Il vademecum del C.N.F. sugli adempimenti richiesti agli Studi Legali

1. Rapporti con il cliente e con i terzi

1.1 Informativa
Nel primo contatto con il cliente occorre informarlo sui punti previsti
dall’art. 13 del Codice, oralmente o per iscritto.
Quantunque il Codice affidi al professionista la scelta della forma della
comunicazione, è preferibile – al fine di acquisire la prova dell’adempimento
dell’obbligo di informativa – raccogliere la firma del cliente su apposito
modulo.
In ogni caso, l’informativa deve riguardare le finalità e le modalità del
trattamento cui sono destinati i dati raccolti che riguardano il cliente, la
natura obbligatoria o facoltativa del conferimento dei dati, le conseguenze di
un eventuale rifiuto di rispondere, i soggetti o le categorie di soggetti ai
quali i dati possono essere comunicati, anche nella loro qualità di
responsabili o incaricati, i diritti previsti dal Codice all’art. 7 e gli
estremi identificativi del titolare nonchè del responsabile del trattamento, se
designato.
E’ anche possibile offrire queste informazioni mediante un avviso esposto in
luogo visibile e accessibile dal cliente.
Tuttavia, in questo caso, non si acquisisce la prova dell’avvenuta informativa.
L’informativa deve essere fornita anche ai terzi sui quali si raccolgano dati.

L’obbligo non riguarda l’attività rivolta a far valere o difendere un diritto
in sede giudiziaria.
L’obbligo nei confronti dei terzi non riguarda l’attività preparatoria di
quella difensiva.
Tuttavia, è dubbio se l’esonero possa riguardare anche l’attività
stragiudiziale. Poichè nell’attività stragiudiziale (consulenza, redazione di
atti stragiudiziali, trattative, etc.) l’avvocato opera per tutelare i diritti
del proprio cliente, il CNF propone di includere anche l’attività
stragiudiziale nell’area delle attività esonerate dall’obbligo di informativa a
terzi.

1.2 Consenso al trattamento dei dati
Il consenso del cliente al trattamento dei dati non è richiesto se si tratta di
dati comuni (art. 24) e in caso di dati sensibili e giudiziari laddove il
trattamento avvenga per valere o difendere un diritto in sede giudiziaria.
Il Codice esonera dal consenso dell’interessato chi tratta i dati personali se
sono diversi dai dati sensibili e dai dati giudiziari. Tuttavia, a seguito delle
autorizzazioni generali del Garante n. 4 del 2002 e n. 7 del 2002, i
professionisti (e quindi gli avvocati) sono stati esonerati dall’acquisizione
del consenso anche per i dati sensibili e per i dati giudiziari. Le cit.
autorizzazioni scadono il 30.6.2004 e si ha notizia che il Garante rinnoverà,
come di consueto, le autorizzazioni.
Occorre pero’ precisare che, allo stato, l’esonero riguarda soltanto l’attività
espletata per “far valere o difendere un diritto in sede giudiziaria” (aut. n.
4/2002).
In via interpretativa, mentre è pacifico che l’esonero si possa estendere ad
ogni attività preparatoria della difesa, e quindi alla raccolta di dati, di
documenti e di informazioni utili per la preparazione degli atti difensivi, è
discusso se tale esonero riguardi anche l’attività stragiudiziale.
Il consenso del terzo al trattamento non è richiesto se si tratta di attività
per far valere diritti in sede giudiziaria, anche se i dati sono sensibili o
sono dati giudiziari.
L’esonero deriva dalle autorizzazioni nn. 4 e 7 del 2002, e dovrebbe essere
rinnovato entro il 30.6.2004.
Se l’attività è stragiudiziale, si ripropongono i problemi interpretativi di
cui si è detto.
Occorre segnalare che l’informativa e il consenso (nei soli casi in cui è
richiesto) non possono risultare semplicemente dalla formula con cui il cliente
conferisce il mandato al difensore in quanto è necessario che riguardino
l’intero trattamento e non una o più operazioni.
L’integrazione del mandato con queste indicazioni appare superflua, specie se il
cliente ha già sottoscritto il modulo relativo all’informativa e
all’acquisizione del consenso.

2. Organizzazione dello studio
I dati raccolti devono essere trattati in modo lecito e secondo correttezza
(art. 11 Codice).
La formazione del fascicolo puo’ essere effettuata: in via manuale e cartacea,
oppure, o anche, mediante strumenti informatici.

2.1 Trattamento manuale e cartaceo (“trattamenti senza l’ausilio di strumenti
elettronici”: art. 35 Codice e punti 27-29 All. B)).
Questo tipo di trattamento normalmente si effettua mediante l’utilizzazione di
contenitori sui quali si puo’ apporre un numero identificativo nonchè il nome
del cliente e delle parti. Al fine di evitare che persone non autorizzate
possano conoscere i nomi dei clienti o dei terzi che eventualmente risultino dal
contenitore, è opportuno (anche se non espressamente richiesto dalla norma) che
i nomi siano evidenziati solo all’interno del fascicolo. In tal caso, l’elenco
che abbina numeri e nomi deve essere conservato in luoghi e secondo modalità
che prevengano l’accesso non autorizzato di terzi.
Gli archivi debbono essere conservati in luoghi ad “accesso selezionato”. Questa
espressione puo’ essere intesa in senso logico e pratico: il CNF suggerisce di
collocare i fascicoli in locali dello studio in cui non abbiano accesso diretto
nè i clienti nè i terzi, e quindi non nell’ingresso, nella sala d’aspetto o
nei corridoi. Cio’ non significa che si debbano collocare “sotto chiave” o in
locali appositi esclusivamente riservati a tale uso, ben potendo essere
conservati nei locali adibiti al lavoro, sia del titolare o dei titolari, sia
dei praticanti e della segreteria (cioè dove lavorano gli incaricati del
trattamento).
Nei locali in cui l’accesso è selezionato (le varie stanze di lavoro) gli
incaricati possono quindi tenere e consultare i fascicoli attenendosi alle
prescrizioni dell’ordinaria diligenza. Al riguardo è previsto che il titolare
fornisca istruzioni – per iscritto – finalizzate al controllo e alla custodia
degli atti e dei documenti utilizzati.

2.2 Trattamento con strumenti elettronici (art. 34 Codice e punti 1-24 All.
B)).
Questo tipo di trattamento puo’ essere effettuato a seguito della dotazione ai
singoli incaricati di credenziali di autenticazione (user ID e password) che
consentano il superamento di una procedura di autenticazione.
Le principali regole al riguardo prevedono:
– l’assegnazione di un “user ID”, che identifica l’incaricato del trattamento,
cioè il titolare dello studio, i praticanti, la segretaria. Tale codice è
personale e non puo’ essere assegnato ad altri incaricati, neppure in tempi
diversi;
– dopo la digitazione dell’“user ID” occorre predisporre e inserire la
“password”, che deve essere di esclusiva conoscenza dell’incaricato del
trattamento;
– l’elenco delle password deve essere conservato in luogo non accessibile ad
alcuno tranne al soggetto designato a conservarlo; cio’ significa che il
titolare di una password non è legittimato a conoscere la password di altri
soggetti che operano nello studio (tranne ovviamente il soggetto designato a
conservare l’elenco). In caso di prolungata assenza o impedimento anche
temporaneo del titolare della password è possibile conoscere la sua password
sole per esigenze “indispensabili e indifferibili” (come previsto dal punto 10
dell’All.. B) al Codice);
– le regole dello studio legale relative all’uso di user ID e password
(“credenziali di autenticazione”) per le esigenze di cui sopra, debbono
risultare da documento scritto recante “idonee e preventive disposizioni” al
riguardo (punto 10 All. cit.);
– debbono altresi’ essere impartite istruzioni circa le cautele da adottarsi per
assicurare la segretezza e la diligente custodia delle credenziali;
– ogni password (composta di almeno otto caratteri, o comunque del numero di
caratteri pari al massimo consentito) non puo’ contenere riferimenti agevolmente
riconducibili all’incaricato (nome, cognome, etc.) e deve essere modificata ogni
sei mesi e, nel caso di trattamento di dati sensibili o giudiziari, ogni tre
mesi. Di conseguenza anche l’elenco delle password deve essere modificato con
medesima scadenza;
– le credenziali non utilizzate per almeno sei mesi vanno disattivate;
(Il CNF si adopererà per semplificare queste procedure)
– Il CNF ritiene che l’organizzazione dello studio legale e dell’attività in
esso svolta non consenta l’individuazione di “profili di autorizzazione” come
previsti dai punti 12,13 e 14 dell’All. cit.;
– il computer deve essere dotato di programmi antivirus (punto 16 All. cit., ex
art. 615-quinquies c.p.) nonchè di programmi contro il rischio di intrusione (firewall);
– i programmi suddetti debbono essere aggiornati almeno ogni sei mesi.
– è, infine, previsto che siano impartite istruzioni organizzative e tecniche
per il salvataggio dei dati con frequenza almeno settimanale, per la custodia e
l’uso dei supporti su cui sono memorizzati i dati, nonchè per il ripristino dei
dati (da eseguirsi entro 7 giorni) che siano stati danneggiati. I supporti non
utilizzati devono essere distrutti o resi inutilizzabili.

2.3 Illegittimità di dichiarazione liberatoria del cliente in ordine agli
adempimenti a cui è tenuto il difensore
Poichè la disciplina vigente attiene alla tutela di diritti costituzionalmente
garantiti non è legittimo richiedere al cliente, anche se questi sia
consenziente, di sottoscrivere una formula liberatoria di ogni adempimento e di
ogni responsabilità a cui è tenuto l’avvocato.

2.4 Studi associati e in collaborazione
Le regole relative al trattamento con strumenti elettronici si applicano
comunque agli studi, anche se gli avvocati sono tra loro in regime di
associazione, e se non associati, utilizzano le medesime strutture.
Nel caso di utilizzazione comune di strumenti elettronici, ogni avvocato o
incaricato deve possedere e usare la propria ID e la propria password.
Per quanto riguarda il trattamento senza l’ausilio di strumenti elettronici, il
CNF propone di applicare la disciplina in modo tale da proteggere l’archivio da
terzi, e di consentire che le misure di conservazione possano essere comuni a
tutti i professionisti e gli incaricati che lavorano negli studi legali
associati o in collaborazione.

2.5 Soggetti che effettuano il trattamento
All’interno di ogni studio legale si dovrà provvedere, laddove non si sia già
effettuato, all’individuazione di tre soggetti:
– il titolare del trattamento: nel caso di libero professionista che esercita la
professione in forma non associata il titolare è la persona fisica in quanto
tale; nel caso di associazioni professionali o società di avvocati, il titolare
è l’entità nel suo complesso.
– il responsabile del trattamento: figura facoltativa designata dal titolare e
predisposta a verificare i corretti adempimenti di legge.
– gli incaricati del trattamento: ovvero le persone fisiche autorizzate a
compiere operazioni di trattamento, nel caso di specie tutti i “collaboratori”
dello studio legale (avvocati, praticanti, segretarie, etc.).

2.6 Notificazione
A fronte dell’ampio spettro applicativo dell’art. 37 e della conseguente nascita
di dubbi di natura ermeneutica, con il provvedimento generale del 31 marzo 2004
l’Autorità Garante è intervenuta fornendo ben più che una mera
interpretazione della norma in esame.
Il menzionato provvedimento ha infatti disposto la sottrazione all’obbligo di
notificazione al Garante di alcuni trattamenti tra i quali “i trattamenti di
dati genetici o biometrici effettuati nell’esercizio della professione di
avvocato, in relazione alle operazioni e ai dati necessari per svolgere le
investigazioni difensive di cui alla legge n. 397/2000, o comunque per valere o
difendere un diritto anche da parte di un terzo in sede giudiziaria. Cio’ sempre
che il diritto sia di rango almeno pari a quello dell’interessato e i dati siano
trattati esclusivamente per tali finalità e per il periodo strettamente
necessario al loro perseguimento” nonchè i trattamenti di dati personali
“registrati in banche di dati utilizzate in rapporti con l’interessato di
fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali,
anche in caso di inadempimenti contrattuali, azioni di recupero del credito e
contenzioso con l’interessato”.
Il CNF non ritiene che, nei limiti predetti, sia necessaria alcuna notificazione
all’Autorità Garante.

3. Documento programmatico sulla sicurezza
Nei prossimi giorni sarà disponibile sul sito del Garante il fac-simile del DPS.
In ogni caso l’art. 34 c. 1 lett. g) e il punto 19 all. B fanno obbligo al
titolare del trattamento dei dati di redigere entro il 31 marzo di ogni anno –
per il 2004 il termine è previsto per il 30 giugno p.v. (ex parere del 22.3
2004 del Garante) – il documento programmatico di sicurezza.
Il codice stabilisce che il documento menzionato deve fornire idonee
informazioni riguardo:
1) l’elenco dei trattamenti di dati personali (ovvero la tipologia dei dati
trattati);
2) la distribuzione dei compiti e delle responsabilità in relazione al
trattamento dei dati (si rinvia a quanto esposto al § 2.2)
3) l’analisi dei rischi (per esempio, di perdita accidentale o di distruzione
dei dati);
4) le misure da adottare per garantire l’integrità e la disponibilità dei
dati, nonchè le disposizioni per la protezione dei locali destinati alla
custodia (in funzione dei rischi individuati);
5) la descrizione dei criteri e delle modalità per il ripristino della
disponibilità dei dati in seguito a distruzione o danneggiamento (v. § 2.2);
6) la previsione di interventi formativi a favore degli incaricati del
trattamento (gli incaricati devono essere resi edotti dei rischi che incombono
sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili
della disciplina sulla protezione dei dati personali più rilevanti in rapporto
alle relative attività, delle responsabilità che ne derivano e delle modalità
per aggiornarsi sulle misure minime adottate dal titolare);
7) la descrizione dei criteri da adottare per garantire l’adozione delle misure
minime di sicurezza in caso di trattamenti di dati personali affidati, in
conformità al codice, all’esterno della struttura del titolare.
4. Attività difensiva e bilanciamento con gli interessi dei terzi
L’avvocato puo’ utilizzare in giudizio dati personali sensibili, anche senza il
consenso, laddove i

https://www.litis.it