Avvocati e nuova privacy: obblighi semplificati o inverosimile intransigenza?

Il Regolamento [U.E.] n. 2016/679 del Parlamento europeo del 27 aprile 2016 è applicabile, già da alcuni giorni 25 maggio 2018 , in via diretta, a tutti i paesi dell’Unione. La normativa prevede ben 173 considerando e cioè premesse e 99 articoli suddivisi in 11 capi.

Regolamento [U.E.] 2016/679 e professione di avvocato. Il Regolamento [U.E.] n. 2016/679 del Parlamento europeo del 27 aprile 2016 è applicabile, già da alcuni giorni 25 maggio 2018 , in via diretta, a tutti i paesi dell’Unione. La normativa prevede ben 173 considerando e cioè premesse e 99 articoli suddivisi in 11 capi. È ragionevole ritenere, come vedremo poco oltre, che solo una parte minima delle suddette disposizioni riguardi l’avvocato in quanto libero professionista. È vero tuttavia che, al momento, non è stato emanato il provvedimento delegato al Governo con il quale stabilire la compatibilità del Codice della privacy del 2003 con la nuova normativa europea. Manca quindi, allo stato, un’importante coordinamento e raccordo tra norme nazionali e sovranazionali ciò non di meno alcune considerazioni sulle concrete ricadute del Regolamento U.E. possono già effettuarsi. Il principio di responsabilità accountability tratto caratterizzante della nuova normativa europea. Appare senz’altro condivisibile l’orientamento in forza del quale il Regolamento europeo è sostanzialmente finalizzato a disciplinare le modalità di trattamento dei dati personali delle persone fisiche sotto un duplice profilo - quello dell’informativa e del consenso nella loro acquisizione - quello dell’utilizzo legittimo e la circolazione altrettanto legittima dei dati. Ciò trova conferma nel diritto soggettivo dell’individuo di disporre dei propri dati, quali aspetti ricollegabili al fondamentale diritto di identità e personalità, nonché sul fatto che il titolare del trattamento viene ad assumersi la responsabilità accountability del trattamento di tali dati e pertanto deve adottare tutte quelle misure necessarie alla protezione del dato stesso. Che cosa si intende per dato personale? L’art. 4 del Regolamento europeo, secondo una buona tecnica normativa, disciplina tutte le definizioni nell’evidente tentativo di eliminare, il più possibile, incertezze interpretative. Tra le varie definizioni si rinviene, al n. 1, proprio quella di dato personale. Si considera tale qualsiasi informazione riguardante una persona fisica identificata o identificabile interessato si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento ad un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo on-line, o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale . La definizione di dato personale” è in perfetta continuità con la Direttiva europea n. 95/46 ed anche con il Codice della privacy del 2003. Così come rilevato da altri autori, infatti, alcune delle nuove disposizioni europee non hanno carattere innovativo rispetto all’esperienza italiana cfr., A. Musto-L. Piccolo, Le maggiori novità di interesse notarile apportate dal nuovo regolamento privacy europeo, risorsa informatica . Gli elementi caratterizzanti il dato personale sono quindi - l’informazione - la persona fisica ovverosia il soggetto a cui il contenuto dell’informazione viene ricollegato - l’identificazione o l’identificabilità - uno o più elementi caratteristici che contraddistinguono l’informazione identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale . Come vedremo poco oltre, a prescindere dal Regolamento europeo e anche dalle altre precedenti norme in tema di privacy, l’avvocato non può rivelare un dato personale acquisito nel corso dei colloqui con il cliente e ciò per il semplice motivo che deve osservare, sotto vari profili, l’obbligo del segreto professionale. Che cosa si intende per trattamento del dato? Per trattamento del dato si intende, a norma dell’art. 4, n. 2 Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione, la distruzione . Anche in questo caso nessuna novità e nessuna sorpresa poiché si tratta di una disposizione che si pone in continuità con la Direttiva europea n. 95/46 ed in parziale continuità rispetto al Codice della privacy del 2003. Stando quindi alla descrizione contenute nelle disposizioni vecchia e nuova trattare un dato significa avere riguardo a quell’attività posta in essere dal soggetto che utilizza o impiega il dato personale già raccolto. I limiti riferiti alla professione forense. L’avvocato è soggetto, a parere di chi scrive, ad una parte minima delle nuove disposizioni allorquando tratta i dati personali del cliente. Prova ne sia che il trattamento del dato è senz’altro consentito art. 9, comma 2, lett. f del nuovo Regolamento per accertare, esercitare o difendere un diritto in sede giudiziaria o ogni qualvolta le autorità giurisdizionali esercitino le loro funzioni. Senza dimenticare che - il considerando n. 52, cioè la premessa n. 52 del Regolamento, estende il principio di cui sopra anche alla sede amministrativa e quindi ai ricorsi gerarchici e alle difese dinanzi agli organi di disciplina o stragiudiziale - il considerando n. 91, cioè la premessa n. 91, stabilisce espressamente che il trattamento dei dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato e in tali casi non dovrebbe essere obbligatorio procedere ad una valutazione di impatto sulla protezione dei dati. Dalla lettura di tali norme discende quindi che un avvocato può sempre trattare un dato personale per esercitare la difesa di un diritto in qualunque sede si trovi a farlo. Ciò significa anche che tale trattamento, poiché consentito da una norma giuridica, è legittimo a prescindere dal consenso dell’interessato, da considerarsi implicito e contestuale all’affidamento dell’incarico. Peraltro laddove nell’esame della posizione del cliente quest’ultimo riferisse informazioni personali riguardanti, ad esempio, il suo stato di salute, la religione di appartenenza, l’orientamento politico, le abitudini sessuali ed espressamente negasse il consenso all’utilizzo di tali informazioni, è evidente che l’avvocato non potrebbe utilizzarle in ambito difensivo ed in ogni caso non potrebbe rivelarle e ciò a prescindere dalla normativa sulla privacy di cui trattasi prova ne sia che l’art. 6 della nuova legge professionale, n. 247/2012, impone all’avvocato una rigorosa osservanza del segreto professionale e del massimo riserbo sui fatti e sulle circostanze apprese nell’attività di rappresentanza e assistenza. Senza considerare che il dovere di segretezza e riservatezza trova conferma nell’art. 13 del nuovo Codice Deontologico Forense che sostanzialmente ribadisce il principio indicato dalla legge professionale. Infine non può dimenticarsi che laddove l’avvocato dovesse rivelare, senza giusta causa, un dato e quindi una notizia a lui riferita dal cliente, commetterebbe il reato previsto e punito dall’art. 622 c.p., norma quest’ultima che si riferisce ad ogni notizia e quindi anche a quelle afferenti la personalità del cliente appresa in ragione del rapporto professionale. Informativa, registro delle attivita’ di trattamento, protezione del dato. Alla luce di quanto sopra, ed anche in considerazione delle recentissime linee guida del Consiglio Nazionale Forense risorsa informatica , l’attenzione per gli avvocati si incentra soprattutto su tre obblighi - informativa - registro delle attività di trattamento - protezione del dato. Pare a chi scrive che uno strumento ancor oggi utile per consentire all’avvocato di valutare l’impatto della normativa è rappresentato dal documento denominato Chiarimenti sui principali adempimenti in materia di protezione di dati personali nello svolgimento dell’attività forense doc.webn1007280 , del 3 giugno 2004, inviato dall’allora Segretario generale del Garante della privacy oggi Garante europeo della privacy al Consiglio Nazionale Forense. La lettura di tale documento, pur risalente nel tempo e pur considerando che, riferendosi al Codice della privacy, dovrà essere sostituita da altro parere generale che consideri le nuove norme, offre ancor oggi preziose indicazioni tali da poter arrivare alla ragionevole conclusione che l’avvocato potrà assolvere i nuovi obblighi sempre con modalità semplificate come avveniva per il Codice della privacy . In ragione dei suddetti suggerimenti vale la pena di ricordare innanzi tutto che l’avvocato non è obbligato ad indicare un responsabile del trattamento e d’altra parte la lettura stessa consente di ritenere che la maggior parte dei trattamenti di dati effettuati nell’esercizio dell’attività forense non è neppure soggetta a notificazione. Per quanto attiene all’ informativa onere senz’altro obbligatorio per l’avvocato giova osservare che vi è perfetta continuità normativa tra gli artt. 13 e 14 del nuovo Regolamento europeo e il Codice della privacy vigente. È ragionevole ritenere che la suddetta possa essere fornita anche oralmente in quanto non è previsto un obbligo per l’avvocato di inviare al cliente una informativa scritta. Prova ne sia che, stando al citato provvedimento del Garante della privacy, è senz’altro possibile utilizzare formule colloquiali per evidenziare, anche in modo sintetico, ma senza lacune, le circostanze che riguardano finalità e modalità del trattamento. Quindi, in buona sostanza, l’avvocato dovrà informare il cliente, oralmente o per iscritto, sulle seguenti questioni - finalità del trattamento chiaramente per l’avvocato il trattamento dei dati è finalizzato all’utilizzo in ambito giudiziale o extragiudiziale - modalità del trattamento e quindi occorrerà segnalare se si realizza attraverso operazioni con o senza l’ausilio di strumenti elettronici - effetti del rifiuto di fornire i dati ovvio che il mancato conferimento di alcuni dati personali impedisce automaticamente lo svolgimento dell’attività difensiva in qualunque sede sia essa richiesta . - finalità della comunicazione dei dati finalità che per l’avvocato riguarda lo svolgimento dell’incarico difensivo - trasferimento eventuale dei dati all’estero per l’avvocato tale eventualità si presenterà solo nell’ambito dell’esercizio di attività difensive che si svolgono presso autorità giudiziarie sovranazionali o estere - durata della conservazione i dati sono conservati per il periodo necessario all’espletamento dell’attività e comunque per un periodo non superiore a 10 anni dalla conclusione della stessa - titolare del trattamento - i diritti dell’interessato rettifica, cancellazione, limitazione, opposizione e perfino revoca del consenso anche se, come visto in precedenza, quest’ultimo non pare necessario per l’esercizio delle attività forensi . È da notare infine che, stando alla normativa europea, oltre alla informativa diretta o più precisamente primaria dal punto di vista della tempistica esiste persino l’obbligo di informativa successiva laddove si verifichi un ulteriore e diverso trattamento riferibile ad un altro e diverso incarico professionale nel caso del difensore, quindi, la suddetta ipotesi potrà, semmai, verificarsi laddove la stessa persona affidi, successivamente, un diverso mandato difensivo per altra questione . Il registro concernente le attività di trattamento , previsto dagli artt. 30 e 32 del Regolamento europeo, è seriamente dubitabile che, nonostante l’espresso parere contrario del Consiglio Nazionale Forense, debba essere obbligatoriamente istituito dall’avvocato. Prova ne sia che l’art. 30, comma 5, del Regolamento europeo prevede che tale obbligo non sussista per le imprese o organizzazioni con meno di 250 dipendenti, a meno che non si effettui il trattamento di dati particolari e cioè quelli sensibili e biometrici previsti dall’art. 9 dello stesso Regolamento. Ma come abbiamo già visto in precedenza non v’è dubbio che questi ultimi dati siano sempre trattati dall’avvocato nell’ambito delle attività forensi e come tali, in virtù dell’art. 9, comma 2, lett. f, non soggetti ad alcun obbligo di preventivo consenso non si comprende quindi perché in virtù di tale regime di trattamento per l’avvocato, quest’ultimo debba tenere, obbligatoriamente, il registro di cui trattasi. Laddove si ammettesse l’esistenza di tale obbligo, infatti, si registrerebbe un marcato disallineamento rispetto ai principi desumibili dalla normativa europea che, è bene ricordarlo, prevede l’obbligatorietà del registro solo per enti con più di 250 dipendenti. Non è un caso, infine, che lo stesso Consiglio Nazionale del Notariato, con la nota a firma di E. Bernini del 16 maggio 2018 risorsa informatica , ritiene il documento non strettamente necessario la cui istituzione può semmai costituire, per il professionista, un valido strumento a dimostrazione, in caso di controlli, della preparazione e responsabilizzazione coerente con i principi europei. Opinione che, a parere di chi scrive, è senz’altro condivisibile. Per quanto attiene infine alla protezione dei dati , tenuto conto che in pratica in qualsiasi studio legale, dai più significativi a quelli di recente apertura quindi con realtà organizzative assai più semplici , la stessa avviene mediante strumenti informatici e non più cartacei, è opportuno che l’avvocato si premuri di installare un sistema tale da garantire misure tecniche idonee alla protezione stessa. D’altra parte, così come correttamente hanno valutato i primi commentatori della normativa europea, la sicurezza del trattamento prevista dall’art. 32 offre solo alcune novità rispetto a quanto gli avvocati italiani ben conoscono prova ne sia che le misure minime di sicurezza sono già chiaramente indicate nel Codice della privacy italiano artt. 33 e segg. e soprattutto l’allegato B . D’altronde, proprio nell’allegato B , si fa riferimento, in maniera specifica, al cosiddetto dato sensibile o giudiziario ribadendo che questa tipologia di dati sono protetti, contro l’accesso abusivo, proprio dall’art. 615-ter del codice penale. Difficile pensare che la normativa europea abbia quindi abrogato le norme del nostro Codice della privacy in tema di sicurezza anche se, come noto, siamo ancora in attesa del decreto legislativo che dovrà armonizzare i principi normativi italiani a quelli sovranazionali poiché non appaiono certo incompatibili e comunque in grado di garantire un puntuale riferimento per adeguarsi al dovere di protezione. A tal proposito giova infine notare come un qualsiasi programma cosiddetto di ‘protezione antivirus’, reperibile sul mercato, offre garanzie di adeguata protezione che sono ad un livello più che sufficiente di tutela degli interessati basterà quindi che gli avvocati si dotino di tale programma, come certamente si saranno già dotati da molti anni. Semmai appare tuttavia opportuno suggerire di verificare e riesaminare i rapporti contrattuali in essere con i fornitori del programma per verificare eventuali falle rispetto magari a programmi più aggiornati nel frattempo usciti sul mercato. Infine è bene ricordare che, come si è più precisamente evidenziato in precedenza, l’informativa, sia pur orale, deve fornire al cliente anche i ragguagli sulla protezione dei dati che lo studio legale offre attraverso gli strumenti informatici utilizzati in quel preciso periodo. Attività di controllo e sanzioni per la violazione. Il nuovo Regolamento europeo prevede la possibilità di infliggere, per le violazioni accertate, sia sanzioni amministrative pecuniarie previste dall’art. 83 , sia la possibilità in forza della premessa 149, per gli Stati membri di sanzioni penali a condizione che non si pongano in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di Giustizia Europea. Dal tenore delle somme indicate come sanzione amministrativa pecuniaria emerge un’ulteriore conferma e cioè che le medesima valgano, principalmente, per soggetti completamente diversi dal professionista avvocato. Le sanzioni non potranno prescindere comunque dalla considerazione di alcuni elementi quali la gravità e la durata della violazione, il carattere doloso/colposo della stessa, le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dall’interessato, il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi. È bene tuttavia ricordare che nel Codice della privacy del 2003 D.Lgs. n. 196 sono previste sia sanzioni amministrative, che illeciti penali. Nel Regolamento si fa riferimento in senso generale alle autorità di controllo oltre che europee, anche dei singoli Stati membri. Ciò significa, in altre parole, che appare corretto l’orientamento secondo il quale l’autorità di controllo nazionale italiano è il Garante della privacy.