Data protection, garante della privacy e avvocati

Accesso ai dati, trasparenza, sicurezza e velocità: le indicazioni del Garante della Privacy per gestire le istanze di trasmissione delle informazioni da parte del cliente, nell’era della smaterializzazione e della digitalizzazione.

 

1. PREMESSA: DIGITALIZZAZIONE E DATA PROTECTION

La digitalizzazione informatica dei processi operativi che sta interessando il mondo dei servizi professionali, compresi quelli legali, impone una nuova attenzione nell’esercizio quotidiano della professione.

L’avvento delle tecnologie digitali, infatti, ha velocizzato i processi di lavoro e, soprattutto, la modalità di scambio di informazioni – anche sensibili – che ormai viaggiano in rete, su un hardware remoto. Allo stesso tempo questa sempre maggiore interconnessione e il crescente flusso di dati da gestire ha generato una nuova serie di questioni, tra tutte la trasparenza e la sicurezza dei dati.

La disciplina per la tutela della trasparenza e della sicurezza dei dati in Italia, un tempo regolata dalla c.d. Legge Privacy (d.lgs 196/2003)^[1]è stata profondamente modificata dal Regolamento UE 2016/679, c.d. Regolamento GDPR (General Data Protection Regulation) che detta le linee guida per la tutela delle Persone Fisiche in materia di trattamento e di libera circolazione dei Dati personali che trova applicazione anche agli studi legali, quale che sia la loro organizzazione e dimensione. 

 

2. GDPR E AVVOCATI: STORIA DI UNA PROFESSIONE E DI UNA DISCIPLINA IN EVOLUZIONE 

Per meglio comprendere la pratica applicazione del regolamento GDPR al mondo dei servizi legali è utile una preventiva illustrazione dei principi fondamentali introdotti e/o confermati dalla disciplina europea^[2]. 

Il Regolamento GDPR, infatti, ha drasticamente ridefinito l’approccio delle aziende alla tutela della privacy attraverso l’introduzione del nuovo principio di ACCOUNTABILITY, intesa come “Responsabilizzazione” che, di fatto, attribuisce al c.d. Titolare del Trattamento più discrezionalità e, al tempo stesso, maggiore responsabilità per quel che concerne la protezione dati, con un inasprimento consistente delle sanzioni previste in caso di inadempienza.

Se si considera, quindi, quanto la professione legale sia profondamente legata alla gestione dei dati – non tanto, o meglio non solo, a causa della digitalizzazione in atto quanto, piuttosto, per la natura stessa della professione avendo l’avvocato, in virtù del mandato ricevuto dal cliente, accesso a dati particolarmente sensibili – non è difficile immaginare quanto la disciplina europea abbia impattato l’esercizio della professione. 

Prima dell’entrata in vigore del Regolamento UE 2016/679 la disciplina del trattamento dei dati sensibili per gli avvocati era interamente demandata al codice deontologico forense che, infatti, si disciplina anche i profili legati alla privacy nell’esercizio della professione^[3].  

Con il passare del tempo e con l’avvento delle nuove tecnologie, tuttavia, le norme del codice deontologico da sole si sono rilevate non sufficienti – soprattutto in ragione del proliferare dei dati a disposizione – imponendo, di contro, l’adozione di misure di protezione più accurate raccolte nella nuova disciplina europea.

Ed infatti, il regolamento UE GDPR 679/2016 ha significativamente cambiato il raggio di azione^[4], di prospettiva e di responsabilità degli avvocati, avendo previsto che il titolare dello studio legale non sia più chiamato ad applicare misure di sicurezza minime prestabilite, ma sia tenuto ad operare una valutazione soggettiva scegliendo le misure di sicurezza operative logiche e tecniche più adeguate alla sua realtà, per garantire la giusta protezione dei dati personali trattati, anche  nel caso di relativa trasmissione.

 

3. AVVOCATI E DIRITTO DI ACCESSO DEL CLIENTE A DATI E INFORMAZIONI: ARTICOLI 15, 11 E 12 DEL REGOLAMENTO GDPR

Da sempre argomento dibattuto, è il diritto di accesso ai dati da parte del cliente, soprattutto in seguito alla revoca del mandato all’avvocato e/o nel caso di trasmissione dei documenti ad altro professionista.

La disciplina, già contenuta nell’art. 33 del codice deontologico forense^[5]  è oggi regolata dall’art. 15 del regolamento UE/2016/679 che disciplina in modo innovativo anche il diritto di accesso alle informazioni raccolte. 

In particolare il richiamato art. 15 stabilisce che “l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tale ultimo caso, di ricevere dal titolare una serie di informazioni^[6] ad esso relative, per capire come quei dati sono stati ricevuti, per quale scopo e come vengono utilizzati.”

Completano la normativa gli artt. 11 e 12 del Regolamento che, disciplinano le modalità per l’esercizio di tutti i diritti da parte degli interessati, stabilendo che il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), un mese – estendibile fino a due mesi in casi di particolare complessità – e imponendo in ogni caso come standard minimo la accurata identificazione del soggetto interessato (con forte responsabilizzazione della figura dell’avvocato, soprattutto nel momento in cui il cliente invia la richiesta non tramite pec o raccomandata ma informalmente, ad esempio tramite una mail ordinaria e, quindi, non direttamente riconducibile a lui).

Dall’esercizio pratico e quotidiano della professione, tuttavia, sono emerse delle peculiarità e dei correttivi che è doveroso evidenziare: 

–  in primis, vi sono alcune eccezioni documentali a detta obbligatorietà di trasmissione entro un mese, quale ad esempio la corrispondenza riservata eventualmente intercorsa in costanza del mandato; 

– in secondo luogo, l’avvocato deve in ogni caso dare un riscontro all’interessato entro un mese dalla richiesta anche in caso di diniego;

– da ultimo, in nessun caso l’avvocato può subordinare l’evasione della richiesta al pagamento di una somma^[7] salvo consentire al professionista di chiedere il pagamento di “costi ragionevoli” per le spese vive, amministrative, sostenute per lo scambio delle informazioni richieste.

 

4. DIRITTO DI ACCESSO AI DATI E GIURISPRUDENZA: LA SENTENZA N. 24080/2011 DELLE SS.UU. DELLA CORTE DI CASSAZIONE E IL PROVVEDIMENTO N. 17/2022 DEL GARANTE PRIVACY

La questione della trasmissibilità dei dati era già stata affrontata – prima dell’entrata in vigore in Italia del regolamento GDPR – dalle Sezioni Unite della Corte di Cassazione con la sentenza n.24080 del 17 novembre 2011^[8] con cui la Consulta aveva confermato la sanzione inflitta a un professionista lombardo il quale, dopo essere stato revocato dal mandato senza essere stato pagato dal cliente, pur dichiarandosi disponibile a fornire tutta la documentazione richiesta dall’ex cliente, aveva posto in essere un comportamento volto unicamente ad evitare la consegna della copie della sentenza del Giudice di Pace con le quali il cliente avrebbe dovuto procedere in forma esecutiva impedendo e/o comunque rendendo più difficoltosa l’attività di verifica inerente la posizione.

La Suprema Corte in quell’occasione aveva così confermato la responsabilità disciplinare riconosciuta dal Consiglio nazionale forense nei confronti di un avvocato che, dopo la revoca della sua nomina a difensore, non aveva consegnato tutta la documentazione e la contabilità delle spese sostenute al nuovo legale incaricato. Così decidendo, la Suprema Corte aveva valorizzato soprattutto il profilo economico della questione, evidenziando la stretta correlazione tra pagamento dell’incarico e trasmissione documentale.

Con l’adozione del Regolamento UE 2016/679^[9] un nuovo organo ha iniziato a vigilare sulla condotta degli avvocati, de relato con il Consiglio nazionale Forense, ovvero il Garante della privacy. E il Garante, proprio ad inizio di quest’anno (a Gennaio 2022), con provvedimento n. 17/2022 ha sanzionato con un’ammonizione ai sensi dell’art. 15 Regolamento GDPR un avvocato per il ritardo con cui aveva riscontrato la formale istanza di accesso ai propri dati presentata da un cliente. 

Più nel dettaglio il Garante ha sanzionato l’avvocato per aver riscontrato la richiesta oltre il termine di un mese cui all’art. 12 comma 3 del Regolamento UE, sul presupposto che il comportamento del legale avrebbe determinato una indebita ed unilaterale proroga del termine di legge “omettendo di adempiere all’obbligo di informativa del ritardo prescritto dalla disposizione eurounitaria, il cui adempimento era del resto di facile esecuzione, consistendo nella mera comunicazione all’interessato, senza particolari oneri o formalità, dei motivi del ritardo”.

 

5. CONCLUSIONI E PROSPETTIVE FUTURE

La professione legale è in continuo e rapido divenire. Non si può quindi ancora ritenere cristallizzata una disciplina definitiva. Ma anche alla luce di quanto sopra esposto può ritenersi pacifico che i dati e il loro trattamento hanno una posizione preminente nell’esercizio della professione, rendendo la trasparenza e la sicurezza i driver più importanti del cambiamento. 

Ed infatti, oggi più che mai, vista anche la strutturazione in chiave imprenditoriale della professionale legale e la logica customer centric che domina il mercato, il rispetto delle regole per la protezione e la circolazione dei dati è prioritario. 

E’, quindi, inevitabilmente cambiata anche la diligenza richiesta all’avvocato nell’esercizio della professione, perché tenuto ad assicurare il contemperamento di nuovi e molteplici interessi, diversi da quelli prettamente economici, quali: veridicità e fruibilità dei dati; tempestività (i tassativi 30 giorni per l’evasione della richiesta, prorogabili sino ad un massimo di due mesi); ed infine la responsabilizzazione intesa quale massimo accorgimento nella gestione e trasmissione dei dati.

In breve, non basterà più dire di aver seguito le regole o di averci provato ma è diventato necessario assicurarsi anche di averle calate nella fattispecie concreta e di aver fatto tutto il possibile per assicurare il rispetto della sicurezza prescritta.

 

Avv. Livia Mannocchi

Partner e Head of communication marketing & CSR

MFLaw – Mannocchi & Fioretti

Studio Legale Associato

Sede di Roma

 

^{[1] La c.d. Legge Privacy (D.lgs 196 del 2003) è ancora in vigore ma è stata modificata dal D.lgs 101 del 2018 in vigore dal 19.09.2018, che ha abrogato molti articoli in contrasto con il Regolamento UE, ne ha modificati alcuni e ne ha introdotti di nuovi.}

^{[2] L’incisività del Regolamento UE 2016/679 risiede proprio nella natura di “regolamento” della normativa adottata dal Consiglio Europeo visto che, in quanto tale, non è soggetto a recepimento o modifiche da parte degli stati membri essendo applicabile sin dall’inizio così come è.}

^{[3] Il codice deontologico forense disciplina espressamente il tema della riservatezza, sia nella sezione dedicata ai rapporti dell’avvocato con il suo cliente e la parte personalmente assistita (art. 28), sia nei principi generali (art. 13).}

^{[4] Il nuovo Regolamento, oltre ad individuare i principi cui ci si deve attenere ai fini della protezione dei dati del cliente, consente all’avvocato nuovi spazi di intervento professionale: quali giuristi in possesso di particolari competenze potranno infatti prestare consulenza in materia di privacy ai loro clienti, e rivestire le funzioni di responsabile della protezione dei dati, ove in possesso anche di competenze tecniche specifiche. Tra tutte si segnala l’art. 13 del GDPR che al paragrafo 1 impone all’avvocato che acquisisce i dati degli assistiti di fornire loro una precisa informativa sull’attività che andrà a svolgere e sulle modalità dell’esecuzione.}

^{[5] Così dispone l’art. 33 C.d.f.: “L’avvocato, se richiesto, deve restituire senza ritardo gli atti ed i documenti ricevuti dal cliente e dalla parte assistita per l’espletamento dell’incarico e consegnare loro copia di tutti gli atti e documenti, anche provenienti da terzi, concernenti l’oggetto del mandato e l’esecuzione dello stesso sia in sede stragiudiziale che giudiziale, fermo restando il disposto di cui all’art. 48, terzo comma, del presente codice.”}

^{[6] Informazioni quali: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari e le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; d) quando possibile, il periodo di conservazione dei dati personali previsto ovvero, se non è possibile, i criteri utilizzati per determinate tale periodo; e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un autorità di controllo; g) qualora i dati non siano stati raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine.}

^{[7] Così Cassazione civile sez. un., 17/11/2011, n.24080: “L’avvocato deve consegnare al cliente i documenti richiesti, anche quando quest’ultimo non ha provveduto al pagamento delle spese e competenze legali; sicché, il professionista che omette la consegna, commette illecito disciplinare (artt. 42 e 43 c.d.f.). La formale messa a disposizione dei documenti da parte dell’avvocato non esclude la responsabilità disciplinare del professionista se ne è stata concretamente e di fatto impedita la materiale apprensione.”}

^{[8] Così Cassazione civile sez. un., 17/11/2011, n.24080: “L’avvocato deve consegnare al cliente i documenti richiesti, anche quando quest’ultimo non ha provveduto al pagamento delle spese e competenze legali; sicché, il professionista che omette la consegna, commette illecito disciplinare (artt. 42 e 43 c.d.f.). La formale messa a disposizione dei documenti da parte dell’avvocato non esclude la responsabilità disciplinare del professionista se ne è stata concretamente e di fatto impedita la materiale apprensione.”}

^{[9] Art. 12 co 3: “Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato.”}