati personali, giudiziari (e talvolta anche sensibili) dei propri clienti, attraverso strumenti elettronici.
A questo proposito, il Codice Privacy, all’art. 33-36, prevede alcuni adempimenti minimi che ciascun titolare del trattamento (e quindi ciascun avvocato) deve rispettare affinché possa ritenersi lecito il trattamento effettuato con gli strumenti elettronici. All’art. 34 del Codice, inoltre, vengono richiamate le regole previste nell’allegato B) dello stesso Codice, il quale contiene le modalità di applicazione delle misure minime di sicurezza.
Di seguito verranno illustrate brevemente le principali cautele da adottare per il trattamento dei dati attraverso strumenti elettronici; per una più approfondita lettura, si rimanda al testo dell’allegato B).
Le misure minime di sicurezza sono le misure tecniche, informatiche, organizzative e logistiche atte a garantire un livello minimo di sicurezza e a proteggere i sistemi dai rischi di perdita, distruzione e accesso non autorizzato ai dati stessi.
Autenticazione informatica e accesso ai sistemi.
In primo luogo, è necessario introdurre un sistema di autenticazione informatica. Pertanto, l’accesso alle risorse informatiche deve essere protetto da un sistema di identificazione mediante credenziali di autenticazione (parole chiave), le quali devono essere mantenute segrete da parte dell’utilizzatore. Qualora all’interno dello studio legale siano presenti più soggetti, incaricati al trattamento, a questi dovranno essere impartite precise istruzioni circa le cautele necessarie per assicurare la segretezza delle credenziali loro assegnate e la diligente custodia dei dispositivi in uso.
Sistema di autorizzazione.
Quando vi sono più soggetti incaricati, ciascuno per un diverso ambito di competenza, ad essi è assegnato un profilo di autorizzazione al fin di limitare loro l’accesso alle sole aree del sistema contenenti i dati necessari ad effettuare le operazioni di trattamento. In tal modo, gli incaricati (che possono essere collaboratori di studio, segretarie, praticanti) possono accedere e conoscere solamente i dati necessari allo svolgimento delle operazioni per le quali sono stati autorizzati. Il sistema di autorizzazione deve essere periodicamente verificato ed aggiornato e, almeno una volta all’anno, devono essere aggiornate anche le liste degli incaricati e degli addetti alla gestione e manutenzione degli strumenti elettronici.
Protezione dei dati dal rischio di intrusione e danneggiamento.
La disciplina dell’allegato B) prevede un aggiornamento almeno semestrale dei programmi dedicati alla protezione dei sistemi. Tali software sono gli antivirus e i firewall (o porta tagliafuoco), i quali però, al fine di garantire una reale protezione, devono necessariamente essere aggiornati quotidianamente. Inoltre, è necessario disporre di un sistema operativo costantemente aggiornato, per prevenire l’insorgere di eventuali errori del sistema, di incompatibilità con le periferiche e con gli altri programmi installati nella macchina.
Copie di sicurezza e ripristino della disponibilità dei dati e dei sistemi
Al fine di prevenire la perdita totale dei dati, in ogni studio legale deve essere predisposto un sistema di backup, ovvero di salvataggio automatico in supporti diversi (e custoditi in luoghi sicuri), dei dati presenti nel sistema. In questo modo è possibile garantire il recupero e la continuità delle operazioni qualora i dati non siano più reperibili all’interno del sistema.
Ulteriori misure
Gli adempimenti esaminati finora si applicano al trattamento dei dati in generale, quando questo è effettuato attraverso strumenti elettronici. L’allegato B) prevede anche delle regole specifiche da adottare in caso di trattamento di dati sensibili o giudiziari. A tal proposito, attraverso l’adozione di misure tecniche e organizzative, è necessario custodire adeguatamente i supporti rimovibili contenenti i dati, al fine di evitare accessi non autorizzati e trattamenti non consentiti. Ulteriori cautele sono richieste nel caso di riutilizzo dei supporti; deve essere assicurata la distruzione o la inutilizzabilità dei dati contenuti nei supporti di memoria, qualora questi debbano essere riutilizzati da soggetti non autorizzati al trattamento dei dati stessi. Infine, in caso di danneggiamento dei dati o degli strumenti elettronici, deve essere garantito il ripristino dell’operatività in tempi brevi, non superiori a sette giorni.
Le misure minime di sicurezza dettate dall’allegato B) rappresentano le misure di base che è necessario adottare per garantire sicurezza e liceità del trattamento e non incorrere in responsabilità penale e amministrativa (ai sensi dell’art. 169 del Codice Privacy). Tuttavia, è evidente che esse non sono sufficienti a garantire una reale protezione dei sistemi e, inoltre, il loro rispetto non libera il titolare da ogni responsabilità. Infatti, all’art. 31 del Codice è previsto che i dati siano custoditi e controllati anche “in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”. Quando il mancato rispetto delle presenti misure idonee causa danni a terzi, il titolare del trattamento è tenuto al risarcimento del danno, ai sensi dell’art. 2050 del codice civile.
Alla luce di quanto detto, con il processo telematico si apre una nuova fase nella quale assume sempre più importanza l’adozione di corrette misure tecniche-informatiche e di idonei criteri di gestione e organizzazione delle attività dello studio professionale, nel rispetto delle regole poste a tutela dei dati personali dei clienti e della sicurezza informatica.
- La protezione dei dati personali nelle attività di marketing: brevi riflessioni sul provvedimento del Garante nei confronti della società Tim S.p.A. - 10 Febbraio 2020
- Il decreto di recepimento della Direttiva UE in materia di trattamento dei dati personali da parte delle autorità competenti in ambito penale - 4 Giugno 2018
- La valutazione di impatto sulla protezione dei dati - 12 Maggio 2018