Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

il quadro completo

Avvocati e tutela dati personali dei clienti, tutte le regole da rispettare

Protezione dati dei clienti a prova di errore: sono molteplici gli aspetti che i legali devono tenere in considerazione. Sia in caso di indagine difensiva che di difesa di un diritto in sede giudiziaria. Ecco una panoramica degli obblighi da rispettare

27 Feb 2019

Simona Custer

avvocato


Anche per gli avvocati sono validi gli obblighi di protezione dati dei propri clienti: sia in caso di indagini difensive, sia in caso di difesa di un diritto in sede giudiziaria. Non solo il GDPR, ma anche il D. Lgs. n. 101/2018 e le Regole deontologiche, sono molti gli aspetti che gli avvocati devono tenere in considerazione. Ecco, quindi, una panoramica delle norme da rispettare e degli adempimenti da realizzare.

Qual è il quadro normativo di riferimento?

Oltre al GDPR e al D. Lgs. n. 101/2018, devono considerarsi le indicazioni previste nel codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive (allegato A.6 al D. Lgs. n. 196/2003, c.d. Codice Privacy).

Il Garante della Privacy, con il provvedimento n. 512 del 19.12.2018, ha verificato la conformità al GDPR del predetto codice di deontologia e di buona condotta e ha raccolto le disposizioni ritenute compatibili in un documento ora denominato Regole Deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria.

Dette regole, che dal punto di vista formale e sostanziale non si discostano da quanto previsto nel “vecchio” codice di deontologia e di buona condotta, si compongono di undici articoli, di cui sei relativi ai trattamenti effettuati da avvocati e da altri liberi professionisti (gli altri articoli riguardano, invece, i trattamenti da parte di investigatori privati).

Quando applicare le regole deontologiche?

Le regole deontologiche devono essere rispettate ogniqualvolta vi sia un trattamento di dati personali finalizzato alla difesa di un diritto in sede giudiziaria. Ciò, indipendentemente dal fatto che il trattamento si verifichi nel corso di un procedimento, nella fase propedeutica o nella fase successiva alla sua definizione.

Rientrano, poi, nell’ambito di applicazione anche quei trattamenti di dati personali effettuati per difendere un diritto in sede amministrativa, nel corso di un arbitrato o di una conciliazione.

A chi si applicano?

Ad avvocati e praticanti che esercitano l’attività professionale in forma individuale, associata e/o societaria, con o senza l’ausilio di collaboratori, dipendenti, ausiliari, avvocati stranieri esercenti legalmente la professione in Italia. Chi è, quindi, il titolare del trattamento?

Come già previsto nel “vecchio” codice di deontologia e di buona condotta, anche le vigenti regole deontologiche non lasciano spazio all’interpretazione. A seconda dei casi, infatti, il ruolo del titolare del trattamento può essere ricoperto da:

  • un singolo professionista;
  • una pluralità di professionisti, come nel caso di co-difensori del medesimo cliente, di domiciliatari e/o consulenti che hanno concorso all’attività professionale;
  • un’associazione tra professionisti e/o una società di professionisti.

Spetterà, quindi, a tali soggetti definire modalità e finalità del trattamento dei dati (personali, particolari e relativi a condanne penali o reati) dei propri clienti, nel rispetto dei diritti, delle libertà e della dignità di questi ultimi.

Per fare ciò, quindi, il professionista dovrà certamente:

  • rispettare i principi sanciti dal GDPR, ovvero finalità, proporzionalità e minimizzazione;
  • effettuare una mappatura dei dati trattati;
  • adottare, nel rispetto del principio di accountability, le misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio e a prevenire l’ingiustificata raccolta, utilizzazione e conoscenza dei dati che può verificarsi in tutta una serie di casi già analizzati nel “vecchio” codice di deontologia e di buona condotta e ritrascritti nelle regole deontologiche, come ad esempio
    • acquisizione, anche informale, di notizie, dati e documenti connotati da un alto grado di confidenzialità o che possano comportare rischi specifici per i clienti;
    • scambio di corrispondenza, soprattutto se si verifica in via telematica;
    • conservazione degli atti relativi ad affari definiti.

E ancora, il titolare dovrà assicurarsi di porre in essere tutti gli adempimenti privacy previsti dalla normativa vigente (GDPR e D. Lgs. n. 101/2018) ed anche dalle regole deontologiche.

Quali sono gli adempimenti privacy previsti nelle regole deontologiche?

In realtà nulla di nuovo rispetto a quanto già previsto dal GPDR, dal D. Lgs. n. 101/2018 e dal “vecchio” codice di deontologia e di buona condotta. Infatti, come ogni titolare, anche il professionista è tenuto a: informare i propri clienti delle modalità e delle finalità del trattamento, individuare e nominare i soggetti responsabili del trattamento ed i designati, predisporre il registro delle attività di trattamento e adottare misure di sicurezza adeguate.

Quali sono, quindi, le peculiarità? Andiamo con ordine, ripercorrendo quanto già sancito nel codice di deontologia e di buona condotta e riaffermato nelle regole deontologiche.

  • Designati

Il professionista (individualmente o in forma associata) deve individuare al suo interno tutti i soggetti designati al trattamento dei dati (quali ad esempio dipendenti amministrativi, sostituti processuali, praticanti, consulenti tecnici di parte e altri collaboratori, tirocinanti, stagisti, ecc.) e fornire loro per iscritto precise istruzioni sulle modalità di trattamento. Ciascun soggetto designato dovrà, quindi, ricevere una personale “lettera di designazione / nomina a designato”, i cui contenuti varieranno a seconda della tipologia di attività svolta dallo stesso.

  • Informativa

Il principio di trasparenza resta uno dei principi chiave in materia di privacy, anche dopo il GDPR. Proprio in quest’ottica, il professionista deve informare i propri clienti di come vengono trattati i loro dati e per che finalità: in che modo?

Mediante la predisposizione di un’“informativa unica”, che potrà essere fornita al cliente in unico contesto, anche mediante l’affissione ai locali dello studio e/o la pubblicazione sul sito internet, e che dovrà contenere tutti gli elementi previsti dall’art. 13 del GDPR.

  • Conservazione dei dati

La definizione di un grado di giudizio e/o la conclusione di un incarico non comporta automaticamente la cancellazione dei dati contenuti negli atti e/o nei documenti, anche in formato elettronico.

È, infatti, sufficiente che detti dati vengano utilizzati per il perseguimento di ulteriori e nuove finalità (quale, ad esempio, l’adempimento di obblighi di fiscali e di contrasto alla criminalità previsti dalla legge), per far scattare l’obbligo di conservazione in capo al professionista.

Obbligo di conservazione, però, che non riguarderà tutti i dati del cliente, bensì solo quelli che effettivamente serviranno al professionista per il perseguimento di quelle ulteriori e nuove finalità. Il tutto nel rispetto dei principi di necessità e minimizzazione sanciti dal GDPR; fermo restando quanto previsto dal Codice deontologico forense circa la restituzione degli originali degli atti del cliente.

Da non dimenticare, poi, che nel caso di cessazione dell’incarico e di mancato subentro di nuovo difensore, l’avvocato avrà l’onere di consegnare, decorso un congruo termine dalla comunicazione al cliente, la documentazione al Consiglio dell’Ordine per finalità difensive.

  • Comunicazione e diffusione

Nei rapporti con i terzi e con la stampa e qualora sia necessario per la tutela del cliente, è consentito all’avvocato di rilasciare informazioni non coperte dal segreto.

Nel fare ciò, però, il professionista deve tenere conto non solo dei divieti previsti dalla legge e dal Codice deontologico forense, ma deve anche aver cura di rispettare i principi di liceità, trasparenza, correttezza e minimizzazione dei dati, nonché i diritti e la dignità del cliente e di terzi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3