Piccole, incredibili, sbadataggini e GDPR.

[dropcap]D[/dropcap]alle mie parti esiste un proverbio dialettale che afferma che “u scarparu camina ch’i scarpi rutti“, il che dal dialetto reggino si traduce come “il calzolaio cammina con le scarpe rotte“. Penso che nessun proverbio sia più adeguato per la mia categoria professionale quando si parla di trattamento dei dati personali. In quanto avvocati, dovremmo ben conoscere la normativa vigente – il Regolamento Generale per la Protezione Dati n. 670/2016/UE (“RGPD” o “GDPR” per gli amici) e il Decreto Legislativo n. 101/2018 – e, in quanto avvocati dell’era telematica, dovremmo ben conoscere gli strumenti e i servizi informatici che quotidianamente usiamo in ambito professionale. Nonostante tutto, però, le parole spese in centinaia di eventi formativi negli ultimi anni, sembrano essere volate via come foglie trasportate dal vento della superficialità e dell’incompetenza tecnica.

Con un piede quasi nel 2020 mi sono letteralmente stufato di sottolineare che certi servizi online che usavamo serenamente anche per lavoro, dal 25 maggio 2018 non sono più adeguati o, comunque, devono essere impiegati in modo diametralmente opposto rispetto al passato. Molto probabilmente a qualcuno sembrerà una pignoleria ma il “trattamento dei dati personali” non è una meravigliosa informativa, magari a fumetti, da esibire per farsi dire “che bravo che sei a trattare i miei dati” ma implica uno studio ragionato di tutto il sistema con cui tratteremo i dati personali che raccogliamo durante l’attività professionale. Non per nulla il GDPR esprime un principio fondamentale quale “privacy by design” che possiamo riassumere come: prenditi un giorno e verifica con quali strumenti riceverai e maneggerai i dati personali, in primis quelli dei tuoi clienti che ti hanno conferito un mandato a rappresentarli in giudizio e non.

Attenzione perché la questione è a mio avviso abbastanza sconvolgente: parecchi professionisti usano con troppa disinvoltura servizi gratuiti come Gmail e Outlook.com. Nella loro versione gratuita, molti di questi servizi spesso sfruttano server collocati negli USA e altrettanto spesso non si tengono nella giusta considerazione le conseguenze di questa circostanza ai fini del GDPR e del trattamento dei dati personali raccolti durante l’attività quotidiana.

Privacy by design non è un mantra da ripetere in maniera vuota ai clienti che ci commissionano una consulenza per curare gli adempimenti collegati al trattamento dei dati personali ma è in primis un monito per noi avvocati: i primi a dare l’esempio ai nostri clienti dovremmo essere noi e, pertanto, è un controsenso andare a spiegare al cliente che i dati personali che tratta dovrebbero restare in UE per evitare complicazioni varie, se poi i primi a trasferire (spesso inconsapevolmente) i dati in nostro possesso verso server collocati fuori dall’Unione Europea.

Privacy by design per l’avvocato (rectius: per ogni professionista) significa “pensare prima di agire” e, quindi, progettare il flusso dei dati personali che transitano nel suo studio e nei suoi dispositivi informatici, fissi o mobili che siano; non solo: significa anche che dobbiamo convincerci a fare un minimo investimento oggi per evitare ipotetiche sanzioni future di dimensioni colossali.

ATTENZIONE, però! Il GDPR non vieta radicalmente il trasferimento extra UE dei dati personali!

Se fosse stato così, Google, Apple, Amazon, Microsoft, Facebook e simili non avrebbero potuto continuare a lavorare da questa parte del globo. L’uso dei servizi e-mail gratuiti e messi a disposizione da aziende non-EU è perfettamente lecito e consentito ma il Regolamento 679/2016/UE ha posto delle condizioni ben precise e, fra queste, la più importante è che il soggetto interessato debba essere informato in modo chiaro e trasparente della circostanza per cui i suoi dati potrebbero essere trasferiti fuori dall’Unione Europea; questo implica il dover adeguare le informative fornite ai clienti indicando chiaramente la possibilità del trasferimento e, naturalmente, si dovrà registrare la specifica presa visione dell’informativa da parte del soggetto interessato – senza contare che il fornitore del servizio andrebbe nominato responsabile esterno ex art. 28 (ma questo è un argomento da discutere in altro momento).

La miglior soluzione, nonché la più economica, è sicuramente quella di registrare un nome a dominio e acquistare uno spazio web in hosting, previo accertamento della collocazione della server farm in UE. Questa soluzione comporta due vantaggi contemporaneamente: da un lato si realizza un sito web per promuovere la propria attività professionale e dall’altro si può utilizzare un indirizzo e-mail professionale, basato su server collocato nel territorio dell’Unione Europea (o in Italia, addirittura).

Chiarito che in ottica GDPR un professionista dovrebbe sapere dove risiede la propria posta elettronica infarcita dei molteplici dati personali che tratta, bisogna obbligatoriamente estendere il discorso ai servizi di storage online come DropBox, OneDrive, iCloud, Google Drive e simili: è possibile usarli ma il cliente (alias il soggetto interessato) dev’essere informato in modo chiaro e il titolare del trattamento (alias il professionista) deve poter dimostrare in qualsiasi istante che il soggetto interessato fosse consapevole del possibile trasferimento extra UE.

In conclusione, quindi, il professionista dovrebbe avere il coraggio di investire nella propria professione e offrire ai clienti la miglior tutela possibile per i dati che gli conferiscono (anche solo con un messaggio e-mail: dopo tanti anni si è ormai abituati a usare Gmail o Outlook.com ma sarebbe opportuno pensare alla sottoscrizione di un abbonamento alle rispettive versioni “business” dei servizi che usiamo, dato che alcuni di essi consentono di scegliere il server di cui servirsi (come GSuite di Google) oppure ti indicano chiaramente, come fa Microsoft, dove sono collocati i server in funzione dell’area di residenza.