Il GDPR e l’avvocato. Protezione dei dati sensibili dei clienti negli studi legali

Il Regolamento UE 2016/679 relativo alla protezione dei dati personali, entrato in vigore il 25 maggio 2018, deve essere applicato anche da coloro che esercitano la libera professione forense, indipendentemente dalla tipologia di studio legale all’interno del quale si svolge l’attività.

Ciascun avvocato, nell’esercizio delle sue funzioni, ha accesso a delle informazioni che, per loro natura, sono particolarmente sensibili e che possono riguardare, ad esempio, la situazione familiare, i dati giudiziari, la salute e l’orientamento politico del singolo individuo.

Il trattamento di ciascuno di questi dati è associato ad una logica specifica e diversa da quella comunemente utilizzata poiché connessa sia al rapporto di fiducia che lega l’assistito al proprio avvocato che al rispetto degli obblighi deontologici.

Il primo obbligo del professionista è quello di garantire, con particolare cura, il segreto professionale, espressione della trasparenza e confidenzialità del rapporto instaurato.

La divulgazione, seppur accidentale, di tali dati potrebbe ledere i diritti e la libertà delle persone coinvolte in modo irreversibile ed esporle a problematiche di non poco conto.

Al fine di evitare pericoli gli avvocati dovranno assicurarsi che:

  • le modalità di trattamento e di trasmissione dei dati siano chiaramente definite;
  • le misure di sicurezza siano precisamente individuate, definite ed attuate;
  • i colleghi o i collaboratori di studio (es. segreteria, praticanti, colleghi, collaboratori a qualsiasi titolo) siano adeguatamente informati e coinvolti nel processo di protezione dei dati personali dei singoli clienti;
  • le norme e la sicurezza siano rispettate anche nell’ipotesi in cui lo studio abbia esternalizzato a terzi alcuni servizi (ad esempio, l’utilizzo di una segreteria virtuale, la conservazione dei dati su cloud) o utilizzi propri mezzi di comunicazione a terzi (sito web, blog, servizi di consultazione on line).

Precisamente, ai sensi dell’art. 4, comma 7, GDPR, il titolare del trattamento dei dati personali è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di predetti dati. Una simile funzione ben si concilia con il ruolo di carattere gestionale svolto da colui che può determinare finalità e mezzi del trattamento (cd. Data Controller).

L’avvocato, dunque, è titolare del trattamento di tutte le informazioni che vengono fornite dagli assistiti in virtù del mandato ricevuto. Secondo l’art. 26 del GDPR, le stesse funzioni dovranno essere espletate da eventuali contitolari qualora siano stati sottoscritti un mandato ed autorizzazione al trattamento dei dati da parte di più difensori, i quali, in caso di violazioni, risponderanno ciascuno per la propria parte in ragione delle responsabilità e degli obblighi assunti ex art.13 e 14 del GDPR.

Invero, nel caso in cui ogni avvocato riceva mandato per specifiche prestazioni o attività, pur inerenti lo stesso oggetto di controversia, consulenza o problematica, non si ravvisa una collaborazione nelle finalità e, dunque, ciascuno sarà titolare del trattamento elaborandone autonomamente le modalità. È il caso, ad esempio, dell’assistenza specifica di più avvocati – appartenenti allo stesso studio – in ambiti diversi e separati, come l’avvocato cui è affidata la difesa in sede civile e l’avvocato cui è affidata la difesa in sede penale per il medesimo soggetto e per fatti correlati.

Nel caso di società o associazioni è sempre l’ente giuridico – in nome del legale rappresentante pro tempore – ad essere qualificato titolare; ciononostante, in virtù del mandato tra assistito e avvocato (di natura prettamente personale e fiduciaria), si reputa che il titolare non potrà che essere identificato nell’avvocato che riceve (o negli avvocati della società o associazione che ricevono) l’incarico di svolgere la prestazione e non nel legale rappresentante della persona giuridica.

L’avvocato, inoltre, ha l’obbligo di tenere il registro delle attività di trattamento sotto la sua responsabilità anche ove il trattamento stesso sia riferito a particolari categorie di dati o a dati relativi a condanne, reati o sanzioni (ad esempio: gli avvocati che si occupano di diritto penale, quelli che si occupano di famiglia e minori, di diritto della previdenza sociale, di medical malpractice e, in generale, di vertenze in materia di risarcimento danni da lesioni personali). Tale obbligo non vige per le organizzazioni con meno di 250 dipendenti, sempre che il trattamento non includa un rischio non occasionale per i diritti e le libertà delle persone interessate o si riferisca, in particolare, a dati sensibili o relativi a condanne e reati.

In ogni caso la detenzione del registro è sempre consigliabile. Quest’ultimo dovrà includere necessariamente ex art. 30 del GDPR: il nome ed i contatti del titolare, del contitolare, del responsabile e, se del caso, del rappresentante, del responsabile dell’elaborazione e del responsabile della protezione dei dati. Dovrà contenere, inoltre, gli scopi del trattamento; la descrizione delle categorie relative ai dati trattati, nonché delle categorie di persone coinvolte nel trattamento o dei destinatari a cui i dati personali sono stati o saranno comunicati.

Altro aspetto fondamentale è quello che attiene la sfera del rapporto tra professionista e cliente. Infatti, nell’ambito dell’esercizio della professione forense, è bene ricordare che il trattamento dei dati personali è unicamente finalizzato alla formazione del fascicolo dell’assistito ed alla difesa dei suoi interessi.

L’articolo 9, comma 1, GDPR, disciplina il divieto – in linea di principio – del trattamento dei dati sensibili. Il suddetto articolo, tuttavia, contempla l’eccezione di cui al comma 2, lettera f), ai sensi della quale il divieto imposto dal comma 1 può essere derogato per “accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni”.

L’avvocato, quindi, per poter espletare il proprio incarico – ad esempio in ambito penalistico – dovrà raccogliere dati sulle condanne penali e sui precedenti del cliente. La natura speciale di questi elementi richiede garanzie di un trattamento specifico che può essere attuato esclusivamente sotto il controllo dell’Autorità pubblica o essere direttamente regolamentato da precise disposizioni previste dalla legge nazionale.

Pertanto, in ossequio al dettato dell’art. 13 del GDPR, gli assistiti di uno studio legale dovranno essere informati:

  • sull’identità e sui dettagli di contatto del titolare del trattamento e dell’eventuale responsabile della protezione dei dati (se previsto);
  • sull’obiettivo perseguito (gestione e monitoraggio dei file dei clienti);
  • sulla base giuridica del trattamento (prestazione contrattuale o precontrattuale su richiesta del cliente);
  • sull’interesse legittimo del titolare, se costituisce la base giuridica del trattamento ex art. 6, comma 1, lettera f), GDPR;
  • sui destinatari dei dati (subappaltatori, ufficiali giudiziari, etc.);
  • sui flussi transfrontalieri;
  • sulla durata di conservazione;
  • sui diritti che possono vantare;
  • sulle condizioni per l’esercizio dei diritti;
  • sul diritto di revocare il consenso;
  • sul diritto di presentare un reclamo all’autorità di controllo;
  • sulle informazioni relative alla natura normativa o contrattuale del trattamento.

Queste informazioni potranno essere incluse nell’accordo con il cliente o essere comunicate via e-mail o in occasione della trasmissione di una nota di onorario.

Altro aspetto da analizzare è quello inerente la conservazione dei dati dei clienti, che dovranno essere custoditi per tutta la durata del mandato professionale fino al raggiungimento dell’obiettivo perseguito e, prima della loro cancellazione definitiva, sino a quando non sia prescritta un’eventuale azione di responsabilità professionale in cui potrebbe incorrere l’avvocato.

Nel caso estremo in cui vi sia una revoca dell’incarico, l’avvocato che ha inizialmente trattato i dati è tenuto a comunicare al suo collega che il cliente ha sottoscritto mandato conforme alle norme di legge e dovrà provvedere alla loro trasmissione in formato strutturato comunemente usato e leggibile da una qualsiasi macchina. Ove il fascicolo fosse tenuto in modalità esclusivamente cartacea, quest’ultimo dovrà essere consegnato al cliente nel minor tempo possibile, con l’eccezione delle lettere riservate che dovranno essere consegnate direttamente al nuovo avvocato.

Da ultimo, i titolari e responsabili del trattamento dei dati sensibili, nel caso in cui violino le norme precauzionali del GDPR create dal legislatore, potranno incorrere in sanzioni amministrative significative.

Precisamente, l’autorità Garante per la protezione dei dati personali potrà: rivolgere avvertimenti; ammonire l’avvocato, l’associazione o la società professionale; limitare temporaneamente o permanentemente un trattamento; sospendere il flusso dei dati; ordinare di soddisfare richieste per l’esercizio dei diritti delle persone; ordinare la rettifica, la limitazione o la cancellazione dei dati; ritirare la certificazione di conformità concessa all’avvocato, allo studio, all’associazione o alla società professionale ovvero ordinarne il ritiro all’autorità di certificazione; comminare una sanzione amministrativa di importo compreso tra i 10 ed i 20 milioni di euro, ovvero, in caso di grandi studi internazionali, di importo compreso tra il 2% ed il 4% del fatturato mondiale.

Bibliografia:

Articolo a cura di Valentina Bartolucci

Profilo Autore

Ha conseguito la Laurea magistrale in Giurisprudenza nell’anno accademico 2010/2011 con una tesi in Diritto penale e si è diplomata nel 2013 presso la Scuola di Specializzazione per le Professioni Legali della LUISS Guido Carli.
Dal 2011 collabora con alcune delle più importanti riviste giuridiche italiane.

Condividi sui Social Network:

Articoli simili