Privacy e studi legali: la gestisci correttamente?


Tutti gli avvocati utilizzano dati personali nella propria attività professionale: dati dei clienti, delle controparti, dei Colleghi, dei fornitori, di terzi. Ciò rende l’avvocato titolare del trattamento con obblighi ben precisi

Tempo di lettura: 5 minuti



Privacy studi legali: vademecum per l’avvocato

La normativa in materia di privacy è contenuta nel D. Lgs. 30.06.2003, n. 196, «Codice in materia di protezione dei dati personali».

Esso definisce, all’articolo 4, co. 1, lett. b, il «dato personale» come «qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale».

Tutti gli Avvocati utilizzano dati personali nella propria attività professionale: dati dei clienti, delle controparti, dei Colleghi, dei fornitori, di terzi. Tutti costoro possono essere gli interessati, ossia le persone fisiche cui i dati personali si riferiscono.

Ciò rende l’Avvocato titolare del trattamento, ossia colui che determina le finalità, le modalità e gli strumenti del trattamento e come tale è tenuto a sapere preliminarmente cosa deve fare e in che modo deve predisporre la propria organizzazione di studio per rispettare i numerosi obblighi e adempimenti imposti dalla normativa privacy.

In primo luogo, l’articolo 13 del Codice impone al titolare del trattamento, ossia l’Avvocato, di informare l’interessato sulle modalità di trattamento dei dati; ciò avviene mediante l’informativa privacy trattamento dati personali. E' un documento obbligatorio che Il cliente deve ricevere, in forma orale o scritta, prima della raccolta dei dati (ad esempio al momento del conferimento dell’incarico).

Privacy 2018

E’ possibile anche utilizzare forme colloquiali per evidenziare in modo sintetico le finalità e modalità di trattamento, i soggetti o le categorie di soggetti cui possono essere comunicati i dati, i diritti del cliente e gli estremi identificativi del titolare del trattamento (art. 13 D.Lgs. cit.).

L’informativa privacy, inoltre, può:

  1. essere data “una tantum” (salvo che siano intervenute variazioni);
  2. può anche essere resa con affissione o messa a disposizione nei locali dello studio, pubblicazione sul sito internet (se il titolare ne dispone) ovvero essere inviata (ad esempio nelle domiciliazioni).

Inoltre, la normativa in tema di protezione di dati personali afferma, ai sensi dell’art. 13 comma 5, che l’informazione non deve essere resa nei confronti dei terzi cui si trattano i dati personali.

Consegnata l’informativa, il titolare è tenuto, ove necessario, ad acquisire il consenso dell’interessato al trattamento dei dati personali, ai sensi dell’articolo 23 del Codice. Di norma, infatti, può procedersi a trattamento solo in presenza di detto consenso, salvi i casi di esclusione previsti dal successivo articolo 24, tra cui rientrano delle eccezioni legate alla professione forense.

Il consenso al trattamento dei dati personali

Tale consenso non è necessario per il trattamento dei dati comuni effettuato per adempiere agli obblighi del contratto di prestazione d’opera o anche quando il trattamento si riferisce a dati degli stessi ed è effettuato in sede giudiziaria o propedeutica e nell’attività stragiudiziale non è necessario il consenso dei terzi se si tratta di dati “pubblici” oppure adempimento di un obbligo di legge.

Nell’organizzazione dello studio l’Avvocato deve raccogliere i dati in modo lecito e secondo correttezza, così come disposto dall’articolo 11 del Codice e la formazione del fascicolo può essere effettuata in via cartacea o mediante strumenti informatici.

Trattamento manuale e cartaceo de dati (articolo 35 del Codice)

Informativa privacy

Questo tipo di trattamento normalmente si effettua mediante l’utilizzazione di contenitori sui quali si può apporre un numero identificativo (benchè non previsto dalla normativa, sarebbe opportuno non indicare sul fascicolo di parte il nome del cliente e delle parti convenute, al fine di garantire una maggiore tutela del dato personale). Inoltre, per evitare che persone non autorizzate possano conoscere i nomi dei clienti o dei terzi che eventualmente risultino dal contenitore, è opportuno (anche se non espressamente richiesto dalla norma) che i nomi siano evidenziati solo all’interno del fascicolo. In tal caso, l’elenco che abbina numeri e nomi deve essere conservato in luoghi e secondo modalità che prevengano l’accesso non autorizzato.
Gli archivi debbono essere conservati in luoghi ad “accesso selezionato”. Questa espressione può essere intesa in senso logico e pratico: le indicazioni di privacy suggerite dal CNF indicano di collocare i fascicoli in locali dello studio in cui non abbiano accesso diretto né i clienti né i terzi, e quindi non nell’ingresso, nella sala d’aspetto o nei corridoi. Ciò non significa che si debbano collocare “sotto chiave” o in locali appositi esclusivamente riservati a tale uso, ben potendo essere conservati nei locali adibiti al lavoro, sia del titolare o dei titolari, sia dei praticanti e della segreteria (cioè dove lavorano gli incaricati del trattamento).
Nei locali in cui l’accesso è selezionato (le varie stanze di lavoro) gli incaricati possono quindi tenere e consultare i fascicoli attenendosi alle prescrizioni dell’ordinaria diligenza. Al riguardo è previsto che il responsabile del trattamento dei dati personali (generalmente il titolare) fornisca istruzioni - per iscritto - finalizzate al controllo e alla custodia degli atti e dei documenti utilizzati.

Trattamento con strumenti elettronici (articolo 34 del Codice)

Respnsabile dati personali

Questo tipo di trattamento può essere effettuato a seguito della dotazione ai singoli incaricati di credenziali di autenticazione (user ID e password) che consentano il superamento di una procedura di autenticazione.
Le principali regole al riguardo prevedono:

  1. l’assegnazione di un “user ID”, che identifica l’incaricato del trattamento, cioè il titolare dello studio, i praticanti avvocati, la segretaria. Tale codice è personale e non può essere assegnato ad altri incaricati, neppure in tempi diversi;
  2. dopo la digitazione dell’“user ID” occorre predisporre e inserire la “password”, che deve essere di esclusiva conoscenza dell’incaricato del trattamento;
  3. l’elenco delle password deve essere conservato in luogo non accessibile ad alcuno tranne al soggetto designato a conservarlo; ciò significa che il titolare di una password non è legittimato a conoscere la password di altri soggetti che operano nello studio (tranne ovviamente il soggetto designato a conservare l’elenco). In caso di prolungata assenza o impedimento anche temporaneo del titolare della password è possibile conoscere la sua password sole per esigenze “indispensabili e indifferibili;
  4. le regole dello studio legale relative all’uso di user ID e password (“credenziali di autenticazione”) per le esigenze di cui sopra, debbono risultare da documento scritto recante “idonee e preventive disposizioni al riguardo”;
  5. debbono altresì essere impartite istruzioni circa le cautele da adottarsi per assicurare la segretezza e la diligente custodia delle credenziali;
  6. ogni password (composta di almeno otto caratteri, o comunque del numero di caratteri pari al massimo consentito, ancor meglio se la composizione della password abbia anche l’utilizzo di maiuscole e caratteri speciali) non può contenere riferimenti agevolmente riconducibili all’incaricato (nome, cognome, etc.) e deve essere modificata ogni sei mesi e, nel caso di trattamento di dati sensibili o giudiziari, ogni tre mesi. Di conseguenza anche l’elenco delle password deve essere modificato con medesima scadenza;
  7. le credenziali non utilizzate per almeno sei mesi vanno disattivate;
  8. il computer deve essere dotato di programmi antivirus, nonché di programmi contro il rischio di intrusione (firewall);
  9. I programmi suddetti debbono essere aggiornati almeno ogni sei mesi;
  10. E’, infine, previsto che siano impartite istruzioni organizzative e tecniche per il salvataggio dei dati con frequenza almeno settimanale, per la custodia e l’uso dei supporti su cui sono memorizzati i dati, nonché per il ripristino dei dati (da eseguirsi entro 7 giorni) che siano stati danneggiati. I supporti non utilizzati devono essere distrutti o resi inutilizzabili.

Sanzioni

L’investitura di tale ruolo implica l’assunzione di precisi obblighi e correlate responsabilità, anche penali.

Preliminarmente, va ricordato che, ai sensi dell’articolo 15 del Codice, il titolare si espone innanzitutto ad una responsabilità civile, laddove cagioni un danno per effetto del trattamento dei dati: trattasi di responsabilità di cui all’articolo 2050 c.c., per esercizio di attività pericolosa, con tutte le conseguenze sul piano della disciplina. Inoltre, il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11 sulle modalità di trattamento.

A ciò si aggiungono le sanzioni amministrative e penali.

Le sanzioni amministrative sono previste negli articoli da 161 a 166 del Codice, aprendosi con l’omessa o inidonea informativa, punita con la sanzione da seimila a trentaseimila euro. La mancata adozione delle misure di sicurezza o il mancato rispetto delle disposizioni indicate all’articolo 167 (tra cui principi generali, obbligo di consenso, pubblicità indesiderata, etc) comportano la sanzione da diecimila a centoventimila euro. Sanzioni aumentabili nelle ipotesi aggravate di cui all’articolo 164-bis.

Le sanzioni penali sono previste negli articoli da 167 a 172 del Codice, a partire dal reato di trattamento illecito di dati. Esso ricorre qualora chiunque, al fine di trarre vantaggio per sé o altri o recare un danno ad altri, procede a trattamento in violazione del Codice e procura un nocumento: la pena è la reclusione, anche fino a tre anni, a seconda dei casi.

La mancata adozione delle misure di sicurezza minime costituisce non solo illecito amministrativo, ma anche penale, punti dall’articolo 169 con l’arresto fino a due anni, seppur oblabile.

La posizione dell’Avvocato, quale titolare del trattamento espone a grossi rischi di natura civilistica e penalistica, che rendono imprescindibile la conoscenza della normativa in materia di tutela dei dati personali. Rischi che, con il nuovo regolamento europeo per la protezione dei dati personali, in vigore dal 25 Maggio 2018, aumenteranno e renderanno la posizione del responsabile del trattamento dei dati personali, ancora più delicata.

Scopri nel video come gestire al meglio il tuo studio legale


La registrazione è stata effettuata, a breve verrà verificata dallo staff.

Riceverai l'email di accesso da cui potrai scaricare LEGALDESK.

Ora verrai rediretto alla home page.