Stando a quanto previsto dal GDPR, lo studio legale – in quanto titolare del trattamento dei dati personali – ha l’obbligo di notificare tempestivamente tutte le violazioni dei dati personali al Garante, e comunicare direttamente con le persone interessate nell’ipotesi in cui il data breach possa essere connesso con un alto rischio per i diritti e per la libertà personali.
Cos’è il data breach
Introdotto brevemente poche righe fa, il data breach, o violazione dei dati personali, è dunque una violazione della sicurezza che comporta – in maniera accidentale o illecita – la distruzione, la perdita, l’alterazione, la divulgazione o l’accesso non autorizzato di dati di natura personale trasmessi, conservati o altrimenti elaborati.
Cosa fare in caso di data breach
In caso di data breach, il titolare del trattamento deve documentare ogni violazione avvenuta, unitamente alle circostanze che l’hanno causata, alle sue conseguenze e ai provvedimenti adottati per porvi rimedio. Peraltro, nel caso in cui lo studio di avvocati si sia avvalso di un responsabile del trattamento, quest'ultimo ha l’obbligo di notificare al titolare nel momento in cui ne viene a conoscenza qualsiasi violazione dei dati personali.
Si tenga anche conto che il GDPR, in applicazione del principio generale di accountability, riconosce un interessante margine di autonomia all’avvocato quale titolare del trattamento: costui dovrà infatti valutare la probabilità o meno che il data breach avvenuto possa effettivamente rappresentare un rischio per i diritti e per le libertà degli assistiti e degli interessati.
Nel caso di valutazioni con esito affermativo, tempestivamente e comunque non oltre le 72 ore dalla presa di coscienza, dovrà notificare la violazione al Garante della protezione dei dati personali specificando, tra gli altri elementi, la natura della violazione dei dati personali (il numero e la categoria di dati violati e di persone interessate), il nome e le informazioni di contatto del DPO o un punto di contatto da cui è possibile ottenere ulteriori informazioni, le probabili conseguenze della violazione e le misure adottate o da adottare per mitigare qualsiasi conseguenze negative.
Raccomandazioni del Consiglio Nazionale Forense
Nel suo documento di guida e di commento al GDPR, il Consiglio Nazionale Forense raccomanda inoltre alcune accortezze ulteriori, come quella di mettere in atto delle misure utili per poter analizzare i rischi del trattamento istituito per i diritti e le libertà delle persone fisiche e assicurarsi che le violazioni siano notificate entro 72 ore (in caso contrario potrebbe essere necessario spiegare e giustificare le motivazioni del ritardo all'autorità garante).
Tra le altre cautele consigliate, quella di indicare nella notifica i fatti della violazione, la natura della violazione, i suoi effetti e le misure adottate per porvi rimedio e ancora riporre ogni impegno nel documentare il più possibile qualsiasi violazione per consentire all'autorità di vigilanza di verificare la conformità ai requisiti imposti dal GDPR.
Naturalmente, all’avvocato spetterà anche il compito di porre immediatamente in atto misure di emergenza per porre rimedio alla violazione e mitigare le conseguenze.
Comunicazione alle persone interessate
Come abbiamo già intravisto, se il titolare del trattamento ha valutato che sia la violazione effettuata sia anche suscettibile di presentare un “elevato rischio” per i diritti e per le libertà di una persona fisica, dovrà darne comunicazione anche all’interessato.
Nella comunicazione bisognerà indicare le informazioni del nome e dei dati di contatto del DPO o di altro punto di contatto presso cui ottenere maggiori informazioni e la descrizione della natura della violazione dei dati personali e delle probabili conseguenze, le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e anche, se del caso, per attenuarne i possibili effetti negativi.
La comunicazione potrà ritenersi non necessaria se i dati violati sono comunque crittografati, cifrati o comunque incomprensibili, se sono state adottate misure per garantire che il rischio sia scongiurato e non possa più verificarsi, oppure se la comunicazione richieda “sforzi sproporzionati” (in questo caso è autorizzata una comunicazione “pubblica” piuttosto che diretta, a patto che possa rappresentare ed informare gli interessati con analoga efficacia della comunicazione diretta).
Sanzioni per il mancato rispetto delle disposizioni del GDPR
Si ricorda infine come titolari e responsabili del trattamento dei dati personali siano soggetti a sanzioni amministrative anche significative in caso di mancato rispetto delle disposizioni del GDPR.
Il regolamento prevede infatti che l’autorità Garante per la protezione dei dati personali possa rivolgere specifici avvertimenti, ammonire l’avvocato, l’associazione o la società professionale, limitare temporaneamente o permanentemente un trattamento, sospendere i flussi di dati, ordinare di soddisfare richieste per l'esercizio dei diritti delle persone, o ancora ordinare la rettifica, limitazione o cancellazione dei dati.
Ancora, è previsto che il Garante possa ritirare la certificazione di conformità concessa allo studio legale, all’avvocato, all’associazione o alla società professionale, ovvero ordinarne il ritiro all’autorità di certificazione, o ancora comminare una sanzione amministrativa di importo compreso tra i 10 ed i 20 milioni di euro, ovvero, in caso di grandi studi internazionali di importo compreso tra il 2% ed il 4% del fatturato mondiale.