Jei - Jus e Internet

Il primo organo di informazione giuridica su internet per gli operatori del diritto - in linea dal 1996

I principali adempimenti in materia di privacy nello svolgimento dell’ attività forense

Scritto da Francesco Affinito

   L’ Ufficio del Garante della privacy, in virtù delle proposte del Consiglio Nazionale Forense, con parere 3 giugno 2004, ha sintetizzato e chiarito quali sono i principali adempimenti in materia di protezione dei dati personali nell’esercizio dell’attività forense.

   Il punto di partenza è sicuramente l’individuazione dei soggetti che effettuano il trattamento.  Il titolare, che, a norma dell’art. 28 del D.Lgs. 196/2003, è il soggetto che “esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza”, viene individuato nella persona fisica dell’avvocato esercente qualora l’attività professionale sia prestata “individualmente” e qualora la medesima attività sia prestata “congiuntamente” da due avvocati (in questo caso saranno considerati contitolari). Se invece l’attività professionale sia svolta “in forma societaria o da un’associazione professionale o da una società tra avvocati” il titolare sarà considerato “l’ entità nel suo complesso”. A norma dell’art.29, il titolare ha facoltà di designare uno o più responsabili. Il parere in questione ha esplicitamente chiarito come la designazione debba avvenire in conformità ai dettami del Codice della privacy. Quindi il responsabile deve essere individuato tra i soggetti che, per qualità come l’esperienza, la capacità e affidabilità, garantiscano il rispetto della normativa in materia di trattamento di dati personali; i compiti del responsabile devono essere specificati per iscritto dal titolare; il titolare stesso è tenuto alla vigilanza sull’operato del responsabile designato. Infine abbiamo la figura dell’ incaricato: tutte le persone che in uno studio legale abbiano accesso ai dati, siano essi avvocati, praticanti, collaboratori e personale amministrativo dovranno essere designate per iscritto dal titolare o dal responsabile, come dovrà essere documentato per iscritto “l’ ambito del trattamento” consentito all’incaricato.

   A norma dell’art.31 tutti i dati devono essere custoditi e controllati da idonee e preventive misure di sicurezza, tra queste ve ne sono alcune, le misure minime, differenti se il trattamento avvenga con l’ausilio di strumenti elettronici o meno, rese obbligatorie ex artt.33-36, ex Allegato B del Codice. Entro il 30 giugno 2004 ed entro il 31 marzo di ogni anno, qualora vengano trattati dati sensibili o giudiziari, dovrà essere redatto dal titolare o dal responsabile il c.d. DPS, documento programmatico sulla sicurezza, contenente tutte le informazioni di cui al punto 19 dell’ Allegato B.

   Qualora il trattamento dei dati rientri nelle ipotesi formulate dall’ art.37, primo comma,  (vedi Loppini Francesco, Nuove procedure per la notificazione dei dati personali ) si dovrà notificare al Garante. Una eccezione a tale obbligo, come sottolineato nello stesso parere, è stata introdotta con provvedimento 31 marzo 2004, con il quale il Garante ha escluso dall’art.37 i trattamenti di dati genetici o biometrici effettuati (nell’ esercizio della professione di avvocato) in relazione allo svolgimento delle indagini difensive di cui alla legge 397/2000 o in sede giudiziaria. Come non devono essere notificati (vedi art.37, primo comma, lettera f ) i trattamenti dei dati di clienti e fornitori qualora il trattamento avvenga in sede investigativa o giudiziaria, anche se l’ avvocato dovrà costituire una banca dati contenente i “dati relativi al rischio della solvibilità economica, alla situazione patrimoniale, al corretto adempimento degli obbligazioni, a comportamenti illeciti o fraudolenti”.

   Altro adempimento di fondamentale importanza trattato nel parere riguarda il consenso e l’informativa dell’interessato. 

   Il cliente ha il diritto a ricevere l’ informativa di cui all’art.13. Tale informativa, come stabilito dal provvedimento del 19 febbraio 2002, è sempre necessaria qualora i dati siano raccolti direttamente presso l’interessato.

   Il trattamento dei dati personali è ammesso solo con il consenso di cui all’art.23. Eccezioni a tale obbligo sono previste all’art.24, tra cui spiccano la lettere b) e f). La prima norma stabilisce l’ esonero dal consenso qualora il trattamento sia necessario per eseguire obblighi derivanti da un contratto, mentre la seconda riguarda l’esclusione del consenso quando il trattamento è necessario per lo svolgimento di investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria. Il trattamento dei dati sensibili e giudiziari necessita del consenso del cliente e dell’autorizzazione del Garante. Tale autorizzazione è già stata rilasciata in caratteri generali per entrambe le tipologie di dati. Per i dati sensibili (Aut. 4/2002) sarà efficace fino al 30 giugno e successivamente sarà sostituita da latra analoga, per i dati giudiziari invece vige un’ altra autorizzazione, la 7/2002, anch’ essa di carattere generale.

 

Categoria: