L’inserimento, nella pagina dei Materiali, di un modello di informativa privacy per la professione legale, mi induce a trattare brevemente e per sommi capi dell’argomento del trattamento dei dati personali nell’esercizio di tale professione.
L’attività forense non è, chiaramente, esente dalle prescrizioni dettate dal Codice in materia di protezione dei dati personali (D.Lgs. 30 giugno 2003 n. 196). In virtù del particolare ruolo sociale ricoperto dal legale e dell’importanza dell’attività di difesa (di rango costituzionale) dallo stesso svolta, ma soprattutto per la particolare complessità di quest’ultima, che richiede studi, procedure e pratiche articolate, il Garante ha inteso semplificare gli adempimenti ricadenti sugli avvocati, evitando comunque di pregiudicare – giustamente – la privacy dei clienti.
In merito, è intervenuto, il 3 giugno 2004, il Garante per la protezione dei dati personali, con un parere di chiarimento sui principali adempimenti in materia di protezione di dati personali nello svolgimento dell’attività forense. Si rimanda a tale documento per avere una panoramica chiara e completa dell’ostica materia.
In breve, in ogni caso, si può innanzitutto evidenziare come l’informativa al cliente sia comunque sempre necessaria. Essa può essere resa in forma scritta o orale, sinteticamente o colloquialmente, purché, però, sia comunque completa.
Sono, inoltre, necessarie idonee misure di sicurezza, volte a garantire la salvaguardia dei dati, nonché la redazione di un documento programmatico sulla sicurezza, qualora l’avvocato tratti dati sensibili o giudiziari in via informatica (praticamente sempre).
Titolare del trattamento dei dati, nel caso in cui l’attività professionale sia svolta individualmente, è sempre l’avvocato medesimo, il quale stabilirà le modalità di utilizzo e trattamento dei dati, quali mezzi e strumenti impiegare e come gestire ed organizzare i sistemi di sicurezza. Nel caso in cui l’attività sia svolta da due avvocati congiuntamente, gli stessi saranno contitolari del trattamento, mentre sarà necessariamente designato come titolare l’associazione legale, qualora l’attività sia svolta in forma societaria o associata. Non è necessario – si chiarisce – nominare responsabili del trattamento, sebbene sia consigliato nelle organizzazioni di grandi dimensioni. In ogni caso, tutti i soggetti interni allo studio legale che possono avere accesso ai dati (collaboratori, praticanti, impiegate/i, ecc.) dovranno essere designati quali incaricati del trattamento.
La notificazione al Garante dell’intenzione di procedere a trattamento di dati, prevista per i casi di cui all’art. 37 del Codice, non è più necessaria per la maggior parte dei trattamenti effettuati nell’esercizio dell’attività forense.
In virtù di un provvedimento del Garante dell’aprile 2004, non sono più soggetti a notificazione “i trattamenti di dati genetici o biometrici effettuati nell’esercizio della professione di avvocato, in relazione alle operazioni e ai dati necessari per svolgere le investigazioni difensive di cui alla legge n. 397/2000, o comunque per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria. Ciò sempre che il diritto sia di rango almeno pari a quello dell’interessato e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento“. Non vanno inoltre notificati i trattamenti di dati economici relativi a clienti o fornitori, purché l’avvocato non costituisca una banca dati informatica, con dati sulla solvibilità, situazione patrimoniale, ecc.
Per quanto concerne il consenso dell’interessato, invece, occorre distinguere tra dati comuni e dati sensibili. Per i primi, non è necessario il consenso del cliente, qualora il loro trattamento sia necessario per l’adempimento dell’incarico professionale. Parimenti, non è necessario il consenso dei terzi interessati, qualora il trattamento dei loro dati comuni sia strettamente finalizzato allo svolgimento delle indagini difensive o per far valere o difendere un diritto in sede giudiziaria. Con riferimento ai dati sensibili, non è necessario il consenso per svolgere indagini difensive o per far valere o difendere un diritto in sede giudiziaria. Se, però, si tratta di informazioni relative a salute e vita sessuale, il diritto difeso o fatto valere in giudizio deve essere un diritto della personalità o altro diritto o libertà fondamentale o inviolabile, di rango almeno pari a quello della persona a cui si riferiscono i dati. Il trattamento può riguardare i dati sensibili relativi ai clienti. I dati sensibili relativi a terzi possono essere trattati se ciò è strettamente indispensabile per eseguire specifiche prestazioni professionali richieste dai clienti, per scopi determinati e legittimi.
Non è, inoltre, più necessario richiedere apposita autorizzazione al Garante per il trattamento di tali dati sensibili, grazie ad un’apposita autorizzazione generale (preventiva) rilasciata dallo stesso.
Riguardo ai dati giudiziari, invece, non è necessario né il consenso degli interessati, né la richiesta di autorizzazione, anche in questo caso già rilasciata in via generale e preventiva dal Garante.
Viene comunque chiarito, dal Garante, che non occorra prevedere accorgimenti particolari, volti ad oscurare i nomi delle parti sui fascicoli cartacei dello studio, oppure sostituirli con codici o altri sistemi identificativi. Quel che è necessario – e al contempo sufficiente – è organizzare lo studio in modo tale che sia solamente il personale autorizzato ad avere il potere e la possibilità di accedere alla documentazione.
Con riferimento all’attività stragiudiziale, invece, valgono regole differenti con specifico riguardo al trattamento di soggetti terzi, diversi dal cliente dell’avvocato: i dati di costoro, a meno che non siano ricavati e/o ricavabili da fonti pubbliche e conoscibili, possono essere trattati solo dietro espresso consenso dell’interessato. Tale consenso, in particolare, deve essere reso in forma scritta, qualora si tratti di dati sensibili, dati riguardanti la salute e le abitudini sessuali, o dati giudiziari.
A partire dal 1 gennaio 2009, infine, in virtù del provvedimento del Garante n. 60 del 6 novembre 2008, è stato introdotto il Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive, le cui disposizioni devono essere rispettate dagli avvocati, dai praticanti avvocati e dagli investigatori privati – si riporta testualmente – “nel trattamento di dati personali per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria, sia nel corso di un procedimento, anche in sede amministrativa, di arbitrato o di conciliazione, sia nella fase propedeutica all’instaurazione di un eventuale giudizio, sia nella fase successiva alla sua definizione”.