La privacy nello Studio Legale digitale

  1. Introduzione

L’avvento del Processo Civile Telematico ha catapultato – più di prima – l’Avvocato analogico, abituato all’utilizzo di strumenti cartacei, nel ben più complesso sistema della telematica. Potrebbe dirsi che è stato calato nell’informatica “strutturata”, intendendosi con tale locuzione un complesso di attrezzature digitali organizzate tra di loro, sia a livello software che hardware, secondo un criterio olistico, ragionato: infatti, già da anni (quasi) tutti gli Avvocati utilizzano un personal computer, ma solo dal 2013 hanno cominciato a conoscere meglio firme digitali, PEC, cloud computing, file strutturati, formati, etc.

Tutto ciò ha comportato un grosso incremento del trattamento informatico dei dati personali, che reca seco conseguenze di non poco conto per il Legale, aduso a forme tradizionali di trattamento (quali archivi cartacei, comunicazioni via posta e non elettroniche) che seguono regole parzialmente diverse o comunque importano accorgimenti più semplici.

  1. Nozioni

Innanzitutto, per comprendere come l’Avvocato Telematico deve approntare oggi un’organizzazione almeno minima per tutelare i dati personali di cui viene a conoscenza, è necessario partire dalle definizioni e capire cosa essi siano.

E’ noto che la normativa pertinente è contenuta nel D. Lgs. 30.06.2003, n. 196, «Codice in materia di protezione dei dati personali» (volgarmente detto Codice Privacy).

Esso definisce, all’articolo 4, co. 1, lett. b, il «dato personale» come «qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale». E’, pertanto, evidente che ogni Avvocato utilizza dati personali nella propria attività: dati dei clienti, delle controparti, dei Colleghi, dei fornitori, di terzi. Tutti costoro possono essere gli «interessati », ossia le persone fisiche cui i dati personali si riferiscono (art. 4, co. 1, lett. i) – non vi rientrano le persone giuridiche. Tale utilizzo configura un trattamento di dati personali, definito (art. 4, co. 1, lett. a) come «qualunque operazione o complesso di operazioni, effettuate anche senza l’ausilio di strumenti elettronici» compiuta sui dati personali. Tutto ciò rende l’Avvocato «titolare del trattamento», ossia colui che determina le finalità, le modalità e gli strumenti del trattamento, compreso il profilo della sicurezza (art. 4, co. 1, lett. f).

L’investitura di tale ruolo implica l’assunzione di precisi obblighi e correlate responsabilità, anche penali.

Infatti, l’Avvocato, per la natura della sua professione, si trova a trattare dati spesso particolari. Si badi al fatto che per «dati giudiziari» devono intendersi non tutti i dati trattati in un processo, bensì solo quelli «idonei a rivelare provvedimenti di cui al DPR 313/2002, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti o la qualità di imputato o indagato» (art. 4, co.1, lett e).

Questo significa che, in tutti gli altri casi, l’Avvocato tratta dati personali c.d. comuni ovvero «dati sensibili», definiti come i dati idonei a rivelare l’origine etnica, il pensiero politico e sindacale, le opinioni filosofiche, nonché quelli idonei a rivelare lo stato di salute o la vita sessuale (c.d. dati supersensibili). Si pensi ad un giudizio civile in tema di risarcimento del danno da lesioni, in cui vengano trattati i dati sanitari del paziente-danneggiato.

Avendo a che fare con tutte queste tipologie di dati, l’Avvocato è tenuto a sapere preliminarmente cosa deve fare e in che modo deve predisporre la propria organizzazione di studio per rispettare i numerosi obblighi imposti dalla normativa privacy.

  1. L’informativa e il consenso

In primo luogo, l’articolo 13 del Codice impone al titolare del trattamento, ossia l’Avvocato, di informare l’interessato (ad esempio, l’Assistito) ovvero la persona presso cui i dati sono raccolti (ad esempio, i genitori dell’Assistito minorenne), oralmente o – sarebbe meglio – per iscritto, circa:

  • Finalità e modalità del trattamento
  • Natura obbligatoria o facoltativa del conferimento dei dati
  • Conseguenze del mancato conferimento (ad esempio, l’impossibilità di esercitare il patrocinio legale)
  • Soggetti o categorie di soggetti cui i dati possono essere comunicati e l’ambito di diffusione (ad esempio, il proprio commercialista)
  • I diritti di cui all’articolo 7 del Codice
  • Gli estremi identificativi del titolare del trattamento.

Il Codice, invero, parla di protezione dei dati personali e non semplicemente di privacy, perché è diretto a favorire l’autodeterminazione informativa dell’interessato: ne deriva che primo elemento imprescindibile è la corretta informazione circa i nostri dati.

In secondo luogo, consegnata l’informativa, il titolare è tenuto, ove necessario, ad acquisire il consenso dell’interessato al trattamento dei dati, ai sensi dell’articolo 23 del Codice. Di norma, infatti, può procedersi a trattamento solo in presenza di detto consenso, salvi i casi di esclusione previsti dal successivo articolo 24, tra cui rientrano delle eccezioni legate alla professione forense.

L’Avvocato non è tenuto innanzitutto né a dare l’informativa né ad acquisire il consenso della controparte rispetto al proprio Assistito (che ben difficilmente presterebbe il consenso a farsi notificare una citazione – art. 24, co. 1, lett. f).

In generale, non deve acquisire neanche il consenso del proprio Cliente, in virtù dell’art. 24, co. 1, lett. b, secondo cui esso non è richiesto se il trattamento è necessario ad eseguire obblighi derivanti da un contratto in cui è parte l’interessato, quale il mandato giudiziale. Va, tuttavia, precisato che l’informativa e il consenso devono essere specifici per ogni trattamento e separati per le attività di marketing: qualora l’Avvocato volesse, ad esempio, utilizzare l’indirizzo di posta elettronica o il numero di telefono del Cliente per finalità promozionali, deve acquisire il relativo consenso informato.

Particolari garanzie sono previste poi per il trattamento da parte di privati dei dati sensibili e dei dati giudiziari (articoli 26 e 27 del Codice).

Per quanto qui interessa, giova sottolineare che i dati sensibili possono essere trattati anche senza consenso e previa autorizzazione del Garante, allorché il trattamento è necessario allo svolgimento delle investigazioni difensive o per far valere un diritto, ma, se trattasi di dati supersensibili, il diritto difeso dev’essere almeno di pari rango (art. 26, co. 2, lett c).

I dati giudiziari, invece, formano oggetto di trattamento da parte dei privati solo previa espressa previsione di legge o provvedimento del Garante: non a caso, il Garante con cadenza regolare adotta le autorizzazioni generali di cui all’articolo 40, tra cui rientra anche quella rivolta alle professioni legali.

Non si deve cadere nell’errore di credere che problematiche relative alla privacy non capitino mai nella vita professionale, i cittadini sono spesso divenuti più attenti a certe tematiche.

Per un caso recente, si pensi che, nel 2014, il Garante si è occupato del caso di un Avvocato che ha ricevuto una richiesta di appuntamento per e-mail, con cui la parte ha inoltrato documenti contenenti, tra l’altro, dati giudiziari, cui non è, poi, seguito il conferimento dell’incarico. Alla richiesta del compenso, la parte ha lamentato il mancato ricevimento dell’informativa sul trattamento dei dati, come riconosciuto anche dallo stesso Garante: questi ha precisato che già con la mail di risposta l’Avvocato avrebbe dovuto rendere l’informativa di cui all’articolo 13.

Omissione che, si vedrà, può comportare diverse sanzioni.

  1. Trattamento informatico dei dati: misure di sicurezza

Gli obblighi appena esaminati concernono il trattamento in generale, a prescindere dalle modalità con cui è svolto, che possono essere analogiche o informatiche. Infatti, l’adozione degli accorgimenti in materia di dati personali incombe sugli avvocati già dagli anni ’90, l’odierna maggior diffusione delle tecnologie ha solo accresciuto l’attenzione al tema.

Tuttavia, in ambito digitale, sono più stringenti le accortezze e gli adempimenti richiesti dal Codice.

Innanzitutto, sia per i trattamenti analogici che informatici, l’articolo 33 del Codice prescrive l’adozione delle misure minime di sicurezza, che trovano miglior specificazione nei due articoli successivi e nell’Allegato B al Codice, contenente il Disciplinare tecnico sulle misure di sicurezza.

L’articolo 34 individua, a livello generale, come deve essere svolto il trattamento con strumenti elettronici, mentre l’articolo 35 disciplina quello effettuato senza l’ausilio di essi.

Tra le misure prescritte rientrano l’obbligo di autenticazione informatica, l’adozione di procedure per la gestione delle credenziali di autenticazione, fornire ed aggiornare istruzioni adeguate agli incaricati del trattamento, installare software antivirus, effettuare copie di back up, adottare procedure di disaster recovery e tecniche di cifratura dei dati supersensibili quantomeno.

  1. Trasferimento dei dati all’estero

Merita un cenno anche la spinosa questione del trasferimento dei dati all’estero, regolato dagli articoli 42 ss. del Codice.

In linea generale, è lecito il trasferimento di dati all’interno dell’Unione Europea, sempre nel rispetto dei principi generali e previa informativa e consenso, ove necessari, in virtù del principio di libera circolazione, richiamato dall’articolo 42 medesimo.

Diversamente, il trasferimento di dati al di fuori dell’Unione Europea non è sempre ammissibile, se non nei casi previsti dall’articolo 43 e dall’articolo 44 del Codice.

Il primo individua tra le ipotesi di ammissibilità la circostanza che l’interessato abbia espressamente prestato il proprio consenso. Contempla, altresì, un’ipotesi tipica in ambito legale, ossia che il trasferimento sia necessario per le investigazioni difensive o per far valere un diritto in giudizio. Il problema si pone soprattutto in merito all’usanza di molti Avvocati oggi di salvare dati e documenti dei propri clienti in spazi cloud come Google Drive, Dropbox, Amazon o altri servizi esteri, non necessariamente statunitensi: spesso senza preoccuparsi di sapere dove sono collocati i server di tali colossi o quali siano le condizioni di concessione dei dati. Per esempio, molti termini di servizio prevedono la concessione a favore del fornitore di una licenza di utilizzo di tali dati, della facoltà di salvarli in data center collocati in Asia, facoltà di interruzione del servizio in qualsiasi momento.

Si ricordi che l’Avvocato, quale titolare del trattamento, deve garantire il diritto all’integrità del dato, al suo aggiornamento, alla sua rettifica: come può garantirlo se non può controllare il servizio cui affida i dati?

Né può valersi dell’eccezione al consenso citata prima, per cui è legittimo il trasferimento laddove necessario per difendere un diritto in giudizio: non sussiste il requisito di necessità in questo caso.

In merito agli Stati Uniti, è noto che, sino al 2015, operava una decisione della Commissione Europea, denominata “protocollo safe Harbour”, che, ai sensi dell’articolo 44 del Codice, consentiva il trasferimento verso tale paese, nei confronti di aziende che aderissero al protocollo. Tale decisione è stata annullata dalla Corte di Giustizia dell’Unione Europea, rendendo di fatto illegittimo il trasferimento: pertanto, non è più consentito all’Avvocato in alcun modo far transitare i dati su tali servizi. E’ attualmente in discussione una nuova decisione della Commissione Europea – c.d. privacy shield – che dovrebbe sostituire il protocollo annullato.

  1. Sanzioni

Quanto appena descritto costituisce il quadro presupposto per la soggezione dell’Avvocato poco accorto all’irrogazione di sanzioni, anche penali ed anche piuttosto pesanti.

Preliminarmente, va ricordato che, ai sensi dell’articolo 15 del Codice, il titolare si espone innanzitutto ad una responsabilità civile, laddove cagioni un danno per effetto del trattamento dei dati: trattasi di responsabilità di cui all’articolo 2050, per esercizio di attività pericolosa, con tutte le conseguenze sul piano della disciplina. Inoltre, il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11 sulle modalità di trattamento.

A ciò si aggiungono le sanzioni amministrative e penali.

Le prime sono previste negli articoli da 161 a 166 del Codice, aprendosi con l’omessa o inidonea informativa, punita con la sanzione da seimila a trentaseimila euro. La mancata adozione delle misure di sicurezza o il mancato rispetto delle disposizioni indicate all’articolo 167 (tra cui principi generali, obbligo di consenso, pubblicità indesiderata, etc) comportano la sanzione da diecimila a centoventimila euro. Sanzioni aumentabili nelle ipotesi aggravate di cui all’articolo 164-bis.

Le seconde sono previste negli articoli da 167 a 172 del Codice, a partire dal reato di trattamento illecito di dati. Esso ricorre qualora chiunque, al fine di trarre vantaggio per sé o altri o recare un danno ad altri, procede a trattamento in violazione del Codice e procura un nocumento: la pena è la reclusione, anche fino a tre anni, a seconda dei casi.

La mancata adozione delle misure di sicurezza minime costituisce non solo illecito amministrativo, ma anche penale, punti dall’articolo 169 con l’arresto fino a due anni, seppur oblabile.

E’ chiaro, quindi, che la posizione dell’Avvocato, quale titolare del trattamento, è delicata ed espone a grossi rischi, che rendono imprescindibile la conoscenza della normativa in materia di tutela dei dati personali, anche e soprattutto con l’avvento dei vari Processi Telematici, che incrementano l’estensione del rischio: l’informatica rende, tuttavia, anche più semplice adeguarsi alla normativa, adottando i minimi accorgimenti prescritti.

Pubblicato su EC-Legal