La privacy e gli studi legali: le indicazioni del Garante sugli adempimenti in tema di privacy

Parere 3 giugno 2004 n. 22457 prot.

Oggetto: sintesi dei principali adempimenti in materia di protezione di dati personali nello svolgimento dell'attività forense.

Nell'ambito della proficua collaborazione con gli organismi rappresentativi di categorie professionali, e al fine di favorire l'attuazione della disciplina in materia di protezione dei dato personali, l'Autorità ritiene opportuno richiamare l'attenzione sui principali adempimenti nell’esercizio dell’attività forense, oggetto di alcune scadenze nel corrente semestre.

1. PREMESSA.
Va sottolineata preliminarmente la possibilità di adempiere agli obblighi di legge con modalità semplificate, organizzate dal titolare del trattamento in modo sintetico e altresì efficaci, attuando i principi di semplificazione ed efficacia che il Codice richiama tra i cardini generali della nuova disciplina (art. 2, comma 2, del Codice).
In questo quadro, va ricordato che il titolare del trattamento è il soggetto cui competono le decisioni di fondo in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
Quando l'attività professionale è prestata individualmente, il titolare del trattamento è la persona fisica dell’avvocato esercente. Ad analoga conclusione deve giungersi nel caso di attività svolta congiuntamente da due professionisti, i quali assumono in questa ipotesi la qualità di contitolari del medesimo trattamento.
Quando, invece, l'attività è svolta in forma societaria o da un'associazione professionale o da una società tra avvocati, il titolare è l'entità nel suo complesso. In questo caso, gli adempimenti previsti dal Codice vanno pertanto attuati in termini unitari, evitando la loro frammentazione o ripetizione a cura dei singoli professionisti.
Per tutti i trattamenti di dati che verranno richiamati nel presente parere, i dati personali vanno trattati in modo lecito e secondo correttezza; le informazioni utilizzate devono risultare inoltre pertinenti e non eccedenti rispetto alle finalità per le quali sono raccolte o successivamente trattate (art. 11 del Codice).

2. NOTIFICAZIONE
La maggior parte dei trattamenti di dati effettuati nell’esercizio dell'attività forense non è soggetta a notificazione.
La notificazione del trattamento di dati al Garante deve avvenire solo se il trattamento effettuato dall'avvocato ricade nelle ipotesi considerate dall'art. 37, comma 1 del Codice.
Il Garante ha anche sottratto dall'obbligo di notificazione alcuni dei trattamenti che rientrano in tali ipotesi, individuando i presupposti in base ai quali non devono essere notificati i trattamenti di dati genetici e biometrici effettuati da avvocati anche in forma associata (provvedimento 31 marzo 2004, adottato ai sensi dell'art. 37, comma 2). Non sono quindi soggetti più a notificazione i trattamenti di dati genetici o biometrici effettuati nell'esercizio della professione di avvocato, in relazione alle operazioni e ai dati necessari per svolgere le investigazioni difensive di cui alla legge n. 397/2000, o comunque per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria. Ciò sempre che il diritto sia di rango almeno pari a quello dell'interessato e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.
Per quanto riguarda, invece, le banche dati relative alla solvibilità economica, il Garante ha altresì sottratto dall'obbligo di notificazione i trattamenti di dati registrati in banche di dati utilizzate in rapporti con l'interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l'interessato, incluso il caso in cui il trattamento sia effettuato in fase precontrattuale.
Pertanto, non devono essere tra l'altro, notificati i trattamenti relativi, a clienti o fornitori, effettuati da liberi professionisti per svolgere investigazioni difensive o curare la difesa in sede giudiziaria di diritti degli assistiti, salvo che il professionista costituisca un'apposita banca dati, gestita con strumenti elettronici, contenente dati relativi al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

3. MISURE DI SICUREZZA.
I dati devono essere protetti da misure di sicurezza idonee e preventive, riducendo al minimo i rischi di distribuzione, perdita, anche accidentale, di accesso non autorizzato o trattamento non consentito o non conforme alle finalità della raccolta (art. 31 del Codice).
Alcune misure, c.d. misure minime, sono obbligatorie anche sul piano penale, e sono diverse a seconda che il trattamento sia effettuato con l'ausilio di strumenti elettronici o solo manualmente (artt. 33, 36, nonchè Allegato B) del Codice; v. anche i chiarimenti forniti dal Garante con note n. 6586/31884 del 22 marzo 2004).
In particolare, se sono trattati con strumenti elettronici dati sensibili o dati giudiziari, occorre redigere un documento programmatico sulla sicurezza (DPS) entro il 31 marzo di ogni anno (nel 2004, entro il prossimo 30 giugno come per le altre nuove misure minime; artt. 34, comma 1, lett. G) e 180 del Codice; regola 19 dell'Allegato B).
Sul sito web del Garante (www.garanteprivacy.it) è disponibile una guida operativa per redigere tale documento.
Per quanto riguarda l'organizzazione del lavoro quotidiano di studio, va osservato che, contrariamente a quanto ipotizzato in alcuni quesiti formulati dai singoli professionisti, non occorre depennare il nome delle parti dalla copertina dei fascicoli cartacei, utilizzando al suo posto solo numeri identificativi. Resta invece necessario seguire opportune modalità per rendere i fascicoli e la relativa documentazione accessibili agli incaricati del trattamento nei casi e per le finalità previsti.

4. SOGGETTI PREPOSTI AL TRATTAMENTO.

4.1. Responsabile
La delegazione del responsabile del trattamento di dati da parte del titolare è facoltativa.
Nel caso in cui, specie in realtà organizzate di grandi dimensioni, si ritenga utile preporre un responsabile, la sua designazione deve avvenire in base ai criteri previsti dal Codice (art. 29).
Il responsabile esegue i compiti specificati analiticamente per iscritto dal titolare del trattamento, il quale deve vigilare sulla puntuale osservanza delle disposizioni in materia di trattamento.
Può trattarsi anche di un soggetto esterno persona fisica o giuridica che svolga prestazioni strumentali e subordinate alla scelte del titolare del trattamento.
Per esigenze organizzative possono essere designati responsabili anche più soggetti, mediante eventuale suddivisione di compiti.

4.2. Incaricati.
Tutte le persone fisiche che hanno accesso ai dati a vario titolo (avvocati, praticanti, collaboratori e personale amministrativo) devono essere designate per iscritto quali incaricati del trattamento. L'atto di designazione, da parte del titolare o dell'eventuale responsabile, deve individuare l'ambito del trattamento consentito agli incaricati, i quali devono attenersi alle istruzioni impartite. Si possono utilizzare le modalità semplificate previste dall'art. 30, comma 2, del Codice.

5. DIFESA DI DIRITTI E INVESTIGAZIONI DIFENSIVE.
Le disposizioni che agevolano il lavoro dell'avvocato per effetto del bilanciamento operato dal Codice tra il diritto di difesa e gli altri diritti e libertà fondamentali delle persone interessate non operano solo durante lo svolgimento di un giudizio necessariamente già instaurato. In senso analogo dispone anche la legge n. 397/2000 per ciò che attiene al rapporto tra indagini difensive e procedimento penale.
Le disposizioni del Codice possono essere utilmente applicate anche nella fase propedeutica all'instaurazione del giudizio, se l'attività è finalizzata effettivamente ed esclusivamente a verificare l'esistenza di un diritto da tutelare in giudizio o l'eventualità di tale utile difesa nel giudizio medesimo.
Ad analoga conclusione deve giungersi per particolari procedimenti o fasi propedeutiche nelle quali il diritto viene tutelato anche in sede amministrativa o in procedure di arbitrato o conciliazione previste dalla normativa comunitaria, da leggi, regolamenti o contratti collettivi.

5.1. Informativa.
Il cliente deve ricevere un'informativa, orale o scritta, prima della raccolta dei dati, ad esempio al momento del conferimento dell'incarico.
Gli elementi da precisare sono indicati nel Codice (art. 13).
è possibile utilizzare formule colloquiali per evidenziare anche in modo sintetico, ma senza lacune o ambiguità- alcune circostanze che riguardano le finalità e le modalità del trattamento cui sono destinati i dati, la natura obbligatoria o facoltativa del conferimento, le conseguenze dell'eventuale rifiuto di rispondere, i soggetti e le categorie di soggetti ai quali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, l'ambito di diffusione dei dati medesimi, i diritti del cliente interessato (art. 7 del Codice) e gli estremi identificativi del titolare e degli eventuali responsabili del trattamento, se designati.
Questa informativa è sempre necessaria quando i dati sono raccolti direttamente presso l'interessato, anche in caso di raccolta di dati attraverso ascolto, registrazione o intercettazione di conversazioni (cfr. prov. Del Garante del 19 febbraio 2002).
è possibile tuttavia non indicare gli elementi già noti alla persona che fornisce i dato (art. 29, comma 2).
L’interessato deve poter individuare agevolmente chi è il titolare del trattamento (si veda quanto richiamato in premessa).
Se è prevista una raccolta presso terzi di dati relativi al cliente, questa circostanza può essere evidenziata subito nell'informativa al cliente stesso, rendendo in tal modo superflua l'ulteriore informativa che, in alcuni casi, è necessaria in caso di dati raccolti presso terzi (cfr. art. 13, comma 4).
Rispetto al quadro fin qui delineato, la disciplina è in parte diversa quando i dati personali trattati riguardano persone diverse dal cliente.
In tal caso, se i dati sono trattati solo al fine di svolgere investigazioni difensive o comunque per far valere o difendere un diritto in sede giudiziaria, l'informativa è necessaria solo se i dati sono trattati per un periodo superiore a quello strettamente necessario per perseguire tali finalità, oppure per altre finalità con esse non incompatibili.
Una fattiva collaborazione con codesto Consiglio e con altri organismi rappresentativi interessati potrà risultare utile per individuare formule armonizzate per adempiere contestualmente, e in modo agevole, sia agli obblighi informativa nella materia in esame, sia a quelli previsti dalla legge n. 397 del 2000 in tema di indagini difensive nella materia penale, eventualmente anche nell'ambito del codice deontologico previsto (art. 135 del Codice).

5.2. Consenso.

5.2.1. Dati comuni.
Non occorre richiedere il consenso del cliente quando il trattamento dei dati comuni (si tratta dei dati diversi da quelli sensibili e giudiziari tassativamente elencati dal Codice: art. 4, comma 1, lett. d) e c)) è necessario per adempiere agli obblighi del contratto di prestazione d'opera ( art. 24, comma 1, lett. b) del Codice).
Se, invece, i dati si riferiscono a terzi, il consenso non è egualmente richiesto quando il trattamento è necessario per svolgere indagini difensive o per far valere o difendere un diritto in sede giudiziaria. I dati devono essere però trattati esclusivamente per tali finalità e per il periodo strettamente necessario a perseguirle (art. 24, comma 1, lett. f) del Codice). Se non ricorrono queste priorità, il consenso è necessario se non è possibile fare utile applicazione di altri presupposti equipollenti del trattamento (dati pubblici, informazioni relative ad attività economiche, adempimento di un obbligo di legge, ecc. ecc.: v. art. 24 del Codice).

5.2.2. Dati sensibili.
Non occorre richiedere il consenso- che per i dati sensibili va manifestato per scritto – quando il trattamento è necessario per svolgere indagini difensive o per far valere e difendere un diritto in sede giudiziaria. In tal caso, i dati devono essere trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.
Non è parimenti necessario richiedere al Garante il rilascio di una specifica autorizzazione. L'Autorità ne ha rilasciata da tempo una di carattere generale (aut. N. 4/2002), efficace fino al prossimo 30 giugno. La stessa verrà sostituita da un’autorizzazione analoga anch'essa automaticamente operante per tutti gli operatori interessati che svolgano le attività in essa indicate.
Il trattamento può riguardare i dati sensibili relativi ai clienti.
I dati sensibili relativi a terzi possono essere trattati se ciò è strettamente indispensabile per eseguire specifiche prestazioni professionali richieste dai clienti per scopi determinati e legittimi.
In ogni caso, i dati devono essere strettamente pertinenti e non eccedenti rispetto ad incarichi conferiti che non possono essere svolti trattando dati anonimi o dati personali di natura diversa.

5.2.3. Dati idonei a rivelare lo stato di salute e la vita sessuale e pari rango.
Quando, tra i dati sensibili, si utilizzano quelli idonei a rivelare lo stato di salute e la vita sessuale, il loro trattamento può avvenire senza consenso quando il diritto difeso o fatto valere in giudizio è di rango pari a quello della persona cui si riferiscono i dati.
In tal caso, il diritto tutelato deve consistere in un diritto della personalità o in un altro diritto o libertà fondamentale o inviolabile.
Nel procedere a tale specifica valutazione, è necessario utilizzare come parametro di raffronto il diritto sottostante che il terzo intende far valere sulla base del materiale documentale che chiede di conoscere, anzichè il diritto di azione e difesa, pure costituzionalmente garantito (è preso per molti altri aspetti in considerazione dal Codice a prescindere dall'importanza del diritto sostanziale fatto valere: prov. del Garante 9 luglio 2003).
Sempre in materia di dati sulla salute e la vita sessuale, va richiamata l'attenzione sulla necessità di rispettare anche le specifiche prescrizioni dell'autorizzazione generale n. 2/2002.

5.2.4. Dati giudiziari.
Non è richiesto il consenso per trattare i dati giudiziari che il Codice individua ora in termini più ampi rispetto al passato (artt. 4,comma 1, lett. e) e 27 del Codice).
Il professionista deve rispettare le prescrizioni di una specifica autorizzazione, anch'essa già rilasciata con un atto di carattere generale avente le caratteristiche suindicate (aut. gen. n. 7/2002). In particolare, i dati giudiziari relativi a terzi possono essere trattati quando ciò è strettamente indispensabile per eseguire specifiche prestazioni professionali richieste dai clienti per scopi determinati e legittimi.

6. ATTIVITA' STRAGIUDIZIALE.
Tenendo presenti le considerazioni sopra espresse a proposito della sfera di applicazione delle disposizioni sull'esercizio di un diritto in sede giudiziaria, va rilevato che all'attività stragiudiziale non sono applicabili le eccezioni previste dal Codice per gli obblighi di informativa in tema di dati raccolti presso terzi (art. 13, comma 5) e di consenso (artt. 24, comma 1, lett. f) e 26, comma 4, lett. c).
Tuttavia, anche in materia stragiudiziale potrà comunque farsi utile applicazione, per i dati comuni, di altri presupposti equipollenti al consenso (dati relativi ad attività economiche; adempimento di obblighi di legge; ecc.).

6.1. Informativa
L'informativa, resa nei termini illustrati, in caso di raccolta presso terzi deve essere resa all'interessato all'atto della registrazione dei dati o non oltre la prima comunicazione a terzi.

6.2. Consenso.

6.2.1. Dati comuni.
Il consenso del cliente non richiesto secondo quanto esposto al punto 5.2.1.
Il trattamento dei dati comuni di soggetti diversi dal cliente, nel caso in cui non possa applicarsi uno degli altri presupposti di cui all'art. 24 del Codice (ad esempio, dati pubblici), deve avvenire con il consenso dell'interessato.

6.2.2. Dati sensibili.
Il trattamento richiede il consenso scritto dell'interessato.
Per quanto riguarda l'autorizzazione del Garante, opera l’autorizzazione generale n. 4/2002. L'incarico dal professionista deve rientrare tra quelli che quest'ultimo può eseguire in base all’ordinamento professionale di riferimento.

6.3.2. Dati idonei a rivelare lo stato di salute e la vita sessuale.
Analogamente a quanto già accennato, il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale richiede il consenso scritto dell'interessato e deve essere effettuato anche nel rispetto dell'autorizzazione generale n. 2/2002.

6.3.2. Dati giudiziari.
Si formulano considerazioni analoghe a quanto illustrato al punto 5.2.4.

7. ALTRI ASPETTI.
Nell'ambito dei proficui contatti avuti con codesto Consiglio nazionale e con vari ordini, questa Autorità ha già manifestato la propria disponibilità a fornire chiarimenti e pareri in altre tematiche da approfondire, come quella del rapporto con gli investigatori privati autorizzati, della conservazione di documenti (in relazione ad eventuali altri incarichi, obblighi di legge, ecc.), della conoscibilità di atti e documenti in sede giudiziaria (calendari delle udienze, rilascio di copia delle pronunce giudiziarie, accessibilità in rete a tali documenti, ecc.), della pertinenza e non eccedenza dei dati prodotti nel giudizio, della notificazione di atti giudiziari, dei diritti degli interessati nella fase esecutiva e dell'informatica giuridica.
Si conferma questa disponibilità ringraziando per l'attenzione dimostrata alle problematiche applicative del Codice.

Il Segretario Generale
(dott. Giovanni Buttarelli)