Proteggere i dati critici dello Studio per garantire privacy ed efficienza
produttiva
Daniele Vecchi
Milano 13 ottobre 2011
1 – La protezione dei dati personali
dei clienti nello svolgimento
dell’attività forense
Normativa di riferimento
• Decreto Legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” (c.d. Codice Privacy)
• Autorizzazioni generali del Garante al trattamento dei dati sensibili e giudiziari
• Codice di deontologia e buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive (Provv. 6 novembre 2008);
• Parere Garante del 3 giugno 2004, Chiarimenti sui principali adempimenti in materia di protezione di dati personali nello svolgimento dell’attività forense (http://www.garanteprivacy.it/garante/doc.jsp?ID=1007280)
• Altri provvedimenti e decisioni del Garante
Ma anche
• Art. 622 Codice Penale – Segreto professionale
• Art. 9 Codice di Deontologia Forense
Art. 9 codice deontologico: dovere di segretezza e riservatezza
È dovere, oltre che diritto, primario e fondamentale dell'avvocato mantenere il segreto sull'attività prestata e su tutte le informazioni che siano a lui fornite dalla parte assistita o di cui sia venuto a conoscenza in dipendenza del mandato.
I - L'avvocato è tenuto al dovere di segretezza e riservatezza anche nei confronti degli ex-clienti, sia per l'attività giudiziale che per l'attività stragiudiziale.
II - La segretezza deve essere rispettata anche nei confronti di colui che si rivolga all'avvocato per chiedere assistenza senza che il mandato sia accettato.
III - L'avvocato è tenuto a richiedere il rispetto del segreto professionale anche ai propri collaboratori e dipendenti e a tutte le persone che cooperano nello svolgimento dell'attività professionale.
Art. 9 codice deontologico: dovere di segretezza e riservatezza
IV - Costituiscono eccezione alla regola generale i casi in cui la divulgazione di alcune informazioni relative alla parte assistita sia necessaria:
a) per lo svolgimento delle attività di difesa;
b) al fine di impedire la commissione da parte dello stesso assistito di un reato di particolare gravità;
c) al fine di allegare circostanze di fatto in una controversia tra avvocato e assistito;
d) in un procedimento concernente le modalità della difesa degli interessi dell'assistito.
In ogni caso la divulgazione dovrà essere limitata a quanto strettamente necessario per il fine tutelato.
Fonti informative
• Parere Garante del 3 giugno 2004, Chiarimenti sui principali adempimenti in materia di protezione di dati personali nello svolgimento dell’attività forense (http://www.garanteprivacy.it/garan-te/doc.jsp?ID=1007280)
• Consiglio dell’Ordine degli Avvocati di Milano: privacy per gli studi legali, febbraio 2007 (http://www.ordineavvocatimilano.it/html/pdf/PRIVACY%20PER%20GLI%20STUDI%20LEGALI.pdf)
• Consiglio Nazionale Forense, Vademecum dello studio legale, 18 giugno 2004
2 - La privacy in pillole
Privacy: cosa significa
Privacy = disciplina del trattamento dei dati personali
Il termine “privacy” non corrisponde necessariamente ad un obbligo di confidenzialità o riservatezza.
Nel contesto della direttiva comunitaria, “privacy” indica la disciplina per il trattamento dei dati.
L’oggetto del trattamento
Dati Personali: qualunque informazione relativa
a persona fisica, persona giuridica, ente od
associazione, identificati o identificabili, anche
indirettamente mediante riferimento a qualsiasi altra
informazione.
I dati personali si contrappongono ai dati anonimi: il dato che in origine o a seguito di un trattamento non può essere associato ad un interessato identificato o identificabile Dati sensibili, Giudiziari e Quasi-sensibili
Trattamento: qualunque operazione o complesso di
operazioni, svolti con o senza l’ausilio di mezzi
elettronici o comunque automatizzati, concernenti:
la raccolta,
la registrazione,
l’organizzazione,
la conservazione,
l’elaborazione,
la consultazione,
la modificazione,
la selezione,
l’estrazione,
il raffronto,
l’utilizzo,
l’interconnessione,
il blocco,
la comunicazione,
la diffusione,
la cancellazione.
I soggetti del Trattamento: struttura organizzativa
Titolare
Responsabile
Incaricati del trattamento
Responsabile
esterno
Interessato
I principali adempimenti
• Notifica al Garante (solo nei casi previsti);
• Informativa all’interessato (sempre o quasi);
• Consenso (specifico e distinto in relazione al
trattamento);
• Consenso scritto (unitamente all’autorizzazione
del Garante) per il trattamento di dati sensibili)
• Contratti o discipline ad hoc per il trasferimento
all’estero dei dati;
• Adozione/implementazione misure di sicurezza;
• Redazione/aggiornamento DPS;
• Creazione di una Struttura organizzativa (interna
ed esterna);
• Implementazioni di processi per il riscontro alle
istanze dell’interessato.
3 – Privacy e avvocati: la disciplina
specifica
Trattamento di dati genetici e biometrici dei clienti
Provvedimento del Garante del 31 marzo 2004 relativo ai casi da sottrarre all’obbligo di notificazione
Sono sottratti all’obbligo di notificazione al Garante, tra i casi previsti dall'art. 37, comma 1, del D.lgs. 30 giugno 2003, n. 196: i trattamenti di dati genetici o biometrici effettuati nell’esercizio della professione di avvocato, in relazione alle operazioni e ai dati necessari per svolgere le investigazioni difensive di cui alla legge n. 397/2000, o comunque per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria. Ciò sempre che il diritto sia di rango almeno pari a quello dell’interessato e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.
Trattamento di dati sulla solvibilità e stato di insolvenza di imprese
Decisione del Garante del 2 marzo 2000: ricorso presentato da
una Società che lamentava l’asserita illecita comunicazione di informazioni attinenti la propria situazione economica e finanziaria effettuata da un avvocato a favore di una società statunitense.
“i dati trattati in tema di solvibilità e di stato di insolvenza di un’impresa rientrano nella nozione di dati relativi allo svolgimento di attività economiche, la cui utilizzazione e divulgazione a terzi può avvenire anche
senza il consenso dell’interessato”
Peculiarità del trattamento effettuato dagli avvocati
Può essere anche resa oralmente, con formule sintetiche e colloquiali, omettendo elementi noti al cliente, e precisando se verranno raccolti
presso terzi dati che lo riguardano
Non è richiesto quando il trattamento è necessario per eseguire obblighi derivanti da un contratto di cui è parte l’interessato, o per adempiere, prima della conclusione del contratto, a sue specifiche richieste (art. 24 comma 1, lett. b) del Codice)
È sempre necessaria quando i dati sono raccolti direttamente presso l’interessato, anche in caso di raccolta di dati tramite ascolto, registrazione o intercettazione di conversazioni (Provv. 19 febbraio 2002)
Non occorre perciò il consenso del cliente quando il trattamento dei dati c.d. “comuni” è necessario per adempiere agli obblighi del contratto di prestazione d’opera
Informativa Art. 13
Consenso Art. 23
Trattamento dei dati sensibili e giudiziari
I dati sensibili e giudiziari possono essere trattati dall’Avvocato senza previa autorizzazione del Garante nel caso si ricada in una delle autorizzazioni generali emanate dal Garante ai sensi dell’abrogata L. 675/96 e operanti erga omnes:
Autorizzazione n. 4 del 2002 al trattamento dei dati sensibili
da parte di liberi professionisti (31 gennaio 2002)
Autorizzazione n. 7 del 2002 al trattamento dei dati a
carattere giudiziario da parte di privati, enti pubblici
economici e soggetti pubblici (31 gennaio 2002)
L’efficacia di tali autorizzazioni è stata prorogata dal Garante sino al 31 dicembre 2012
Trattamento dei dati sensibili del cliente da parte di liberi
professionisti
Dati sensibili: dati personali idonei a rilevare
l’origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche,
l’adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico,
politico o sindacale,lo stato di salute e la vita
sessuale.
Il trattamento dei dati sensibili può essere effettuato ai soli fini dell'espletamento di un incarico che rientri tra quelli che il libero professionista può eseguire in base al proprio ordinamento professionale, e in particolare:
per curare gli adempimenti in materia di lavoro, di previdenza ed assistenza sociale e fiscale nell'interesse di altri soggetti che sono parte di un rapporto di lavoro dipendente o autonomo;
per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalla normativa comunitaria, dalle leggi, dai regolamenti o dai contratti collettivi;
ai fini dello svolgimento da parte del difensore delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, anche a mezzo di sostituti e di consulenti tecnici;
per l’esercizio del diritto di accesso ai documenti amministrativi, nei limiti di quanto stabilito dalle leggi e dai regolamenti in materia.
Dati giudiziari: dati personali idonei a rilevare
alcuni provvedimenti giudiziari, eventuali carichi
pendenti, la qualità di imputato o di indagato e la
soccombenza ad eventuali sanzioni amministrative
dipendenti da reato.
Dati giudiziari del cliente
I liberi professionisti sono autorizzati a trattare i dati a carattere giudiziario dei rispettivi clienti, nonché di terzi ove ciò sia strettamente indispensabile per eseguire specifiche prestazioni professionali richieste dai clienti stessi;
Il trattamento dei dati deve essere effettuato unicamente con logiche e mediante forme di organizzazione dei dati strettamente correlate agli obblighi, ai compiti e alle finalità della prestazione professionale richiesta;
I dati possono essere comunicati e, ove previsto dalla legge, diffusi, a soggetti pubblici o privati, nei limiti strettamente necessari alle finalità perseguite e nel rispetto, in ogni caso, del segreto professionale.
Il consenso non è richiesto, ma possono essere trattati i soli dati essenziali per le finalità che non possano essere
adempiute mediante l’impiego di dati anonimi
Formazione del fascicolo del cliente da parte del professionista
Parere del Garante del 3 giugno 2004 “Chiarimenti sui principali adempimenti in materia di protezione di dati personali nello svolgimento dell’attività forense”:
la formazione del fascicolo può essere effettuata in
via manuale e cartacea e/o mediante mezzi informatici; non occorre depennare il nome delle parti dalla
copertina dei fascicoli cartacei, utilizzando al suo posto solo numeri identificativi;
è invece necessario seguire opportune misure di sicurezza per rendere i fascicoli e la relativa documentazione accessibili agli incaricati del trattamento nei casi e per le finalità previsti annullando rischi di accessi abusivi.
4 – Difesa dei diritti e investigazioni
difensive
Ambito di applicazione: avvocati e praticanti avvocati che utilizzano dati di carattere personale per svolgere investigazioni difensive collegate ad un procedimento penale (l. 7 dicembre 2000, n. 397) o comunque per far valere o difendere un diritto in sede giudiziaria.
Codice di deontologia e buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive
(Provv. 6 novembre 2008)
Ipotesi specifiche di esenzione dagli obblighi di informativa e consenso
Informativa: possibilità di omettere l’informativa per i dati raccolti presso terzi, qualora essi siano trattati solo per il periodo strettamente necessario per far valere un diritto in sede giudiziaria Consenso: non è richiesto né per i dati comuni, né per i dati sensibili e giudiziari.
Ciò vale sia per i dati trattati nel corso di un procedimento, anche in sede amministrativa, arbitrato o conciliazione, sia nella fase propedeutica all’instaurazione di un eventuale giudizio (anche al fine di verificare se vi sia un diritto da tutelare), sia nella fase successiva alla risoluzione, giudiziale o stragiudiziale della lite.
L’unico limite a questa disciplina è rappresentato dai c.d.
“dati ultrasensibili”
Per i dati idonei a rivelare lo stato di salute e la vita sessuale
dell’interessato, il trattamento è lecito solo quando il diritto che si intende
tutelare è di rango pari a quello dell’interessato, ovvero consiste in un
diritto della personalità o altro diritto o libertà fondamentale e inviolabile
(Provv. 9 luglio 2003)
5 – Le misure di sicurezza
Ulteriori adempimenti: misure di sicurezza sui dati
I dati dei clienti devono essere protetti da misure di sicurezza idonee preventive per ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato ai dati dei clienti.
Alcune cautele, c.d. “misure minime”, sono obbligatorie e la loro mancata implementazione ha risvolti sul piano penale (art. 33-36 e Allegato B del Codice).
Genericamente le misure di sicurezza sono individuate a seconda che il trattamento sia effettuato:
con strumenti elettronici
oppure
con strumenti non elettronici
Trattamenti con strumenti elettronici
Misure Minime di Sicurezza
Autenticazione Informatica
Procedure di gestione delle credenziali di autenticazione
Utilizzazione di un sistema di autorizzazione
Aggiornamento periodico dell’individuazione dell’ambito di trattamento consentito agli incaricati
e addetti alla gestione e manutenzione sistemi
Protezione degli strumenti elettronici e dei dati Rispetto a trattamenti illeciti, accessi non consentiti
Procedure per la custodia di copie di back-up, il ripristino della disponibilità
dei dati e dei sistemi
Redazione e aggiornamento del documento Programmatico sulla sicurezza (DPSS),
necessario solo se vengono trattati dati sensibili o giudiziari
(apposito modello semplificato)
Trattamenti Con Strumenti Non Elettronici
Aggiornamento periodico ambito di trattamento consentito
Procedure per l’idonea custodia di atti e documenti
Procedure per la conservazione di determinati atti in archivi ad accesso selezionato
Individuazione modalità di accesso per L’identificazione degli incaricati
5 – Privacy e avvocati: questioni
particolari
Pubblicità dei provvedimenti disciplinari adottati nei confronti
degli avvocati
I provvedimenti disciplinari adottati nei confronti degli iscritti all’albo degli avvocati si configurano come
atti pubblici soggetti ad un regime di conoscibilità
anche da parte di altri professionisti e di terzi
“Di conseguenza, è soggetto a deposito e quindi fonte di ampia conoscibilità il provvedimento del Consiglio dell’Ordine degli avvocati che dispone la sanzione disciplinare della sospensione dalla professione. Può essere perciò divulgato anche attraverso riviste, notiziari e pubblicazioni, a prescindere dall’opportunità o meno di tale pubblicazione e dall’obbligo di riportare comunque dati esatti e completi” (Decisione del Garante del 29 marzo 2001)
Tutela della privacy ed oscuramento dei dati identificativi delle sentenze
Art. 52, comma 1 Codice Privacy: “Fermo restando quanto previsto dalle disposizioni concernenti la redazione e il contenuto di sentenze e di altri provvedimenti giurisdizionali dell'autorità giudiziaria di ogni ordine e grado, l'interessato può chiedere per motivi legittimi, con richiesta depositata nella cancelleria o segreteria dell'ufficio che procede prima che sia definito il relativo grado di giudizio, che sia apposta a cura della medesima cancelleria o segreteria, sull'originale della sentenza o del provvedimento, un'annotazione volta a precludere, in caso di riproduzione della sentenza o provvedimento in qualsiasi forma, per finalità di informazione giuridica su riviste giuridiche, supporti elettronici o mediante reti di comunicazione elettronica, l'indicazione delle generalità e di altri dati identificativi del medesimo interessato riportati sulla sentenza o provvedimento”.
Tutela della privacy ed oscuramento dei dati identificativi delle sentenze
• Lettera Circolare del 17 gennaio 2006 del primo presidente della Corte Suprema di Cassazione: la possibilità di rendere in forma anonima i dati personali contenuti in una sentenza si ha soltanto al momento della sua riproduzione in qualsiasi forma su riviste giuridiche, supporti elettronici o mediante reti di comunicazione elettronica.
• Corte di Cassazione Sezione 5 Penale, Sentenza del 29 gennaio 2009, n. 4239: non può dirsi violato l’art. 52 del Codice della privacy qualora venga pubblicato il testo integrale di una sentenza o di un provvedimento giudiziario, omettendo la cancellazione dei dati e delle informazioni generali inerenti le parti processuali, qualora la sentenza sia in ogni caso già reperibile presso la banca dati dell’autorità giudiziaria procedente, in assenza dell’apposita istanza di parte prevista dall’art. 52 comma 1 d.lgs. 196/03.
Le questioni tuttora aperte
• L’attività di assistenza stragiudiziale
• La tutela dei diritti “di pari rango”
• Il diritto di accesso ai dati
Top Related