Parere
Roma, 3 giugno 2004
Prot n. 22457
Consiglio nazionale forense
Via del Governo Vecchio, 3
00186 ROMì
Oggetto: sintesi dei principali adempimenti in materia di protezione di dati
personali nello svolgimento dell'attività forense
Nell'ambito della proficua collaborazione con gli organismi rappresentativi di
categorie professionali, e al fine di favorire l'attuazione della disciplina in
materia di protezione dei dati personali, l'Autorità ritiene opportuno
richiamare l'attenzione sui principali adempimenti nell'esercizio dell'attività
forense, oggetto di alcune scadenze nel corrente semestre.
1. PREMESSA
Va sottolineata preliminarmente la possibilità di adempiere agli obblighi di
legge con modalità semplificate, organizzate dal titolare del trattamento in
modo sistematico e altresì efficaci, attuando i principi di semplificazione ed
efficacia che il Codice richiama tra i cardini generali della nuova disciplina
(art. 2, comma 2, del Codice).
In questo quadro, va ricordato che il titolare del trattamento è il soggetto
cui competono le decisioni di fondo in ordine alle finalità, alle modalità del
trattamento di dati personali e agli strumenti utilizzati, ivi compreso il
profilo della sicurezza.
Quando l'attività professionale è prestata individualmente, il titolare del
trattamento è la persona fisica dell'avvocato esercente. Ad analoga conclusione
deve giungersi nel caso di attività svolta congiuntamente da due
professionisti, i quali assumono in questa ipotesi la qualità di contitolari
del medesimo trattamento.
Quando, invece, l'attività è svolta in forma societaria o da un'associazione
professionale o da una società tra avvocati, il titolare è l'entità nel suo
complesso. In questo caso, gli adempimenti previsti dal Codice vanno pertanto
attuati in termini unitari, evitando la loro frammentazione o ripetizione a cura
dei singoli professionisti.
Per tutti i trattamenti di dati che verranno richiamati nel presente parere, i
dati personali vanno trattati in modo lecito e secondo correttezza; le
informazioni utilizzate devono risultare inoltre pertinenti e non eccedenti
rispetto alle finalità per le quali sono raccolte o successivamente trattate
(art. 11 del Codice).
2. Notificazione
La maggior parte dei trattamenti di dati effettuati nell'esercizio
dell'attività forense non è soggetta a notificazione.
La notificazione del trattamento di dati al Garante deve avvenire solo
se il trattamento effettuato dall'avvocato ricade nelle ipotesi considerate
dall'art. 37, comma 1 del Codice.
Il Garante ha anche sottratto dall'obbligo di notificazione alcuni dei
trattamenti che rientrano in tali ipotesi, individuando i presupposti in base ai
quali non devono essere notificati i trattamenti di dati genetici e biometrici
effettuati da avvocati anche in forma associata (provvedimento 31 marzo 2004,
adottato ai sensi dell'art. 37, comma 2). Non sono quindi soggetti più a
notificazione "i trattamenti di dati genetici o biometrici effettuati
nell'esercizio della professione di avvocato, in relazione alle operazioni e ai
dati necessari per svolgere le investigazioni difensive di cui alla legge n.
397/2000, o comunque per far valere o difendere un diritto anche da parte di un
terzo in sede giudiziaria. Ciò sempre che il diritto sia di rango almeno pari a
quello dell'interessato e i dati siano trattati esclusivamente per tali
finalità e per il periodo strettamente necessario al loro perseguimento".
Per quanto riguarda, invece, le banche dati relative alla solvibilità
economica, il Garante ha altresì sottratto dall'obbligo di notificazione
"i trattamenti di dati registrati in banche di dati utilizzate in rapporti
con l'interessato di fornitura di beni, prestazioni o servizi, o per adempimenti
contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di
recupero del credito e contenzioso con l'interessato", incluso il caso in
cui il trattamento sia effettuato in fase precontrattuale.
Pertanto, non devono essere tra l'altro, notificati i trattamenti relativi, a
clienti o fornitori, effettuati da liberi professionisti per svolgere
investigazioni difensive o curare la difesa in sede giudiziaria di diritti degli
assistiti, salvo che il professionista costituisca un'apposita banca dati,
gestita con strumenti elettronici, contenente dati relativi al rischio sulla
solvibilità economica, alla situazione patrimoniale, al corretto adempimento di
obbligazioni, a comportamenti illeciti o fraudolenti.
3. Misure di sicurezza
I dati devono essere protetti da misure di sicurezza idonee e preventive,
riducendo al minimo i rischi di distruzione, perdita, anche accidentale, di
accesso non autorizzato o trattamento non consentito o non conforme alle
finalità della raccolta (art. 31 del Codice).
Alcune misure, c.d. "misure minime", sono obbligatorie anche sul piano
penale, e sono diverse a seconda che il trattamento sia effettuato con l'ausilio
di strumenti elettronici o solo manualmente (artt. 33-36,
nonché Allegato B) del Codice; v. anche i chiarimenti forniti dal Garante
con nota n. 6588/31884 del 22 marzo 2004).
In particolare, se sono trattati con strumenti elettronici dati sensibili o dati
giudiziari, occorre redigere un documento programmatico sulla sicurezza (DPS)
entro il 31 marzo di ogni anno (nel 2004, entro il prossimo 30 giugno come per
le altre nuove misure minime; artt. 34, comma 1, lett.
g) e 180 del Codice; regola 19 dell'Allegato B).
Sul sito web del Garante (www.garanteprivacy.it) è disponibile una guida
operativa per redigere tale documento.
Per quanto riguarda l'organizzazione del lavoro quotidiano di studio, va
osservato che, contrariamente a quanto ipotizzato in alcuni quesiti formulati da
singoli professionisti, non occorre depennare il nome delle parti dalla
copertina dei fascicoli cartacei, utilizzando al suo posto solo numeri
identificativi. Resta invece necessario seguire opportune modalità per rendere
i fascicoli e la relativa documentazione accessibili agli incaricati del
trattamento nei casi e per le finalità previsti.
4. Soggetti preposti al trattamento
4.1. Responsabile
La designazione del responsabile del trattamento di dati da parte del titolare
è facoltativa.
Nel caso in cui, specie in realtà organizzative di grandi dimensioni, si
ritenga utile preporre un responsabile, la sua designazione deve avvenire in
base ai criteri previsti dal Codice (art. 29).
Il responsabile esegue i compiti specificati analiticamente per iscritto dal
titolare del trattamento, il quale deve vigilare sulla puntuale osservanza delle
disposizioni in materia di trattamento.
Può trattarsi anche di un soggetto esterno -persona fisica o giuridica- che
svolga prestazioni strumentali e subordinate alle scelte del titolare del
trattamento.
Per esigenze organizzative possono essere designati responsabili anche più
soggetti, mediante eventuale suddivisione di compiti.
4.2. Incaricati.
Tutte le persone fisiche che hanno accesso ai dati a vario titolo (avvocati,
praticanti, collaboratori e personale amministrativo) devono essere designate
per iscritto quali incaricati del trattamento. L'atto di designazione, da parte
del titolare o dell'eventuale responsabile, deve individuare l'ambito del
trattamento consentito agli incaricati, i quali devono attenersi alle istruzioni
impartite. Si possono utilizzare le modalità semplificate previste dall'art.
30, comma 2, del Codice.
5. Difesa di diritti e investigazioni difensive
Le disposizioni che agevolano il lavoro dell'avvocato per effetto del
bilanciamento operato dal Codice tra il diritto di difesa e gli altri diritti e
libertà fondamentali delle persone interessate non operano solo durante lo
svolgimento di un giudizio necessariamente già instaurato. In senso analogo
dispone anche la legge n. 397/2000 per ciò che attiene al rapporto tra
indagini difensive e procedimento penale.
Le disposizioni del Codice possono essere utilmente applicate anche nella fase
propedeutica all'instaurazione del giudizio, se l'attività è finalizzata
effettivamente ed esclusivamente a verificare l'esistenza di un diritto da
tutelare in giudizio o l'eventualità di tale utile difesa nel giudizio
medesimo.
Ad analoga conclusione deve giungersi per particolari procedimenti o fasi
propedeutiche nelle quali il diritto viene tutelato anche in sede amministrativa
o in procedure di arbitrato o conciliazione previste dalla normativa
comunitaria, da leggi, regolamenti o contratti collettivi.
5.1. Informativa
Il cliente deve ricevere un'informativa, orale o scritta, prima della raccolta
dei dati, ad esempio al momento del conferimento dell'incarico.
Gli elementi da precisare sono indicati nel Codice (art. 13).
É possibile utilizzare formule colloquiali per evidenziare -anche in modo
sintetico, ma senza lacune o ambiguità- alcune circostanze che riguardano le
finalità e le modalità del trattamento cui sono destinati i dati, la natura
obbligatoria o facoltativa del loro conferimento, le conseguenze dell'eventuale
rifiuto di rispondere, i soggetti e le categorie di soggetti ai quali possono
essere comunicati o che possono venirne a conoscenza in qualità di responsabili
o incaricati, l'ambito di diffusione dei dati medesimi, i diritti del cliente
interessato (art. 7 del Codice) e gli estremi identificativi del titolare e
degli eventuali responsabili del trattamento, se designati.
Questa informativa è sempre necessaria quando i dati sono raccolti direttamente
presso l'interessato, anche in caso di raccolta di dati attraverso ascolto,
registrazione o intercettazione di conversazioni (cfr. provv. del Garante del 19
febbraio 2002).
É possibile tuttavia non indicare gli elementi già noti alla persona che
fornisce i dati (art. 13, comma 2).
L'interessato deve poter individuare agevolmente chi è il titolare del
trattamento (si veda quanto richiamato in premessa).
Se è prevista una raccolta presso terzi di dati relativi al cliente, questa
circostanza può essere evidenziata subito nell'informativa al cliente stesso,
rendendo in tal modo superflua l'ulteriore informativa che, in alcuni casi, è
necessaria in caso di dati raccolti presso terzi (cfr. art. 13, comma 4).
Rispetto al quadro sin qui delineato, la disciplina è in parte diversa quando i
dati personali trattati riguardano persone diverse dal cliente.
In tal caso, se i dati sono trattati solo al fine di svolgere investigazioni
difensive o comunque per far valere o difendere un diritto in sede giudiziaria,
l'informativa è necessaria solo se i dati sono trattati per un periodo
superiore a quello strettamente necessario per perseguire tali finalità, oppure
per altre finalità con esse non incompatibili.
Una fattiva collaborazione con codesto Consiglio e con altri organismi
rappresentativi interessati potrà risultare utile per individuare formule
armonizzate per adempiere contestualmente, e in modo agevole, sia agli obblighi
informativa nella materia in esame, sia a quelli previsti dalla legge n. 397 del
2000 in tema di indagini difensive nella materia penale, eventualmente anche
nell'ambito del codice deontologico previsto (art. 135 del Codice).
5.2. Consenso
5.2.1. Dati comuni
Non occorre richiedere il consenso del cliente quando il trattamento dei dati
"comuni" (si tratta dei dati diversi da quelli sensibili e giudiziari
tassativamente elencati dal Codice: art. 4, comma 1, lett. d) e c)) è
necessario per adempiere agli obblighi del contratto di prestazione d'opera
(art. 24, comma 1, lett. b) del Codice).
Se, invece, i dati si riferiscono a terzi, il consenso non è egualmente
richiesto quando il trattamento è necessario per svolgere indagini difensive o
per far valere o difendere un diritto in sede giudiziaria. I dati devono essere
però trattati esclusivamente per tali finalità e per il periodo strettamente
necessario a perseguirle (art. 24, comma 1, lett. f) del Codice). Se non
ricorrono queste finalità, il consenso è necessario se non è possibile fare
utile applicazione di altri presupposti equipollenti del trattamento (dati
"pubblici", informazioni relative ad attività economiche, adempimento
di un obbligo di legge, ecc.: v. art. 24 del Codice).
5.2.2. Dati sensibili
Non occorre richiedere il consenso -che per i dati sensibili va manifestato per
scritto- quando il trattamento è necessario per svolgere indagini difensive o
per far valere o difendere un diritto in sede giudiziaria. In tal caso, i dati
devono essere trattati esclusivamente per tali finalità e per il periodo
strettamente necessario al loro perseguimento.
Non è parimenti necessario richiedere al Garante il rilascio di una specifica
autorizzazione. L'Autorità ne ha rilasciata da tempo una di carattere generale
(aut. n. 4/2002), efficace sino al prossimo 30 giugno. La stessa verrà
sostituita da un'autorizzazione analoga anch'essa "automaticamente"
operante per tutti gli operatori interessati che svolgano le attività in essa
indicate.
Il trattamento può riguardare i dati sensibili relativi ai clienti.
I dati sensibili relativi a terzi possono essere trattati se ciò è
strettamente indispensabile per eseguire specifiche prestazioni professionali
richieste dai clienti per scopi determinati e legittimi.
In ogni caso, i dati devono essere strettamente pertinenti e non eccedenti
rispetto ad incarichi conferiti che non possano essere svolti trattando dati
anonimi o dati personali di natura diversa.
5.2.3. Dati idonei a rivelare lo stato di salute e la vita sessuale e
"pari rango".
Quando, tra i dati sensibili, si utilizzano quelli idonei a rivelare lo stato di
salute e la vita sessuale, il loro trattamento può avvenire senza consenso
quando il diritto difeso o fatto valere in giudizio è di rango pari a quello
della persona cui si riferiscono i dati.
In tal caso, il diritto tutelato deve consistere in un diritto della
personalità o in un altro diritto o libertà fondamentale o inviolabile.
Nel procedere a tale specifica valutazione, è necessario utilizzare come
parametro di raffronto il diritto sottostante che il terzo intende far valere
sulla base del materiale documentale che chiede di conoscere, anziché il
"diritto di azione e difesa", pure costituzionalmente garantito (e
preso per molti altri aspetti in considerazione dal Codice a prescindere
dall'"importanza" del diritto sostanziale fatto valere: provv. del
Garante 9 luglio 2003).
Sempre in materia di dati sulla salute e la vita sessuale, va richiamata
l'attenzione sulla necessità di rispettare anche le specifiche prescrizioni
dell'autorizzazione generale n. 2/2002.
5.2.4. Dati giudiziari.
Non è richiesto il consenso per trattare i dati giudiziari che il Codice
individua ora in termini più ampi rispetto al passato (artt. 4, comma 1, lett.
e) e 27 del Codice).
Il professionista deve rispettare le prescrizioni di una specifica
autorizzazione, anch'essa già rilasciata con un atto di carattere generale
avente le caratteristiche suindicate (aut. gen. n. 7/2002). In particolare, i
dati giudiziari relativi a terzi possono essere trattati quando ciò è
strettamente indispensabile per eseguire specifiche prestazioni professionali
richieste dai clienti per scopi determinati e legittimi.
6. Attività stragiudiziale
Tenendo presenti le considerazioni sopra espresse a proposito della sfera di
applicazione delle disposizioni sull'esercizio di un diritto in sede
giudiziaria, va rilevato che all'attività stragiudiziale non sono applicabili
le eccezioni previste dal Codice per gli obblighi di informativa in tema di dati
raccolti presso terzi (art. 13, comma 5) e di consenso (artt. 24, comma 1,
lett. f) e 26, comma 4, lett. c)).
Tuttavia, anche in materia stragiudiziale potrà comunque farsi utile
applicazione, per i dati "comuni", di altri presupposti equipollenti
al consenso (dati relativi ad attività economiche; adempimento di obblighi di
legge; ecc.).
6.1. Informativa
L'informativa, resa nei termini illustrati, in caso di raccolta presso terzi
deve essere resa all'interessato all'atto della registrazione dei dati o non
oltre la prima comunicazione a terzi.
6.2. Consenso
6.2.1. Dati comuni
Il consenso del cliente non è richiesto secondo quanto esposto al punto 5.2.1.
Il trattamento dei dati comuni di soggetti diversi dal cliente, nel caso in cui
non possa applicarsi uno degli altri presupposti di cui all'art. 24 del
Codice (ad esempio, dati "pubblici"), deve avvenire con il
consenso dell'interessato.
6.2.2. Dati sensibili
Il trattamento richiede il consenso scritto dell'interessato.
Per quanto riguarda l'autorizzazione del Garante, opera l'autorizzazione
generale n. 4/2002. L'incarico ricevuto dal professionista deve rientrare tra
quelli che quest'ultimo può eseguire in base all'ordinamento professionale di
riferimento.
6.3.2. Dati idonei a rivelare lo stato di salute e la vita sessuale
Analogamente a quanto già accennato, il trattamento dei dati idonei a rivelare
lo stato di salute e la vita sessuale richiede il consenso scritto
dell'interessato e deve essere effettuato anche nel rispetto dell'autorizzazione
generale n. 2/2002.
6.3.2. Dati giudiziari
Si formulano considerazioni analoghe a quanto illustrato al punto 5.2.4.
7. Altri aspetti
Nell'ambito dei proficui contatti avuti con codesto Consiglio nazionale e con
vari ordini, questa Autorità ha già manifestato la propria disponibilità a
fornire chiarimenti e pareri in altre tematiche da approfondire, come quella del
rapporto con gli investigatori privati autorizzati, della conservazione di
documenti (in relazione ad eventuali altri incarichi, obblighi di legge, ecc.),
della conoscibilità di atti e documenti in sede giudiziaria (calendari delle
udienze, rilascio di copia delle pronunce giudiziarie, accessibilità in rete a
tali documenti, ecc.), della pertinenza e non eccedenza dei dati prodotti nel
giudizio, della notificazione di atti giudiziari, dei diritti degli interessati
nella fase esecutiva e dell'informatica giuridica.
Si conferma questa disponibilità ringraziando per l'attenzione dimostrata alle
problematiche applicative del Codice.
IL SEGRETARIO GENERALE
Giovanni Buttarelli |