ItaliaOggi Sette – ANTONIO RANALLI
Protezione dei dati personali e antiriciclaggio. Sono solo due delle normative che, ormai da anni, devono essere applicate anche dagli studi legali. E gli avvocati, per affrontare i complessi adempimenti legati alle leggi, si sono organizzati individuando al loro interno fi gure specifi che che se ne dovranno occupare. In tema di privacy, per esempio. Tutti i dati cui l’avvocato ha accesso nell’ambito della propria attività sono, per loro natura, particolarmente sensibili, e posso riguardare aspetti diversi della vita del cliente, e ai professionisti è richiesto il rispetto del segreto professionale. Per questo gli studi oggi devono tenere a mente le finalità di trattamento dei dati e la loro trasmissione che devono essere defi nite. Inoltre, devono prevedere misura di sicurezza e formare tutti i colleghi e collaboratori dello studio. Attenzione anche all’archiviazione tecnologica del dati, soprattutto quando si utilizzano spazi esterni su cloud. Poche settimane fa lo studio Chiomenti ha comunicato di essersi dotato di una funzione gestionale al proprio interno, del tutto innovativa per gli studi professionali italiani, affi dando all’avvocato Sebastiano Zimmitti il nuovo ruolo di general counsel. In questo modo la law fi rm intende rendere più effi cace la gestione dei processi interni, dei rapporti dello studio, nonché una maggiore cura della compliance di studio avendo riguardo a tutte le normative di riferimento. «In tema di antiriciclaggio lo studio Chiomenti ha una già policy interna, che è oggetto di continua implementazione e affi namento», spiega Zimmitti. «Il general counsel ha quindi organizzato un team di professionisti interni e personale dello staff competente, che insieme a lui si sta occupando di adeguare la policy esistente ai più recenti indirizzi giurisprudenziali e regolamentari e alle «best practices» di settore, nonché alle disposizioni del nuovo management dello studio. Il general counsel, inoltre, svolge un ruolo di supporto legale nella risoluzione delle singole questioni attinenti la materia. Per quanto riguarda la normativa privacy, lo studio già dispone di ampia documentazione (informative, registro dei trattamenti, varie procedure) in conformità alle previsioni del Gdpr. Con riguardo a questo ambito, l’attività del general counsel allo stato è indirizzata prevalentemente al monitoraggio degli adempimenti in materia di trattamento dei dati. Chiomenti sta inoltre valutando di nominare a breve il general counsel quale Dpo dello studio». Per far fronte all’impatto profondo che le normative possono avere sulle procedure interne dello studio, O r r i c k h a istituito a livello globale i l p r o g e t t o « Orrick as a c l i e n t » c o n l’obiettivo di «valorizzare e consolidare le competenze interne a benefi cio non solo dei nostri clienti ma anche della fi rm stessa», afferma Guido Testa, partner di Orrick nonché co-offi ce leader delle sedi italiane. «Ogniqualvolta ci troviamo di fronte ad un cambiamento che impatta sulla gestione di una o più sedi della fi rm, identifi chiamo le risorse interne più adatte ad assumere il ruolo di veri e propri consulenti dello studio, di modo che diventino il nostro punto di riferimento lungo tutto il percorso di aggiornamento. Anche con le recenti novità in materia di antiriciclaggio e di Gdpr abbiamo seguito questo iter che troviamo estremamente efficiente: abbiamo costituito delle task force cross-offi ce composte da professionisti con un background nella materia, i quali hanno seguito il necessario percorso di aggiornamento e si sono poi occupati di implementare tutte le correzioni necessarie alle procedure e alla documentazione interne, oltre che di affi ancare i colleghi nella risoluzione di problematiche specifi che». Il Regolamento Ue 2016/679 relativo alla protezione dei dati personali è direttamente applicabile negli stati membri a partire dal 25 maggio 2018. «Anche gli studi legali, indipendentemente dalla loro dimension e, dalla s t r u t t u r a e dall’area di attività dovranno adeguarsi», spiega Mascia Cassella, partner dello studio Masotti Berge Cassella. «Il nostro studio, in adempimento alle disposizioni regolamentari del Gdpr, ha quindi provveduto, a tutti gli adempimenti prescritti, tra i quali in primo luogo, la mappatura dei dati trattati nel corso dell’attività professionale, al fi ne della p r e d i s p o s i zione di una idonea Privacy policy, poi l’invio ai propri dipendenti, ai fornitori e ai clienti già acquisiti, per quanto di competenza, di idonea i n f o r m a t i va che, per i nuovi clienti e/o l’assunzione di nuovo personale dipendent e, diverrà parte integrante, quale allegato, del relativo rapporto contrattuale (mandato/contratto di assunzione). Nel caso in cui il trattamento di dati particolari sia effettuato in modo non occasionale, lo studio ha previsto l’adozione di un apposito registro dei trattamenti. Per quanto riguarda i dati raccolti attraverso il sito internet, lo studio ha provveduto a pubblicare sul proprio sito ( www.mbclex.com) idonea informativa (inclusa quella relativo all’utilizzo di cookies). Inoltre, abbiamo provveduto a tutte le nomine nell’ambito della struttura interna dello studio e dei soggetti esterni al fi ne di correttamente allocare le responsabilità. In relazione agli obblighi antiriciclaggio cui sono soggetti anche gli studi legali, con riguardo, in special modo e da ultimo, al dlgs n. 90/2017 (entrato in vigore lo scorso 31 marzo 2018), il nostro studio ha provveduto agli adempimenti prescritti cercando per quanto possibile di adattare le procedure già esistenti al fine di migliorare effettività ed e f f i c i e n z a . In tal senso è stata aggiornata la modulistica per la raccolta dei dati, in italiano e inglese, corredando la stessa di una serie di note/ esempi che facilitassero la compilazione da parte del cliente. Il risultato è che la modulistica, sebbene più corposa, è però risultata più intellegibile per i clienti e, quindi, più effi cace. Si è inoltre provveduto a personalizzare la valutazione del rischio, sottoponendo a tutti i partner un questionario predisposto sulla base dell’attività dello studio sulla loro «sensibilità» al rischio antiriciclaggio il cui risultato, mediato, è stato poi «pesato» al fi ne di creare un sistema automatico, ma specifi co, per la valutazione della rischiosità di ogni singolo cliente. Tutto ciò anche ai fi ni degli obblighi di verifi ca rafforzati. Il tutto è stato poi coordinato con il sistema informatico in uso, generando la valutazione automatica del rischio, che è poi stata sottoposta ad ogni singolo partner per il defi nitivo benestare». Il tema caldo dell’adozione del Gdpr è stato affrontato anche dallo studio Littler. «Come noto, gli studi legali sono tenuti a rispettare ed attuare le normative in materia di privacy e in tema di antiriciclaggio. Littler è particolarmente sensibile alle predette questioni e si è da subito adeguato alle linee guida rese dal Cnf e dalla Commissione antiriciclaggio del Consiglio nazionale forense, tenendo peraltro conto anche della modulistica impostata dai predetti organismi», spiega il co-managing partner di Littler, Carlo Majer. «Abbiamo inoltre adottato un software che semplifica le procedure privacy e antiriciclaggio e permette di generare automaticamente la documentazione necessaria rispettando le misure di sicurezza, conservazione, trasmissione e protezione dei dati. Abbiamo inoltre implementato la formazione dei dipendenti dello Studio nonché dei professionisti per dare loro le coordinate e gli strumenti necessari per la gestione del trattamento dei dati personali nel rispetto della normativa». Per quanto riguarda la privacy «il Regolamento Gdpr, divenuto esecutivo in Italia il 25 maggio 2018, superando l’approccio formalistico della «vecchia» disciplina, ha introdotto un sistema basato sulla accountability, cioè sulla responsabilizzazione del titolare del trattamento dei dati (lo studio) che, valutati i rischi, deve individuare e adottare misure tecniche/organizzative idonee e adeguate alle caratteristiche dei trattamenti di dati personali svolti», spiega il compliance manager per privacy e antiriciclaggio della sede di Roma dello Studio Legale Tributario Fantozzi e Associati, Francesco Giuliani. «Lo studio, quindi, non ha dovuto stravolgere la sua organizzazione ma adeguarla con una mappatura dei trattamenti in essere, al fi ne di semplifi care al massimo le procedure interne. La vera novità è che con il Regolamento Ue non esistono più soluzioni «chiavi in mano» e adempimenti uguali per tutti gli Studi, poiché la protezione dei dati personali è un percorso che va sviluppato su misura, secondo il principio della responsabilizzazione e della valutazione dei rischi. La privacy infatti non è solo questione di hardware, software e misure di sicurezza, ma soprattutto di organizzazione delle risorse umane che trattano i dati e che devono essere adeguatamente formate e rese consapevoli dei rischi connessi, viste anche sanzioni amministrative pecuniarie molto elevate. Per questo lo studio si è dotato di un team competente in materia privacy con a capo un referente, il compliance manager, che svolge attività di coordinamento e vigilanza sull’esatta applicazione della normativa e tiene i rapporti con i soggetti interni ed esterni. È stato poi adeguato il regolamento interno privacy per professionisti e dipendenti, con specifi che istruzioni per limitare i trattamenti di dati personali a quelli strettamente necessari (con formazione degli incaricati e periodico aggiornamento). Il Regolamento, inoltre, ha ribadito la centralità del principio del consenso informato, sottolineando che l’informativa – in passato spesso lunga, incomprensibile e con riferimenti normativi complessi – deve essere leggibile, concisa, e fornita per iscritto». Per q u a n t o r i guarda l’antiriciclaggio «la normativa prevede adempimenti molto rig o r o s i , n e cessari alla creazione di un sistema di collaborazione attiva tra operatori economici e autorità di vigilanza e di maggiore trasparenza nel mercato. Lo studio ha messo a punto una modulistica per l’adeguata verifica della clientela e ha proceduralizzato l’archiviazione dei dati relativi al cliente, oggi in parte con modalità cartacea (fascicolo), in parte con modalità informatica tramite un software di gestione ad hoc. Grazie alle ultime modifiche normative è venuto meno l’obbligo dell’istituzione del registro della clientela». «Consideriamo regolamenti e normative come opportunità, occasioni per mettere in discussione i processi in uso e ripensarli in maniera più efficiente ed in chiave tecnologica». Per Rita Santaniello, partner di Roedl & Partner, le nuove regolamentazioni rappresentano una sfida per studi legali come il suo. «Da sempre lo studio è attento a cogliere le nuove sfide che l’evoluzione normativa pone al mercato e a studiare dei modelli di business che siano al passo coi tempi e che permettano da un lato l’osservazione della norma, dall’altro di garantire l’efficienza e l’immediatezza dei processi interni», spiega Santaniello. «Nel caso d e l l ‘ i n t r o duzione del Gdpr, il team Data Protection italiano h a g u i d a t o l’implementazione del regolamento a livello globale per gli s t u d i R ö d l & P a r t n e r n e l m o n d o, sviluppando e implementando appositi tool. Anche n e l l ‘ a p p l i cazione della normativa sull’anti-riciclaggio, lo studio si è sin da subito dotato dei migliori strumenti per una gestione efficiente e pragmatica degli adempimenti, cui è d e d i c a t o u n t e a m c o m p o s t o sia da professionisti, sia da figure di staff, che f r e q u e n t a regolarmente corsi di a g g i o r n a m e n t o p e r essere sempre all’avanguardia. Un connubio dunque tra innovazione tecnologica e attenzione normativa, che ben descrive il Dna che da sempre ci caratterizza». Anche la tecnologia è intervenuta in favore degli studi. «Per l’adempimento agli obblighi in materia di antiriciclaggio lo studio da anni utilizza un software apposito per la tenuta di apposito registro, compilato sulla base delle informazioni e documenti raccolti dai professionisti che devono identificare la clientela», spiega Simona Gallo, partner di Jenny.Avvocati. «Vengono tenuti incontri formativi interni, a cura del team che si occupa di compliance, il quale ha altresì il compito di mantenere aggiornato il «manuale operativo antiriciclaggio» predisposto, e che forma parte integrante della policy interna dello studio. La policy interna di cui ci siamo dotati da anni contiene numerose regole di comportamento e procedure, anche in materia di privacy. Con l’entrata in vigore del Gdpr la policy è stata integrata con un «manuale operativo privacy» che, oltre a riassumere i principi di legge, riporta istruzioni più operative per i membri dello studio (professionisti e staff)». Per Angelo Bonissoni, managing p a r t n e r d i Cba «anche gli studi prof e s s i o n a l i sono chiamati a gestire con intensità quantitativa e qualitativa crescenti il tema della c o s i d d e t t a c o m p l i a n c e aziendale (salute e sicurezza sul lavoro, tutela dei dati personali, antiriciclaggio, ma anche, più in generale, gestione del personale, dei fornitori e della clientela). In tale contesto è necessario, da un lato, promuovere una «cultura aziendale» improntata a principi di onestà, correttezza e rispetto non solo della «lettera», ma anche dello «spirito», delle norme; dall’altro, approntare specifi ci presidi organizzativi, volti ad assicurare il rigoroso rispetto delle prescrizioni normative e di autoregolamentazione, richiedendo l’istituzione di un’apposita funzione di prevenzione e gestione del rischio di violazioni delle r i c h i a m a t e p r e s c r i z i o ni. In questo contesto normative come Gdpr e la normativa antiriciclaggio i m p o n g o n o uno specifi co adeguamento struttural e, ri chiedendo l’individuaz i o n e d e l «Responsabile della funzione compliance», a mente dell’art. 16 del dlgs 90/2017, il quale prescrive quanto segue: «Le autorità di vigilanza di settore ai sensi dell’articolo 7, comma 1, e gli organismi di autoregolamentazione, ai sensi dell’articolo 11, comma 2, individuano i requisiti dimensionali e organizzativi in base ai quali i soggetti obbligati, rispettivamente vigilati e controllati adottano specifici presidi, controlli e procedure per: la valutazione e gestione del rischio di riciclaggio e di finanziamento del terrorismo e per l’introduzione di una funzione antiriciclaggio, ivi comprese, se adeguate rispetto alle dimensioni e alla natura dell’attività, la nomina di un responsabile della funzione antiriciclaggio e la previsione di una funzione di revisione indipendente per la verifi ca delle politiche, dei controlli e delle procedure». Il nostro studio ha da sempre posto particolare attenzione al rispetto della compliance (attraverso periodici e sistematici incontri formativi con autorevoli docenti in materia di antiriciclaggio e di privacy), e istruendo a risorse interne (soci, offi ce manager e staff) per farvi fronte. Tuttavia, la crescente complessità del sistema normativo nonché l’obiettiva esigenza di una funzione super partes (non solo tra i soci, ma anche vis-a-vis l e a u t o r i t à di vigilanza), hanno portato a dedicare al tema compliance una funzione ad hoc esterna. Pe r g a r a n t i r e l a g e stione della compliance, al pari delle organizzazioni aziendali più complesse, anche Cba ha deciso per una funzione interna a ciò dedicata; si tratta del corporate compliance offi cer («cco») al quale è affidato il compito di standardizzare gli obiettivi di controllo e di verifica interni ed esterni, oltre a quello di seguire tutti i cambiamenti e le innovazioni necessarie per assimilare le nuove regole e le nuove politiche. È del tutto evidente che le caratteristiche di tale funzione sono tali da portare effettivi benefi ci al business e non trasformarsi, piuttosto, in una specie di «buco nero» che drena energie e risorse economiche; è indispensabile, insomma, che la funzione in parola rappresenti un sostegno, e non invece un ostacolo, all’operatività di tutti i giorni. Credo che questa scelta compiuta da Cba vada a collocarsi nel più ampio concetto di social responsibility».
Foto: Carlo Majer