Abbiamo inaugurato con Legaldesk una sorta di countdown virtuale verso la data del 6 maggio 2018, quando il General Data Protection Regolation (GDPR) entrerà in piena efficacia (comprese le multe del Garante per la Privacy).
Nel prossimo articolo parleremo della check list di massima per assicurare innanzitutto la “sicurezza fisica” dei dati nel sistema di loro gestione all’interno dello studio legale.
In questa puntata affrontiamo il tema da un’altra angolazione, in verità poco considerata finora: cioè quella delle tutele di cui godono gli avvocati rispetto agli aspetti prescrittivi del regolamento europeo sulla protezione dei dati personali.
Ovviamente non sono tutele o attenuazioni dei rigori del GDPR “generali”, per così dire; ma sono norme prudenziali conseguenti e proporzionate alla funzione di difesa dei diritti dei propri clienti, dunque finalizzate alla tutela del segreto professionale (“legal privilege”).
Per fare questo ci avvaliamo del documento predisposto dal CCBE, la rappresentanza europea degli Ordini forensi, dal titolo Recommendations regarding the implementation of the General Data Protection Regulation (GDPR). Con un’avvertenza: il CCBE ha interesse a interpretare le norme in modo che i propri rappresentati siano garantiti il più possibile nella tutela del segreto professionale.
GDPR: consenso trattamento dati personali
In linea generale, il Regolamento obbliga ogni soggetto che raccoglie dati personali a qualsiasi titolo di chiedere il consenso del soggetto interessato.
Nonostante l’articolo 6 del regolamento non fornisca una base giuridica esplicita per escludere gli avvocati da questo adempimento, l’esclusione a cura degli Stati membri può essere dedotta da alcune precisazioni contenute nello stesso articolo e che riguardano la non necessità dell’adempimento nell’espletamento di attività che riguardano l’interesse pubblico.
Dunque gli avvocati non dovranno chiedere il consenso per il trattamento dei dati dei propri clienti ma solo nei limiti della loro attività di assistenza e difesa in giudizi contenziosi. In tutti gli altri casi, sarà necessario e buona pratica assicurarsi di avere il consenso dei propri clienti.
GDPR: informazioni a terze parti
Cosa succede con i dati delle controparti del proprio assistito? E’ evidente che per l’avvocato è compromettente professionalmente dover informare la controparte dei dati di cui è in possesso per ragioni giudiziarie.
Il CCBE suggerisce di considerare l’articolo 23 del regolamento (dedicato alle limitazioni che le normative nazionali possono prevedere al GDPR) come la base giuridica sufficiente ad escludere questo dovere di informazione in capo al legale e, più in generale, di difesa del segreto professionale anche dalle “invasioni legislative”.
Le “limitazioni” nazionali agli obblighi previsti dagli articoli 12 a 22 del regolamento) infatti sono giustificate anche nel caso in cui si debba salvaguardare “le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate”.
Ricoro a tal proposito che l’obbligo di segretezza è uno degli obblighi deontologici a cui i legali sono tenuti.
LEGGI ANCHE: Privacy e studi legali: la gestisci correttamente?
GDPR: Avvocati e autorità di controllo
Il CCBE invita i Consigli forensi nazionali a fare in modo che ogni attività di verifica e controllo delle autorità garanti nazionali su attività di raccolta e gestione dei dati personali da parte di avvocati passi comunque il vaglio preventivo dei Consigli nazionali.
Il livello delle sanzioni previste dal regolamento è molto alto (20mila euro e fino al 4% del fatturato) e dunque potrebbe impattare gravemente sulla tenuta finanziaria di avvocati e studi legali di piccole dimensioni.
