La privacy e gli studi legali: le indicazioni del Consiglio Nazionale Forense

INFORMATIVA (art. 13 d.lgs. 196/2003)
Può essere anche orale. In particolare verso il cliente, possono essere utilizzate formule sintetiche e colloquiali, omettendo elementi noti al cliente stesso, e precisando se verranno raccolti dati che lo riguardano presso terzi in modo da evitare altre precisazioni.
Per quanto riguarda i terzi, l'autorizzazione generale n°4/2005 spiega che non è necessario informarli se i dati sono trattati per il tempo strettamente necessario per le esigenze difensive.

CONSENSO (art. 23 d.lgs. 196/2003)
Nell'attività difensiva, non occorre, né per i dati comuni, né per quelli sensibili, né per quelli giudiziari chiedere il consenso all'interessato.
Ciò sia per i dati trattati nel procedimento (anche in sede amministrativa, di arbitrato o di conciliazione), sia nella fase propedeutica all'eventuale giudizio, anche al fine di verificare con le parti se vi sia un diritto da tutelare utilmente in sede giudiziaria.
Nell'attività stragiudiziale vi sono poi altre esimenti utili in alternativa al consenso (dati relativi all'adempimento di obbligazioni contrattuali art. 24 o svolgimento di attività economiche, adempimento di obblighi di legge ecc.).

MISURE DI SICUREZZA (art. 31-34 e All.B d.lgs. 196/2003)
Gli obblighi di sicurezza sono sostanzialmente identici a quelli previsti già nel 1996 (anzi, per i dati cartacei le misure sono state ridotte). Non vi è anzitutto alcuna modifica per quanto riguarda gli effetti civili di tali obblighi.
I personal computer correntemente in uso recano già le funzioni necessarie per registrare codici identificativi e password, senza necessità di effettuare acquisti di beni (particolare attenzione va invece posta con riferimento all'aggiornamento costante dei software).
Non vi è necessità di ricorrere a particolari consulenze anche perché quanto necessario è sintetizzato in apposite istruzioni (nota del Garante 22 marzo 2004, n. 6588/31884, sul relativo sito www.garanteprivacy.it )
Il documento programmatico sulla sicurezza (DPS) è obbligatorio solo se si trattano elettronicamente dati sensibili o giudiziari. Può essere comunque redatto agevolmente utilizzando il modello semplificato presente sul sito del Consiglio Nazionale Forense, peraltro semplificandolo ulteriormente se lo studio dell'avvocato è di piccole dimensioni. Il DPS va conservato in Studio e non va spedito al Garante.
Non serve adottare altri accorgimenti che nessuno ha sancito (del tipo: oscurare i nomi delle parti sulla copertina dei fascicoli).
Occorrono piuttosto istruzioni ragionevoli ai collaboratori, specie negli studi di grosse dimensioni. Nell'autorizzazione generale n°4/2005 vi sono indicazioni utili a riguardo.

NOTIFICAZIONE (art. 37 d.lgs. 196/2003)
L'Avvocato non deve notificare trattamenti al Garante. La sua ordinaria attività non rientra infatti tra i casi di notificazione (art. 37), anche a seguito degli esoneri stabiliti dal Garante (deliberazione del 31 marzo 2004). Potrebbe emergere in via eccezionale la necessità di una notificazione una-tantum, on line, nel solo caso, invero raro, in cui l'avvocato svolga un'attività del tutto particolare indicata nel predetto art. 37 (es. gestione di una apposita banca dati elettronica in materia antifrode o di rischio di solvibilità economica.

AUTORIZZAZIONI
L'Avvocato non deve richiedere autorizzazioni al Garante. Dal 1997, per i dati sensibili e giudiziari sono rilasciate autorizzazioni generali operanti erga omnes, senza che sia necessario presentare istanze. Le ultime, sostanzialmente identiche alle precedenti, sono state rilasciate nel dicembre 2005.