Vademecum sul Codice della Privacy redatto dal CNF

VADEMECUM PER GLI STUDI LEGALI

concernente gli adempimenti richiesti dal "codice della privacy"(d.lgs.196/2003)

Il Consiglio Nazionale Forense, preso atto del nuovo testo che riordina la materia della "privacy", concernente i diritti fondamentali della persona riguardo ai dati personali, le regole sul trattamento dei dati, le sanzioni per la loro violazione, e tenuto conto degli allegati al Codice e dei chiarimenti interpretativi offerti dal Garante per la protezione dei dati personali con il provvedimento del 31.3.2004 e i pareri del 23.4.2004 e 26.4.2004 che incidono sugli adempimenti dei professionisti, suggerisce agli avvocati di attenersi alle seguenti prescrizioni:

1. Rapporti con il cliente e con i terzi

1.1 Informativa

Nel primo contatto con il cliente occorre informarlo sui punti previsti dall’art. 13 del Codice, oralmente o per iscritto.

Quantunque il Codice affidi al professionista la scelta della forma della comunicazione, è preferibile – al fine di acquisire la prova dell’adempimento dell’obbligo di informativa - raccogliere la firma del cliente su apposito modulo.

In ogni caso, l’informativa deve riguardare le finalità e le modalità del trattamento cui sono destinati i dati raccolti che riguardano il cliente, la natura obbligatoria o facoltativa del conferimento dei dati, le conseguenze di un eventuale rifiuto di rispondere, i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati, anche nella loro qualità di responsabili o incaricati, i

diritti previsti dal Codice all’art. 7 e gli estremi identificativi del titolare nonché del responsabile del trattamento, se designato.

E’ anche possibile offrire queste informazioni mediante un avviso esposto in luogo visibile e accessibile dal cliente.

Tuttavia, in questo caso, non si acquisisce la prova dell’avvenuta informativa.

L’informativa deve essere fornita anche ai terzi sui quali si raccolgano dati.

L’obbligo non riguarda l’attività rivolta a far valere o difendere un diritto in sede giudiziaria.

L’obbligo nei confronti dei terzi non riguarda l’attività preparatoria di quella difensiva.

Tuttavia, è dubbio se l’esonero possa riguardare anche l’attività stragiudiziale. Poiché nell’attività stragiudiziale (consulenza, redazione di atti stragiudiziali, trattative, etc.) l’avvocato opera per tutelare i diritti del proprio cliente, il CNF propone di includere anche l’attività stragiudiziale nell’area delle attività esonerate dall’obbligo di informativa a terzi.

1.2 Consenso al trattamento dei dati

Il consenso del cliente al trattamento dei dati non è richiesto se si tratta di dati comuni (art. 24) e in caso di dati sensibili e giudiziari laddove il trattamento avvenga per valere o difendere un diritto in sede giudiziaria.

Il Codice esonera dal consenso dell’interessato chi tratta i dati personali se sono diversi dai dati sensibili e dai dati giudiziari. Tuttavia, a seguito delle autorizzazioni generali del Garante n. 4 del 2002 e n. 7 del 2002, i professionisti (e quindi gli avvocati) sono stati esonerati dall’acquisizione del consenso anche per i dati sensibili e per i dati giudiziari. Le cit. autorizzazioni scadono il 30.6.2004 e si ha notizia che il Garante rinnoverà, come di consueto, le autorizzazioni.

Occorre però precisare che, allo stato, l’esonero riguarda soltanto l’attività espletata per "far valere o difendere un diritto in sede giudiziaria" (aut. n. 4/2002).

In via interpretativa, mentre è pacifico che l’esonero si possa estendere ad ogni attività preparatoria della difesa, e quindi alla raccolta di dati, di documenti e di informazioni utili per la preparazione degli atti difensivi, è discusso se tale esonero riguardi anche l’attività stragiudiziale.

Il consenso del terzo al trattamento non è richiesto se si tratta di attività per far valere diritti in sede giudiziaria, anche se i dati sono sensibili o sono dati giudiziari.

L’esonero deriva dalle autorizzazioni nn. 4 e 7 del 2002, e dovrebbe essere rinnovato entro il 30.6.2004.

Se l’attività è stragiudiziale, si ripropongono i problemi interpretativi di cui si è detto.

Occorre segnalare che l’informativa e il consenso (nei soli casi in cui è

richiesto) non possono risultare semplicemente dalla formula con cui il cliente conferisce il mandato al difensore in quanto è necessario che riguardino l’intero trattamento e non una o più operazioni.

L’integrazione del mandato con queste indicazioni appare superflua, specie se il cliente ha già sottoscritto il modulo relativo all’informativa e all’acquisizione del consenso.

2. Organizzazione dello studio

I dati raccolti devono essere trattati in modo lecito e secondo correttezza (art. 11 Codice).

La formazione del fascicolo può essere effettuata: in via manuale e cartacea, oppure, o anche, mediante strumenti informatici.

2.1 Trattamento manuale e cartaceo ("trattamenti senza l’ausilio di strumenti elettronici": art. 35 Codice e punti 27-29 All. B).

Questo tipo di trattamento normalmente si effettua mediante l’utilizzazione di contenitori sui quali si può apporre un numero identificativo nonché il nome del cliente e delle parti. Al fine di evitare che persone non autorizzate possano conoscere i nomi dei clienti o dei terzi che eventualmente risultino dal contenitore, è opportuno (anche se non espressamente richiesto dalla norma) che i nomi siano evidenziati solo all’interno del fascicolo. In tal caso, l’elenco che abbina numeri e nomi deve essere conservato in luoghi e secondo modalità che prevengano l’accesso non autorizzato di terzi.

Gli archivi debbono essere conservati in luoghi ad "accesso selezionato". Questa espressione può essere intesa in senso logico e pratico: il CNF suggerisce di collocare i fascicoli in locali dello studio in cui non abbiano accesso diretto né i clienti né i terzi, e quindi non nell’ingresso, nella sala d’aspetto o nei corridoi. Ciò non significa che si debbano collocare "sotto chiave" o in locali appositi esclusivamente riservati a tale uso, ben potendo essere conservati nei locali adibiti al lavoro, sia del titolare o dei titolari, sia dei praticanti e della segreteria (cioè dove lavorano gli incaricati del trattamento).

Nei locali in cui l’accesso è selezionato (le varie stanze di lavoro) gli incaricati possono quindi tenere e consultare i fascicoli attenendosi alle prescrizioni dell’ordinaria diligenza. Al riguardo è previsto che il titolare fornisca istruzioni - per iscritto - finalizzate al controllo e alla custodia degli atti e dei documenti utilizzati.

2.2 Trattamento con strumenti elettronici (art. 34 Codice e punti 1-24 All. B).

Questo tipo di trattamento può essere effettuato a seguito della dotazione ai singoli incaricati di credenziali di autenticazione (user ID e password) che consentano il superamento di una procedura di autenticazione.

Le principali regole al riguardo prevedono:

  • l’assegnazione di un "user ID", che identifica l’incaricato del trattamento, cioè il titolare dello studio, i praticanti, la segretaria. Tale codice è
  • personale e non può essere assegnato ad altri incaricati, neppure in tempi diversi;
  • dopo la digitazione dell’"user ID" occorre predisporre e inserire la "password", che deve essere di esclusiva conoscenza dell’incaricato del trattamento;
  • l’elenco delle password deve essere conservato in luogo non accessibile ad alcuno tranne al soggetto designato a conservarlo; ciò significa che il titolare di una password non è legittimato a conoscere la password di altri soggetti che operano nello studio (tranne ovviamente il soggetto designato a conservare l’elenco). In caso di prolungata assenza o impedimento anche temporaneo del titolare della password è possibile conoscere la sua password sole per esigenze "indispensabili e indifferibili" (come previsto dal punto 10 dell’All.. B) al Codice);
  • le regole dello studio legale relative all’uso di user ID e password ("credenziali di autenticazione") per le esigenze di cui sopra, debbono risultare da documento scritto recante "idonee e preventive disposizioni" al riguardo (punto 10 All. cit.);
  • debbono altresì essere impartite istruzioni circa le cautele da adottarsi per assicurare la segretezza e la diligente custodia delle credenziali;
  • ogni password (composta di almeno otto caratteri, o comunque del numero di caratteri pari al massimo consentito) non può contenere riferimenti agevolmente riconducibili all’incaricato (nome, cognome, etc.) e deve essere modificata ogni sei mesi e, nel caso di trattamento di dati sensibili o giudiziari, ogni tre mesi. Di conseguenza anche l’elenco delle password deve essere modificato con medesima scadenza;
  • le credenziali non utilizzate per almeno sei mesi vanno disattivate;

(Il CNF si adopererà per semplificare queste procedure)

  • Il CNF ritiene che l’organizzazione dello studio legale e dell’attività in esso svolta non consenta l’individuazione di "profili di autorizzazione" come previsti dai punti 12,13 e 14 dell’All. cit.;
  • il computer deve essere dotato di programmi antivirus (punto 16 All. cit., ex art. 615-quinquies c.p.) nonché di programmi contro il rischio di intrusione (firewall);
  • i programmi suddetti debbono essere aggiornati almeno ogni sei mesi.
  • è, infine, previsto che siano impartite istruzioni organizzative e tecniche per il salvataggio dei dati con frequenza almeno settimanale, per la custodia e l’uso dei supporti su cui sono memorizzati i dati, nonché per il ripristino dei dati (da eseguirsi entro 7 giorni) che siano stati danneggiati. I supporti non utilizzati devono essere distrutti o resi inutilizzabili.

2.3 Illegittimità di dichiarazione liberatoria del cliente in ordine agli adempimenti a cui è tenuto il difensore

Poiché la disciplina vigente attiene alla tutela di diritti costituzionalmente garantiti non è legittimo richiedere al cliente, anche se questi sia consenziente, di sottoscrivere una formula liberatoria di ogni adempimento e di ogni responsabilità a cui è tenuto l’avvocato.

2.4 Studi associati e in collaborazione

Le regole relative al trattamento con strumenti elettronici si applicano comunque agli studi, anche se gli avvocati sono tra loro in regime di associazione, e se non associati, utilizzano le medesime strutture.

Nel caso di utilizzazione comune di strumenti elettronici, ogni avvocato o incaricato deve possedere e usare la propria ID e la propria password.

Per quanto riguarda il trattamento senza l’ausilio di strumenti elettronici, il CNF propone di applicare la disciplina in modo tale da proteggere l’archivio da terzi, e di consentire che le misure di conservazione possano essere comuni a tutti i professionisti e gli incaricati che lavorano negli studi legali associati o in collaborazione.

2.5 Soggetti che effettuano il trattamento

All’interno di ogni studio legale si dovrà provvedere, laddove non si sia già effettuato, all’individuazione di tre soggetti:

  • il titolare del trattamento: nel caso di libero professionista che esercita la professione in forma non associata il titolare è la persona fisica in quanto tale; nel caso di associazioni professionali o società di avvocati, il titolare è l’entità nel suo complesso.
  • il responsabile del trattamento: figura facoltativa designata dal titolare e predisposta a verificare i corretti adempimenti di legge.
  • gli incaricati del trattamento: ovvero le persone fisiche autorizzate a compiere operazioni di trattamento, nel caso di specie tutti i "collaboratori" dello studio legale (avvocati, praticanti, segretarie, etc.).

2.6 Notificazione

A fronte dell’ampio spettro applicativo dell’art. 37 e della conseguente nascita di dubbi di natura ermeneutica, con il provvedimento generale del 31 marzo 2004 l’Autorità Garante è intervenuta fornendo ben più che una mera interpretazione della norma in esame.

Il menzionato provvedimento ha infatti disposto la sottrazione all’obbligo di notificazione al Garante di alcuni trattamenti tra i quali "i trattamenti di dati genetici o biometrici effettuati nell’esercizio della professione di avvocato, in relazione alle operazioni e ai dati necessari per svolgere le investigazioni difensive di cui alla legge n. 397/2000, o comunque per valere o difendere un diritto anche da parte di un terzo in sede giudiziaria. Ciò sempre che il diritto sia di rango almeno pari a quello dell’interessato e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento" nonché i trattamenti di dati personali "registrati in banche di dati utilizzate in rapporti con l’interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l’interessato".

Il CNF non ritiene che, nei limiti predetti, sia necessaria alcuna notificazione all’Autorità Garante.

3. Documento programmatico sulla sicurezza

Nei prossimi giorni sarà disponibile sul sito del Garante il fac-simile del DPS.

In ogni caso l’art. 34 c. 1 lett. g) e il punto 19 all. B fanno obbligo al titolare del trattamento dei dati di redigere entro il 31 marzo di ogni anno – per il 2004 il termine è previsto per il 30 giugno p.v. (ex parere del 22.3 2004 del Garante) - il documento programmatico di sicurezza.

Il codice stabilisce che il documento menzionato deve fornire idonee informazioni riguardo:

  1. l’elenco dei trattamenti di dati personali (ovvero la tipologia dei dati trattati);
  2. la distribuzione dei compiti e delle responsabilità in relazione al trattamento dei dati (si rinvia a quanto esposto al § 2.2)
  3. l’analisi dei rischi (per esempio, di perdita accidentale o di distruzione dei dati);
  4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché le disposizioni per la protezione dei locali destinati alla custodia (in funzione dei rischi individuati);
  5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (v. § 2.2);
  6. la previsione di interventi formativi a favore degli incaricati del trattamento (gli incaricati devono essere resi edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare);
  7. la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare.

4. Attività difensiva e bilanciamento con gli interessi dei terzi

L’avvocato può utilizzare in giudizio dati personali sensibili, anche senza il consenso, laddove il trattamento è effettuato "per far valere o difendere in sede giudiziaria un diritto" (art. 26, comma 4, lett. c).

Dalla lettura della prima parte di questo comma appare pacifica la preminenza, peraltro stabilita in via legislativa, del diritto di difesa sul diritto alla privacy anche in merito al trattamento dei dati sensibili.

Se i dati sono idonei a rilevare lo stato di salute e la vita sessuale, il diritto deve essere di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile (art. 26, comma 4, lett. c)).

Nel caso di trattamento di dati cd. "ultrasensibili" (relativi allo stato di salute e la vita sessuale), si pongono problemi di interferenza tra l’attività difensiva protetta dall’art. 24 Cost. e la tutela della privacy.

Va ricordato che – sul punto - l’Autorità Garante, in un parere reso il 9 luglio 2003, ha affermato che "nel valutare il «rango» del diritto di un terzo che può giustificare l’accesso o la comunicazione, deve essere utilizzato come parametro di riferimento non il «diritto di azione e di difesa» che pure è costituzionalmente garantito, quanto questo diritto sottostante che il terzo intende far valere sulla base del materiale documentale che chiede di conoscere".

Contrariamente a quanto sopra si è, però, espresso il Tribunale di Bari (con sentenza del 12 luglio 200, in Foro it.., 2000, I, 2989) che ha, invece, affermato di non nutrire il "minimo dubbio che l’azionato diritto alla prova del ricorrente, in quanto diretta espressione del diritto costituzionale di azione, sia di rango quanto meno pari, se non superiore, a quello degli interessati ai particolari dati sensibili contenuti nei documenti […]".

Informativa ai sensi dell’art. 13 d. lgs. 196/2003

Gentile Cliente, ai sensi dell’art. 13 d. lgs. 196/2003 (di seguito T.U.), ed in relazione ai dati personali di cui lo Studio ______________________ entrerà in possesso con l’affidamento della Sua pratica, La informiamo di quanto segue:

1. Finalità del trattamento dei dati.
Il trattamento è finalizzato unicamente alla corretta e completa esecuzione dell’incarico professionale ricevuto, sia in ambito giudiziale che in ambito stragiudiziale.

2. Modalità del trattamento dei dati.
a) Il trattamento è realizzato per mezzo delle operazioni o complesso di operazioni indicate all’art. 4 comma 1 lett. a) T.U.: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati.
b) Le operazioni possono essere svolte con o senza l’ausilio di strumenti elettronici o comunque automatizzati.
c) Il trattamento è svolto dal titolare e/o dagli incaricati del trattamento.

3. Conferimento dei dati.
Il conferimento di dati personali comuni, sensibili e giudiziari è strettamente necessario ai fini dello svolgimento delle attività di cui al punto 1.

4. Rifiuto di conferimento dei dati.
L’eventuale rifiuto da parte dell’interessato di conferire dati personali nel caso di cui al punto 3 comporta l’impossibilità di adempiere alle attività di cui al punto 1.

5. Comunicazione dei dati.
I dati personali possono venire a conoscenza degli incaricati del trattamento e possono essere comunicati per le finalità di cui al punto 1 a collaboratori esterni, soggetti operanti nel settore giudiziario, alle controparti e relativi difensori, a collegi di arbitri e, in genere, a tutti quei soggetti pubblici e privati cui la comunicazione sia necessaria per il corretto adempimento delle finalità indicate nel punto 1.

6. Diffusione dei dati.
I dati personali non sono soggetti a diffusione.

7. Trasferimento dei dati all’estero.
I dati personali possono essere trasferiti verso Paesi dell’Unione Europea e verso Paesi terzi rispetto all’Unione Europea nell’ambito delle finalità di cui al punto 1.

8. Diritti dell’interessato.
L’art. 7 T.U. conferisce all’interessato l’esercizio di specifici diritti, tra cui quello di ottenere dal titolare la conferma dell’esistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile; l’interessato ha diritto di avere conoscenza dell’origine dei dati, della finalità e delle modalità del trattamento, della logica applicata al trattamento, degli estremi identificativi del titolare e dei soggetti cui i dati possono essere comunicati; l’interessato ha inoltre diritto di ottenere l’aggiornamento, la rettificazione e l’integrazione dei dati, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge; il titolare ha il diritto di opporsi, per motivi legittimi, al trattamento dei dati.

9. Titolare del trattamento.

Titolare del trattamento è ____________________ con domicilio eletto in ______________.

________, lì ____________________

______________________

Per ricevuta comunicazione

Io sottoscritto ____________________________________ autorizzo a norma degli art. 23 e 26 T.U. lo Studio ___________________ al trattamento dei miei dati personali comuni, sensibili e giudiziari.

________, lì ____________________

_____________________

Per il rilasciato consenso