Gli adempimenti imposti dalla legge sulla privacy
Il testo unico in materia di protezione dei dati
personali, approvato con d.lvo 30/06/2003 n. 196, entrato in vigore in data
01/01/2004, impone quattro tipologie di adempimenti, rispetto alle accese
polemiche che fin qui hanno caratterizzato il dibattito sul tema, possano
sintetizzarsi come infra precisato.
Con riguardo alla professione di
avvocato, si evidenzia che l’attività svolta dagli avvocati si sostanzia in
attività di trattamento di dati personali ed è un’attività già disciplinata
da una legge speciale dello Stato e da un codice deontologico approvato dal CNF,
organo che controlla e giudica l’attività degli iscritti (unitamente ai
Consigli degli Ordini), con la conseguenza che inutile (e comunque non
applicabile) per gli avvocati la disciplina di cui al T.U. oggi in esame.
*** *** ***
1)
NOTIFICAZIONE
AL GARANTE
In realtà la notificazione
del trattamento alla autorità garante è venuta meno per gli avvocati; e cio’
anche con riguardo ai “trattamenti di dati genetici o biometriciâ€
effettuati nell’esercizio della professione di avvocato, in relazione alle
operazioni e ai dati “necessari per svolgere le investigazioni difensive di cui
alla legge 397/2000 o comunque per far valere o difendere un diritto anche da
parte di un terzo in sede giudizialeâ€. Infatti con il provvedimento generale del
31/3/2004 il Garante per la privacy ha espressamente esonerato dall’obbligo di
notificazione gli avvocati.
*** *** ***
2)
INFORMAZIONE
AL CLIENTE
L’art. 13 del testo unico
prevede un obbligo di informare l’interessato (quindi il cliente) – confermando
un obbligo già esistente in capo all’avvocato – che puo’ essere effettuato in
forma orale o in forma scritta ed attiene alle finalità e alle
modalità di trattamento dei dati dell’interessato, alla natura
obbligatoria o facoltativa del conferimento dei dati (la natura sarà sempre
obbligatoria per quanto concerne l’attività di avvocato, non potendosi
esplicare il mandato difensivo in assenza di dati personali dell’interessato),
alle conseguenze dell’eventuale rifiuto di fornire tali dati, ai soggetti
ai quali i dati personali possono essere comunicati o possono venire a
conoscenza di tali dati in qualità di responsabili incaricati del trattamento,
all’ambito di diffusione dei dati medesimi, ai diritti
dell’interessato ed agli estremi identificativi del titolare del
trattamento.
L’informativa
al cliente è sempre dovuta; si allega in proposito informativa ai sensi
dell’art. 13 d.lvo 196/2003 proposto dal Cnf e pubblicato sul sito
dello stesso, cui si puo’
comunque aggiungere la
sottoscrizione del cliente non soltanto per ricevuta comunicazione ma anche per
consenso al trattamento dei dati personali comuni, sensibili e giudiziari (ferma
restando la nostra contrarietà all’applicazione della normativa de qua agli
avvocati).
** ** ***
3)
CONSENSO
DELL’INTERESSATO AL TRATTAMENTO DEI DATI PERSONALI
Secondo il T.U. il consenso
dell’interessato previsto dall’art. 23 non è necessario si tratta di dati
comuni (art. 24 testo unico) nonchè di dati sensibili e giudiziari
laddove il trattamento sia finalizzato a far valere o difendere un diritto in
sede giudiziale (art. 26 quarto comma lettera c testo unico), purchè vi sia
l’autorizzazione del Garante.
Tale
autorizzazione esiste ed è stata fornita ai professionisti (e agli avvocati in
particolare) con le cd “autorizzazioni generali†n. 4 e 7 dell’anno 2002, che
avranno efficacia fino alla data del 30/06/2004 (probabilmente poi verranno
rinnovate). Con la previsione legislativa di cui sopra e con l’emanazione di
tali provvedimenti il Legislatore prima ed il Garante poi si sono resi conto
della necessità di esonerare l’avvocato dall’obbligo di richiedere il consenso
al trattamento dei dati personali del cliente, essendo sottinteso tale
consenso ad ogni iniziativa instaurata dal legale in favore e nell’interesse del
proprio assistito.
Tuttavia il
Legislatore e l’Autorità Garante non hanno pero’ saputo compiere il necessario
passo successivo: quello di esonerare l’avvocato dall’obbligo di richiedere il
consenso per qualsiasi attività professionale
espletata in ogni sede (giudiziale e stragiudiziale) su incarico e mandato del
cliente.
La attuale disciplina di esonero da
tale obbligo soltanto con riguardo all’attività giudiziale, inoltre, appare
priva di reale significato. Si pensi all’irrazionalità di una norma che
costringe il legale ad acquisire il consenso del cliente per l’attività
stragiudiziale (che è anche necessariamente preparatoria di un eventuale futuro
giudizio) mentre lo esonera dall’obbligo di acquisire il consenso per il
giudizio, proprio nel momento in cui tale consenso risulterà già acquisito in
precedenza (ossia nella fase stragiudiziale).
Il T.U. infine
dispone che il consenso del terzo (e quindi non cliente) al trattamento dei suoi
dati personali non è richiesto, qualora il trattamento sia finalizzato a far
valere i diritti in sede giudiziaria (autorizzazioni generali n. 4 e 7/2002).
*** *** ***
4)
MISURE DI SICUREZZA PER LA CUSTODIA, IL CONTROLLO, LA
CONSERVAZIONE DEI DATI TRATTATI.
Il testo unico
sulla privacy distingue tra titolare del trattamento (titolare dello
studio legale), incaricati del trattamento (segretarie, praticanti,
collaboratori) e l’eventuale responsabile del trattamento (figura
facoltativa cui si attribuiscono le responsabilità organizzative dello studio
ai fini della legge sulla
privacy ma non toglie la responsabilità, anche penale, del titolare del
trattamento).
Il testo unico
sulla privacy impone due obblighi specifici al titolare del trattamento dei dati
personali:
4.1) un generale obbligo
di sicurezza, consistente nell’adottare “preventive misure di sicurezzaâ€
idonee a “ridurre al minimo i rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di
accesso non
autorizzato o di trattamento non consentito o non conforme alle finalità della
raccolta†(cfr art. 31 T.U.). Tale obbligo generale di sicurezza determina,
nell’ipotesi di inadempimento, una responsabilità civile per i danni causati
all’interessato; a tale proposito si ricorda che l’attività di trattamento di
dati personali è espressamente prevista ex legge come attività pericolosa
ai sensi dell’art. 2050 c.c. (cfr art. 15 T.U.); inoltre l’art. 11 impone
precise modalità di esercizio del trattamento: “i dati personali oggetto di
trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti
e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in
altre operazioni del trattamento in termini compatibili con tali scopi; c)
esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti
rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l’identificazione dell’interessato per
un periodo di tempo non superiore a quello necessario agli scopi per i quali
sono stati raccolti o successivamente trattatiâ€. Si ricorda, a tale ultimo
proposito, che gli avvocati sono tenuti, sia in forza del codice civile sia in
forza della normativa fiscale, a conservare i fascicoli ed i documenti per un
periodo id tempo comunque superiore e successivo alla chiusura formale della
pratica.
4.2) uno specifico
obbligo di adottare misure minime di sicurezza differenziate a seconda che i
dati vengano trattati con elaboratore elettronico oppure il trattamento avvenga
in via manuale e cartacea; si evidenzia fin d’ora che l’omissione di tali misure
minime comporta l’applicazione delle note e gravi sanzioni penali.
Con riguardo alle misure
minime di sicurezza è necessario quindi distinguere i due casi:
A) TRATTAMENTO MANUALE E CARTACEO (art. 35 T.U. e disciplinare
tecnico allegato b al T.U. predetto):
–
il titolare del trattamento deve fornire ist
Related Posts
Commento all'articolo