:: UTILITÀ - PROTEZIONE DEI DATI PERSONALI

La privacy e gli studi legali: le indicazioni del Consiglio Nazionale Forense

Oggetto: Testo unico sulla privacy.

A seguito della recente entrata in vigore (1 gennaio 2004) del testo unico sulla privacy (d.lgs. 30 giugno 2003, n. 196 codice in materia di protezione dei dati personali) si rende opportuno segnalare i principali adempimenti ai quali gli studi professionali dovranno provvedere per adeguarsi ai dettami della normativa.

Notificazione (artt. 37 ss. T.U.)
Il T.U. prevede che i soggetti che trattano particolari categorie di dati personali (indicate all'art. 37) devono provvedere alla notifica al Garante.
Tra questa elencazione rientrano i dati genetici o biometrici; conseguentemente gli studi che trattino questi dati dovranno provvedere alla notifica, esclusivamente per via telematica, compilando i campi del modello disponibile nel sito ufficiale del garante www.garanteprivacy.it entro il 30 aprile 2004.
Nel caso di omessa o incompleta notificazione è prevista una sanzione amministrativa tra gli Euro 10.000 e gli Euro 60.000.

Trattamento dei dati (artt. 13, 23, 24 T.U. e Aut. 4/2002 e 7/2002)
Il T.U. distingue tre categorie di dati: i dati comuni (nome, cognome, telefono, fax, codice fiscale, partita Iva, etc.), i dati sensibili (dati idonei a rilevare origine razziale, convinzioni religiose, opinioni politiche, stato di salute, vita sessuale, etc.) e i dati giudiziari (dati relativi al casellario giudiziale, qualità di imputato o indagato).
Al fine di trattare dati comuni del cliente l'avvocato deve rilasciare idonea informativa (si propone in allegato un modello), mentre non è necessario il consenso; i dati sensibili, così come i dati giudiziari, possono essere trattati, a prescindere da ulteriori adempimenti di sorta - ma esclusivamente ai fini dell’azione in giudizio - in virtù delle autorizzazioni standard n. 4/2002 e n. 7/2002.
Quanto ai dati personali comuni di terzi soggetti questi possono essere utilizzati, a prescindere da adempimento alcuno, esclusivamente per far valere o difendere un diritto in sede giudiziaria.
I dati sensibili e giudiziari relativi a terzi soggetti possono essere trattati, sempre in virtù delle autorizzazioni n. 4/2002 e n. 7/2002, esclusivamente ai fini dell'esercizio di un diritto in sede giudiziaria.
Conseguentemente, l'unico adempimento cui ottemperare (quanto prima) è il rilascio ai clienti di idonea informativa.
Nel caso di omessa o inidonea informativa è prevista una sanzione amministrativa tra gli Euro 3.000 e gli Euro 18.000 (importo ulteriormente elevabile in considerazione della tipologia di dati trattati e delle condizioni economiche del trasgressore).

Conservazione e comunicazione e diffusione (art. 11 T.U. e aut. 4/2002 e 7/2002).
I dati personali vanno conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti e trattati.
Tali dati possono essere comunicati e diffusi nei limiti strettamente pertinenti all'espletamento dell'incarico conferito nel rispetto, in ogni caso, del segreto professionale.

Soggetti che effettuano il trattamento (artt. 28, 29 e 30 T.U.)
All'interno di ogni studio legale si dovrà provvedere, laddove non si sia già effettuato, all'individuazione di tre soggetti:
- il titolare del trattamento: nel caso di libero professionista che esercita la professione in forma non associata il titolare è la persona fisica in quanto tale; nel caso di associazioni professionali o società di avvocati, il titolare è l'entità nel suo complesso.
- il responsabile del trattamento: figura facoltativa designata dal titolare e predisposta a verificare i corretti adempimenti di legge.
- gli incaricati del trattamento: ovvero le persone fisiche autorizzate a compiere operazioni di trattamento, nel caso di specie tutti i collaboratori dello studio legale (avvocati, praticanti, segretarie, etc.).

Misure di sicurezza (artt. 31 ss. e allegato B) al T.U.)
Il T.U. prevede talune misure di sicurezza, da adottare entro il 30 giugno 2004 (il termine è del 31 dicembre 2004 nel caso in cui non si disponga di strumenti elettronici che, per obiettive ragioni tecniche, consentano l'immediata applicazione delle misure minime indicate).
Le misure di sicurezza si distinguono a seconda che il trattamento dei dati avvenga con o senza l'ausilio di strumenti elettronici.
Il trattamento di dati personali per tramite di strumenti elettronici è consentito agli incaricati che siano dotati di credenziali di autenticazione (user-id e password).
La parola chiave deve essere di almeno 8 caratteri, o comunque di un numero pari al massimo consentito, e deve essere modificata ogni 6 mesi (3 nel caso di trattamento di dati sensibili o giudiziari).
In secondo luogo devono essere fornite annualmente istruzioni scritte agli incaricati affinché l'accesso ai dati sia limitato in funzione dell’attività concretamente svolta; dovranno, inoltre, esser fornite istruzioni per la custodia di copie di sicurezza tramite salvataggio dei dati con frequenza almeno settimanale.
è previsto l'utilizzo di strumenti elettronici di protezione (antivirus e firewall) da aggiornare con scadenza almeno semestrale.
Da ultimo è disposta la tenuta di un aggiornamento programmatico sulla sicurezza.
Il T.U. stabilisce, infatti, che entro il 31 marzo di ogni anno il titolare di dati sensibili o giudiziari deve redigere il documento menzionato fornendo idonee informazioni riguardo a :
1) l'elenco dei trattamenti di dati personali;
2) la distribuzione dei compiti e delle responsabilità in relazione al trattamento dei dati;
3) l'analisi dei rischi;
4) le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché le disposizioni per la protezione dei locali destinati alla custodia;
5) la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
6) la previsione di interventi formativi a favore degli incaricati del trattamento (gli incaricati devono essere resi edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare);
7) la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
8) l'individuazione dei criteri da adottare per la cifratura o per la separazione dei dati relativi alla salute ed alla vita sessuale dagli altri dati personali dell'interessato.
Nel caso in cui il trattamento dei dati avvenga senza l'ausilio di mezzi informatici vanno impartite agli incaricati istruzioni scritte circa il controllo e la custodia di atti e documenti; va redatto un elenco degli incaricati individuandone i profili di autorizzazione; l'accesso agli archivi deve essere controllato e le persone ammesse dopo l'orario identificate e registrate.
Nel caso in cui il titolare ometta l’adozione delle misure minime è prevista la pena dell'arresto sino a due anni o, alternativamente, l'ammenda da Euro 10.000 a 50.000.

Allegato: informativa ex art. 13 T.U.
Informativa ai sensi dell'art. 13 d. lgs. 196/2003
Gentile Cliente,
ai sensi dell'art. 13 d. lgs. 196/2003 (di seguito T.U.), ed in relazione ai dati personali di cui lo studio __________ entrerà in possesso, La informiamo di quanto segue:
1. Finalità del trattamento dei dati.
Il trattamento è finalizzato unicamente alla corretta e completa esecuzione dell’incarico professionale ricevuto, sia in ambito giudiziale che in ambito stragiudiziale.
2. Modalità del trattamento dei dati.
a) Il trattamento è realizzato per mezzo delle operazioni o complesso di operazioni indicate all'art. 4 comma 1 lett. a) T.U.: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati.
b) Le operazioni possono essere svolte con o senza l'ausilio di strumenti elettronici o comunque automatizzati.
c) Il trattamento è svolto dal titolare e/o dagli incaricati del trattamento.
3. Conferimento dei dati.
Il conferimento di dati personali comuni, sensibili e giudiziari è strettamente necessario ai fini dello svolgimento delle attività di cui al punto 1.
4. Rifiuto di conferimento dei dati.
L'eventuale rifiuto da parte dell'interessato di conferire dati personali nel caso di cui al punto 3 comporta l'impossibilità di adempiere alle attività di cui al punto 1.
5. Comunicazione dei dati.
I dati personali possono venire a conoscenza degli incaricati del trattamento e possono essere comunicati per le finalità di cui al punto 1 a collaboratori esterni, soggetti operanti nel settore giudiziario, alle controparti e relativi difensori, a collegi di arbitri e, in genere, a tutti quei soggetti cui la comunicazione sia necessaria per il corretto adempimento delle finalità indicate nel punto 1.
6. Diffusione dei dati.
I dati personali non sono soggetti a diffusione.
7. Trasferimento dei dati all'estero.
I dati personali possono essere trasferiti verso Paesi dell'Unione Europea e verso Paesi terzi rispetto all'Unione Europea nell'ambito delle finalità di cui al punto 1.
8. Diritti dell'interessato.
L'art. 7 T.U. conferisce all'interessato l'esercizio di specifici diritti, tra cui quello di ottenere dal titolare la conferma dell'esistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile; l'interessato ha diritto di avere conoscenza dell'origine dei dati, della finalità e delle modalità del trattamento, della logica applicata al trattamento, degli estremi identificativi del titolare e dei soggetti cui i dati possono essere comunicati; l'interessato ha inoltre diritto di ottenere l'aggiornamento, la rettificazione e l'integrazione dei dati, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge; il titolare ha il diritto di opporsi, per motivi legittimi, al trattamento dei dati.
9. Titolare del trattamento.
Titolare del trattamento è_______________ (indicare la persona fisica, l’associazione professionale o la società tra avvocati) con sede in ________.
Responsabile del trattamento è il sig./dott. ____________________. (da indicare se nominato).
______________________
Per ricevuta comunicazione