Sommario

1. Premesse
2. Management by Process e Privacy by
   Design e Privacy by default (art.25 comma 1 e 2 del Regolamento UE n. 2016/679)
3. Le 7 cose da tenere presenti per
   professionisti/studi legali che iniziano il percorso marketing;
4. Nuove frontiere del Legal Marketing

1.       
Premessa

Organizzazione, Processi, Analisi,
Tecnologie: parole chiave condivise sia in ambito Privacy sia nel settore del Marketing.

Privacy come un’ulteriore opportunità per il
Marketing di migliorare la pianificazione dei
processi organizzativi e al tempo stesso come strumento per ridefinire la Vision dello
studio verso i propri clienti. Ma non solo: anche come valore da utilizzare per
distinguersi dalla concorrenza.

2.       
Management by
Process e Privacy by Design e Privacy by default (art. 25 comma 1 e comma 2 del
Regolamento UE n. 2016/679)

Con il termine Management by process si intende far riferimento alla gestione dei
processi ovvero individuare in modo preciso e puntuale quali siano i processi
su cui si fonda lo studio (una sorte di vera e propria mappatura), analizzando anche le interazioni intercorrenti tra loro
con il fine di creare un modello sistemico di gestione dei processi nel
contesto dello studio. Pianificazione volta quindi ad una governace dei processi da parte del Titolare.

Basta rileggere il paragrafo
precedente in un’ottica Privacy e il gioco è fatto.

L’integrazione, tra quanto già definito dal
Marketing e le regole previste dal Regolamento UE n. 2016/679, non sfugge a chi
giornalmente si occupa di Privacy per i propri
clienti: la mappatura di
ogni singolo processo
organizzativo, l’individuazione dei

ruoli e dei compiti delle persone interne
dello studio, delle tecnologie utilizzate sono la base comune (indipendentemente dalla grandezza dello studio legale)
della compliance privacy.

Il Regolamento UE n. 2016/679 introduce
queste due nuove modalità di “gestione” da parte del Titolare del Trattamento
della protezione delle persone e dei loro dati, nell’ottica della cd. Principio di Accountability (Art. 24 del Regolamento UE n. 2016/679)
ovvero di Responsabilizzazione nelle scelte organizzative e tecnologiche.

L’Art.
25 “Protezione dei dati fin dalla progettazione e protezione dei dati per
impostazione predefinita” al comma 1 recita:

Tenendo
conto dello stato dell'arte e dei costi di attuazione, nonché della natura,
dell'ambito di applicazione, del contesto e delle finalità del trattamento,
come anche dei rischi aventi probabilità e gravità diverse per i diritti e le
libertà delle persone fisiche costituiti dal trattamento, sia al momento di
determinare i mezzi del trattamento sia all'atto del trattamento stesso il
titolare del trattamento mette in atto misure tecniche e organizzative
adeguate, [..]volte ad attuare in modo efficace i principi di protezione dei dati, [..] e a integrare nel trattamento le
necessarie garanzie al fine di soddisfare
i requisiti del presente regolamento e tutelare i diritti degli interessati.

Ecco la Privacy by design, ovvero
pianificazione dei processi
e delle attività prima della realizzazione: progettazione che
può riguardare l’apertura di un nuovo studio legale (o di una nuova sede di uno
studio già esistente) o l’attivazione di uno o più strumenti marketing (ad es.
sito internet).

Progettazione che ad esempio, nel primo caso,
può riguardare non solo una mappatura dei processi e delle tecnologie, ma anche diversi
settori fra i quali anche
la pianificazione dei locali e
dell’arredamento degli stessi che dovranno rispecchiare quell’ulteriore sensibilità verso i clienti che gli
studi dovranno acquisire.

Nel caso in cui invece occorra adeguare quanto già esistente occorrerà far riferimento alla Privacy by default, che ritroviamo al secondo comma dell’art. 25:

Il titolare
del trattamento mette in atto misure tecniche e organizzative adeguate per
garantire che siano trattati, per impostazione predefinita, solo i
dati personali necessari per ogni specifica finalità del trattamento. […] In
particolare, dette misure

garantiscono che, per
impostazione predefinita, non siano resi accessibili dati personali a un numero
indefinito di persone fisiche senza l'intervento della persona fisica.

In questo caso invece si ha
una tutela della protezione del dato che deve diventare

l’impostazione
predefinita.

Ulteriori indicazioni per poter meglio comprendere questo
nuovo sistema di gestione delle scelte del Titolare in base ai processi
organizzativi li ritroviamo:

• Al Considerando n. 74: È opportuno stabilire
  la responsabilità generale del
  titolare del trattamento per qualsiasi trattamento di dati personali che
  quest'ultimo abbia effettuato direttamente o che altri abbiano
  effettuato per suo conto. In particolare, il
  titolare del trattamento dovrebbe essere tenuto a mettere in atto misure
  adeguate ed efficaci ed essere in grado di dimostrare la conformità delle
  attività di trattamento con il presente regolamento, compresa l'efficacia delle misure. [..];
• Al Considerando n. 78:
  [..] Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe
  adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della
  protezione dei dati per impostazione predefinita. Tali misure
  potrebbero consistere, tra l'altro, nel ridurre al minimo il trattamento dei
  dati personali, [..], offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all'interessato di controllare
  il trattamento dei dati e consentire al titolare del trattamento di creare e
  migliorare caratteristiche di sicurezza. In fase di sviluppo progettazione, selezione e
  utilizzo di applicazioni, servizi e prodotti basati sul trattamento di
  dati personali o che trattano dati personali per svolgere le loro funzioni, i
  produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere
  incoraggiati a tenere conto del diritto alla protezione dei dati allorché
  sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito
  conto dello stato dell'arte, a far si ̀ che
  i titolari del trattamento e i responsabili del trattamento
  possano adempiere ai loro obblighi di protezione dei dati[..];

3.  
Le 7 cose da tenere
presenti per professionisti/studi legali che iniziano il percorso marketing;

Dopo questa riflessione sulle
interconnessioni tra Legal Marketing e Privacy, vediamo quali sono le 10 cose
da tenere presenti per chi vuole rivedere la propria attività quotidiana alla
luce di quanto detto fino ad ora:

1. Non basta un Social per fare marketing:
   prima di utilizzare i Social ed in generale le risorse
   messe a disposizione dal Web occorre
   pianificare tempi e modi
   per farlo al meglio. Non improvvisare e non lasciarsi trasportare
   dall’entusiasmo del momento: occorre prima definire l’oggetto del “messaggio”
   da comunicare prima di comunicarlo;
   1. Fare
      un’analisi della propria attività sincera: molto spesso
      sia quando si sta effettuando per la prima volta l’analisi SWOT (Strong, Weakness, Oppotunity, Threat),
      punto di partenza del piano marketing in quanto evidenzia i punti di forza, di
      debolezza, minacce e opportunità, sia quando si stanno mappando le singole
      attività per vedere dove e come possono esserci problemi in ambito Privacy, il
      professionista/studio legale non risponde sinceramente alle domande di entrambe
      le check list e le motivazioni possono essere due: o non si è mai soffermato a
      fare il punto sulla propria quotidiana o sapendo di sbagliare risponde come
      vorrebbe che sia e non come è realmente. Nel primo caso se non si conosce
      l’effettiva risposta occorre fermarsi nell’analisi generale ed approfondire il
      processo che non si conosce fino a che non si arriva a mapparne tutti i passaggi. Nel secondo caso invece rischiamo
      di alterare l’analisi e i risultati e nell’ambito Privacy, rischiamo
      di rendere inutili le misure prese lasciando “scoperto” un eventuale processo
      che sappiamo essere sbagliato ma che per ragioni di budget o di non reale
      volontà di cambiamento, non risolviamo;
   1. Strategie prima e poi marketing: pianificare, pianificare e pianificare. Una volta
      “scorporata” la nostra
      quotidiana attività lavorativa, e nel caso dello studio
      legale, mappato chi fa cosa, dove e quando e come, definiti gli
      obiettivi si parte con il piano marketing. Nell’ambito Privacy questa mappatura
      ci servirà per poter compilare l’Informativa e il Registro
      dei Trattamenti, adempimenti comuni a tutti i professionisti/studi legali
   1. Ricordarsi
      di essere nell’ambito del Legal Marketing: in questo
      specifico settore occorre tenere
      presente anche i limiti e le opportunità che ci offre il Nuovo

Codice Deontologico forense così come
modificato con delibera del Consiglio nazionale forense del 22 gennaio 2016,
pubblicata nella Gazzetta Ufficiale, Serie Generale 3 maggio 2016, n. 102,
all’esito delle procedure di consultazione di cui all’art. 35, comma 1, lett. d) della legge 31 dicembre
2012, n. 247, avviate ai sensi
della delibera del Consiglio nazionale forense del 22 gennaio 2016: all’ art.
35 “Dovere di corretta
informazione” è stata prevista
per l’Avvocato la possibilità di dare informazione sulla propria attività
professionale, quali che siano i mezzi
utilizzati per rendere le stesse rispettando allo stesso tempo i doveri di
verità, correttezza, trasparenza, segretezza e riservatezza, facendo in ogni
caso riferimento alla natura e ai limiti dell’obbligazione professionale.

Nello stesso Articolo 35
dal comma 2 al comma 8 vengono date delle indicazioni precise relativamente
a cosa e come deve essere data tale informazione; infine al comma 9 è previsto che “le forme e le modalità delle informazioni
devono comunque rispettare i principi di dignità e decoro della professione”.
Limite insuperabile posto per qualsiasi strategia di marketing in questo
specifico settore, viene indicato all’art.
37 sempre del Nuovo Codice Deontologico “Divieto di accaparramento della clientela” che comporta
l’applicazione della sanzione disciplinare della censura;

• Scelta
  degli strumenti in base alle proprie competenze, al proprio tempo ed
  alla propria attività: a questo punto in base alla mappatura
  dei processi, al tempo che vogliamo dedicare
  a questo cambiamento e alla …, occorrerà scegliere come veicolare il nostro
  “messaggio”: sito internet, Social Network, Newsletter informative, Articoli su
  Riviste specializzate ecc.. .

Ricordarsi sempre che soprattutto per quanto riguarda gli
strumenti informatici (sito, newsletter ecc..) occorre sempre
tenere presente anche le regole
imposte al Titolare in ambito Privacy:
l’art, 28 del Reg. UE ad esempio al primo comma recita
“qualora un trattamento debba essere
effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino
garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che
il trattamento soddisfi i requisiti del presente regolamento e garantisca la
tutela dei diritti dell'interessato”, il Considerando n. 81 (Reg. UE) specifica le garanzie sufficienti “
[..]in particolare in termini di conoscenza specialistica, affidabilità e
risorse, per mettere in atto

misure tecniche e organizzative che soddisfino i requisiti del
presente regolamento, anche per la sicurezza del trattamento”. Quest’ultima
inoltre viene approfondita anche all’art.
32 (Reg. UE) nel quale al primo
comma recita “l titolare del
trattamento e il responsabile del trattamento mettono in atto misure
tecniche e organizzative adeguate per
garantire un livello di sicurezza adeguato al rischio” specificando poi al comma 2 che “ Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei
rischi presentati dal trattamento che derivano in particolare dalla
distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata
o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi,
conservati o comunque trattati.”

• Privacy
  opportunità e non come limite al Marketing:
  quotidianamente la Privacy viene vissuta come un ulteriore limite ed
  irrigidimento delle procedure: in realtà è un’opportunità che fa sì di poter effettivamente instaurare un colloquio tra Titolare ed Interessato
  attraverso ad esempio l’Informativa (prevista dagli artt. 13 e 14 del Reg.
  UE n. 2016/679) ed il Registro dei Trattamenti (previsto dall’ex art. 30 sempre del Reg. UE) che sono al
  tempo stesso atti “finali” di un processo di adeguamento e atti in continuo
  aggiornamento da parte del Titolare in caso di ulteriori cambiamenti
  significativi della propria attività;
  • Non avere
    fretta: i risultati delle azioni pianificate non si vedranno
    subito, ma si vedranno nel momento in cui anche il
    Titolare non eseguirà solo quanto pianificato ma vivrà tale cambiamento con i clienti, quelli attuali e quelli
    potenziali.

4.   Nuove frontiere del Legal Marketing

A conclusione di questa breve panoramica sulle nuove sfide del Legal Marketing, occorre aggiungere che vi è stata
un’ulteriore recente rivoluzione sempre in questo settore: focus di tutte le
attività sarebbe secondo Philip Kotler, non più (solo) il guadagno ma il
cliente, i suoi bisogni e le sue emozioni: sintesi di questo è nella formula
H2H, ovvero human to human.

Quindi come nel Regolamento Europeo, a differenza del passato, viene posto al centro di tutto l’interessato ed i trattamenti sui suoi dati, ben possiamo comprendere le evoluzioni e gli sviluppi che ci potranno essere nei prossimi anni.

Maribel Maini