Al pari di tutti i titolari del trattamento, anche gli avvocati devono predisporre un’informativa privacy per i clienti per fornire loro informazioni sulle modalità di trattamento dei dati che li riguardano, individuandone in particolare le basi giuridiche. Ecco cosa c’è da sapere
Gli avvocati, al pari di tutti i titolari del trattamento, sono tenuti dal Regolamento europeo in materia di protezione dei dati personali (GDPR) a predisporre l’informativa privacy per i clienti al fine di fornire loro informazioni sulle modalità di trattamento dei dati che li riguardano.
Gli avvocati devono impegnarsi a proteggere e salvaguardare qualsiasi dato personale, agire nell’interesse dei clienti e trattare i loro dati con correttezza e trasparenza, per fini leciti e tutelando la riservatezza ed i diritti di questi ultimi. Per queste ragioni devono fornire i recapiti necessari affinché i clienti possano contattarli in caso di domande sui loro dati personali.
Da parte degli avvocati è necessario, in particolare, individuare quali sono le finalità e le basi giuridiche sulle quali fondare i trattamenti dei dati.
Indice degli argomenti
Privacy e avvocati: l’informativa privacy
L’informativa è disciplinata dagli artt. 13 e 14 del Regolamento (UE) 2016/679 e l’avvocato è tenuto a fornirla ai clienti (generalmente) prima di effettuare la raccolta dei dati.
È necessario premettere che l’art. 13 GDPR si applica nel caso in cui l’avvocato raccolga i dati direttamente dal cliente e l’art. 14 trova applicazione quando i dati personali non siano stati ottenuti presso l’interessato ma l’avvocato li abbia ottenuti da altre fonti (si pensi al caso dei dati della controparte rispetto all’assistito o ancora dei dati ottenuti a seguito dell’affidamento da parte del Tribunale dell’incarico di difensore d’ufficio, curatore, custode e delegato alle vendite, per citarne alcuni).
Ciò detto, qualora trovi applicazione l’art. 13 le informazioni devono essere fornite “nel momento in cui i dati personali sono ottenuti”. Si consideri altresì che l’art. 3 delle “Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria” (da ultimo aggiornate e pubblicate in G.U. n. 12 del 15/01/2019), richiamando l’art. 13 del GDPR sulle informazioni da fornire qualora i dati personali siano raccolti presso l’interessato, stabilisce che l’avvocato può fornire l’informativa sul trattamento dei dati personali e le notizie relative alle indagini difensive:
- in un unico contesto;
- mediante affissione nei locali dello studio;
- pubblicando la stessa informativa sul proprio sito Internet (se ne dispone);
- utilizzando formule sintetiche e colloquiali.
Nel caso invece di dati personali ottenuti indirettamente, ex art. 14 GDPR, può desumersi la regola generale secondo la quale le informazioni devono essere fornite al momento della prima comunicazione con l’interessato e soltanto “in considerazione delle specifiche circostanze in cui i dati personali sono trattati” devono essere fornite all’interessato in ogni caso “al più tardi entro un mese” dall’ottenimento degli stessi (art. 14, par. 3, lettere a), b) e c), GDPR).
Su questo punto, l’avvocato deve tenere in seria considerazione anche quanto previsto dall’art. 14, par. 5, GDPR dove si prevede che tali informazioni non debbano essere fornite se:
- l’interessato già ne dispone;
- comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; ovvero […] se rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento;
- l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato;
- i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge.
Privacy e avvocati: dati di contatto e DPO
I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13 e 14, sempre al par. 1, GDPR.
Per quanto qui di interesse, l’avvocato deve specificare la propria identità e i recapiti ai quali poter essere contattato dai clienti (indirizzo studio, telefono, e-mail), le finalità del trattamento, i diritti degli interessati, se esistono dei responsabili del trattamento e quali sono i destinatari dei dati.
L’informativa richiederebbe anche l’indicazione dei dati di contatto del Responsabile della Protezione dei Dati personali, più comunemente conosciuto con l’acronimo di DPO, ove designato.
Ebbene, con particolare riferimento al singolo avvocato che svolga la sua attività a titolo individuale, può affermarsi con chiarezza che lo stesso non è tenuto alla designazione del DPO.
Tanto si evince dal Considerando 91 il quale, con riferimento al concetto di larga scala di cui all’art. 37 GDPR, recita che “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato” ed è ribadito dal Gruppo art. 29 nelle Linee guida sui responsabili della protezione dei dati (WP243).
Diversamente, sull’obbligatorietà o meno della designazione del DPO, analoghe considerazioni non valgono quando l’attività è svolta in forma associata o societaria tra avvocati che effettuano trattamenti di dati personali su larga scala (cfr. art. 37, par. 1, lett. b) e c) GDPR).
Finalità e basi giuridiche
L’avvocato deve fornire al cliente informazioni relative alle finalità e alle basi giuridiche del trattamento (artt. 13 e 14, sempre par. 1, lett. c), GDPR).
È opportuno evidenziare – preliminarmente – che con il GDPR il consenso è divenuto una base giuridica “residuale” che impone all’avvocato (come a tutti i titolari del trattamento) innanzitutto di verificare che ricorrano le altre condizioni previste dall’art. 6, par. 1, e dall’art. 9, par. 2, GDPR.
Leggendo il testo del Regolamento si potrà infatti notare che ad esclusione del “consenso”, tutte (o quasi) le altre basi giuridiche sono caratterizzate dalla locuzione “il trattamento è necessario per”. In questa prospettiva, laddove i trattamenti di dati personali (anche particolari) non siano strettamente necessari, solo allora l’avvocato potrà richiedere il consenso dei clienti quale base legittima del trattamento dei dati (artt. 6, par. 1, e 9, par. 2, sempre lett. a), GDPR).
Quanto all’individuazione delle finalità del trattamento, nel definire il loro ambito di applicazione le Regole deontologiche per gli avvocati prevedono all’art. 1, comma 1, il rispetto delle seguenti finalità:
- svolgere investigazioni difensive;
- far valere o difendere un diritto:
- in sede giudiziaria;
- nel corso di un procedimento (anche in sede amministrativa) di arbitrato o di conciliazione;
- nella fase propedeutica all’instaurazione di un eventuale giudizio;
- nella fase successiva alla sua definizione.
Ciò detto, in quanto tenuto contestualmente al rispetto del GDPR e delle Regole deontologiche, l’avvocato è obbligato a raccogliere e trattare i dati per finalità esclusivamente determinate, esplicite e legittime.
Privacy e avvocati: trattamento lecito dei dati personali
L’art. 6 del Regolamento (UE) 2016/679 prevede sei condizioni alternative in base alle quali il trattamento dei dati personali può ritenersi lecito.
Ebbene, far valere o difendere un diritto (nelle sedi e nelle fasi poco sopra citate) rappresenta certamente per un avvocato la finalità più ricorrente per dare esecuzione al mandato professionale ricevuto.
Trattandosi giustappunto di trattamenti necessari all’esecuzione di un contratto o di misure precontrattuali (art. 6, par. 1, lett. b), GDPR), non è richiesto il consenso del cliente. Se non risulti necessario in relazione a ipotizzabili altre esigenze difensive della parte assistita, il trattamento dei dati personali conferiti dal cliente dovrà cessare al termine dell’incarico, ma alcuni dati potranno continuare ad essere trattati per le finalità e con le modalità indicate nei punti successivi.
Un’altra condizione di liceità del trattamento dei dati personali che ricorre necessariamente per l’avvocato nell’esecuzione del mandato professionale, è adempiere ai vigenti obblighi contabili e fiscali, e più in generale adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento (art. 6, par. 1, lett. c), GDPR).
Di conseguenza, per tali finalità il trattamento è effettuato senza necessità di acquisire il consenso del cliente; in caso di rifiuto a conferire i dati necessari per gli adempimenti sopra indicati, l’avvocato non potrà fornire i servizi richiesti.
Con riferimento al periodo di conservazione dei dati acquisiti, il tempo è quello previsto dalle rispettive normative: ad esempio, per gli accertamenti fiscali e in materia di antiriciclaggio il termine è pari a di 10 anni.
Con il diffondersi delle nuove tecnologie è diventato di uso comune l’utilizzo di e-mail e WhatsApp da parte del cliente per interpellare l’avvocato ma anche da quest’ultimo per fornire la propria consulenza.
Sebbene si tratti di un canale anomalo di svolgimento della professione, venendo in gioco dei dati personali, è bene regolarizzare dal punto di vista della privacy l’acquisizione di e-mail e/o numeri di telefono che – lo si ricorda – rientrano appieno nella definizione di dato personale come “informazione riguardante una persona fisica identificata o identificabile” (art. 4, n. 1, GDPR).
Pertanto, per ricevere a mezzo e-mail o cellulare i pareri o la documentazione relativa all’espletamento dell’incarico professionale, deve essere previamente acquisito il consenso del cliente (ex art. 6, par. 1, lett. a), GDPR), sempre revocabile in qualsiasi momento.
Più in particolare, l’indirizzo e-mail e il numero di cellulare sono dati personali destinati ad una finalità aggiuntiva – non necessaria – rispetto al mandato professionale e per questa ragione deve essere richiesto il consenso del cliente.
Il mancato o non corretto conferimento del consenso renderebbe impossibile il trattamento inerente la suddetta finalità e conseguentemente l’avvocato non potrebbe inviare e-mail o messaggi, obbligando i clienti a visitare più spesso lo studio professionale. Per tale finalità l’indirizzo e-mail e il numero di cellulare del cliente saranno conservati sino alla conclusione dell’incarico, oltre la quale dovranno essere cancellati.
Altra finalità necessaria affinché il trattamento dei dati personali dei clienti sia lecito, è l’esercizio dei diritti dell’avvocato o di terzi (art. 6, par. 1, lett. f), GDPR). Si pensi al caso dell’avvocato che non è stato pagato per le prestazioni professionali espletate: sulla base del legittimo interesse perseguito dall’avvocato-creditore, quest’ultimo potrà continuare a trattare e conservare i dati personali del cliente-debitore.
O ancora, pensiamo all’avvocato che ha la necessità di conservare i dati del cliente per potersi difendere da un’eventuale azione di responsabilità professionale ex art. 1135 c.c.: il termine di conservazione in questo caso sarà pari a quello di prescrizione di 10 anni.
Pertanto, se non risulti necessario in relazione a ipotizzabili altre esigenze difensive dell’avvocato o di terzi, il trattamento cesserà al termine dell’incarico, ma alcuni dati potranno continuare ad essere trattati per le finalità e con le modalità indicate nei punti precedenti.
Categorie particolari di dati personali
Con specifico riferimento al trattamento di categorie particolari di dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, i dati biometrici, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, si deve fare riferimento alle basi giuridiche indicate all’art. 9, par. 2, GDPR.
Sul tema, il Considerando n. 52 ne illustra il possibile effetto nell’ambito del trattamento dei dati: “La deroga al divieto di trattare categorie particolari di dati personali dovrebbe essere consentita anche quando è prevista dal diritto dell’Unione o degli Stati membri, fatte salve adeguate garanzie, per proteggere i dati personali e altri diritti fondamentali, laddove ciò avvenga nell’interesse pubblico, in particolare il trattamento dei dati personali nel settore del diritto del lavoro e della protezione sociale, comprese le pensioni, e per finalità di sicurezza sanitaria, controllo e allerta, la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute. Tale deroga può avere luogo per finalità inerenti alla salute, compresa la sanità pubblica e la gestione dei servizi di assistenza sanitaria, soprattutto al fine di assicurare la qualità e l’economicità delle procedure per soddisfare le richieste di prestazioni e servizi nell’ambito del regime di assicurazione sanitaria, o a fini di archiviazione nel pubblico interesse o di ricerca scientifica o storica o a fini statistici. La deroga dovrebbe anche consentire di trattare tali dati personali se necessario per accertare, esercitare o difendere un diritto, che sia in sede giudiziale, amministrativa o stragiudiziale”.
Giungendo dunque a quanto qui di interesse, nell’esperimento dell’incarico ricevuto, l’avvocato potrà trovarsi ad “assolvere gli obblighi ed esercitare i diritti specifici in materia di diritto del lavoro e della sicurezza sociale e protezione sociale” per conto dei propri clienti (art. 9, par. 2, lett. b), GDPR).
Trattandosi di trattamenti necessari all’esecuzione del rapporto con il cliente, non è richiesto il consenso per il trattamento di categorie di dati particolari. Se non risulti necessario in relazione a ipotizzabili altre esigenze effettuate nell’interesse della parte assistita, il trattamento di tali dati particolari cesserà al termine dell’incarico, ma alcuni suoi dati potranno continuare ad essere trattati per le finalità e con le modalità indicate nei punti che seguono.
Sempre con riferimento alle categorie particolari di dati personali, l’avvocato è tenuto ad informare il cliente che il trattamento è lecito in quanto la finalità dell’incarico ricevuto è tesa ad “accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali” (art. 9, par. 2, lett. f), GDPR).
Si tratta evidentemente dell’attività tradizionalmente svolta dall’avvocato, i cui trattamenti sono necessari all’espletamento dell’incarico professionale e di conseguenza non è richiesto il consenso. Al solito, se non risulti necessario in relazione a ipotizzabili altre esigenze difensive della parte assistita, il trattamento dovrà cessare al termine dell’incarico, salvo che possano continuare ad essere trattati per le finalità e con le modalità indicate specificatamente per i dati particolari.
Infine, sempre con riferimento al trattamento lecito dei dati ccdd. particolari, la fattispecie poco sopra descritta permette di individuare una finalità specifica per la quale deve essere previamente acquisito il consenso (ex art. 9, par. 2, lett. a), GDPR), revocabile in qualsiasi momento.
Si tratta dell’incarico professionale diretto ad accertare, esercitare o difendere un diritto in sede stra-giudiziaria.
A titolo esemplificativo, si pensi al trattamento dei dati relativi alla salute trattati dall’avvocato nella fase della diffida e messa in mora per la richiesta di risarcimento dei danni diretta alle compagnie assicurative.
Ebbene, a parere di chi scrive il mancato o non corretto conferimento del consenso renderebbe impossibile il trattamento (lecito) di categorie di dati particolari inerente la suddetta finalità e di conseguenza l’avvocato non potrebbe espletare l’incarico in questa fase precedente all’eventuale giudizio.
Al solito, se non risulti necessario in relazione a ipotizzabili altre esigenze difensive della parte assistita, il trattamento dovrà cessare al termine dell’incarico.
Si fa solo notare infine, tanto è il pericolo per gli interessi o i diritti e le libertà fondamentali degli interessati, che l’art. 9 a differenza dell’art. 6 GDPR non prevede la necessità del trattamento per il perseguimento del legittimo interesse del titolare del trattamento o di terzi: ne deriva che, ad esempio, l’avvocato nemmeno in ragione del proprio legittimo interesse potrà conservare i dati particolari del cliente.
Dati personali relativi a condanne penali e reati
L’art. 10 GDPR prescrive che “Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. […]”. Ne consegue che il trattamento dei dati dell’articolo in commento è lecito se contestualmente:
- sussiste una delle condizioni stabilite dall’art. 6, par. 1, GDPR (consenso; contratto; obbligo legale; interesse vitale; interesse pubblico o connesso all’esercizio di pubblici poteri; legittimo interesse);
- il trattamento avviene sotto il controllo dell’autorità pubblica, o in alternativa sia autorizzato dal diritto dell’Unione o degli Stati membri il quale preveda garanzie appropriate per i diritti e le libertà degli interessati.
In verità, prima della piena applicazione del GDPR, era l’Autorizzazione del Garante Privacy n. 7 del 15/12/2016 (Autorizzazione al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici) ad autorizzare il trattamento dei dati giudiziari – specificando le finalità ed indicando precise prescrizioni – nell’ambito dei rapporti di lavoro, degli organismi di tipo associativo e fondazioni, della mediazione finalizzata alla conciliazione delle controversie civili e commerciali, della documentazione giuridica, nonché nell’ambito dei trattamenti effettuati da parte di liberi professionisti iscritti in albi o elenchi e di imprese bancarie e assicurative.
Tuttavia, essendo stata ritenuta dallo stesso Garante “incompatibile” con le disposizioni del GDPR, l’Autorizzazione n. 7/2016 ha cessato di produrre effetti giuridici in data 19/09/2018 con la pubblicazione in G.U. del D.lgs. 101/2018 (cfr. art. 21, commi 2 e 3, D.lgs. 101/2018 nonché Garante Privacy, Provv. n. 497 del 13/12/2018).
Di conseguenza, per i privati, in mancanza di una disposizione di legge o di regolamento che autorizzi il trattamento dei dati relativi a condanne penali e reati, quest’ultimo potrà avvenire esclusivamente previa individuazione dei trattamenti e delle garanzie da parte del Ministero della Giustizia, con apposito decreto, sentito il Garante (cfr. art. 2-octies, commi 1 e 2, D.lgs. 196/2003 come modificato dal D.lgs. 101/2018).
Allo stato dunque, gli avvocati potranno:
- ritenere di trattare i dati personali relativi a condanne penali e reati in quanto consentito da una norma di legge/regolamento;
- in alternativa – circostanza alquanto incresciosa – sentirsi orfani di un decreto del Ministero della Giustizia che abbia individuato trattamenti con garanzie appropriate per i diritti e le libertà degli interessati, per permettere ai professionisti della classe forense (e non solo) di trattare dati relativi a condanne penali e reati nel rispetto della normativa europea e nazionale in materia di protezione dei dati personali.
Rimane la speranza che il decreto possa essere emanato al più presto.
Responsabili del trattamento, autorizzati e altri destinatari
L’avvocato deve informare il cliente della circostanza che nel dare seguito all’incarico professionale potrà avvalersi di soggetti esterni per l’espletamento di alcune attività e dei relativi trattamenti di dati personali.
A tutela dei dati dei clienti l’avvocato è tenuto a formalizzare compiti ed oneri in capo a tali soggetti terzi con la nomina degli stessi a “responsabili del trattamento”. Deve essere premura dell’avvocato, conformemente a quanto stabilito dal Regolamento (UE) 2016/679, ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti (conoscenza specialistica, esperienza, capacità e affidabilità) per mettere in atto misure tecniche e organizzative adeguate alla conformità al GDPR e garantire la tutela dei diritti dell’interessato.
I dati personali potranno essere trattati anche da soggetti incaricati che operano sotto la diretta autorità dell’avvocato; dovranno essere previamente nominati quali “autorizzati al trattamento” e impartite loro idonee istruzioni in ordine a misure, accorgimenti, modus operandi, tutti volti alla concreta tutela dei dati personali trattati.
In estrema sintesi, senza necessità di espresso consenso, l’avvocato deve informare il cliente che potrà comunicare i suoi dati per le finalità su esposte a: sostituto processuale, praticante avvocato, consulente tecnico di parte, perito, investigatore privato, altro ausiliario non autonomo titolare, tirocinante, stagista, collaboratore amministrativo, Consiglio dell’Ordine degli Avvocati, Autorità giudiziarie, enti pubblici, banche e assicurazioni.
Su richiesta poi, in adempimento ad obblighi di legge, i dati del cliente potranno essere comunicati a enti e organismi di controllo oltre che alla magistratura.
In ogni caso, l’avvocato potrà informare il cliente del fatto che i dati non saranno soggetti a diffusione ma potranno essere rilasciate informazioni non coperte da segreto professionale, senza necessità di accordo con l’assistito, quando sia necessario per finalità di tutela dell’assistito medesimo (art. 5 Regole deontologiche).
L’avvocato dovrà altresì informare il cliente della circostanza che i suoi dati personali sono trasferiti o meno al di fuori dell’Unione europea o a un’organizzazione internazionale. In pratica, ad esempio, l’avvocato dovrà informare il cliente della circostanza che i dati siano salvati in un cloud che si trovi fisicamente all’interno o al di fuori del territorio europeo.
Conclusioni
L’avvocato deve fornire agli interessati informazioni sul trattamento dei loro dati personali a partire dalla circostanza che vengano utilizzati mezzi informatici e/o cartacei (archivi o fascicoli); o ancora deve specificare se il trattamento è automatizzato (compresa la profilazione) e nel caso deve indicare la logica di tali processi decisionali e le conseguenze previste per l’interessato.
I dati del cliente debbono essere conservati per un periodo non superiore a quello necessario per il perseguimento delle finalità sopra menzionate; deve essere verificata costantemente la stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto al rapporto e alla prestazione, da instaurare o cessati, anche con riferimento ai dati che il cliente dovesse fornire di propria iniziativa.
Pertanto, l’avvocato deve eseguire verifiche continue e deve prestare particolare attenzione a non utilizzare i dati che risultano eccedenti o non pertinenti o non indispensabili, a meno che l’eventuale conservazione dell’atto o del documento che li contiene è previsto da una norma di legge.
L’informativa deve avere una forma concisa, trasparente, intelligibile per il cliente e facilmente accessibile; deve altresì utilizzare un linguaggio chiaro e semplice, certamente non “legalese”.
Con l’informativa l’avvocato deve di-mostrarsi trasparente sulle modalità di trattamento dei dati personali e disponibile a rispondere alle domande che dovessero pervenirgli dai clienti, anche al fine di permettere loro ai sensi degli artt. 15-22 del Regolamento (UE) 2016/679 di far valere i diritti di: accesso; rettifica; cancellazione; limitazione; notifica ai destinatari; portabilità; opposizione; proporre reclamo al Garante per la protezione dei dati personali.