Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 – 19 dicembre 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati che abroga la direttiva 95/46/CE (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO l’art. 20, comma 4, del d.lgs. n. 101/2018 che demanda al Garante il compito di effettuare, nel termine di novanta giorni dall’entrata in vigore del decreto stesso, una verifica della conformità al Regolamento delle disposizioni contenute in alcuni codici deontologici ivi indicati, tra i quali quelle contenute nel “Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive”, adottato il 6 novembre 2008, attualmente inserito nel Codice in materia di protezione come allegato A.6 ed applicabile sino al completamento della menzionata procedura;

RILEVATO che, sempre secondo quanto previsto dal citato art. 20, comma 4, del d.lgs. n. 101/2018, al termine della suddetta procedura di verifica, le “disposizioni ritenute compatibili, ridenominate regole deontologiche, sono pubblicate nella Gazzetta Ufficiale della Repubblica italiana e, con decreto del Ministro della giustizia, sono successivamente riportate nell’allegato A del Codice”;

RITENUTO che la valutazione di compatibilità di dette disposizioni con il Regolamento non possa prescindere da una loro lettura che tenga integralmente conto del mutato quadro normativo di riferimento;

RITENUTO, per tale ragione, che:

  • – i richiami al d.lgs. n. 196/2003 contenuti in alcune disposizioni del codice deontologico, nonché la terminologia utilizzata, sono stati opportunamente aggiornati ai sensi delle corrispondenti disposizioni del Regolamento e del medesimo d.lgs. n. 196/2003, come modificato dal d.lgs. n. 101/2018;
  • – è opportuno espungere il preambolo del codice di deontologia, dovendosi, in base al richiamato articolo 20 del d.lgs. 101/2018, ridenominare solo le disposizioni dello stesso; il preambolo, invece, nel sintetizzare le condizioni di liceità del trattamento, evidenziava, altresì, i presupposti della sottoscrizione del codice di deontologia, nel rispetto del principio di rappresentatività, che, comunque, rimane alla base delle presenti regole;
  • – è stata eliminata la previsione riguardante il monitoraggio periodico del codice di deontologia e di buona condotta;

RITENUTO che tali elementi, relativi all’aggiornamento della disciplina in materia, debbano essere recepiti nelle “Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive” in ragione di quanto disposto dall’art. 20, comma 4, del d.lgs. 101/2018;

RITENUTO, all’esito della verifica della conformità al Regolamento delle disposizioni previste nel “Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria”, che le medesime, riportate nell’allegato 1 al presente provvedimento e che ne forma parte integrante, debbano essere pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. n. 101/2018 come “Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria”;

CONSIDERATO che le predette “Regole deontologiche” sono volte a disciplinare i trattamenti in questione in attesa di un auspicabile aggiornamento delle stesse ai sensi degli artt. 2-quater del Codice;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 20, comma 4, del d.lgs. n. 101/2018, verificata la conformità al Regolamento delle disposizioni del “Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria”, dispone che le medesime, riportate nell’allegato 1 al presente provvedimento e che ne forma parte integrante, siano pubblicate come “relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria” e ne dispone, altresì, la trasmissione all´Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana, nonché al Ministero della giustizia per essere riportato nell´Allegato A) al Codice.

Roma, 19 dicembre 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia
______________________________

Allegato 1

Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria

Capo I – Principi generali

Art. 1. Ambito di applicazione

  1. Le presenti regole deontologiche devono essere rispettate nel trattamento di dati personali per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria, sia nel corso di un procedimento, anche in sede amministrativa, di arbitrato o di conciliazione, sia nella fase propedeutica all’instaurazione di un eventuale giudizio, sia nella fase successiva alla sua definizione, da parte di:
    • avvocati o praticanti avvocati iscritti ad albi territoriali o ai relativi registri, sezioni ed elenchi, i quali esercitino l’attività in forma individuale, associata o societaria svolgendo, anche su mandato, un’attività in sede giurisdizionale o di consulenza o di assistenza stragiudiziale, anche avvalendosi di collaboratori, dipendenti o ausiliari, nonché da avvocati stranieri esercenti legalmente la professione sul territorio dello Stato;
    • soggetti che, sulla base di uno specifico incarico anche da parte di un difensore, svolgano in conformità alla legge attività di investigazione privata (art. 134 r.d. 18 giugno 1931, n. 773; art. 222 norme di coordinamento del c.p.p.).
  2. Le presenti regole deontologiche si applicano, altresì, a chiunque tratti dati personali per le finalità di cui al comma 1, in particolare a altri liberi professionisti o soggetti che in conformità alla legge prestino, su mandato, attività di assistenza o consulenza per le medesime finalità.

Capo II – Trattamenti da parte di avvocati

Art. 2. Modalità di trattamento

  1. L’avvocato organizza il trattamento anche non automatizzato dei dati personali secondo le modalità che risultino più adeguate, caso per caso, a favorire in concreto l’effettivo rispetto dei diritti, delle libertà e della dignità degli interessati, applicando i princìpi di finalità, proporzionalità e minimizzazione dei dati sulla base di un’attenta valutazione sostanziale e non formalistica delle garanzie previste, nonché di un’analisi della quantità e qualità delle informazioni che utilizza e dei possibili rischi.
  2. Le decisioni relativamente a quanto previsto dal comma 1 sono adottate dal titolare del trattamento il quale resta individuato, a seconda dei casi, in:
    • un singolo professionista;
    • una pluralità di professionisti, codifensori della medesima parte assistita o che, anche al di fuori del mandato di difesa, siano stati comunque interessati a concorrere all’opera professionale quali consulenti o domiciliatari;
    • un’associazione tra professionisti o una società di professionisti.
  3. Nel quadro delle adeguate istruzioni da impartire per iscritto alle persone autorizzate ad al trattamento dei dati, sono formulate concrete indicazioni in ordine alle modalità che tali soggetti devono osservare, a seconda del loro ruolo di sostituto processuale, di praticante avvocato con o senza abilitazione al patrocinio, di consulente tecnico di parte, perito, investigatore privato o altro ausiliario che non rivesta la qualità di autonomo titolare del trattamento, nonché di tirocinante, stagista o di persona addetta a compiti di collaborazione amministrativa.
  4. Specifica attenzione è prestata all’adozione di idonee cautele per prevenire l’ingiustificata raccolta, utilizzazione o conoscenza di dati in caso di:
    • acquisizione anche informale di notizie, dati e documenti connotati da un alto grado di confidenzialità o che possono comportare, comunque, rischi specifici per gli interessati;
    • scambio di corrispondenza, specie per via telematica;
    • esercizio contiguo di attività autonome all’interno di uno studio;
    • utilizzo di dati di cui è dubbio l’impiego lecito, anche per effetto del ricorso a tecniche invasive;
    • utilizzo e distruzione di dati riportati su particolari dispositivi o supporti, specie elettronici (ivi comprese registrazioni audio/video), o documenti (tabulati di flussi telefonici e informatici, consulenze tecniche e perizie, relazioni redatte da investigatori privati);
    • custodia di materiale documentato, ma non utilizzato in un procedimento e ricerche su banche dati a uso interno, specie se consultabili anche telematicamente da uffici dello stesso titolare del trattamento situati altrove;
    • acquisizione di dati e documenti da terzi, verificando che si abbia titolo per ottenerli;
    • conservazione di atti relativi ad affari definiti.
  5. Se i dati sono trattati per esercitare il diritto di difesa in sede giurisdizionale, ciò può avvenire anche prima della pendenza di un procedimento, sempreché i dati medesimi risultino strettamente funzionali all’esercizio del diritto di difesa, in conformità ai princìpi di liceità, proporzionalità e minimizzazione dei dati rispetto alle finalità difensive (art. 5 del Regolamento UE 2016/679).
  6. Sono utilizzati lecitamente e secondo correttezza secondo i medesimi principi di cui all’art. 5 del Regolamento (UE) 2016/679:
    • i dati personali contenuti in pubblici registri, elenchi, albi, atti o documenti conoscibili da chiunque, nonché in banche di dati, archivi ed elenchi, ivi compresi gli atti dello stato civile, dai quali possono essere estratte lecitamente informazioni personali riportate in certificazioni e attestazioni utilizzabili a fini difensivi;
    • atti, annotazioni, dichiarazioni e informazioni acquisite nell’ambito di indagini difensive, in particolare ai sensi degli articoli 391-bis, 391-ter e 391-quater del codice di procedura penale, evitando l’ingiustificato rilascio di copie eventualmente richieste. Se per effetto di un conferimento accidentale, anche in sede di acquisizione di dichiarazioni e informazioni ai sensi dei medesimi articoli 391-bis, 391-ter e 391-quater, sono raccolti dati eccedenti e non pertinenti rispetto alle finalità difensive, tali dati, qualora non possano essere estrapolati o distrutti, formano un unico contesto, unitariamente agli altri dati raccolti.

Art. 3. Informativa unica

  1. L’avvocato può fornire in un unico contesto, anche mediante affissione nei locali dello Studio e, se ne dispone, pubblicazione sul proprio sito Internet, anche utilizzando formule sintetiche e colloquiali, l’informativa sul trattamento dei dati personali (art. 13 del Regolamento) e le notizie che deve indicare ai sensi della disciplina sulle indagini difensive.

Art. 4. Conservazione e cancellazione dei dati

  1. Fermo restando quanto previsto dall’art. 5, par. 1, lett. e), del Regolamento (UE) 2016/679, la definizione di un grado di giudizio o la cessazione dello svolgimento di un incarico non comportano un’automatica dismissione dei dati. Una volta estinto il procedimento o il relativo rapporto di mandato, atti e documenti attinenti all’oggetto della difesa o delle investigazioni difensive possono essere conservati, in originale o in copia e anche in formato elettronico, qualora risulti necessario in relazione a ipotizzabili altre esigenze difensive della parte assistita o del titolare del trattamento, ferma restando la loro utilizzazione in forma anonima per finalità scientifiche. La valutazione è effettuata tenendo conto della tipologia dei dati. Se è prevista una conservazione per adempiere a un obbligo normativo, anche in materia fiscale e di contrasto della criminalità, sono custoditi i soli dati personali effettivamente necessari per adempiere al medesimo obbligo.
  2. Fermo restando quanto previsto dal codice deontologico forense in ordine alla restituzione al cliente dell’originale degli atti da questi ricevuti, e salvo quanto diversamente stabilito dalla legge, è consentito, previa comunicazione alla parte assistita, distruggere, cancellare o consegnare all’avente diritto o ai suoi eredi o aventi causa la documentazione integrale dei fascicoli degli affari trattati e le relative copie.
  3. In caso di revoca o di rinuncia al mandato fiduciario o del patrocinio, la documentazione acquisita è rimessa, in originale ove detenuta in tale forma, al difensore che subentra formalmente nella difesa.
  4. La titolarità del trattamento non cessa per il solo fatto della sospensione o cessazione dell’esercizio della professione. In caso di cessazione anche per sopravvenuta incapacità e qualora manchi un altro difensore anche succeduto nella difesa o nella cura dell’affare, la documentazione dei fascicoli degli affari trattati, decorso un congruo termine dalla comunicazione all’assistito, è consegnata al Consiglio dell’ordine di appartenenza ai fini della conservazione per finalità difensive.

Art. 5. Comunicazione e diffusione di dati

  1. Nei rapporti con i terzi e con la stampa possono essere rilasciate informazioni non coperte da segreto qualora sia necessario per finalità di tutela dell’assistito, ancorché non concordato con l’assistito medesimo, nel rispetto dei princìpi di liceità, trasparenza, correttezza, e minimizzazione dei dati di cui al Regolamento (UE) 2016/679 (art. 5), nonché dei diritti e della dignità dell’interessato e di terzi, di eventuali divieti di legge e del codice deontologico forense.

Art. 6. Accertamenti riguardanti documentazione detenuta dal difensore

  1. In occasione di accertamenti ispettivi che lo riguardano l’avvocato ha diritto ai sensi dell’articolo 159, comma 3, del d.lgs. n. 196/2003 che vi assista il presidente del competente Consiglio dell’ordine forense o un consigliere da questo delegato. Allo stesso, se interviene e ne fa richiesta, è consegnata copia del provvedimento.
  2. In sede di istanza di accesso o richiesta di comunicazione dei dati di traffico relativi a comunicazioni telefoniche in entrata, si applica quanto previsto dall’art. 132, comma 3, del d.lgs. n. 196/2003.

Capo III – Trattamenti da parte di altri liberi professionisti e ulteriori soggetti

Art. 7. Applicazione di disposizioni riguardanti gli avvocati

  1. Le disposizioni di cui agli articoli 2 e 5 si applicano, salvo quanto applicabile per legge unicamente all’avvocato:
    • a liberi professionisti che prestino o su mandato dell’avvocato o unitamente a esso o, comunque, nei casi e nella misura consentita dalla legge, attività di consulenza e assistenza per far valere o difendere un diritto in sede giudiziaria o per lo svolgimento delle investigazioni difensive;
    • agli altri soggetti, di cui all’art. 1, comma 2, salvo quanto risulti obiettivamente incompatibile in relazione alla figura soggettiva o alla funzione svolta.

Capo IV – Trattamenti da parte di investigatori privati

Art. 8. Modalità di trattamento

  1. L’investigatore privato organizza il trattamento anche non automatizzato dei dati personali secondo le modalità di cui all’articolo 2, comma 1.
  2. L’investigatore privato non può intraprendere di propria iniziativa investigazioni, ricerche o altre forme di raccolta dei dati. Tali attività possono essere eseguite esclusivamente sulla base di apposito incarico conferito per iscritto e solo per le finalità di cui alle presenti regole.
  3. L’atto d’incarico deve menzionare in maniera specifica il diritto che si intende esercitare in sede giudiziaria, ovvero il procedimento penale al quale l’investigazione è collegata, nonché i principali elementi di fatto che giustificano l’investigazione e il termine ragionevole entro cui questa deve essere conclusa.
  4. L’investigatore privato deve eseguire personalmente l’incarico ricevuto e può avvalersi solo di altri investigatori privati indicati nominativamente all’atto del conferimento dell’incarico, oppure successivamente in calce a esso qualora tale possibilità sia stata prevista nell’atto di incarico. Restano ferme le prescrizioni predisposte ai sensi dell’art. 2-septies del d.lgs. n. 196/2003 e art. 21 del d.lgs. n. 101/2018 relative al trattamento delle particolari categorie di dati personali di cui all’art. 9, par. 1, del Regolamento (UE) 2016/679.
  5. Nel caso in cui si avvalga di persone autorizzate al trattamento dei dati per suo conto, l’investigatore privato rende specifiche istruzioni in ordine alle modalità da osservare e vigila, con cadenza almeno settimanale, sulla puntuale osservanza delle norme di legge e delle istruzioni impartite. Tali soggetti possono avere accesso ai soli dati strettamente pertinenti alla collaborazione a essi richiesta.
  6. Il difensore o il soggetto che ha conferito l’incarico devono essere informati periodicamente dell’andamento dell’investigazione, anche al fine di permettere loro una valutazione tempestiva circa le determinazioni da adottare riguardo all’esercizio del diritto in sede giudiziaria o al diritto alla prova.

Art. 9 Altre regole di comportamento

  1. L’investigatore privato si astiene dal porre in essere prassi elusive di obblighi e di limiti di legge e, in particolare, conforma ai princìpi di liceità, trasparenza e correttezza del trattamento sanciti dal  Regolamento (UE) 2016/679 e dal d.lgs. n. 196/2003:
    • l’acquisizione di dati personali presso altri titolari del trattamento, anche mediante mera consultazione, verificando che si abbia titolo per ottenerli;
    • il ricorso ad attività lecite di rilevamento, specie a distanza, e di audio/videoripresa;
    • la raccolta di dati biometrici.
  2. L’investigatore privato rispetta nel trattamento dei dati le disposizioni di cui all’articolo 2, commi 4, 5 e 6 delle presenti regole.

Art. 10. Conservazione e cancellazione dei dati

  1. Nel rispetto dell’art. 5 del Regolamento (UE) 2016/679, i dati personali trattati dall’investigatore privato possono essere conservati per un periodo non superiore a quello strettamente necessario per eseguire l’incarico ricevuto. A tal fine deve essere verificata costantemente, anche mediante controlli periodici, la stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto alle finalità perseguite e all’incarico conferito.
  2. Una volta conclusa la specifica attività investigativa, il trattamento deve cessare in ogni sua forma, fatta eccezione per l’immediata comunicazione al difensore o al soggetto che ha conferito l’incarico, i quali possono consentire, anche in sede di mandato, l’eventuale conservazione temporanea di materiale strettamente personale dei soggetti che hanno curato l’attività svolta, a i soli fini dell’eventuale dimostrazione della liceità, trasparenza e correttezza del proprio operato. Se è stato contestato il trattamento il difensore o il soggetto che ha conferito l’incarico possono anche fornire all’investigatore il materiale necessario per dimostrare la liceità, trasparenza e correttezza del proprio operato, per il tempo a ciò strettamente necessario.
  3. La sola pendenza del procedimento al quale l’investigazione è collegata, ovvero il passaggio ad altre fasi di giudizio in attesa della formazione del giudicato, non costituiscono, di per se stessi, una giustificazione valida per la conservazione dei dati da parte dell’investigatore privato.

Art. 11. Informativa

  1. L’investigatore privato può fornire l’informativa in un unico contesto ai sensi dell’articolo 3 delle presenti regole, ponendo in particolare evidenza l‘identità e la qualità professionale dell’investigatore, nonché la natura facoltativa del conferimento dei dati, fermo restando quanto disposto dall’art. 14 del Regolamento, nel caso in cui i dati personali non siano stati ottenuti presso l’interessato.