Blog : Provvedimenti del Garante

Il codice deontologico privacy e la professione forense

Il codice deontologico privacy e la professione forense

La libera professione forense ha interessato la produzione di provvedimenti privacy, sin dall’entrata in vigore del relativo Codice (D.lgs. 196/03), in considerazione della natura e tipologia di dati personali trattati. Il Garante Privacy ne ha sottolineato l’importanza e la peculiarità emanando, già nel 2004, un primo provvedimento datato 3 giugno dello stesso anno.

Il 1° gennaio 2009 è entrato in vigore il “Codice Deontologico sul trattamento dei dati personali per avvocati ed investigatori privati” (Provvedimento del Garante n. 60 del 6 novembre 2008) che, in virtù dell’art. 12 del Codice Privacy, costituisce “condizione essenziale per la liceità e correttezza del trattamento dei dati personali effettuato da soggetti privati e pubblici”, allorquando interessano specifici settori.

Lo scopo del Codice Deontologico è, fondamentalmente, la prevenzione di incertezze che possano arrecare pregiudizi all’attività forense ed a quella investigativa, delineando le modalità di comportamento cui devono attenersi avvocati ed investigatori per far sì che i trattamenti di dati, da questi effettuati, rispettino sempre i principi della liceità, proporzionalità e correttezza.

Occupiamoci adesso più nel dettaglio del Codice Deontologico.

Qual è l’ambito di applicazione del Codice Deontologico?

Da un punto di vista oggettivo, il Codice, la cui puntuale osservanza costituisce condizione legittimante il trattamento dei dati in questione, trova applicazione nell’ambito dello svolgimento di investigazioni difensive o dell’esercizio di un diritto in sede giudiziaria. Per ciò che attiene quest’ultimo ambito, esso ricomprende altresì i procedimenti avviati in sede amministrativa, di arbitrato o di conciliazione, nonché le fasi propedeutiche o successive all’instaurazione di un giudizio.

L’ambito di applicazione soggettivo del Codice, invece, oltre ad avvocati ed investigatori, riguarda anche i collaboratori dei su menzionati professionisti che prestano, dietro specifico mandato, attività di assistenza o consulenza per le medesime finalità.

Quali sono gli adempimenti a cui è tenuto il professionista?

Anzitutto occorre chiarire che, nell’ambito dell’attività forense, il titolare del trattamento è individuato o nel singolo professionista, o in una pluralità di professionisti, qualora codifensori della stessa parte, od infine in un’associazione tra professionisti.

La designazione di un “responsabile” è facoltativa, mentre il professionista dovrà necessariamente designare gli incaricati al trattamento e fornire a questi concrete istruzioni da seguire.

Ciò posto, per incaricati del trattamento si devono intendere: il sostituto processuale, il praticante avvocato, il consulente tecnico di parte, il perito, l’investigatore privato o altro ausiliario che non rivesta la qualità di autonomo titolare del trattamento, i tirocinanti, lo stagista, nonché la persona addetta ai compiti di collaborazione amministrativa.

L’informativa può essere fornita sia in forma scritta sia in forma orale e non deve sottostare a specifici requisiti formali, dunque, anche semplicemente esporla nei locali dello studio o pubblicarla sul proprio sito internet.

L’avvocato o l’investigatore, nell’esercizio del proprio mandato, sono tenuti a richiedere il consenso dell’interessato?

La risposta è da ritenersi di senso negativo. Per i dati trattati sia nel corso di un procedimento, sia nella fase propedeutica e/o successiva, il consenso dell’interessato non va richiesto qualora venga perseguita la finalità di difesa di un diritto: l’art 24, comma 1 lett. f) fissa un importante principio, in base al quale non è richiesto il consenso per il trattamento dei dati personali qualora, questo sia necessario ai fini delle attività investigative o per far valere o difendere un diritto in sede giudiziaria.

Più nel particolare, l’art. 26 del Codice Privacy stabilisce che i dati sensibili possano essere trattati, previa autorizzazione del Garante, anche senza consenso quando il trattamento sia finalizzato al compimento di investigazioni difensive o alla difesa di un diritto in sede giudiziaria, ed il trattamento avvenga esclusivamente per tali finalità e per il periodo di tempo strettamente necessario.

Tuttavia, lo stesso Codice Privacy prevede, all’art. 40, la possibilità che il Garante emani Autorizzazioni Generali al trattamento dei dati rivolte a determinate categorie di titolari o trattamenti: i destinatari sono quindi esonerati dal richiedere autorizzazioni ad hoc al Garante, ogni qualvolta il trattamento che si accingono ad effettuare rientri in quelli previsti dalle suddette autorizzazioni generali

A tal proposito, è intervenuta l’Autorizzazione Generale n° 4/2014 con la quale il Garante, con cadenza biennale, ha autorizzato i liberi professionisti al trattamento dei dati sensibili e giudiziari, stabilendo che i destinatari di tale autorizzazione sono esonerati dal richiedere il provvedimento autorizzativo all’Autorità ogni qualvolta debbano trattare dati giudiziari e/o sensibili.

Nonostante quanto stabilito in sede di Autorizzazione Generale, per il trattamento dei dati idonei a rilevare lo stato di salute o la vita sessuale, il consenso non è richiesto qualora il diritto da tutelare in sede giudiziaria sia di rango pari a quello dell’interessato, ovvero consista in un diritto della personalità o in altri diritti o libertà fondamentali.

Tutto quanto sopra riportato è di notevole importanza se si pensa, altresì, alle conseguenze legate alla violazione del disposto dell’Autorizzazione Generale; il Codice Privacy sanziona con la reclusione da 1 a 3 anni il trattamento illecito dei dati conseguente al mancato adempimento delle prescrizioni della citata autorizzazione1.

Per quanto tempo possono essere lecitamente conservati i dati personali?

Prima ancora di individuare un termine di conservazione, è utile premettere che, in ogni caso, l’avvocato, per tutto l’arco di tempo in cui ha la custodia dei dati personali del cliente, è tenuto ad adottare ogni misura di sicurezza idonea che sia utile al fine di ridurre il rischio di perdita e/o danneggiamento degli stessi.

Una volta estintosi il procedimento cui i dati si riferiscono, il difensore non è più obbligato alla loro dismissione; atti e documenti possono essere conservati qualora siano necessari per ulteriori esigenze difensive e sono sempre custoditi solamente i dati strettamente necessari ad ulteriori eventuali esigenze difensive, nonché ad adempiere ad obblighi normativi.

Tuttavia, in caso di revoca o rinuncia al mandato, la documentazione deve essere rimessa al nuovo difensore, mentre, nel caso in cui non sia stato nominato un altro difensore, tutti i documenti dovranno essere consegnati al consiglio dell’Ordine di appartenenza ai fini della conservazione per finalità difensive.

Si possono, in conclusione, riassumere quelle che sono le regole fondamentali per un corretto trattamento di dati personali:

  • il trattamento dei dati deve sempre rispondere ai principi generali di liceità, proporzionalità e non eccedenza;

  • deve essere effettuato solo dal responsabile, se designato, e dagli incaricati correttamente nominati e dopo aver impartito loro specifiche istruzioni;

  • è necessario fornire un’adeguata informativa agli interessati;

  • è doveroso predisporre ogni idonea misura di sicurezza;

  • in caso si tratti di dati sensibili o giudiziari è necessario seguire le istruzioni impartite dal Garante nelle Autorizzazioni Generali.

Con l’auspicio di aver contribuito a chiarire i principali adempimenti in capo a professionisti che trattano dati sensibili ed in particolare di natura giudiziaria, mi riservo di procedere con un ulteriore approfondimento relativamente alle attività investigative che, per loro natura, sono connotate da particolare complessità.

1 Nel comparto sanzionatorio privacy occorre fare una precisazione: la violazione a quanto disposto da un Autorizzazione Generale è punita con la reclusione da 1 a 3 anni, diversamente per il mancato rispetto di un provvedimento autorizzativo ad hoc la sanzione è dettata dall’art. 170 ( in osservanza dei provvedimenti del Garante ) che sancisce la reclusione da 3 mesi a 2 anni.

Il Data Protection Officer: le novità del nuovo Regolamento Europeo sulla Protezione dei Dati Personali

Il Data Protection Officer: le novità del nuovo Regolamento Europeo sulla Protezione dei Dati Personali

È stata ufficializzata, con il nuovo Regolamento sulla protezione dei dati personali, pubblicato in data 4 Maggio 2016, la figura del Data Protection Officer o Responsabile della Protezione dei Dati (qui di seguito DPO), il quale interesserà sia la Pubblica Amministrazione  sia gli operatori privati, in virtù del fatto che questo nuovo ruolo, in alcuni casi, dovrà necessariamente essere presente all’interno dei rispettivi organigrammi.

Professionista con ruolo aziendale (anche in outsourcing), il DPO deve necessariamente essere in possesso di competenze giuridiche, informatiche, di analisi dei rischi e dei processi; la sua nomina spetta al titolare od al responsabile del trattamento.

Al DPO spettano specifici compiti: informare e fornire consulenza al titolare, al responsabile del trattamento nonché ai dipendenti che effettuano tale trattamento così come stabilito dal nuovo Regolamento; vigilare affinché il Regolamento, le altre norme sia UE e sia degli Stati Membri in relazione alla protezione dei dati personali, siano osservati ed attuati; occuparsi della formazione del personale; fornire pareri riguardo l’impatto dei trattamenti di dati e verificarne lo svolgimento; collaborare con l’autorità di controllo, anche in merito a questioni connesse al trattamento e ad eventuali pareri. Sul DPO ricade l’obbligo di svolgere le proprie mansioni in totale riservatezza.

Di fondamentale importanza la distinzione fra la nomina del DPO nei casi di trattamento di dati personali effettuato dalla Pubblica Amministrazione dai casi in cui il trattamento sia svolto da operatori privati. Per ciò che riguarda la Pubblica Amministrazione (pubblica autorità o organismo pubblico), il DPO deve necessariamente essere designato dal titolare e dal responsabile del trattamento di dati personali ( con eccezione dei tribunali giudiziari nell’esercizio delle loro funzioni giurisdizionali). Con riferimento agli operatori privati, è necessario nominare il DPO unicamente nei casi in cui le attività principali del titolare o del responsabile del trattamento abbiano ad oggetto trattamenti che comportino un controllo continuo e sistematico degli interessati su larga scala e quando siano effettuati trattamenti, su larga scala, di categorie di dati particolari (opinione politica, origine razziale o etnica, appartenenze sindacali, convinzioni religiose o filosofiche, dati genetici o relativi all’orientamento sessuale) o di dati relativi a condanne penali. Infine, è doveroso sottolineare una delle condizioni fissate dal Regolamento circa la nomina del DPO, la quale prevede che quest’ultimo sia agevolmente raggiungibile da ogni stabilimento di un qualsiasi gruppo imprenditoriale.

Per saperne di più visitate il relativo articolo sul sito web di S News.

Diritto all’oblio e Business Information nel Nuovo Regolamento UE sulla protezione dei dati personali

Diritto all’oblio e Business Information nel Nuovo Regolamento UE sulla protezione dei dati personali

Il Nuovo Regolamento sulla protezione dei dati personali ha confermato il diritto all’oblio quale forma di garanzia della libertà e della dignità dell’individuo. E’ interessante esaminare i profili giuridici di tale diritto, alla luce della normativa oggi in vigore e quella europea, che sarà adottata nei prossimi due anni.

Già nel 2010 la Corte di Giustizia dell’Unione Europea affermò che i motori di ricerca sono tenuti al rispetto del diritto europeo anche nel caso in cui la loro sede si trovi in uno Stato terzo e che è sempre riconosciuto agli utenti il diritto di richiedere al motore di ricerca la cancellazione di dati personali, qualora questi risultino essere errati, inadeguati, insignificanti o eccessivi; pertanto ne consegue essere necessario un bilanciamento d’interessi, tra quelli dell’individuo e quelli relativi alla libertà d’espressione e dei media.

Alla luce del Nuovo Regolamento Europeo ed entrando più nel particolare, il diritto all’oblio prevede che l’interessato possa ottenere dal titolare la cancellazione dei propri dati personali nei casi in cui tali dati non appaiano più necessari, siano stati trattati illecitamente,  debbano essere eliminati per adempiere ad obblighi legali, ovvero l’interessato si opponga al trattamento, oppure abbia revocato il consenso.

D’altro canto, la rimozione non è prevista nel caso in cui i dati personali siano necessari a garantire la libertà di espressione e informazione, l’adempimento di un obbligo legale o la difesa di un diritto giudiziario, cosi come il pubblico interesse in materia sanitaria o a fini di pubblico interesse, di ricerca scientifica, statistica o storica. all’interessato, in presenza di inesattezze di dati personali o trattamenti illeciti, è riconosciuto il diritto di richiedere la rettifica e la limitazione del trattamento: In ogni caso, il titolare del trattamento ha l’obbligo di notificare l’interessato.

E’ importante focalizzare la questione inerente il diritto all’oblio, in quanto informazioni non più attuali  e prive di particolare interesse possono generare effetti “negativi” nel campo della business information (intesa come “fornitura di servizi informativi e/o valutativi che comportano la ricerca, la raccolta, l’elaborazione, l’analisi, anche mediante stime e giudizi, e la comunicazione di informazioni commerciali).

In proposito, il Garante Privacy  ha emanato il Codice di deontologia e buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale (Provvedimento Generale del Garante pubblicato in data 13 Ottobre 2015 – documento web 4298343) che entrerà in vigore a decorrere dal 1 Ottobre 2016.

Il codice di condotta individua gli ambiti oggettivi e soggettivi di applicazione: esso si applica esclusivamente alle informazioni commerciali riferite a persone fisiche ed acquisite da fonti pubbliche (pubblici registri, elenchi, atti o documenti come il registro delle imprese, bilanci ed elenchi dei soci, visure e/o atti catastali, atti relativi a fallimenti o altre procedure concorsuali, registro informatico dei protesti presso le camere di commercio) e fonti pubblicamente e generalmente accessibili (quotidiani e testate giornalistiche, elenchi categorici e telefonici, siti Internet che appartengono a enti pubblici, servizi online di elenchi telefonici e categorici).

Ciò che rileva è che il fornitore deve obbligatoriamente adottare misure idonee e preventive al fine di assicurarsi che l’informazione sia esatta e pertinente rispetto al fine perseguito, che sia riportata la specifica fonte di origine dei dati e che sia eseguito l’aggiornamento degli stessi dati nei propri rapporti informativi.

Per saperne di più visitate il relativo articolo sul sito web di S News.