Proteggere i dati critici dello Studio per garantire privacy ed efficienza produttiva
1. Proteggere i dati critici dello Studio
per garantire privacy ed efficienza
produttiva
Daniele Vecchi
Milano 13 ottobre 2011
2. 1 – La protezione dei dati personali
dei clienti nello svolgimento
dell’attività forense
3. Normativa di riferimento
• Decreto Legislativo 30 giugno 2003, n. 196 “Codice in
materia di protezione dei dati personali” (c.d. Codice
Privacy)
• Autorizzazioni generali del Garante al trattamento dei
dati sensibili e giudiziari
• Codice di deontologia e buona condotta per i
trattamenti di dati personali effettuati per svolgere
investigazioni difensive (Provv. 6 novembre 2008);
• Parere Garante del 3 giugno 2004, Chiarimenti sui
principali adempimenti in materia di protezione di dati
personali nello svolgimento dell’attività forense
(http://www.garanteprivacy.it/garante/doc.jsp?ID=100
7280)
• Altri provvedimenti e decisioni del Garante
4. Ma anche
• Art. 622 Codice Penale – Segreto
professionale
• Art. 9 Codice di Deontologia Forense
5. Art. 9 codice deontologico: dovere
di segretezza e riservatezza
È dovere, oltre che diritto, primario e fondamentale dell'avvocato
mantenere il segreto sull'attività prestata e su tutte le
informazioni che siano a lui fornite dalla parte assistita o di cui sia
venuto a conoscenza in dipendenza del mandato.
I - L'avvocato è tenuto al dovere di segretezza e riservatezza
anche nei confronti degli ex-clienti, sia per l'attività giudiziale che
per l'attività stragiudiziale.
II - La segretezza deve essere rispettata anche nei confronti di
colui che si rivolga all'avvocato per chiedere assistenza senza che
il mandato sia accettato.
III - L'avvocato è tenuto a richiedere il rispetto del segreto
professionale anche ai propri collaboratori e dipendenti e a tutte
le persone che cooperano nello svolgimento dell'attività
professionale.
6. Art. 9 codice deontologico: dovere
di segretezza e riservatezza
IV - Costituiscono eccezione alla regola generale i casi in cui la
divulgazione di alcune informazioni relative alla parte assistita sia
necessaria:
a) per lo svolgimento delle attività di difesa;
b) al fine di impedire la commissione da parte dello stesso
assistito di un reato di particolare gravità;
c) al fine di allegare circostanze di fatto in una controversia tra
avvocato e assistito;
d) in un procedimento concernente le modalità della difesa degli
interessi dell'assistito.
In ogni caso la divulgazione dovrà essere limitata a quanto
strettamente necessario per il fine tutelato.
7. Fonti informative
• Parere Garante del 3 giugno 2004, Chiarimenti sui
principali adempimenti in materia di protezione di
dati personali nello svolgimento dell’attività
forense (http://www.garanteprivacy.it/garan-
te/doc.jsp?ID=1007280)
• Consiglio dell’Ordine degli Avvocati di Milano:
privacy per gli studi legali, febbraio 2007
(http://www.ordineavvocatimilano.it/html/pdf/PRI
VACY%20PER%20GLI%20STUDI%20LEGALI.pdf)
• Consiglio Nazionale Forense, Vademecum dello
studio legale, 18 giugno 2004
9. Privacy: cosa significa
Privacy = disciplina del trattamento dei dati
personali
Il termine “privacy” non corrisponde
necessariamente ad un obbligo di confidenzialità
o riservatezza.
Nel contesto della direttiva comunitaria, “privacy”
indica la disciplina per il trattamento dei dati.
10. L’oggetto del trattamento
Dati Personali: qualunque informazione relativa
a persona fisica, persona giuridica, ente od
associazione, identificati o identificabili, anche
indirettamente mediante riferimento a qualsiasi altra
informazione.
I dati personali si contrappongono ai dati anonimi:
il dato che in origine o a seguito di un trattamento
non può essere associato ad un interessato
identificato o identificabile
Dati sensibili, Giudiziari e Quasi-sensibili
11. Trattamento: qualunque operazione o complesso di
operazioni, svolti con o senza l’ausilio di mezzi
elettronici o comunque automatizzati, concernenti:
la raccolta, l’estrazione,
la registrazione, il raffronto,
l’organizzazione, l’utilizzo,
la conservazione, l’interconnessione,
l’elaborazione, il blocco,
la consultazione, la comunicazione,
la modificazione, la diffusione,
la selezione, la cancellazione.
12. I soggetti del Trattamento:
struttura organizzativa
Interessato
Titolare
Responsabile
esterno
Responsabile
Incaricati del trattamento
13. I principali adempimenti
• Notifica al Garante (solo nei casi previsti);
• Informativa all’interessato (sempre o quasi);
• Consenso (specifico e distinto in relazione al
trattamento);
• Consenso scritto (unitamente all’autorizzazione
del Garante) per il trattamento di dati sensibili)
• Contratti o discipline ad hoc per il trasferimento
all’estero dei dati;
• Adozione/implementazione misure di sicurezza;
• Redazione/aggiornamento DPS;
• Creazione di una Struttura organizzativa (interna
ed esterna);
• Implementazioni di processi per il riscontro alle
istanze dell’interessato.
14. 3 – Privacy e avvocati: la disciplina
specifica
15. Trattamento di dati genetici e
biometrici dei clienti
Provvedimento del Garante del 31 marzo 2004 relativo ai
casi da sottrarre all’obbligo di notificazione
Sono sottratti all’obbligo di notificazione al Garante, tra i casi
previsti dall'art. 37, comma 1, del D.lgs. 30 giugno 2003,
n. 196:
i trattamenti di dati genetici o biometrici effettuati nell’esercizio
della professione di avvocato, in relazione alle operazioni e ai
dati necessari per svolgere le investigazioni difensive di
cui alla legge n. 397/2000, o comunque per far valere o
difendere un diritto anche da parte di un terzo in sede
giudiziaria. Ciò sempre che il diritto sia di rango almeno pari a
quello dell’interessato e i dati siano trattati esclusivamente per
tali finalità e per il periodo strettamente necessario al loro
perseguimento.
16. Trattamento di dati sulla solvibilità
e stato di insolvenza di imprese
Decisione del Garante del 2 marzo 2000: ricorso presentato da
una Società che lamentava l’asserita illecita comunicazione di
informazioni attinenti la propria situazione economica e finanziaria
effettuata da un avvocato a favore di una società statunitense.
“i dati trattati in tema di solvibilità e di stato di
insolvenza di un’impresa rientrano nella nozione di dati
relativi allo svolgimento di attività economiche, la cui
utilizzazione e divulgazione a terzi può avvenire anche
senza il consenso dell’interessato”
17. Peculiarità del trattamento
effettuato dagli avvocati
Informativa
Art. 13 È sempre necessaria quando i dati
Può essere anche resa oralmente, sono raccolti direttamente presso
con formule sintetiche e colloquiali, l’interessato, anche in caso di
omettendo elementi noti al cliente, raccolta di dati tramite ascolto,
e precisando se verranno raccolti registrazione o intercettazione di
presso terzi dati che lo riguardano conversazioni (Provv. 19 febbraio
2002)
Consenso
Art. 23
Non è richiesto quando il trattamento Non occorre perciò il consenso del
è necessario per eseguire obblighi cliente quando il trattamento dei
derivanti da un contratto di cui è parte dati c.d. “comuni” è necessario
l’interessato, o per adempiere, prima per adempiere agli obblighi del
della conclusione del contratto, a sue contratto di prestazione d’opera
specifiche richieste (art. 24 comma 1,
lett. b) del Codice)
18. Trattamento dei dati sensibili e
giudiziari
I dati sensibili e giudiziari possono essere trattati dall’Avvocato
senza previa autorizzazione del Garante nel caso si ricada in una
delle autorizzazioni generali emanate dal Garante ai sensi
dell’abrogata L. 675/96 e operanti erga omnes:
Autorizzazione n. 4 del 2002 al trattamento dei dati sensibili
da parte di liberi professionisti (31 gennaio 2002)
Autorizzazione n. 7 del 2002 al trattamento dei dati a
carattere giudiziario da parte di privati, enti pubblici
economici e soggetti pubblici (31 gennaio 2002)
L’efficacia di tali autorizzazioni è stata prorogata dal
Garante sino al 31 dicembre 2012
19. Trattamento dei dati sensibili del
cliente da parte di liberi
professionisti
Dati sensibili: dati personali idonei a rilevare
l’origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche,
l’adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico,
politico o sindacale,lo stato di salute e la vita
sessuale.
20. Il trattamento dei dati sensibili può essere effettuato
ai soli fini dell'espletamento di un incarico che rientri
tra quelli che il libero professionista può eseguire in
base al proprio ordinamento professionale, e in
particolare:
per curare gli adempimenti in materia di lavoro, di
previdenza ed assistenza sociale e fiscale
nell'interesse di altri soggetti che sono parte di un
rapporto di lavoro dipendente o autonomo;
per far valere o difendere un diritto anche da parte di
un terzo in sede giudiziaria, nonché in sede
amministrativa o nelle procedure di arbitrato e di
conciliazione nei casi previsti dalla normativa
comunitaria, dalle leggi, dai regolamenti o dai contratti
collettivi;
ai fini dello svolgimento da parte del difensore delle
investigazioni difensive di cui alla legge 7 dicembre
2000, n. 397, anche a mezzo di sostituti e di consulenti
tecnici;
per l’esercizio del diritto di accesso ai documenti
amministrativi, nei limiti di quanto stabilito dalle leggi
e dai regolamenti in materia.
21. Dati giudiziari del cliente
Dati giudiziari: dati personali idonei a rilevare
alcuni provvedimenti giudiziari, eventuali carichi
pendenti, la qualità di imputato o di indagato e la
soccombenza ad eventuali sanzioni amministrative
dipendenti da reato.
22. I liberi professionisti sono autorizzati a trattare i dati a
carattere giudiziario dei rispettivi clienti, nonché di terzi
ove ciò sia strettamente indispensabile per eseguire
specifiche prestazioni professionali richieste dai clienti
stessi;
Il trattamento dei dati deve essere effettuato
unicamente con logiche e mediante forme di
organizzazione dei dati strettamente correlate agli
obblighi, ai compiti e alle finalità della prestazione
professionale richiesta;
I dati possono essere comunicati e, ove previsto dalla
legge, diffusi, a soggetti pubblici o privati, nei limiti
strettamente necessari alle finalità perseguite e nel
rispetto, in ogni caso, del segreto professionale.
Il consenso non è richiesto, ma possono essere trattati
i soli dati essenziali per le finalità che non possano essere
adempiute mediante l’impiego di dati anonimi
23. Formazione del fascicolo del cliente da
parte del professionista
Parere del Garante del 3 giugno 2004 “Chiarimenti
sui principali adempimenti in materia di protezione
di dati personali nello svolgimento dell’attività
forense”:
la formazione del fascicolo può essere effettuata in
via manuale e cartacea e/o mediante mezzi informatici;
non occorre depennare il nome delle parti dalla
copertina dei fascicoli cartacei, utilizzando al suo
posto solo numeri identificativi;
è invece necessario seguire opportune misure di
sicurezza per rendere i fascicoli e la relativa
documentazione accessibili agli incaricati del trattamento
nei casi e per le finalità previsti annullando rischi di
accessi abusivi.
24. 4 – Difesa dei diritti e investigazioni
difensive
25. Codice di deontologia e buona condotta per
i trattamenti di dati personali effettuati per
svolgere investigazioni difensive
(Provv. 6 novembre 2008)
Ambito di applicazione: avvocati e praticanti avvocati che
utilizzano dati di carattere personale per svolgere investigazioni
difensive collegate ad un procedimento penale (l. 7 dicembre 2000,
n. 397) o comunque per far valere o difendere un diritto in sede
giudiziaria.
Ipotesi specifiche di esenzione dagli obblighi di
informativa e consenso
26. Informativa: possibilità di omettere l’informativa per i
dati raccolti presso terzi, qualora essi siano trattati solo
per il periodo strettamente necessario per far valere un
diritto in sede giudiziaria
Consenso: non è richiesto né per i dati comuni, né per
i dati sensibili e giudiziari.
Ciò vale sia per i dati trattati nel corso di un
procedimento, anche in sede amministrativa, arbitrato o
conciliazione, sia nella fase propedeutica
all’instaurazione di un eventuale giudizio (anche al fine di
verificare se vi sia un diritto da tutelare), sia nella fase
successiva alla risoluzione, giudiziale o stragiudiziale
della lite.
27. L’unico limite a questa disciplina è
rappresentato dai c.d.
“dati ultrasensibili”
Per i dati idonei a rivelare lo stato di
salute e la vita sessuale
dell’interessato, il trattamento è lecito
solo quando il diritto che si intende
tutelare è di rango pari a quello
dell’interessato, ovvero consiste in un
diritto della personalità o altro diritto o
libertà fondamentale e inviolabile
(Provv. 9 luglio 2003)
29. Ulteriori adempimenti: misure di
sicurezza sui dati
I dati dei clienti devono essere protetti da misure di sicurezza
idonee preventive per ridurre al minimo i rischi di distruzione,
perdita, accesso non autorizzato ai dati dei clienti.
Alcune cautele, c.d. “misure minime”, sono obbligatorie e la loro
mancata implementazione ha risvolti sul piano penale (art. 33-36 e
Allegato B del Codice).
Genericamente le misure di sicurezza sono individuate a seconda
che il trattamento sia effettuato:
con strumenti elettronici
oppure
con strumenti non elettronici
30. Trattamenti con strumenti elettronici
Misure Minime di Sicurezza
Autenticazione Informatica
Utilizzazione di un sistema di autorizzazione
Procedure di gestione delle credenziali
di autenticazione
Aggiornamento periodico dell’individuazione
dell’ambito di trattamento consentito agli incaricati
e addetti alla gestione e manutenzione sistemi
31. Protezione degli strumenti elettronici e dei dati
Rispetto a trattamenti illeciti, accessi non consentiti
Procedure per la custodia di copie
di back-up, il ripristino della disponibilità
dei dati e dei sistemi
Redazione e aggiornamento del documento
Programmatico sulla sicurezza (DPSS),
necessario solo se vengono trattati
dati sensibili o giudiziari
(apposito modello semplificato)
32. Trattamenti Con Strumenti Non Elettronici
Aggiornamento periodico ambito di trattamento
consentito
Procedure per l’idonea custodia di atti e documenti
Procedure per la conservazione di determinati atti
in archivi ad accesso selezionato
Individuazione modalità di accesso per
L’identificazione degli incaricati
34. Pubblicità dei provvedimenti
disciplinari adottati nei confronti
degli avvocati
“Di conseguenza, è
soggetto a deposito e quindi
fonte di ampia conoscibilità
il provvedimento del
I provvedimenti Consiglio dell’Ordine degli
disciplinari adottati nei avvocati che dispone la
confronti degli iscritti sanzione disciplinare della
all’albo degli avvocati
si configurano come
sospensione dalla
atti pubblici soggetti ad professione. Può essere
un regime di conoscibilità perciò divulgato anche
anche da parte di altri attraverso riviste, notiziari e
professionisti e di terzi pubblicazioni, a prescindere
dall’opportunità o meno di
tale pubblicazione e
dall’obbligo di riportare
comunque dati esatti e
completi” (Decisione del
Garante del 29 marzo 2001)
35. Tutela della privacy ed oscuramento
dei dati identificativi delle sentenze
Art. 52, comma 1 Codice Privacy: “Fermo restando
quanto previsto dalle disposizioni concernenti la redazione e
il contenuto di sentenze e di altri provvedimenti
giurisdizionali dell'autorità giudiziaria di ogni ordine e grado,
l'interessato può chiedere per motivi legittimi, con richiesta
depositata nella cancelleria o segreteria dell'ufficio che
procede prima che sia definito il relativo grado di giudizio,
che sia apposta a cura della medesima cancelleria o
segreteria, sull'originale della sentenza o del provvedimento,
un'annotazione volta a precludere, in caso di riproduzione
della sentenza o provvedimento in qualsiasi forma, per
finalità di informazione giuridica su riviste giuridiche,
supporti elettronici o mediante reti di comunicazione
elettronica, l'indicazione delle generalità e di altri dati
identificativi del medesimo interessato riportati sulla
sentenza o provvedimento”.
36. Tutela della privacy ed oscuramento
dei dati identificativi delle sentenze
• Lettera Circolare del 17 gennaio 2006 del primo
presidente della Corte Suprema di Cassazione: la
possibilità di rendere in forma anonima i dati personali
contenuti in una sentenza si ha soltanto al momento della
sua riproduzione in qualsiasi forma su riviste giuridiche,
supporti elettronici o mediante reti di comunicazione
elettronica.
• Corte di Cassazione Sezione 5 Penale, Sentenza del 29
gennaio 2009, n. 4239: non può dirsi violato l’art. 52 del
Codice della privacy qualora venga pubblicato il testo
integrale di una sentenza o di un provvedimento
giudiziario, omettendo la cancellazione dei dati e delle
informazioni generali inerenti le parti processuali, qualora
la sentenza sia in ogni caso già reperibile presso la banca
dati dell’autorità giudiziaria procedente, in assenza
dell’apposita istanza di parte prevista dall’art. 52 comma
1 d.lgs. 196/03.
37. Le questioni tuttora aperte
• L’attività di assistenza stragiudiziale
• La tutela dei diritti “di pari rango”
• Il diritto di accesso ai dati