Embed Size (px)
Citation preview
La Privacy nello studio legaleLa Privacy nello studio legale
Logo della Logo della societàsocietà
Michele Iaselli
Quadro della situazioneQuadro della situazione
L'avvento del codice per la protezione dei dati personali ha sicuramente fatto ritornare in auge quella vecchia ma mai superata problematica dei rapporti fra privacy ed attività forense intesa in tutti i sensi: sia come organizzazione dell'ufficio legale sia come attività difensiva.
Principali problematichePrincipali problematiche
e…….. soluzioni
Prima questionePrima questione
Nel quadro delle regole generali previste per il trattamento dei dati personali assumono particolare rilevanza l'informativa di cui all'art. 13 del Codice, il consenso al trattamento di cui all'art. 23 ed ovviamente i casi nei quali il trattamento può essere effettuato senza il consenso (art. 24 del Codice).
Come è noto il codice per la protezione Come è noto il codice per la protezione dei dati personali distingue tre categorie dei dati personali distingue tre categorie di dati: di dati: i dati comunii dati comuni (nome, cognome, (nome, cognome, telefono, fax, codice fiscale, partita Iva, telefono, fax, codice fiscale, partita Iva, etc.); etc.); i dati sensibilii dati sensibili (dati idonei a rilevare (dati idonei a rilevare origine razziale, convinzioni religiose, origine razziale, convinzioni religiose, opinioni politiche, stato di salute, vita opinioni politiche, stato di salute, vita sessuale, etc.) e sessuale, etc.) e i dati giudiziarii dati giudiziari (dati (dati relativi al casellario giudiziale, qualità di relativi al casellario giudiziale, qualità di imputato o indagato).imputato o indagato).
InformativaInformativa
L’informativa può non comprendere gli elementi già noti alla persona che fornisce i dati e può essere caratterizzata da uno stile colloquiale e da formule sintetiche adatte al rapporto fiduciario con la persona assistita o, comunque, alla prestazione professionale; essa può essere fornita, anche solo oralmente e, comunque, una tantum rispetto al complesso dei dati raccolti sia presso l'interessato, sia presso terzi.
E’ possibile omettere l'informativa stessa per i dati raccolti presso terzi, qualora gli stessi siano trattati solo per il periodo strettamente necessario per far valere o difendere un diritto in sede giudiziaria o per svolgere investigazioni difensive, tenendo presente che non sono raccolti presso l'interessato i dati provenienti da un rilevamento lecito a distanza, ossia tale da non interagire direttamente con l'interessato.
Non bisogna comunque dimenticare che nel caso di omessa o inidonea informativa è prevista, quantomeno, una sanzione amministrativa tra gli Euro 3.000 e gli Euro 18.000 (importo ulteriormente elevabile in considerazione della tipologia di dati trattati e delle condizioni economiche del trasgressore).
Riguardo ai tempi dell'informativa, come regola generale essa va resa al momento della raccolta dei dati; se detti dati non venissero raccolti presso lo studio, ma trasmessi da un terzo autorizzato, l’informativa andrà inoltrata all’atto della registrazione; in ogni caso non oltre la prima comunicazione a terzi dei medesimi, necessaria in virtù dello specifico conferimento.
Il consensoIl consenso
Il consenso dell'interessato non va richiesto per adempiere a obblighi di legge e non occorre, altresì, per i dati anche di natura sensibile utilizzati per perseguire finalità di difesa di un diritto anche mediante investigazioni difensive. Ciò, sia per i dati trattati nel corso di un procedimento, anche in sede amministrativa, di arbitrato o di conciliazione, sia nella fase propedeutica all'instaurazione di un eventuale giudizio, anche al fine di verificare con le parti se vi sia un diritto da tutelare utilmente in sede giudiziaria, sia nella fase successiva alla risoluzione, giudiziale o stragiudiziale della lite.
Occorre peraltro avere cura di rispettare, se si tratta di dati idonei a rivelare lo stato di salute e la vita sessuale, il principio del "pari rango", il quale giustifica il loro trattamento quando il diritto che si intende tutelare, anche derivante da atto o fatto illecito, è "di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in altro diritto o libertà fondamentale e inviolabile" .
Seconda questioneSeconda questione
L'accesso ai dati personali e l'esercizio degli altri diritti da parte dell'interessato rispetto al trattamento dei dati stessi; diritti per i quali è previsto, per legge, un possibile differimento nel periodo durante il quale, dal loro esercizio, può derivare un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive o per l'esercizio del diritto in sede giudiziaria (art. 8, comma 2, lett. e) del Codice).
Il flusso verso l'estero dei dati trasferiti solo per finalità di svolgimento di investigazioni difensive o, comunque, per far valere o difendere un diritto in sede giudiziaria, per il tempo a ciò strettamente necessario, trasferimento che non è pregiudicato né verso Paesi dell'Unione europea, né verso Paesi terzi (artt. 42 e 43, comma 1, lett. e) del Codice).
Terza questione
La notificazione dei trattamenti, che non è richiesta per innumerevoli trattamenti di dati effettuati per far valere o difendere un diritto in sede giudiziaria, o per svolgere investigazioni difensive (art. 37, comma 1, del Codice; del. 31 marzo 2004, n. 1 e nota di chiarimenti n. 9654/33365 del 23 aprile 2004).
Quarta questione
Quinta QuestioneQuinta Questione
Individuazione dei soggetti che effettuano il trattamento dei dati personali alla luce degli artt. 28, 29 e 30 del Codice in materia di protezione dei dati personali.
Il titolare del trattamentoIl titolare del trattamento
Nel caso di libero professionista che esercita la professione in forma non associata il titolare è la persona fisica in quanto tale; nel caso di associazioni professionali o società di avvocati, il titolare è l’entità nel suo complesso.
Il responsabile del trattamentoIl responsabile del trattamento
Figura facoltativa designata dal titolare e predisposta a verificare i corretti adempimenti di legge.
Incaricati delIncaricati del trattamentotrattamento
Persone fisiche autorizzate a compiere operazioni di trattamento, nel caso di specie tutti i “collaboratori” dello studio legale (avvocati, praticanti, segretarie, etc.).
La designazione di incaricati e di eventuali responsabili del trattamento assume una particolare rilevanza considerata la facoltà di avvalersi di soggetti che possono utilizzare legittimamente i dati (colleghi, collaboratori, corrispondenti, domiciliatari, sostituti, periti, ausiliari e consulenti che non rivestono la qualità di autonomi titolari del trattamento).
Sesta questioneSesta questione
I dati particolari quali quelli genetici, per i quali sono previste già alcune cautele in particolare per ciò che riguarda il principio di proporzionalità, le misure di sicurezza, il contenuto dell'informativa agli interessati e la manifestazione del consenso (art. 90 del Codice; aut. gen. del Garante del 22 febbraio 2007)
Settima questioneSettima questione
L'utilizzazione di dati pubblici e di altri dati e documenti contenuti in pubblici registri, elenchi, albi, atti o documenti conoscibili da chiunque, nonché in banche di dati, archivi ed elenchi, ivi compresi gli atti dello stato civile, dai quali possono essere estratte lecitamente informazioni personali riportate in certificazioni e attestazioni utilizzabili a fini difensivi.
Ottava questioneOttava questione
La conservazione, comunicazione e diffusione dei dati personali alla luce degli artt. 11 e ss. del Codice.
Si precisa che i dati personali possono Si precisa che i dati personali possono essere comunicati e diffusi nei limiti essere comunicati e diffusi nei limiti strettamente pertinenti all’espletamento strettamente pertinenti all’espletamento dell’incarico conferito nel rispetto, in ogni dell’incarico conferito nel rispetto, in ogni caso, del segreto professionale.caso, del segreto professionale.Riguardo la conservazione i dati personali Riguardo la conservazione i dati personali vanno conservati per un periodo di tempo vanno conservati per un periodo di tempo non superiore a quello necessario agli scopi non superiore a quello necessario agli scopi per i quali sono stati raccolti e trattati.per i quali sono stati raccolti e trattati.
In particolare per la conservazione dei In particolare per la conservazione dei dati personali utilizzati in sede dati personali utilizzati in sede giudiziaria, soprattutto se di natura giudiziaria, soprattutto se di natura sensibile, si pone il problema della sensibile, si pone il problema della durata del diritto del professionista alla durata del diritto del professionista alla conservazione, dopo l'esaurimento conservazione, dopo l'esaurimento dell'incarico.dell'incarico.
Una volta estinto il procedimento o il relativo rapporto di mandato, atti e documenti attinenti all'oggetto della difesa o delle investigazioni difensive possono essere conservati, in originale o in copia e anche in formato elettronico, qualora risulti necessario in relazione a ipotizzabili altre esigenze difensive della parte assistita o del titolare del trattamento, ferma restando la loro utilizzazione in forma anonima per finalità scientifiche. La valutazione è effettuata tenendo conto della tipologia dei dati. Se è prevista una conservazione per adempiere a un obbligo normativo, anche in materia fiscale e di contrasto della criminalità, sono custoditi i soli dati personali effettivamente necessari per adempiere al medesimo obbligo (schema codice deontologico)
Nei rapporti con i terzi e con la stampa possono essere rilasciate informazioni non coperte da segreto qualora sia necessario per finalità di tutela dell'assistito, ancorché non concordato con l'assistito medesimo, nel rispetto dei princìpi di finalità, liceità, correttezza, indispensabilità, pertinenza e non eccedenza di cui al Codice (art. 11), nonché dei diritti e della dignità dell'interessato e di terzi, di eventuali divieti di legge e del codice deontologico forense (schema codice deontologico)
Nona questioneNona questione
Misure di sicurezza ex artt. 33 e ss. del Codice per la protezione dei dati personali.
Il Codice prevede all'art. 33 le c.d. misure minime di sicurezza che consistono in tutta una serie di misure da adottare per garantire la sicurezza minima al trattamento dei dati. Il problema è che tali misure minime sono state elaborate e scritte per realtà diverse da quelle di uno Studio legale, per cui è necessaria un'opportuna attività interpretativa che in qualche modo cerchi di ridimensionare ed adeguare la normativa al mondo degli studi professionali.
Le misure minime sono elencate nell’art. 34 (per i trattamenti a mezzo elaboratore elettronico) e 35 (per i trattamenti senza elaboratore elettronico) del Codice.
Il trattamento di dati personali per tramite di strumenti elettronici è consentito agli incaricati che siano dotati di credenziali di autenticazione (user-id e password).
La parola chiave deve essere di almeno 8 caratteri, o comunque di un numero pari al massimo consentito, e deve essere modificata ogni 6 mesi (3 nel caso di trattamento di dati sensibili o giudiziari).
In secondo luogo devono essere fornite annualmente istruzioni scritte agli incaricati affinché l’accesso ai dati sia limitato in funzione dell’attività concretamente svolta; dovranno, inoltre, esser fornite istruzioni per la custodia di copie di sicurezza tramite salvataggio dei dati con frequenza almeno settimanale.È previsto l’utilizzo di strumenti elettronici di protezione (antivirus e firewall) da aggiornare con scadenza almeno semestrale.
Quanto detto vale solo per il trattamento dei dati con strumenti elettronici e quindi se integriamo le disposizioni degli articoli sopra richiamati con quanto prescritto dall’allegato B del Codice (disciplinare tecnico in materia di misure minime di sicurezza che contiene i protocolli e gli adempimenti da rispettare in materia di misure minime di sicurezza), si ha un enorme apparato di sicurezza che, nella quasi totalità degli studi legali italiani, comporterà notevoli costi e soprattutto l’impossibilità e la paura di portare serenamente a termine gli incarichi affidati dai clienti, considerato il rischio di pesantissime sanzioni.
Decima questioneDecima questione
Il Documento Programmatico sulla Sicurezza
Sta facendo ormai discutere tantissimo il problema della tenuta da parte degli studi legali del DPS il cui obbligo è previsto dall'art. 34 del Codice tra le misure minime. La stesura di un documento sulla sicurezza non è disposizione nuova, in quanto il precedente D.P.R. 318/1999 faceva pure riferimento all’obbligo di predisporre ed aggiornare, con cadenza annuale, un documento programmatico sulla sicurezza dei dati.Al fine di disciplinare le misure di sicurezza, il precedente D.P.R. 318/1999 imponeva tale obbligo a chiunque operasse il trattamento di dati sensibili e giudiziari mediante elaboratori elettronici accessibili in rete pubblica.Oggi essendo venuta meno la distinzione tra elaboratori in rete accessibili al pubblico, o meno, l’obbligo è previsto per tutti gli elaboratori (sia singolo, che in rete) che trattino dati personali di natura sensibile o giudiziaria.
E’ stata sollevata da qualcuno la questione se l’obbligo di stesura di un documento programmatico sulla sicurezza dei dati sussista anche per coloro che trattino con strumenti elettronici solo dati comuni, con esclusione quindi dei dati sensibili e giudiziari.Sostenere l’obbligatorietà anche in questo caso, significa andare contro il dato letterale della norma di riferimento, che non va individuata nell’art. 34, ma nel più specifico art. 19 dell’allegato B (disciplinare tecnico) del Codice. Questa norma, inserita tra le misure da adottare in caso di trattamento con strumenti elettronici, disciplina la redazione del DPS; esso indica chiaramente che si è obbligati alla stesura del documento solo in caso di trattamento di dati sensibili o di dati giudiziari.
E’ però certamente consigliabile la stesura di un DPS anche in caso di trattamento di dati comuni con strumenti elettronici. Detta stesura risponde infatti a quei criteri di misure idonee (non minime) che mettono al riparo il titolare dalle responsabilità civili ex art. 2050 c.c., e comunque risponde all’osservanza di criteri di buona organizzazione aziendale.
Il DPS va redatto ogni 31 marzo ed ha il compito specifico di indurre a fare, almeno una volta all’anno, il punto sul sistema di sicurezza adottato e da adottare nell’ambito della propria attività; tale documento ha una funzione meramente descrittiva, eppure per la sua violazione il Codice prevede sanzioni estremamente severe, che vanno dall’arresto fino a due anni (e conseguente inevitabile sanzione disciplinare prevista dal Codice deontologico) al possibile pagamento di somme da 10.000 a 50.000 euro (art. 169 Codice).
In effetti come si evince facilmente dal tenore dell’allegato B, nel DPS non deve essere riassunto l’intero assetto delle misure minime adottate e delle modalità specifiche con le quali queste vengono esplicate, ma è sufficiente una ricognizione, seguendo punto per punto il citato art. 19 dell’allegato B nonché le indicazioni dell’Autorità Garante.
ConclusioniConclusioni
Appare evidente che il problema più grande da risolvere in merito all'applicazione delle regole della privacy negli studi legali è quello di contemperare il diritto alla tutela del dato (alla sua libera circolazione, come sottolineato dalla Direttiva europea sulla tutela dei dati personali) con il diritto alla difesa, in modo che quest’ultimo non venga strumentalizzato dal primo; occorre cioè fare in modo che il pieno diritto alla difesa faccia diventare più forte la tutela della privacy.
Nel rispetto di quanto previsto dall'art. 12 del Codice in materia di protezione dei dati personali è stato predisposto dall’Autorità Garante in collaborazione con esperti del settore uno schema preliminare del Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria.
Lo schema parte da due premesse fondamentali:
1. Il primario interesse al legittimo esercizio del diritto di difesa e alla tutela del segreto professionale.
2. L'imprescindibilità dell’utilizzo dei dati personali per garantire una tutela piena ed effettiva dei diritti, con particolare riguardo al diritto di difesa e al diritto alla prova: un'efficace tutela di questi due diritti non è pregiudicata, ed è anzi rafforzata, dal principio secondo cui il trattamento dei dati personali deve rispettare i diritti, le libertà fondamentali e la dignità delle persone interessate, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali.
