Avvocati & GDPR
Il provvedimento del Garante sul trattamento dei dati personali
Al fine di una corretta e concreta applicazione del Regolamento 679/2016, General Data Protection Regulation (ai più, il GDPR), nonché de Codice della privacy così come modificato dal d.lgs. 10 agosto 2018, n. 101, il Garante per la protezione dei dati personali, in qualità di Autorità di controllo dell'ordinamento italiano, sta emanando una serie di provvedimenti per le singole categorie professionali, di modo da avere un quadro giuridico più specifico per i diversi ambiti di applicazione.
Tali disposizioni hanno interessato anche la categoria professionale degli avvocati.
Con il provvedimento n. 512 del 1 dicembre 2018 (pubblicato sulla Gazzetta Ufficiale n. 12 del 15 gennaio 2019), rubricato “Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria”, l'Authority italiana ha stabilito una serie di norme al fine di definire più specificamente il trattamento dei dati personali da parte degli avvocati.
Prima di analizzare il provvedimento indicato, però, è opportuno richiamare qualche concetto di base sancito dalla normativa europea.
Ai sensi dell’art. 13 del GDPR, il professionista (in tal caso, l'avvocato, gli avvocati o lo studio associato) che ricopre il ruolo di titolare del trattamento deve informare il soggetto (cliente) mediante una comunicazione sulle finalità e le modalità del trattamento.
L’informativa non si configura solamente come il diritto del soggetto (magari ancora neanche nella qualità di interessato) ad essere informato, ma prima di tutto risponde al dovere in capo al titolare di assicurare la trasparenza e correttezza dei trattamenti fin dal principio, ovverosia dal primo contatto che il soggetto ha con il professionista-titolare.
Considerata la peculiarità dell'attività legale, il Garante ha previsto delle regole ben precise per la categoria di professionisti richiamata.
In merito all'informativa, l'Authority riconosce la possibilità di un'unica informativa: “l'avvocato può fornire in un unico contesto, anche mediante affissione nei locali dello Studio e, se ne dispone, pubblicazione sul proprio sito Internet, anche utilizzando formule sintetiche e colloquiali, l'informativa sul trattamento dei dati personali (art. 13 del Regolamento) e le notizie che deve indicare ai sensi della disciplina sulle indagini difensive”.
Ciò al fine di bilanciare, per un verso, il diritto del cliente di essere informato riguardo le modalità e finalità del trattamento, per l'altro di non rallentare quelle necessità (alcune volte anche urgenti) dell'attività di patrocinio e difesa dello stesso.
Ulteriore principio generale tra i pilastri della nuova normativa europea è il principio di minimizzazione, che sancisce la raccolta (e di conseguenza il trattamento) dei dati solo strettamente necessari alle finalità.
Tale fattispecie, invero, viene ribadito dallo stesso Garante nel caso che ci occupa, che sottolinea la specifica attenzione che deve tenere il professionista nella raccolta dati, il quale dovrà adottare le più idonee cautele per prevenire in primis l'ingiustificata raccolta dei dati stessi, ed ancor di più la utilizzazione o conoscenza dei medesimi.
Il Garante stesso afferma che tale principio non deve esser interpretato esclusivamente in linee di concetto generale a cui aspirarsi, ma piuttosto deve essere concretamente applicato al singolo caso di specie: il professionista dovrà organizzare il trattamento (sia esso automatizzato o meno) secondo le modalità che per quel singolo caso risulteranno più adeguate “a favorire in concreto l'effettivo rispetto dei diritti, delle libertà e della dignità degli interessati, applicando i principi di finalità, proporzionalità e minimizzazione dei dati sulla base di un'attenta valutazione sostanziale e non formalistica delle garanzie previste, nonché di un'analisi della quantità e qualità delle informazioni che utilizza e dei possibili rischi”.
L'Authority, altresì, individua le possibili categorie di titolari del trattamento. A seconda dei casi concreti e della struttura giuridica dello studio legale, titolare del trattamento può essere il singolo avvocato, più avvocati (si pensi ad esempio al caso di codifensori della medesima parte assistita, o il caso di colleghi domiciliatari), la associazione o la società di professionisti. A questi si aggiunge anche il praticante abilitato.
Nel medesimo provvedimento il Garante detta anche le modalità per la dismissione dei dati, sia nel caso della naturale conclusione del procedimento (sia esso giudiziale che stragiudiziale), sia anche nel caso di interruzione del rapporto (revoca o rinuncia del mandato).
Primo punto fermo è che “la definizione di un grado di giudizio o la cessazione dello svolgimento di un incarico non comportano un'automatica dismissione dei dati”.
Tutti gli atti e i documenti relativi ad un determinato procedimento, possono (e per certi aspetti, devono) essere conservati in formato cartaceo e/o elettronico qualora risultino necessari per un'eventuale ulteriore attività o per altre esigenze del professionista.
In ogni caso, devono essere conservati esclusivamente quei documenti - e dati - inerenti a tali scopi (si pensi ad esempio, la conservazione per l'adempimento di un obbligo normativo: in tal caso il professionista conserverà i soli dati personali effettivamente necessari per tale adempimento).
Infine, è consentito “previa comunicazione alla parte assistita, distruggere, cancellare o consegnare all'avente diritto o ai suoi eredi o aventi causa la documentazione integrale dei fascicoli degli affari trattati e le relative copie”.
Identiche e medesime regole valgono per il professionista nell'esperimento delle investigazioni difensive, ai sensi degli artt. 391-bis e ss. c.p.p.
Articolo di
Avv. Michele Monti - Data Protection Specialist