Proteggere i dati critici dello Studio per garantire privacy ed efficienza

produttiva

Daniele Vecchi

Milano 13 ottobre 2011

1 – La protezione dei dati personali

dei clienti nello svolgimento

dell’attività forense

Normativa di riferimento

• Decreto Legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” (c.d. Codice Privacy)

• Autorizzazioni generali del Garante al trattamento dei dati sensibili e giudiziari

• Codice di deontologia e buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive (Provv. 6 novembre 2008);

• Parere Garante del 3 giugno 2004, Chiarimenti sui principali adempimenti in materia di protezione di dati personali nello svolgimento dell’attività forense (http://www.garanteprivacy.it/garante/doc.jsp?ID=1007280)

• Altri provvedimenti e decisioni del Garante

Ma anche

• Art. 622 Codice Penale – Segreto professionale

• Art. 9 Codice di Deontologia Forense

Art. 9 codice deontologico: dovere di segretezza e riservatezza

È dovere, oltre che diritto, primario e fondamentale dell'avvocato mantenere il segreto sull'attività prestata e su tutte le informazioni che siano a lui fornite dalla parte assistita o di cui sia venuto a conoscenza in dipendenza del mandato.

I - L'avvocato è tenuto al dovere di segretezza e riservatezza anche nei confronti degli ex-clienti, sia per l'attività giudiziale che per l'attività stragiudiziale.

II - La segretezza deve essere rispettata anche nei confronti di colui che si rivolga all'avvocato per chiedere assistenza senza che il mandato sia accettato.

III - L'avvocato è tenuto a richiedere il rispetto del segreto professionale anche ai propri collaboratori e dipendenti e a tutte le persone che cooperano nello svolgimento dell'attività professionale.

Art. 9 codice deontologico: dovere di segretezza e riservatezza

IV - Costituiscono eccezione alla regola generale i casi in cui la divulgazione di alcune informazioni relative alla parte assistita sia necessaria:

a) per lo svolgimento delle attività di difesa;

b) al fine di impedire la commissione da parte dello stesso assistito di un reato di particolare gravità;

c) al fine di allegare circostanze di fatto in una controversia tra avvocato e assistito;

d) in un procedimento concernente le modalità della difesa degli interessi dell'assistito.

In ogni caso la divulgazione dovrà essere limitata a quanto strettamente necessario per il fine tutelato.

Fonti informative

• Parere Garante del 3 giugno 2004, Chiarimenti sui principali adempimenti in materia di protezione di dati personali nello svolgimento dell’attività forense (http://www.garanteprivacy.it/garan-te/doc.jsp?ID=1007280)

• Consiglio dell’Ordine degli Avvocati di Milano: privacy per gli studi legali, febbraio 2007 (http://www.ordineavvocatimilano.it/html/pdf/PRIVACY%20PER%20GLI%20STUDI%20LEGALI.pdf)

• Consiglio Nazionale Forense, Vademecum dello studio legale, 18 giugno 2004

2 - La privacy in pillole

Privacy: cosa significa

Privacy = disciplina del trattamento dei dati personali

Il termine “privacy” non corrisponde necessariamente ad un obbligo di confidenzialità o riservatezza.

Nel contesto della direttiva comunitaria, “privacy” indica la disciplina per il trattamento dei dati.

L’oggetto del trattamento

Dati Personali: qualunque informazione relativa

a persona fisica, persona giuridica, ente od

associazione, identificati o identificabili, anche

indirettamente mediante riferimento a qualsiasi altra

informazione.

I dati personali si contrappongono ai dati anonimi: il dato che in origine o a seguito di un trattamento non può essere associato ad un interessato identificato o identificabile Dati sensibili, Giudiziari e Quasi-sensibili

Trattamento: qualunque operazione o complesso di

operazioni, svolti con o senza l’ausilio di mezzi

elettronici o comunque automatizzati, concernenti:

la raccolta,

la registrazione,

l’organizzazione,

la conservazione,

l’elaborazione,

la consultazione,

la modificazione,

la selezione,

l’estrazione,

il raffronto,

l’utilizzo,

l’interconnessione,

il blocco,

la comunicazione,

la diffusione,

la cancellazione.

I soggetti del Trattamento: struttura organizzativa

Titolare

Responsabile

Incaricati del trattamento

Responsabile

esterno

Interessato

I principali adempimenti

• Notifica al Garante (solo nei casi previsti);

• Informativa all’interessato (sempre o quasi);

• Consenso (specifico e distinto in relazione al

trattamento);

• Consenso scritto (unitamente all’autorizzazione

del Garante) per il trattamento di dati sensibili)

• Contratti o discipline ad hoc per il trasferimento

all’estero dei dati;

• Adozione/implementazione misure di sicurezza;

• Redazione/aggiornamento DPS;

• Creazione di una Struttura organizzativa (interna

ed esterna);

• Implementazioni di processi per il riscontro alle

istanze dell’interessato.

3 – Privacy e avvocati: la disciplina

specifica

Trattamento di dati genetici e biometrici dei clienti

Provvedimento del Garante del 31 marzo 2004 relativo ai casi da sottrarre all’obbligo di notificazione

Sono sottratti all’obbligo di notificazione al Garante, tra i casi previsti dall'art. 37, comma 1, del D.lgs. 30 giugno 2003, n. 196: i trattamenti di dati genetici o biometrici effettuati nell’esercizio della professione di avvocato, in relazione alle operazioni e ai dati necessari per svolgere le investigazioni difensive di cui alla legge n. 397/2000, o comunque per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria. Ciò sempre che il diritto sia di rango almeno pari a quello dell’interessato e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.

Trattamento di dati sulla solvibilità e stato di insolvenza di imprese

Decisione del Garante del 2 marzo 2000: ricorso presentato da

una Società che lamentava l’asserita illecita comunicazione di informazioni attinenti la propria situazione economica e finanziaria effettuata da un avvocato a favore di una società statunitense.

“i dati trattati in tema di solvibilità e di stato di insolvenza di un’impresa rientrano nella nozione di dati relativi allo svolgimento di attività economiche, la cui utilizzazione e divulgazione a terzi può avvenire anche

senza il consenso dell’interessato”

Peculiarità del trattamento effettuato dagli avvocati

Può essere anche resa oralmente, con formule sintetiche e colloquiali, omettendo elementi noti al cliente, e precisando se verranno raccolti

presso terzi dati che lo riguardano

Non è richiesto quando il trattamento è necessario per eseguire obblighi derivanti da un contratto di cui è parte l’interessato, o per adempiere, prima della conclusione del contratto, a sue specifiche richieste (art. 24 comma 1, lett. b) del Codice)

È sempre necessaria quando i dati sono raccolti direttamente presso l’interessato, anche in caso di raccolta di dati tramite ascolto, registrazione o intercettazione di conversazioni (Provv. 19 febbraio 2002)

Non occorre perciò il consenso del cliente quando il trattamento dei dati c.d. “comuni” è necessario per adempiere agli obblighi del contratto di prestazione d’opera

Informativa Art. 13

Consenso Art. 23

Trattamento dei dati sensibili e giudiziari

I dati sensibili e giudiziari possono essere trattati dall’Avvocato senza previa autorizzazione del Garante nel caso si ricada in una delle autorizzazioni generali emanate dal Garante ai sensi dell’abrogata L. 675/96 e operanti erga omnes:

Autorizzazione n. 4 del 2002 al trattamento dei dati sensibili

da parte di liberi professionisti (31 gennaio 2002)

Autorizzazione n. 7 del 2002 al trattamento dei dati a

carattere giudiziario da parte di privati, enti pubblici

economici e soggetti pubblici (31 gennaio 2002)

L’efficacia di tali autorizzazioni è stata prorogata dal Garante sino al 31 dicembre 2012

Trattamento dei dati sensibili del cliente da parte di liberi

professionisti

Dati sensibili: dati personali idonei a rilevare

l’origine razziale ed etnica, le convinzioni religiose,

filosofiche o di altro genere, le opinioni politiche,

l’adesione a partiti, sindacati, associazioni od

organizzazioni a carattere religioso, filosofico,

politico o sindacale,lo stato di salute e la vita

sessuale.

Il trattamento dei dati sensibili può essere effettuato ai soli fini dell'espletamento di un incarico che rientri tra quelli che il libero professionista può eseguire in base al proprio ordinamento professionale, e in particolare:

per curare gli adempimenti in materia di lavoro, di previdenza ed assistenza sociale e fiscale nell'interesse di altri soggetti che sono parte di un rapporto di lavoro dipendente o autonomo;

per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalla normativa comunitaria, dalle leggi, dai regolamenti o dai contratti collettivi;

ai fini dello svolgimento da parte del difensore delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, anche a mezzo di sostituti e di consulenti tecnici;

per l’esercizio del diritto di accesso ai documenti amministrativi, nei limiti di quanto stabilito dalle leggi e dai regolamenti in materia.

Dati giudiziari: dati personali idonei a rilevare

alcuni provvedimenti giudiziari, eventuali carichi

pendenti, la qualità di imputato o di indagato e la

soccombenza ad eventuali sanzioni amministrative

dipendenti da reato.

Dati giudiziari del cliente

I liberi professionisti sono autorizzati a trattare i dati a carattere giudiziario dei rispettivi clienti, nonché di terzi ove ciò sia strettamente indispensabile per eseguire specifiche prestazioni professionali richieste dai clienti stessi;

Il trattamento dei dati deve essere effettuato unicamente con logiche e mediante forme di organizzazione dei dati strettamente correlate agli obblighi, ai compiti e alle finalità della prestazione professionale richiesta;

I dati possono essere comunicati e, ove previsto dalla legge, diffusi, a soggetti pubblici o privati, nei limiti strettamente necessari alle finalità perseguite e nel rispetto, in ogni caso, del segreto professionale.

Il consenso non è richiesto, ma possono essere trattati i soli dati essenziali per le finalità che non possano essere

adempiute mediante l’impiego di dati anonimi

Formazione del fascicolo del cliente da parte del professionista

Parere del Garante del 3 giugno 2004 “Chiarimenti sui principali adempimenti in materia di protezione di dati personali nello svolgimento dell’attività forense”:

la formazione del fascicolo può essere effettuata in

via manuale e cartacea e/o mediante mezzi informatici; non occorre depennare il nome delle parti dalla

copertina dei fascicoli cartacei, utilizzando al suo posto solo numeri identificativi;

è invece necessario seguire opportune misure di sicurezza per rendere i fascicoli e la relativa documentazione accessibili agli incaricati del trattamento nei casi e per le finalità previsti annullando rischi di accessi abusivi.

4 – Difesa dei diritti e investigazioni

difensive

Ambito di applicazione: avvocati e praticanti avvocati che utilizzano dati di carattere personale per svolgere investigazioni difensive collegate ad un procedimento penale (l. 7 dicembre 2000, n. 397) o comunque per far valere o difendere un diritto in sede giudiziaria.

Codice di deontologia e buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive

(Provv. 6 novembre 2008)

Ipotesi specifiche di esenzione dagli obblighi di informativa e consenso

Informativa: possibilità di omettere l’informativa per i dati raccolti presso terzi, qualora essi siano trattati solo per il periodo strettamente necessario per far valere un diritto in sede giudiziaria Consenso: non è richiesto né per i dati comuni, né per i dati sensibili e giudiziari.

Ciò vale sia per i dati trattati nel corso di un procedimento, anche in sede amministrativa, arbitrato o conciliazione, sia nella fase propedeutica all’instaurazione di un eventuale giudizio (anche al fine di verificare se vi sia un diritto da tutelare), sia nella fase successiva alla risoluzione, giudiziale o stragiudiziale della lite.

L’unico limite a questa disciplina è rappresentato dai c.d.

“dati ultrasensibili”

Per i dati idonei a rivelare lo stato di salute e la vita sessuale

dell’interessato, il trattamento è lecito solo quando il diritto che si intende

tutelare è di rango pari a quello dell’interessato, ovvero consiste in un

diritto della personalità o altro diritto o libertà fondamentale e inviolabile

(Provv. 9 luglio 2003)

5 – Le misure di sicurezza

Ulteriori adempimenti: misure di sicurezza sui dati

I dati dei clienti devono essere protetti da misure di sicurezza idonee preventive per ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato ai dati dei clienti.

Alcune cautele, c.d. “misure minime”, sono obbligatorie e la loro mancata implementazione ha risvolti sul piano penale (art. 33-36 e Allegato B del Codice).

Genericamente le misure di sicurezza sono individuate a seconda che il trattamento sia effettuato:

con strumenti elettronici

oppure

con strumenti non elettronici

Trattamenti con strumenti elettronici

Misure Minime di Sicurezza

Autenticazione Informatica

Procedure di gestione delle credenziali di autenticazione

Utilizzazione di un sistema di autorizzazione

Aggiornamento periodico dell’individuazione dell’ambito di trattamento consentito agli incaricati

e addetti alla gestione e manutenzione sistemi

Protezione degli strumenti elettronici e dei dati Rispetto a trattamenti illeciti, accessi non consentiti

Procedure per la custodia di copie di back-up, il ripristino della disponibilità

dei dati e dei sistemi

Redazione e aggiornamento del documento Programmatico sulla sicurezza (DPSS),

necessario solo se vengono trattati dati sensibili o giudiziari

(apposito modello semplificato)

Trattamenti Con Strumenti Non Elettronici

Aggiornamento periodico ambito di trattamento consentito

Procedure per l’idonea custodia di atti e documenti

Procedure per la conservazione di determinati atti in archivi ad accesso selezionato

Individuazione modalità di accesso per L’identificazione degli incaricati

5 – Privacy e avvocati: questioni

particolari

Pubblicità dei provvedimenti disciplinari adottati nei confronti

degli avvocati

I provvedimenti disciplinari adottati nei confronti degli iscritti all’albo degli avvocati si configurano come

atti pubblici soggetti ad un regime di conoscibilità

anche da parte di altri professionisti e di terzi

“Di conseguenza, è soggetto a deposito e quindi fonte di ampia conoscibilità il provvedimento del Consiglio dell’Ordine degli avvocati che dispone la sanzione disciplinare della sospensione dalla professione. Può essere perciò divulgato anche attraverso riviste, notiziari e pubblicazioni, a prescindere dall’opportunità o meno di tale pubblicazione e dall’obbligo di riportare comunque dati esatti e completi” (Decisione del Garante del 29 marzo 2001)

Tutela della privacy ed oscuramento dei dati identificativi delle sentenze

Art. 52, comma 1 Codice Privacy: “Fermo restando quanto previsto dalle disposizioni concernenti la redazione e il contenuto di sentenze e di altri provvedimenti giurisdizionali dell'autorità giudiziaria di ogni ordine e grado, l'interessato può chiedere per motivi legittimi, con richiesta depositata nella cancelleria o segreteria dell'ufficio che procede prima che sia definito il relativo grado di giudizio, che sia apposta a cura della medesima cancelleria o segreteria, sull'originale della sentenza o del provvedimento, un'annotazione volta a precludere, in caso di riproduzione della sentenza o provvedimento in qualsiasi forma, per finalità di informazione giuridica su riviste giuridiche, supporti elettronici o mediante reti di comunicazione elettronica, l'indicazione delle generalità e di altri dati identificativi del medesimo interessato riportati sulla sentenza o provvedimento”.

Tutela della privacy ed oscuramento dei dati identificativi delle sentenze

• Lettera Circolare del 17 gennaio 2006 del primo presidente della Corte Suprema di Cassazione: la possibilità di rendere in forma anonima i dati personali contenuti in una sentenza si ha soltanto al momento della sua riproduzione in qualsiasi forma su riviste giuridiche, supporti elettronici o mediante reti di comunicazione elettronica.

• Corte di Cassazione Sezione 5 Penale, Sentenza del 29 gennaio 2009, n. 4239: non può dirsi violato l’art. 52 del Codice della privacy qualora venga pubblicato il testo integrale di una sentenza o di un provvedimento giudiziario, omettendo la cancellazione dei dati e delle informazioni generali inerenti le parti processuali, qualora la sentenza sia in ogni caso già reperibile presso la banca dati dell’autorità giudiziaria procedente, in assenza dell’apposita istanza di parte prevista dall’art. 52 comma 1 d.lgs. 196/03.

Le questioni tuttora aperte

• L’attività di assistenza stragiudiziale

• La tutela dei diritti “di pari rango”

• Il diritto di accesso ai dati