Privacy e PCT

| 10/11/2014 10:40

A cura di Nicola Fabiano, avvocato - Lex24 modulo processo civile telematico, Esperto Legale PCT

LEX24 - PROCESSO CIVILE TELEMATICO

Il modulo sistematizza la nuova disciplina dell'informatica applicata al processo nelle sue fasi. La normativa e la prassi ministeriale sono arricchite da approfondimenti, dossier, schede pratiche ed un ricco glossario.

________________________________________________________________________

L'organizzazione dello Studio è fondamentale

Tutti sappiamo che l'avvocato (ma più in genereale ogni professionista o soggetto abilitato esterno in ambito PCT) è tenuto al rispetto delle norme contenute nel codice in materia di protezione dei dati personali. Pertanto, riguardo al rispetto della normativa sulla privacy (termine mutuato dal sistema anglosassone ma entrato a pieno regime nel nostro sistema linguistico), in primis, assume rilievo la corretta organizzazione dell'attività professionale che deve essere svolta con un adeguato trattamento dei dati personali.


Per quanto concerne il PCT ogni professionista svolge il proprio lavoro mediante l'utilizzo di sistemi informatici e quindi è necessario adottare opportune ed adeguate misure di sicurezza con la finalità di ridurre al minimo i rischi di eventuali perdite di dati. Ciò presuppone una valutazione preventiva dei rischi privacy, in modo da considerare quali eventuali interventi si rendano necessari. Il PCT (volendo considerare l'intero sistema limitatamente alla fase del deposito telematico degli atti) non può prescindere dalla fase precedente che riguarda il rapporto tra avvocato e cliente.

Il professionista, quindi, ha il dovere di informare (art. 13 codice privacy) il cliente per renderlo edotto circa le modalità per il trattamento dei dati personali ed altre notizie espressamente indicate dalla legge. Il cliente, da parte sua, è titolare di specifici diritti in materia di privacy.
I dati forniti sono trattati con strumenti elettronici e, quindi, il professionista deve adottare ogni opportuna misura di sicurezza per custodire adeguatamente le informazioni in proprio possesso e per utilizzarle secondo le finalità evidentemente professionali.

Ciò in termini generali, ma in concreto:

1. dove vengono salvati i dati e con quali risorse (hard disk, NAS, chiavette USB, server, Dropbox, sistemi in cloud, ecc.)?

2. come vengono elaborati i dati (word processor, software gestionale, redattori, account PEC, ecc.)?

3. quali misure tecniche sono adottate (esistenza di sistemi di criptazione, protezione con password, altro)?

A questi pochi interrogativi dovrebbero seguire le risposte che contengono la misura della attenzione alla privacy. Spesso si tende a considerare corretto l'adeguamento alle norme sulla privacy semplicemente facendo ricorso alla sicurezza, pensando erroneamente che l'equazione "sicurezza=privacy" costituisca la giusta soluzione nell'ottica "più sicurezza, più privacy". In realtà l'assioma non è corretto. La privacy presuppone la sicurezza ma non è vero il contrario.

L'approccio corretto deve tener conto certamente della sicurezza ma non può prescindere dall'assetto organizzativo che si intende dare all'attività che si svolge.

Non ci si sofferma sulla adeguatezza dei software utilizzati alla normativa sulla privacy perché il discorso è ampio, ma il professionista questa volta da utente ha diritto di ricevere ogni opportuna informazione da chi ha sviluppato l'applicazione.


Per la gestione dei processi (poiché le attività professionali sono comunque dei processi) ognuno utilizza una propria organizzazione con determinati workflow. Relativamente alla privacy, è necessario fra l'altro analizzare i workflow per capire se il trattamento dei dati è corretto o adeguato alla normativa. Infatti, l'estrema accortezza verso i massimi sistemi di sicurezza che poi, ironicamente, portano l'utente ad avvicinarsi al modello di Fort Knox, non contempla il fattore organizzativo che molto semplicemente può essere causa di perdita di dati. Tale aspetto assume particolare rilievo anche perché la proposta del nuovo Regolamento europeo sulla privacy di cui si auspica una rapida approvazione finale all'articolo 30 dispone che "il responsabile del trattamento e l'incaricato del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato…".

Pertanto, non è necessario unicamente il ricorso a soluzioni tecniche di sicurezza, ma anche curare l'aspetto organizzativo. Del resto, il successivo articolo 31 della citata proposta di Regolamento prevede l'obbligo della segnalazione all'autorità di controllo nel caso di violazione dei dati personali.

Molto spesso non si pone adeguata attenzione al'importanza che assumono i dati di cui il professionista è in possesso, tanto può capitare di assistere alla libera condivisione (con soggetti estranei alla compagine dello studio professionale) di dispositivi come chiavette usb, comunicazioni email, file contenenti atti, ecc., senza considerare la natura dei dati che personali che diventano "condivisi".

Evidentemente simili consuetudini vanno assolutamente riviste nell'ottica di una corretta organizzazione dell'attività professionale.

PCT: il deposito esclude rischi per la privacy ?

Il PCT presuppone la fase organizzativa cui si è accennato nel paragrafo precedente, ma sussitono altri aspetti relativi al procedimento del deposito telematico. Com'è noto, le specifiche tecniche del PCT sono disciplinate dal provvedimento del responsabile DGSIA del 16/4/2014 (in GU del 30/4/2014). Prima della pubblicazione di tale provvedimento, il Garante privacy con il parere n. 584 del 18 dicembre 2013 sullo schema di provvedimento in materia di regole tecniche per l'adozione nel processo civile e nel processo penale delle tecnologie dell'informazione e della comunicazione (documento web n. 2898564) ha fornito le proprie indicazioni per garantire la tutela dei dati personali.


Sono rilevanti i punti indicati nel citato provvedimento che si indicano di seguito:

1. Infrastrutture informatiche (si afferma: "la necessità di un'elencazione tassativa di tali infrastrutture unitarie e comuni e dell'indicazione specifica delle banche dati nazionali" e "si invita l'Amministrazione a valutare la funzionalità di tali banche dati rispetto alla realizzazione del processo telematico e al perseguimento delle finalità dello schema medesimo");

2. Conservazione dei log (si dispone che siano individuati termini di conservazione dei medesimi log certi, congrui e proporzionati rispetto alle finalità perseguite con indicazione del termine di 10 anni);

3. Identificazione informatica (si distingue tra soggetti abilitati esterni e interni, ma sembrerebbe che le prescrizioni siano rivolte fondamentalmente a quelli esterni; peraltro viene segnalata la necessità di un coordinamento con le norme del CAD);

4. Indirizzi di posta elettronica certificata delle pubbliche amministrazioni (si ritiene che vadano precisate le informazioni contenute nel file di log, rispettando il principio in base al quale vanno conservati i soli dati effettivamente necessari a identificare l'autore dell'accesso alle informazioni e al sistema, al fine di impedire ogni forma di abuso);

5. Comunicazioni e notificazioni contenenti dati sensibili (si segnala la necessità di chiarire il ruolo di alcuni soggetti e si suggeriscono comunicazioni con protocolli SSL);

6. Requisiti di sicurezza (si indica la necessità dell'utilizzo della sola firma digitale).

Da quanto precede è evidente che il "sistema PCT" del Ministero della giustizia non è comunque esente dalle questioni afferenti alla protezione dei dati personali. Il professionista effettua il deposito mediante la propria casella di PEC per la quale è tenuto (art. 20 D.M. 44/2011) ad osservare alcune misure di sicurezza relative alla manutenzione della stessa.

Il professionista, rispettate le prescrizioni privacy e le misure di sicurezza, effettua il deposito telematico mediante l'invio della busta denominata "Atto.enc" ed il messaggio di PEC che viene veicolato è criptato e così per legge (D.P.R. 68/2005) ne viene garantita la integrità e la immodificabilità.

Questo dal lato professionista.


Riguardo al Ministero della giustizia, evidentemente vanno adottate adeguate misure di sicurezza e comunque rispettate le norme sulla protezione dei dati personali specificamente in relazione al PCT, posto che ben altro aspetto è quello contemplato dal codice privacy sui trattamenti in ambito giudiziario per i quali ovviamente valgono regole meno restrittive.

Sarebbe auspicabile leggere un regolamento privacy che indichi le modalità e del trattamento dei dati personali del "sistema PCT" (ovviamente diverso dal processo civile) e le prescrizioni di sicurezza (al là di quelle contenute nelle specifiche tecniche su menzionate) adottate dal Ministero che "governa" il PCT individuando i soggetti responsabili del trattamento. Non è dato sapere, ad esempio, quali siano le misure di continuità operativa (c.d. business continuity) del PCT per l'ipotesi di disaster recovery. Allo stato attuale sembra che l'unico documento privacy disponibile sia l'informativa privacy del sito pst.giustizia.it .

L'esigenza di una maggiore trasparenza in termini di privacy e sicurezza costituirebbe un plus e sarebbe più aderente ad un sistema di "giustizia digitale" europea o internazionale di cui costituisce un esempio il progetto "ecodex" con la piattaforma di scambio di dati online.
È indubbio che l'informatica agevoli il lavoro, ma non può sottacersi come considerata una grande quantità di dati (big data) l'utilizzo di singole informazioni o aggregazioni di tipologie o gruppi di dati presenti nel PCT non esclude la possibilità di profilazioni dalla portata devastante per ogni soggetto coinvolto nel PCT (soggetti abilitati esterni ed interni).

Come sempre, al di là delle statistiche, vale anche la sostanza.
Surveillance ? Ci siamo già tutti.

Vetrina