Interessi protetti - Professionista -  Redazione P&D - 01/02/2019

Data protection: riscritte le regole deontologiche per il corretto trattamento dei dati personali negli studi legali - Antonio Nenzioni

Sono state pubblicate sulla Gazzetta Ufficiale n. 12 del 15 gennaio 2019 le nuove regole deontologiche relative ai trattamenti dei dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere in giudizio un diritto.
L’art. 20 del D.Lgs. n. 101/2018, che ha novellato recentemente il Codice Privacy, ha infatti affidato al Garante Privacy il compito di riscrivere i Codici deontologici già adottati, tra cui quello relativo al trattamento dei dati effettuato nell’ambito di investigazioni difensive, al fine di individuare le disposizioni ritenute compatibili con la nuova disciplina introdotta dal GDPR (Reg. Ue 2016/679).
Si tratterebbe di norme, emanazione di un ampio potere di softlaw riconosciuto al Garante, ridenominate per l’appunto “regole deontologiche”, la cui violazione sarebbe vera e propria causa di illegittimità dei trattamenti.
Di seguito quindi si esamineranno le regole deontologiche individuate dal Garante che ciascun avvocato, o praticante iscritto nell’albo territoriale, dovrà osservare nello svolgimento del proprio mandato difensivo, sia esso riferito ad una vertenza stragiudiziale, arbitrale, conciliativa che ad un procedimento giudiziario.
Benché infatti non si registrino sostanziali mutamenti rispetto al Codice di Deontologia e di Buona Condotta del 6 novembre 2008, la pubblicazione in Gazzetta delle predette regole deontologiche rappresenta pur sempre un’occasione utile per riesaminare talune specifiche disposizioni destinate agli studi legali alla luce dei nuovi principi di accountability e di data protection by design e by default introdotti dal GDPR.
Ancora degno di nota, anzitutto, risulta essere l’art. 2 delle predette norme deontologiche, il quale individua il titolare del trattamento, oltre che nel singolo avvocato o associazione professionale nel suo complesso, anche nella pluralità dei professionisti che, anche al di fuori di un mandato congiunto, concorrono all’esercizio dell’attività difensiva.
In siffatta ultima ipotesi, quindi, il consulente (perito contabile, medico-legale, ecc.) ed il domiciliatario, nominati dall’avvocato in mandato, non sarebbero mai responsabili del trattamento che trattano i dati in base alle istruzioni operative e tecniche del titolare, bensì veri e propri contitolari che, congiuntamente al dominus, determinano le modalità del trattamento assicurando, come espressamente stabilisce l’art. 2, l’applicazione dei principi di finalità, proporzionalità e minimizzazione dei dati e lo svolgimento di un’attenta analisi dei rischi.
Tanto basta per far sorgere l'obbligo, in capo ai professionisti in parola, di siglare un accordo per la contitolarità dei dati ex art. 26 GDPR, nel quale comunque ben potrà essere stabilito che ogni obbligo informativo previsto dal GDPR in favore dell’interessato resti unicamente a carico dell’avvocato in mandato.
Sempre ai sensi dell’art. 2 delle regole deontologiche in esame, l’avvocato dovrà impartire unicamente per iscritto le istruzioni al proprio collaboratore o ausiliario (sostituto processuale, consulente ecc.); meglio, tuttavia, che gli impiegati di studio ed i praticanti, ancor prima di operare sotto la diretta autorità dell’avvocato, siano debitamente formati sugli aspetti salienti della disciplina sulla protezione dei dati ed espressamente designati “incaricati del trattamento” o “persone autorizzate al trattamento”, secondo il combinato disposto di cui agli artt. 4.10, 29 GDPR e 2 quaterdecies Cod. Privacy.
Adeguate cautele dovranno poi essere sempre osservate dal professionista:
- in caso di acquisizione, anche informale, di notizie altamente confidenziali;
- al fine di evitare l’indebita raccolta e conoscenza di dati da parte dei colleghi che svolgono l’attività professionale all’interno del medesimo studio;
- in relazione alla custodia di documenti, non confluiti in atti processuali, e di quelli riferiti ad affari già definiti.
Non dovrebbe invece presentare particolare criticità il trattamento dei dati personali acquisiti dalla consultazione di pubblici registri (si pensi alle informazioni reperite presso il Registro delle Imprese o l’anagrafe civile), dal momento che la qualità, attualità ed autenticità dei dati sono garantite dalla stessa fonte pubblica consultata.
In siffatto caso, ciò che dovrà verificare il professionista, per far sì che il trattamento sia lecito, è che il dato acquisito, secondo i principi di correttezza del trattamento e minimizzazione dei dati (art. 5 GDPR), sia effettivamente necessario e funzionale all’attività difensiva.
Di grande rilievo, anche pratico, continua ad essere l’art. 3 delle regole deontologiche in esame il quale contempla la possibilità per il professionista di predisporre, per i propri clienti, un’informativa unica ex art. 13 GDPR, a patto che questa sia affissa nei locali dello studio, ove i clienti sono soliti intrattenersi, o sia pubblicata sul sito internet dell’avvocato, se presente.
Così facendo, l’avvocato non dovrà inviare via mail o a mezzo posta l’informativa a ciascun cliente, persona fisica, né riportarne il testo in calce alla procura alle liti.
Tale informativa, comunque, dovrà essere sempre fornita per iscritto, come prescrive l’art. 12 del GDPR, ancor più ora che l’Autorità garante, nella riscrittura delle norme deontologiche, ha stralciato il preambolo del Codice di Deontologia ove veniva riconosciuta all’avvocato la possibilità di fornire le informazioni sul trattamento anche in forma orale.
Un grande contributo in termini di chiarezza viene fornito, infine, dal successivo art. 4, disciplinante i tempi di conservazione e cancellazione dei dati, ove viene testualmente stabilito che “la definizione di un grado di giudizio o la cessazione dello svolgimento di un incarico non comportano un’automatica dismissione dei dati”.
Benché estinto il procedimento giudiziario o venuto meno il mandato, i dati del fascicolo potranno dunque ancora essere conservati per esigenze difensive della parte assistita, in presenza di un interesse legittimo da parte dell’avvocato (ad esempio per dimostrare la correttezza del proprio operato) ovvero per adempiere ad un obbligo normativo di natura fiscale o imposto a fini di contrasto della criminalità (si pensi alle norme antiriciclaggio); in tale ultima ipotesi però - specifica il Garante - il trattamento potrà essere limitato a soli dati strettamente necessari per adempiere all’obbligo normativo.
Venuta poi meno una delle predette necessità, i dati potranno ancora essere conservati per finalità scientifiche e di conservazione del patrimonio di precedenti giuridici dello Studio, purché in forma anonima.
La permanenza di tale ultima disposizione tra le norme deontologiche lascia tuttavia perplessi.
Se infatti, prima dell’introduzione del processo civile telematico, l’anonimizzazione dei dati contenuti negli atti processuali era una pratica sempre possibile, disponendo l’avvocato solo di fascicoli cartacei o file informatici editabili, ora non lo è più in quanto non è consentito all’utente modificare gli atti, depositati telematicamente, dei propri fascicoli personali.
Si auspica, pertanto, sul punto un chiarimento da parte del Garante.
Ciò rimarcato, la titolarità del trattamento non verrà nemmeno meno anche nel caso di sospensione o cessazione dell’esercizio della professione o nell’ipotesi di rinuncia al mandato; lo stabilisce il comma 4 del medesimo art. 4, in continuità con il precedente Codice di deontologia, il quale specifica ulteriormente che, in assenza di altro difensore che subentra nella difesa o in caso di mancata restituzione del fascicolo all’assistito, questo dovrà essere consegnato al Consiglio dell’Ordine di appartenenza ai fini della conservazione dei dati per finalità difensive.
Incombente quest’ultimo, particolarmente gravoso per ogni Ordine territoriale, dal momento che l’avvento del GDPR impone, a ciascuno di questi, ancor più rispetto al passato, di dotarsi di mezzi e spazi adeguati per gestire un trattamento di dati che, a conti fatti, lascia ben pochi margini di discrezionalità al nuovo titolare in termini di libera scelta delle finalità e di portata del trattamento stesso.