Gestione dei casi e conformità al GDPR per gli avvocati
Gli avvocati devono gestire i dati dei clienti in modo sicuro. I dati devono essere disponibili nei posti giusti, al momento giusto, ma ovviamente dobbiamo anche rispettare il GDPR. Questo articolo riguarda gli aspetti della conformità al GDPR da considerare quando si utilizza un sistema di gestione dei casi e Outlook nel lavoro legale.
La sfida più difficile: le e-mail
Cominciamo con la parte in cui il GDPR normalmente causa più problemi agli avvocati: le e-mail. La maggior parte degli avvocati scrive le e-mail in Outlook e quando iniziamo a digitare ‘he’ nel campo del destinatario, Outlook suggerisce immediatamente ‘Henrik’. La domanda è se l’Henrik che Outlook ha in mente è quello giusto.
L’attivazione del completamento automatico dei destinatari delle e-mail è uno dei rischi maggiori per quanto riguarda la conformità al GDPR. Senza dubbio la maggior parte degli avvocati pensa che siano solo gli altri a commettere errori, ma chiunque può cadere nella trappola quando c’è molto da fare, e abbiamo visto moltissime e-mail inviate ai destinatari sbagliati per questo motivo.
Valutazioni individuali
Il sistema di gestione dei casi contiene una grande quantità di dati che sono regolamentati dal GDPR. Il sistema può ovviamente aiutare a rispettare il GDPR, ma ci sono ancora molte decisioni che devono essere valutate dagli avvocati.
Quando un caso è obsoleto? E chi deve valutare se un caso obsoleto debba essere cancellato o solo anonimizzato?
Lo stesso vale per i clienti e i partner. Un cliente o una parte obsoleti devono essere anonimizzati o eliminati del tutto? Dipende dalla situazione.
Dove vengono conservati i dati personali sensibili?
I dati personali sensibili esistono ovviamente sui casi, sui clienti e sulle parti, e possono trovarsi in molti luoghi diversi. Possono esserci dati personali sensibili come il numero di previdenza sociale sulla scheda del caso, oppure il caso potrebbe essere registrato come riguardante una particolare malattia o qualcos’altro di personalmente sensibile.
Ma dove altro vengono conservati i dati personali sensibili?
E gli ex dipendenti? Questa è un’area che richiede soprattutto l’anonimizzazione, perché potrebbero esserci registrazioni molto vecchie che saranno richieste come documentazione in un secondo momento.
Le stesse registrazioni temporali, e le voci pubblicate, possono dire qualcosa come ‘raccolta della nota del medico relativa alla diagnosi di malattia mentale’. Anche questo è personalmente sensibile.
Poi ci sono tutti i dati archiviati al di fuori del sistema Case ed ERP, come ad esempio tutti i documenti archiviati in una soluzione documentale (ad esempio SharePoint) o in una condivisione di file. I documenti conterranno naturalmente molti dati personali.
Non è nemmeno certo che si tratti solo di documenti ricercabili. Potrebbero esserci file audio o registrazioni video delle udienze, ad esempio. Questi sono più difficili da ricercare in base al nome o ai dati personali. E che dire degli allegati alle e-mail: come possono essere catturati?
La cancellazione ha delle conseguenze
Quando si inizia ad anonimizzare e cancellare i dati nella pratica, si presentano una serie di sfide.
Noi stessi abbiamo integrato le funzioni GDPR nel nostro sistema di gestione delle cause, Navokat. L’obiettivo è naturalmente quello di fornire agli avvocati il maggior supporto possibile nell’anonimizzazione e nella cancellazione dei dati, ma tutte le decisioni richiedono valutazioni individuali, per cui purtroppo l’intero processo non può avvenire in modo automatizzato.
Abbiamo integrato una logica nel sistema che consente di suggerire i casi che dovrebbero essere eliminati. Lo fa in base a determinati criteri che lei stesso ha impostato. L’avvocato può quindi esaminare i suggerimenti e scegliere cosa eliminare. Ad esempio, può chiedere alla soluzione di proporre i casi archiviati più di X anni fa.
Purtroppo, abbiamo già conosciuto un cliente che si è fidato troppo dei suggerimenti del sistema e ha finito per cancellare casi che in realtà non avrebbero dovuto essere cancellati. E ora i dati sono spariti. Sono completamente scomparsi, perché, se ci fosse una funzione di ‘annullamento’, non saremmo conformi al GDPR.
Quando sceglie di eliminare un caso, non se ne vanno solo la scheda del caso e il diario. Possono essere anche i clienti, le parti e tutti i documenti associati al caso. Questo include le registrazioni dell’orario, le registrazioni postali – tutto ciò che si trova nella pancia del sistema ERP.
Cancellare un caso è una decisione importante. È richiesta dal GDPR, ma deve essere sicuro di comprendere le conseguenze quando prende la sua decisione.
Alcuni casi devono essere anonimizzati, non cancellati.
Fondamentalmente, il parametro più importante è il tempo. Quando i casi sono così vecchi che non c’è più alcuno scopo nel conservarli, devono essere cancellati. Alcuni avvocati interpretano questo termine come 10 anni, altri dicono 5 anni. Le opinioni variano, in effetti, ma il tempo è sempre il criterio più importante.
Non tutto deve essere cancellato, però. Se ha un buon motivo per conservare i dati, può farlo. Una buona ragione può essere, ad esempio, che il caso riguardi questioni di principio o attiri l’attenzione della stampa o delle autorità.
I casi che riguardano questioni di principio non devono essere cancellati, ovviamente, ma potrebbe essere necessario renderli anonimi a un certo punto.
Anche in questo caso, sarà una questione di giudizio se è di fondamentale importanza che un determinato nome appaia nel caso o se il nome può essere anonimizzato. Si tratta di un’altra valutazione che la sua soluzione IT purtroppo non può fare. Purtroppo, la sfida dell’anonimizzazione è ancora peggiore.
Se vogliamo anonimizzare Peter Petersen, un testimone in un caso, possiamo certamente cercare il suo nome. In alcuni punti, c’è scritto solo P. Petersen o Mr Petersen. E a pagina 37 di un documento, si dice ‘il proprietario del negozio di biciclette’, che ovviamente tutti sanno essere Peter Petersen, perché si tratta di una piccola città con un solo negozio di biciclette. Anche questa menzione deve essere anonimizzata.
È difficile far sì che un sistema informatico riconosca che ‘il proprietario del negozio di biciclette’ si riferisce a Peter Petersen, quindi questo è un altro lavoro in cui è difficile ottenere aiuto dalla tecnologia. La tecnologia non deve solo riconoscere ‘il proprietario del negozio di biciclette’ come riferimento a una persona; deve anche giudicare se è rilevante nel caso di questa particolare menzione sapere che si tratta del rivenditore di biciclette. Ciò richiede una seria intelligenza artificiale o molte ore di ricerca manuale.
Quanto è maturo il suo sistema IT?
I modi in cui i suoi sistemi IT possono aiutarla con la cancellazione e l’anonimizzazione si dividono in quattro livelli:
- Il livello 1 è quello in cui il sistema suggerisce i casi da valutare.
- Il livello 2 è quello in cui il sistema è in grado di eseguire l’eliminazione dei casi, comprese le voci e i documenti inviati, che lei sceglie di eliminare.
- Il livello 3 è quando il sistema può eseguire l’anonimizzazione dei casi in base ai criteri di ricerca scelti da lei. Si tratta di una sorta di ricerca e sostituzione nel sistema di gestione dei casi.
- Il livello finale è quello in cui il sistema può utilizzare l’intelligenza artificiale per trovare tutti i termini personali sensibili, come nell’esempio del ‘proprietario di un negozio di biciclette’.
La stragrande maggioranza dei sistemi si trova ai livelli 1 e 2. Non possiamo nominarne nessuno che sia al livello 4 o che abbia una qualche prospettiva di raggiungerlo. Anche se i sistemi fossero in grado di coprire i punti 1-4, tuttavia, gran parte della responsabilità della conformità al GDPR ricadrebbe sugli avvocati che devono giudicare cosa fare nei singoli casi.
Richiesta di accesso
Basta parlare di cancellazione e anonimizzazione. Un altro argomento che può creare un grande carico di lavoro per gli avvocati è quello delle richieste di accesso.
Chiunque può rivolgersi a noi e chiedere di sapere cosa sappiamo di lui. E poi togliamo un dipendente dall’officina perché si sieda a sfogliare i documenti per trovare i punti in cui viene menzionata la persona interessata. Per uno studio legale ordinario può essere assolutamente scoraggiante ricevere molte richieste di accesso di questo tipo. Questo è un altro aspetto per il quale abbiamo bisogno dell’aiuto del sistema.
In linea di principio, la sfida è la stessa dell’anonimizzazione. Dobbiamo essere in grado di trovare i dati in ogni angolo dei casi e dei documenti. La sfida informatica è la stessa, ed è tecnologicamente difficile da risolvere.
Chi può effettivamente fare cosa?
Ci sono molti compiti secondari in quest’area e la domanda è: chi può effettivamente fare cosa nella sua organizzazione? Quando si ha a disposizione un pulsante di cancellazione, non va bene se qualcuno può accidentalmente premerlo e far svanire i dati nel nulla.
- Il primo compito è l’identificazione. Si tratta di produrre una longlist di casi e dati che potrebbero dover essere eliminati. Si tratta di un lavoro molto importante per i sistemi IT, e va bene che la maggior parte delle persone dell’organizzazione abbia accesso alla longlist.
- Il compito successivo è la valutazione della longlist. In questo caso, gli avvocati che conoscono i casi specifici devono valutare quali di essi devono essere cancellati o resi anonimi. Potrebbe essere necessario stabilire dei processi interni che regolino quanto tempo dopo la scadenza si può ritardare la cancellazione senza coinvolgere un partner nella decisione.
- E poi arriviamo alla cancellazione stessa. Qui la domanda è: chi avrà l’autorità di premere il pulsante di cancellazione? Chi sarà autorizzato a cancellare un caso? A questo proposito, riteniamo che si debba valutare attentamente se, ad esempio, la cancellazione definitiva debba essere approvata da un partner.
Chi può vedere cosa?
La protezione dei dati implica anche la protezione dei dati dalla divulgazione a persone non autorizzate. Come possiamo assicurarci che nessuno in azienda veda qualcosa che non dovrebbe?
Naturalmente, la sicurezza informatica deve essere sotto controllo, in modo che gli hacker non possano rubare i dati e venderli o rimuoverli dal sistema e chiedere un pagamento per la loro restituzione, come è accaduto. Purtroppo, possiamo notare che ci sono molti tentativi di accesso falliti sui desktop remoti con la soluzione Navokat, dove il software lavora per tentativi ed errori per ottenere l’accesso. Si tratta di una minaccia che tutti dovrebbero prendere sul serio.
Anche sul fronte interno, però, dobbiamo semplicemente garantire che solo il personale giusto abbia accesso ai dati. Tutti gli utenti dell’ufficio devono avere accesso a tutti i dati su tutti i casi, oppure si possono prevedere delle restrizioni che soddisfino i requisiti del GDPR senza intralciare le attività quotidiane?
Allo stesso modo, si può pensare se il fornitore IT esterno debba avere un accesso illimitato ai dati in ogni momento. Naturalmente, deve essere in grado di fornire assistenza e di risolvere i problemi informatici, e a questo proposito può essere sensato, ad esempio, concedere loro un accesso limitato nel tempo ai dati, ma il fornitore IT non deve necessariamente avere accesso libero tutto il tempo.
Chi ha avuto accesso a cosa?
Naturalmente è anche importante poter documentare come la persona ha utilizzato i suoi diritti di accesso. Chi ha visualizzato quali dati e quando?
È importante disporre di questo registro degli accessi per poter documentare la conformità alla protezione dei dati e rispondere in modo soddisfacente alle richieste di accesso.
A che punto siete con il processo GDPR?
C’è molto da mordere se uno studio legale deve conformarsi a ogni singolo aspetto del GDPR. Un’altra questione controversa è quanto si può ragionevolmente pretendere di conformarsi se si tratta di un piccolo studio legale con poche risorse e se la tecnologia non può ancora aiutare in tutte le aree.
Ma il primo passo è quello di fare il punto della situazione, in modo da sapere a che punto siete, e poi di pianificare quanto volete che siano grandi le vostre ambizioni nell’area del GDPR.
Se ha bisogno di qualcuno che funga da cassa di risonanza per le questioni relative al GDPR in relazione ai sistemi di gestione delle cause, saremo lieti di avere una conversazione senza che questo le costi un centesimo. Siamo sempre pronti a discutere su uno dei temi che attualmente incombono sugli avvocati.