L’avvocato (o il praticante) quando gestisce i dati personali dei clienti, delle controparti e dei colleghi assume il ruolo di “titolare del trattamento” ed è quindi tenuto a rispettare tutta la normativa privacy. Più precisamente, il Garante della Privacy ha chiarito che il ruolo di titolare del trattamento in ambito forense può essere rivestito dal singolo professionista oppure da una pluralità di professionisti (in caso di mandato congiunto) oppure dall’associazione professionale o società tra professionisti.
Le problematiche relative alla privacy vengono spesso considerate dagli avvocati come delle inutili scocciature ma in realtà il rispetto della normativa sulla protezione dei dati ha una grossa rilevanza nell’organizzazione dello studio professionale. Non ci sono solo le sanzioni del GDPR (che possono arrivare fino a 20 milioni di euro) ma un ulteriore grosso rischio è quello connesso alla responsabilità risarcitoria derivante dalla scorretta gestione dei dati.
Il regime della responsabilità in materia di danno da mancato rispetto del GDPR è piuttosto gravoso per il titolare del trattamento in quanto quest’ultimo ha l’onere di dimostrare che l’evento dannoso non gli è in alcun modo imputabile (GDPR art. 82). Questa regola ha portato la maggioranza degli interpreti ad equiparare tale responsabilità a quella per l’esercizio di attività pericolose ex art. 2050 c.c.
Le fonti della disciplina sulla protezione dei dati personali sono, oltre al noto GDPR (Reg. UE 2016/679), il vecchio Codice della Privacy, il D.Lgs. 101/2018 di adeguamento della normativa al GDPR ed i provvedimenti del Garante tra i quali per l’avvocato rilevano in particolare le regole deontologiche di cui al provvedimento n. 512 del 19 dicembre 2018.
In questo breve commento vengono prese in considerazione le regole di maggiore rilievo per gli studi legali, gli avvocati e i praticanti.
1. La liceità del trattamento: finalità e base legale.
Affinché il trattamento dei dati sia considerato lecito è necessario che sia destinato ad una specifica finalità e che sia sorretto da un’idonea base legale: si tratta di due concetti di fondamentale importanza in tema di protezione dei dati personali.
Il professionista è tenuto ad individuare la finalità (o le finalità) per le quali si occupa del trattamento dei dati. Le finalità tipiche nell’ambito della professione dell’avvocato sono individuate dallo stesso Garante: la difesa di un diritto in sede giudiziaria sia nella fase del procedimento (in sede civile, penale, amministrativa, o di arbitrato o conciliazione) sia nella fase propedeutica all’instaurazione di un eventuale giudizio sia in quella successiva alla sua definizione.
Una volta individuate le finalità del trattamento è necessario verificare se sia sorretto da idonea base legale. Per quanto qui interessa, l’art. 6 del GDPR riconosce la liceità del trattamento quando l’interessato ha espresso il proprio consenso informato, quando il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte e, ancora, quando è necessario per perseguire il legittimo interesse del titolare del trattamento o di terzi (come per esempio quello del cliente). In relazione ad ogni operazione di trattamento l’avvocato dovrà quindi verificare che vi sia idonea base giuridica ex art. 6 GPDR.
Inoltre, è molto frequente che l’avvocato si trovi a gestire dati particolarmente sensibili ossia quelli definiti dall’art. 9 GDPR come categorie particolari di dati (ad esempio i dati sulla salute, sulle opinioni politiche e l’appartenenza sindacale, l’origine razziale o l’orientamento sessuale). Per tali informazioni le condizioni di liceità sono molto più stringenti e per questo motivo è buona prassi ottenere il consenso esplicito dell’interessato. Ciononostante, l’art. 9 GDPR stesso stabilisce che il trattamento è lecito quando è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria e ciò risulta estremamente importante, per esempio quando si trattano i dati della controparte che evidentemente non ha rilasciato alcun consenso esplicito.
2. Principi di accountability, privacy by design e privacy by default.
La maggioranza delle regole del GDPR ruotano attorno a questi fondamentali principi:
- Accountability è un termine di difficile traduzione in italiano ma che può essere definito come “principio di responsabilizzazione”: la normativa privacy stabilisce specifiche regole ma è il singolo titolare del trattamento a dovere individuare gli specifici accorgimenti necessari per raggiungere il massimo livello di tutela dei dati personali anche in funzione della natura dei dati e dei potenziali rischi in caso di utilizzo illegittimo. Ovviamente tale valutazione non è arbitraria ma in caso di ispezione il titolare dovrà dimostrare l’adeguatezza delle proprie procedure e della propria documentazione.
- Per privacy by design si intende la necessità che tutte le procedure di trattamento siano concepite fin dall’origine allo scopo di fornire la massima tutela ai dati personali, conseguentemente occorre che siano messe in piedi misure di sicurezza idonee ad evitare l’accesso ai dati da parte di terzi non autorizzati o la cancellazione o modificazione indesiderate degli stessi. A tale scopo il Garante ha precisato che l’avvocato deve impartire indicazioni scritte alle persone autorizzate al trattamento dei dati ed ha definito alcune situazioni nelle quali occorre una specifica attenzione per l’adozione di idonee cautele, ad esempio quando sono coinvolte informazioni ad alto grado di confidenzialità o quando vengono utilizzati strumenti di corrispondenza telematica.
- Privacy by default significa invece che il titolare del trattamento deve “per impostazione predefinita” trattare solo i dati personali necessari e sufficienti per le finalità previste. Il trattamento deve essere quindi strettamente proporzionato alle finalità ed in tal senso la quantità di dati deve essere per quanto possibile ridotta al minimo (minimizzata). Sempre con riferimento agli avvocati il Garante precisa che devono essere trattati i dati strettamente funzionali all’esercizio del diritto di difesa in conformità ai principi di liceità, proporzionalità e minimizzazione. Tali principi valgono anche in relazione al fattore temporale: i dati possono essere conservati solo quando è necessario rispetto alle finalità. Per esempio, si ritiene che la definizione del giudizio non comporta automaticamente la cancellazione di tutti i dati ma l’avvocato può mantenere solo quanto necessario in relazione a ipotizzabili esigenze difensive della parte assistita (o dell’avvocato stesso).
3. L’informativa e i diritti degli interessati.
Tra i diritti che il GDPR riconosce agli interessati (ossia ai soggetti ai quali i dati si riferiscono) il più noto è certamente il diritto ad essere informato in merito al trattamento dei dati personali. L’art. 13 prevede un insieme minimo di informazioni che deve essere fornito dal titolare del trattamento e tra queste rientrano l’identità e i dati di contatto del titolare stesso (e dell’eventuale responsabile della protezione dei dati), la specificazione delle finalità del trattamento e della base giuridica, l’indicazione dei destinatari del trattamento (coloro che hanno accesso ai dati), la definizione dell’arco temporale per il quale i dati vengono trattenuti, e la descrizione dei diritti di cui gode l’interessato rispetto al trattamento stesso.
Tutte le informazioni devono essere fornite all’interessato in forma concisa, trasparente, intellegibile, facilmente accessibile e con un linguaggio semplice e chiaro.
Il Garante ha precisato che l’informativa può essere data dall’avvocato mediante affissione nei locali dello studio e pubblicazione sul sito internet dell’avvocato ma è comunque preferibile, al momento della ricezione dell’incarico, fornire al cliente un’informativa specifica e raccogliere in tale sede il suo consenso al trattamento.
L’avvocato, in quanto titolare del trattamento deve inoltre fare in modo che siano rispettati gli ulteriori diritti degli interessati quali il diritto di accesso (art. 15 GDPR), il diritto alla cancellazione (art. 17 GDPR), il diritto alla rettifica dei dati inesatti (art. 16 GDPR), il diritto alla limitazione del trattamento (art. 18 GDPR) e quello alla portabilità dei dati (art. 20 GDPR).
4. Altri requisiti.
In conclusione, senza pretesa di esaustività, si può procedere ad esaminare alcuni dei principali obblighi e adempimenti per gli avvocati e gli studi legali in materia di privacy.
a) Il Responsabile della protezione dei dati (art. 37 GDPR).
Una delle novità più significative introdotte dal GDPR è senz’altro la necessità per alcuni soggetti di dotarsi del Responsabile della protezione dati (DPO nell’acronimo inglese). Il DPO è un soggetto con particolari competenze in materia di privacy che viene scelto per vigilare sulle modalità di trattamento e che deve essere individuato quando vengono effettuati trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o che includono il trattamento su larga scala di dati particolarmente sensibili. È pur vero che il professionista forense spesso si trova a trattare grandi quantità di dati molto delicati ma il Garante della Privacy ha espressamente esentato l’avvocato da questo obbligo, pur precisando che la nomina di un DPO è comunque sempre raccomandata.
b) Il Registro delle attività di trattamento (art. 30 GDPR).
Un obbligo che invece si ritiene coinvolga anche gli avvocati è quello di dotarsi di un registro dei trattamenti. Si tratta di un documento che descrive le attività di trattamento e che deve contenere alcuni elementi specificamente definiti dall’art. 30 del GDPR. Siccome il registro dei trattamenti rappresenta la fotografia di tutte le attività di trattamento, esso è anche un documento utile in fase di verifica di compliance per individuare eventuali vizi nel trattamento e, in caso di controlli per dimostrare la conformità alla normativa privacy.
c) La valutazione d’impatto sulla protezione dei dati (art. 35 GDPR).
Il regolamento europeo stabilisce che quando un trattamento presenta un rischio elevato per i diritti e le libertà delle persone il titolare effettui una specifica procedura di valutazione dei rischi (DPIA) per verificare che le misure di sicurezza previste siano sufficienti. Il GDPR e il Comitato europeo per la protezione dei dati hanno stabilito una serie di indicatori per valutare il livello di rischio del trattamento. Pertanto, occorre valutare in concreto l’attività di ogni avvocato o studio legale per comprendere se tali indicatori sono presenti e se quindi sia richiesta una DPIA.
d) Accordi per il trattamento dei dati.
La normativa privacy stabilisce una serie di accorgimenti che devono essere considerati quando l’avvocato trasferisce dati ad altri soggetti quali consulenti, collaboratori, colleghi, periti, commercialisti, altri professionisti o fornitori di servizi. In tali casi occorrono specifiche valutazioni sulle modalità del trattamento e, soprattutto, un accordo scritto tra le parti che regoli ogni aspetto del trattamento.
e) Procedure in caso di violazione dei dati personali.
Tra le regole stabilite dal GDPR trovano spazio anche specifici accorgimenti per le ipotesi in cui vi sia una perdita di dati o un accesso indesiderato (data breach). Il titolare del trattamento deve prevedere precise regole e procedure per evitare che ciò accada e per ridurre i rischi nel caso in cui tale ipotesi si verificasse. Inoltre, in determinati casi, la violazione dei dati deve essere notificata al Garante della Privacy ed anche a tutti i soggetti interessati.