E’ stato reso pubblico il parere dell’Autorita’ Garante sulle proposte inoltrate dal Consiglio Nazionale Forense in merito ai principali adempimenti in materia di protezione di dati personali nello svolgimento dell’attivita’ forense.
L’Autorita’ nell’ambito della proficua collaborazione con gli organismi rappresentativi di categorie professionali, e al fine di favorire l’attuazione della disciplina in materia di protezione dei dati personali, ha quindi ritenuto opportuno richiamare l’attenzione sui principali adempimenti nell’esercizio dell’attivita’ forense, recependo le preoccupazioni dell’ avvocatura relative ad alcuni aspetti applicativi del Codice in materia di protezione dei dati personali.

Il Garante ha condiviso in larga parte le proposte del Consiglio Nazionale Forense segnalando innanzitutto l’importante possibilita’ di adempiere agli obblighi di legge con modalita’ semplificate, organizzate dal titolare del trattamento in modo sintetico e altresi’ efficaci, attuando i principi di semplificazione ed efficacia che il Codice richiama tra i cardini generali della nuova disciplina (art. 2, comma 2, del Codice).
In merito alla notificazione il Garante ha escluso tale obbligo per la classe forense tranne i casi previsti dall’art. 37, comma 1, del Codice.
Come e’ noto in materia lo stesso Garante e’ intervenuto con un provvedimento del 31 marzo 2004 che esclude l’applicabilita’ dell’art. 37 nel caso di: “trattamenti di dati genetici o biometrici effettuati nell’esercizio della professione di Avvocato, in relazione alle operazioni e ai dati necessari per svolgere le investigazioni difensive di cui alla legge n. 397/2000, o comunque per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria.
Cio’ sempre che il diritto sia di rango almeno pari a quello dell’interessato e i dati siano trattati esclusivamente per tali finalita’ e per il periodo strettamente necessario al loro perseguimento”.
L’Autorita’ ha escluso la notificazione anche per quei trattamenti relativi, a clienti o fornitori, effettuati da liberi professionisti per svolgere investigazioni difensive o curare la difesa in sede giudiziaria di diritti degli assistiti, salvo che il professionista costituisca un’apposita banca dati, gestita con strumenti elettronici, contenente dati relativi al rischio sulla solvibilita’ economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.
Il Garante ha invece ribadito, anche per la classe forense, l’importanza delle misure di sicurezza previste dagli artt. 33 e segg. del Codice. In particolare, se sono trattati con strumenti elettronici dati sensibili o dati giudiziari, occorre redigere un documento programmatico sulla sicurezza (DPS) entro il 31 marzo di ogni anno (nel 2004, entro il prossimo 30 giugno come per le altre nuove misure minime; artt. 34, comma 1, lett. G) e 180 del Codice; regola 19 dell’Allegato B).

Su questo aspetto l’Autorita’ non ha concesso sconti ed e’ stata molto ermetica, deludendo le speranze della classe forense di avere chiarimenti risolutivi in materia.
Nello specifico, si ricorda, che e’ stata sollevata da qualcuno la questione se l’obbligo di stesura di un documento programmatico sulla sicurezza dei dati sussista anche per coloro che trattino con strumenti elettronici solo dati comuni, con esclusione quindi dei dati sensibili e giudiziari.
Sostenere l’obbligatorieta’ anche in questo caso, significa andare contro il dato letterale della norma di riferimento, che non va individuata nell’art. 34, ma nel piu’ specifico art. 19 dell’allegato B (disciplinare tecnico) del Codice.
Questa norma, inserita tra le misure da adottare in caso di trattamento con strumenti elettronici, disciplina la redazione del DPS; esso indica chiaramente che si e’ obbligati alla stesura del documento solo in caso di trattamento di dati sensibili o di dati giudiziari.

E’ pero’ certamente consigliabile la stesura di un DPS anche in caso di trattamento di dati comuni con strumenti elettronici.
Detta stesura risponde infatti a quei criteri di misure idonee (non minime) che mettono al riparo il titolare dalle responsabilita’ civili ex art. 2050 c.c., e -comunque- risponde all’osservanza di criteri di buona organizzazione aziendale.
Avuto poi riferimento sia all’attivita’ difensiva comprese le investigazioni che all’attivita’ stragiudiziale il Garante ha ritenuto l’informativa sempre obbligatoria, mentre ai fini della prestazione del consenso e’ necessario tener conto della tipologia dei dati trattati.
Riguardo l’informativa c’e’ stato anche chi ha ritenuto che la stessa non essendo dovuta per gli elementi del trattamento gia’ noti all’interessato, in realta’ non sarebbe quasi mai dovuta perche’ al momento del conferimento dell’incarico il cliente e’ (innegabilmente) a conoscenza di quasi tutti gli elementi in cui si articola l’informativa.
In effetti, al di la’ della frequente ipotesi di studi professionali dove lavorano piu’ professionisti con molti collaboratori e personale ausiliario (per cui l’informativa sarebbe comunque necessaria), bisogna sottolineare che l’informativa (secondo lo spirito del Codice) serve in primo luogo a rendere edotto il cliente dei suoi diritti, ed ecco perche’ gli si comunica il contenuto dell’art. 7, riportandolo preferibilmente nel testo dell’informativa e delle modalita’, finalita’, obbligatorieta’ e destinatari del trattamento in questione.
Per questo motivo essa deve essere data e deve essere il piu’ possibile chiara ed analitica nel rispetto di quanto prescritto dall’art. 13 del Codice.
Non bisogna inoltre dimenticare che nel caso di omessa o inidonea informativa e’ prevista, quantomeno, una sanzione amministrativa tra gli Euro 3.000 e gli Euro 18.000 (importo ulteriormente elevabile in considerazione della tipologia di dati trattati e delle condizioni economiche del trasgressore).

Riguardo ai tempi dell’informativa, come regola generale essa va resa al momento della raccolta dei dati; se detti dati non venissero raccolti presso lo studio, ma trasmessi da un terzo autorizzato, l’informativa andra’ inoltrata all’atto della registrazione; in ogni caso non oltre la prima comunicazione a terzi dei medesimi, necessaria in virtu’ dello specifico conferimento.
Il tutto con eccezioni specifiche nell’ipotesi che i dati non venissero raccolti presso l’interessato, fra cui investigazioni difensive e tutela giudiziaria dei diritti.

La forma con cui viene resa l’informativa non deve essere necessariamente scritta, ma visto che si potrebbe porre un problema di prova e che comunque sara’ talvolta opportuno procurarci il consenso (espresso e/o scritto) al trattamento ed infine per il semplice fatto che una forma piu’ rigorosa comporta una maggiore attenzione per il contenuto dell’atto da parte di chi ne e’ destinatario, e’ altamente consigliabile che sia redatta per iscritto.
In merito al consenso, esso per i dati comuni non e’ dovuto per le attivita’ miranti allo svolgimento di indagini difensive (nel rispetto della legge relativa); per quelle finalizzate a far valere un diritto o a difenderlo nelle sedi giudiziarie (per il tempo necessario a tale finalita’); per lo svolgimento di obblighi derivanti dal contratto stipulato dall’interessato (quindi anche per il contratto di consulenza stragiudiziale), oltre alle altre ipotesi di cui all’art. 24 del Codice.
Per i dati sensibili il consenso, alla luce anche e soprattutto dell’autorizzazione generale n. 4, non e’ dovuto se i dati sono trattati per l’esercizio di un diritto o la sua difesa in sede giudiziaria (quindi anche per tutte le attivita’ prodromiche a questo finalizzate); ugualmente non dovuto nel caso di indagini difensive; occorre pero’ che il trattamento non sia effettuato per un periodo superiore a quello strettamente necessario al perseguimento di tali finalita’ o per altre finalita’ con esse non incompatibili.
Infine i dati giudiziari relativi a terzi possono essere trattati quando cio’ e’ strettamente indispensabile per eseguire specifiche prestazioni professionali richieste dai clienti per scopi determinati e legittimi. Tanto e’ stabilito testualmente dall’autorizzazione generale n. 7 rilasciata dal Garante.
Invece e su questo il Garante non e’ stato chiaro, ritengo che per le attivita’ meramente stragiudiziali, che non siano finalizzate alla tutela di un diritto o alla sua difesa in giudizio (quindi per le consulenze in genere) e solo quando abbiano ad oggetto dati sensibili, occorre il consenso scritto dell’interessato (aspetto questo rispetto al quale bisogna fare molta attenzione).
Altro aspetto affrontato riguarda l’individuazione dei soggetti che effettuano il trattamento dei dati personali alla luce degli artt. 28, 29 e 30 del Codice.

In particolare avuto riferimento alla figura del titolare del trattamento, nel caso di libero professionista che esercita la professione in forma non associata, il titolare e’ la persona fisica in quanto tale; nel caso di associazioni professionali o societa’ di avvocati, il titolare e’ l’entita’ nel suo complesso.
Il responsabile del trattamento e’ una figura facoltativa designata dal titolare e predisposta a verificare i corretti adempimenti di legge.
Riguardo gli incaricati del trattamento essi sono le persone fisiche autorizzate a compiere operazioni di trattamento, nel caso di specie tutti i “collaboratori” dello studio legale (avvocati, praticanti, segretarie, etc.) e ad essi i compiti devo essere indicati per iscritto.
In merito, poi, al trattamento non automatizzato dei dati personali il Garante ha precisato che non occorre sostituire i nomi delle parti sul fascicolo cartaceo con un codice identificativo: e’ sufficiente adottare opportune precauzioni per rendere la documentazione accessibile solo al personale autorizzato.

Si ricorda, inoltre che nel parere rilasciato l’Autorita’ ha manifestato la propria disponibilita’ a fornire chiarimenti e pareri in altre tematiche da approfondire, come quella del rapporto con gli investigatori privati autorizzati, della conservazione di documenti (in relazione ad eventuali altri incarichi, obblighi di legge, ecc.), della conoscibilita’ di atti e documenti in sede giudiziaria (calendari delle udienze, rilascio di copia delle pronunce giudiziarie, accessibilita’ in rete a tali documenti, ecc.), della pertinenza e non eccedenza dei dati prodotti nel giudizio, della notificazione di atti giudiziari, dei diritti degli interessati nella fase esecutiva e dell’informatica giuridica.

Nonostante tale intervento del Garante e la disponibilita’ manifestata si ha la netta sensazione che sia ancora lontana la soluzione del vero problema che sorge in merito all’applicazione delle regole della privacy negli studi legali e cioe’ quello di contemperare il diritto alla tutela del dato (alla sua libera circolazione, come sottolineato dalla Direttiva europea sulla tutela dei dati personali) con il diritto alla difesa, in modo che quest’ ultimo non venga strumentalizzato dal primo. In altri termini ottenere che l’esercizio del pieno diritto alla difesa faccia diventare piu’ forte la tutela della privacy.

Scritto da