Avvocati, studi legali e GDPR:le linee guida CNF sulla privacy

CONSERVAZIONE DEI DATI

L’avvocato titolare del trattamento deve definire una politica di durata e di conservazione dei dati nel suo ufficio. I dati personali possono essere conservati solo per il tempo necessario per il completamento dell’obiettivo perseguito durante la loro raccolta.
In generale, i dati dei clienti possono essere tenuti per la durata del mandato professionale tra l’avvocato e il suo cliente. Possono ovviamente essere conservati anche dopo la cessazione del rapporto professionale, al fine di tutelare i diritti dell’avvocato nei confronti del cliente, sia quanto al diritto a conseguire i compensi, sia per resistere ad eventuali azioni di responsabilità: per tale ragione, si ritiene che la conservazione dei dati possa prolungarsi per tutto il tempo di prescrizione ordinaria, prima della loro cancellazione definitiva.

È inoltre importante ricordare che i dati acquisiti in sede di identificazione e adeguata verificata ai sensi del decreto legislativo n. 231 del 2007 in materia di antiriciclaggio devono essere conservati per un periodo di 10 anni dalla cessazione del rapporto continuativo, dellaprestazione professionale o dall’esecuzione dell’operazione occasionale (art. 31, comma 3, d.lgs. 231 del 2007).

******

IL CONSENSO

Il consenso è definito dall’art. 4, par. 1 n. 11, del GDPR come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

L’art. 6, par. 1, del GDPR indica le condizioni di liceità del trattamento, individuando 5condizioni di cui almeno una deve ricorrere affinché il trattamento possa essere considerato lecito. Delle condizioni indicate, si evidenziano le seguenti:

1. a)  l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
2. b)  il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.

Quantunque non sia richiesto un consenso scritto, e sebbene l’attività professionale possarientrare nella lettera b), è preferibile precostituirsi la prova di avere ottenuto il consenso (art.7, par. 1, del GDPR): l’avvocato, quindi, dovrà sottoporre al cliente per la firma unadichiarazione di consenso in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive (C42). È facoltà dell’interessato revocare il proprio consenso in qualsiasi momento (art. 7, par. 2, del GDPR), ma “la revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca”.

*******

DIRITTO DI ACCESSO AI DATI

Il GDPR apporta le rilevanti modifiche anche sul diritto di accesso.
Qualsiasi persona fisica che giustifichi la sua identità ha diritto di interrogare il titolare
– per sapere se sta trattando i suoi dati;
– per ottenere la comunicazione dei dati in forma comprensibile e tutte le informazioni disponibili per quanto attiene l’origine del trattamento;
– per ottenere informazioni sulla finalità del trattamento i dati raccolti e i destinatari

Sinteticamente:
Tempo di risposta a una richiesta: il tempo di risposta è ora un mese dal ricevimento della richiesta (articolo 12.3). Viene tuttavia offerta l’opportunità di prorogare questo termine di due mesi, “data la complessità e il numero di applicazioni”, a condizione che l’interessato ricevacomunque un’informazione al riguardo entro un mese dal ricevimento della richiesta (articolo12.3).
Commissioni di riproduzione: il regolamento prevede un principio di gratuità copie fornite come parte di una richiesta di accesso (Articolo 12.5). questo solo quando la domanda è manifestamente infondata o eccessiva che il il responsabile del trattamento può richiedere il pagamento di “costi ragionevoli” che tengono conto dei costi amministrativi sostenuti per la fornitura delle informazioni. La medesima regola si applica quando viene richiesta una copia aggiuntiva dei dati.
Le modalità di comunicazione dei dati: il regolamento prevede che se la persona inoltra una domanda per via elettronica, l’informazione richiesta è comunicata in forma elettronica di uso comune, a meno che l’interessato non richieda diversamente (art. 12,3).

Prevede inoltre che il responsabile del trattamento assista il titolare nell’adempimento dei suoi obblighi riguardo al diritto di accesso (articolo 28 e). Ad esempio: un datore di lavoro potrebbe chiedere al proprio responsabile del trattamento di fornirgli supporto per fornire ai dipendenti che lo richiedono geolocalizzazioni “in forma accessibile”;

*******

PRIVACY BY DEFAULT E PRIVACY BY DESIGN

L’art. 25 del GDPR prevede l’obbligo Integrare di default il concetto di dati personali nella progettazione di nuovi prodotti e servizi. Quando l’avvocato cambia i suoi software, pertanto,si deve interrogare sin dall’inizio in merito all’impatto dell’evoluzione sui dati che tratta. Ciò implica in particolare l’integrazione di tecniche di protezione e misure organizzative per limitare i rischi di violazione dei diritti e delle libertà delle persone.

• Quando l’avvocato è titolare?

Ai sensi dell’art 4 comma. 7 GDPR (C74) il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme adaltri, determina le finalità e i mezzi del trattamento di dati personali. Il termine inglese “Data Controller” ben si concilia con il carattere gestionale di colui che può determinare finalità emezzi del trattamento.

L’avvocato sarà titolare del trattamento di tutte le informazioni che vengono allo stesso fornite dagli assistiti in virtù o in correlazione del mandato ricevuto.

Il GDPR prevede altresì (art. 26, C79) la figura dei contitolari del trattamento quando più titolari determinano congiuntamente le finalità e i mezzi del trattamento. Si reputa che nel mondo forense questa figura possa ravvisarsi in tutti i casi in cui vi sia un mandato a più colleghi che lavorano insieme ed in collaborazione determinando insieme le finalità e le modalità del trattamento. In questi casi è necessario un esplicito accordo interno che definiscale rispettive responsabilità ed osservanza degli obblighi, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cuiagli articoli 13 e 14 del GDPR.

Nel caso in cui, invero, ciascun avvocato riceva mandato per specifiche prestazioni o attività, pur inerenti lo stesso oggetto di controversia, consulenza o problematica, non si ravvisa una collaborazione nelle finalità e, pertanto, ciascuno sarà autonomo titolare del trattamento elaborando autonomamente le modalità di trattamento. È il caso, ad esempio, di assistenza specifica di più avvocati ciascuno in ambiti diversi ed autonomi, come – anche all’interno dellostesso studio – l’avvocato cui è affidata la difesa in sede civile e l’avvocato cui è affidata ladifesa in sede penale da parte del medesimo soggetto per fatti correlati.

• In uno studio associato chi è il titolare?

Nel caso di società o associazioni è sempre l’ente giuridico – in nome del legale rappresentante – ad essere qualificato titolare; ciononostante, in virtù del mandato tra assistito e avvocato, mandato di natura prettamente personale e fiduciaria, si reputa che il titolare non potrà cheravvisarsi nell’avvocato che riceve (o negli avvocati della società o associazione che ricevono) incarico della prestazione e non nel legale rappresentante della persona giuridica. Nel caso, infatti, in cui il fiduciario cessi i propri rapporti professionali con l’associazione o la società, l’incarico fiduciario con quel professionista è autonomo, e la società o associazione non dovrebbe più reputarsi titolata a detenere la totalità delle informazioni fornite. Nella pratica non potrebbe avocare un diritto di titolarità delle informazioni del fascicolo o di tutti i dati relativi al singolo assistito, ma, per applicazione dei criteri di necessità, proporzionalità e minimizzazione dei soli dati pertinenti e necessari, come ad esempio, a fini fiscali

• L’avvocato domiciliatario è titolare?
  Si reputa che l’avvocato mero domiciliatario, poiché tratta dati personali per conto del dominusmandatario (titolare del trattamento), sia da qualificarsi Responsabile ai sensi dell’art. 4 par. 8del GDPR.
  I responsabili del trattamento sono soggetti ad oneri ed obblighi del tutto similari a quelli previsti per i titolari, devono presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento egarantisca la tutela dei diritti dell’interessato.I domiciliatari non potranno ricorrere ad altri responsabili o sub-responsabili senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento ed in ogni caso, dovranno informare immediatamente del trattamento di eventuali modifiche previsteriguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare l’opportunità di opporsi a tali modifiche.

• L’avvocato deve tenere un registro dei trattamenti?

Il registro delle attività di trattamento elenca le informazioni sulle caratteristiche dei trattamenti effettuati dal titolare del trattamento.
Ogni titolare del trattamento di dati dovrà tenere un registro delle categorie di trattamento dei dati personali implementati sotto la sua responsabilità. Tale obbligo non vige per le organizzazioni con meno di 250 dipendenti, a meno che il trattamento non includa un rischio per i diritti e le libertà delle persone interessate, non occasionale o se si riferisce in particolare a dati sensibili o a dati relativi a condanne e reati.

Uno studio legale sarà quindi soggetto all’obbligo di istituire un registro delle attivitàtrattamento allorché il trattamento sia riferito a particolari categorie di dati o dati relativi a condanne e reati sanzioni (esemplificativamente: gli avvocati che si occupano di diritto penale, quelli che si occupano di famiglia e minori, di diritto della previdenza sociale, di medical malpractice e, in generale, di vertenze in materia di risarcimento danni da lesioni personali). In ogni caso la detenzione del registro è fortemente consigliata anche all’avvocato che – ipotesi quasi di scuola – tratti soltanto dati comuni, consentendogli di mappare più chiaramente i trattamenti e di monitorare gli stessi ai fini del rispetto dei principi del GDPR e dei diritti degliinteressati, oltre a risultare molto utile, ove occorra, per fornire prova dell’esatto adempimento all’obbligo adeguamento al principio dell’accountability.

Tale registro, in conformità con l’articolo 30 del GDPR, deve includere le seguenti informazioni:
• Il nome e i dettagli di contatto del titolare, del contitolare, del responsabile e, se del caso, il rappresentante del responsabile della’ elaborazione e responsabile della protezione dei dati;

• gli scopi del trattamento;
• Una descrizione delle categorie di dati trattati, nonché delle categorie di persone coinvolte nel trattamento;
• Categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi idestinatari dei paesi parti terze o organizzazioni internazionali;
• Ove applicabile, i trasferimenti di dati personali verso un paese terza parte oun’organizzazione internazionale, compresa l’identificazione di paese terzo o di tale organizzazione internazionale e i documenti che certificano l’esistenza di garanzie adeguate;
. ove possibile il termine ultimo previsto per la cancellazione dei dati;
. ove possibile una descrizione generale delle misure di sicurezza tecniche ed organizzative

• Quali dati tratta l’avvocato?

L’avvocato tratta:

• –  i dati relativi al personale dipendente ed ai collaboratori;
• –  i dati relativi ai clienti;
• –  i dati raccolti attraverso il sito internet

a. I dati relativi ai dipendenti e ai collaboratori

Nell’ambito dei rapporti di collaborazione o di lavoro (ad esempio con una segretaria o il tecnico del computer) della gestione del libro paga e la gestione amministrativa del personale, l’avvocato – in qualità di datore di lavoro effettua un trattamento di dati. Lo deve pertanto effettuare in conformità alle norme del GDPR, ricordando che l’art. 88 prevede discrezionalitàdegli stati membri nella regolamentazione del trattamento dei dati nell’ambito del rapporto di lavoro (ad oggi il decreto legislativo non è ancora stato emanato).

Nel contesto della gestione dei suoi dipendenti e, più in generale, il suo personale, l’avvocato come il datore di lavoro può raccogliere principalmente due tipi di dati:

• Dati necessari per ottemperare a un obbligo legale. • Dati utili per:
(i) gestione amministrativa del personale,
(ii) organizzazione lavoro e

(iii) azione sociale.

Durante il colloquio per l’assunzione, i dati dovrebbero essere usati solo per valutare la capacità del candidato di eseguire il lavoro proposto.
Potranno pertanto essere raccolti solo i dati relativi alla qualifica e all’esperienza del collaboratore (esempi: diplomi, precedenti lavori, ecc.)

È pertanto vietato:
• raccogliere dati sulla famiglia del candidato;
• raccogliere dati su opinioni politiche o appartenenza sindacale il candidato.

• L’avvocato può effettuare controlli sull’attività dei dipendenti / collaboratori?

L’avvocato del datore di lavoro può utilizzare strumenti per controllare l’attività dei dipendenti o del personale.
Ad esempio, lo studio legale potrebbe determinare le condizioni di utilizzo dell’accesso aInternet da parte di dipendenti e personale sul luogo di lavoro: può inserire i filtri per bloccare determinati contenuti (pornografia, pedofilia, ecc.).

È anche possibile limitare l’uso di Internet per motivi di sicurezza, ad esempio il download disoftware, o predisporre strumenti atti a controllare le ore di lavoro o l’accesso da parte deidipendenti ai files.
Non è invece possibile estendere al controllo dell’attività dei dipendenti l’utilizzo di un eventuale software installato al fine di calcolare il tempo dedicato dall’avvocato allo studio oalla predisposizione di atti di un fascicolo.

• Per quanto tempo devono essere conservati i dati relativi al personale dipendente ed ai collaboratori?

In base al principio generale per cui il trattamento non può protrarsi oltre il tempo necessarioper l’espletamento degli incarichi, ovvero il tempo necessario in funzione della finalità deltrattamento stesso, i dati relativi ai dipendenti o ai collaboratori potranno essere conservati peril tempo della durata del rapporto, aumentato dell’eventuale tempo di maturazione dellaprescrizione, al fine di far valere i diritti nascenti dal rapporto.

• L’avvocato deve dare un’informativa ai dipendenti e collaboratori in merito al trattamento dei dati?

In conformità con i requisiti dell’Articolo 13 del GDPR, i dipendenti e i collaboratori dello studio legale dovrebbero essere informati in merito a:
• L’identità e i dettagli di contatto del titolare del trattamento;
• I dettagli di contatto del responsabile della protezione dei dati quando ce n’è uno;

• L’obiettivo perseguito (gestione amministrativa del personale e assunzioni);
• la base legale del trattamento;
• interesse legittimo del titolare se costituisce la base giuridica del trattamento ex art. 6. comma 1 lettera f;

• Destinatari dei dati (chi tiene i libri paga, ecc.);

• flussi transfrontalieri;
• la durata di conservazione;
• Condizioni di esercizio dei loro diritti di opposizione, accesso, rettifica e limitazione, ecc.;• Il diritto di revocare il consenso se è la base giuridica del trattamento;

• Il diritto di presentare un reclamo all’autorità di controllo;
• Informazioni sulla natura normativa o contrattuale del trattamento quando si tratta della base giuridica del trattamento.
Questa informazione può essere inserita nell’accordo di collaborazione o nel contratto di lavoro, ovvero può essere oggetto di documento visualizzato o può essere inviata comunicazione via e-mail, in particolare per regolarizzare la situazione con dipendenti e personale che non sono stati adeguatamente informati.

b. I dati relativi al cliente

IL SITO WEB DELLO STUDIO

Gli avvocati possono utilizzare siti web à per promuovere la loro attività, presentare i componenti dello studio, o pubblicare articoli ma il sito web può anche consentire la raccolta di dati personali con diverse modalità:
• un questionario online;

• una consultazione online;
• un modulo di contatto;
• creazione di un account online;
• attraverso i cookies
La titolarità di un sito web comporta principalmente la pubblicazione di una informativa, redatta ai sensi degli articoli 13 e 14 del GDPR.

• Cosa deve fare l’avvocato in caso di raccolta di dati attraverso il sito internet?

Qualora il sito web dello studio permetta l’inserimento di dati personali (es. modulo dicontatto), è opportuno che sia utilizzata la connessione con protocollo sicuro HTTPS(tecnologia “SSL”) per garantire il rispetto delle misure di sicurezza in funzione della confidenzialità delle informazioni scambiate con il professionista.

L’avvocato dovrà inserire, all’interno del registro delle attività di trattamento, un appositomodulo dedicato al trattamento dei dati sul sito web che deve includere i seguenti elementi:

• Identità e dettagli di contatto del titolare • scopi;
• Categorie di persone;
• Categorie di dati personali;

• Categorie di destinatari;
• trasferimenti verso un paese terzo o un’organizzazione internazionale; • Scadenze per la cancellazione;
• Descrizione generale delle misure di sicurezza tecniche e organizzative

Qualora l’avvocato riceva una proposta di incarico tramite il sito web sussiste l’obbligo di formalizzare il mandato accertando l’identità del cliente (art. 23 cod. deont.).

Contenuti del sito
Contenuti obbligatori previsti dal codice deontologico

• Indicazione del titolo professionale, la denominazione dello studio e l’ordine di appartenenza(art. 35, c. 3, cod. deont.)
• Il praticante può utilizzare soltanto il titolo per esteso “praticante avvocato” con l’eventuale indicazione di “abilitato al patrocinio” qualora abbia conseguito l’abilitazione (art. 35, c. 5,cod. deont.)

• Contenuti obbligatori previsti dall’art. 7 D. Lgs. n. 70/2003 (attuazione della direttiva 2000/31/CE sul commercio elettronico) a pena di una sanzione amministrativa da euro 103 ad euro 10.000

•riferimento alle norme professionali e al codice deontologico e le modalità di consultazione dei medesimi;
•il numero della partita IVA

La L. n. 247/2012 esclude i compensi tra le informazioni che possono essere diffuse.

• Contenuti obbligatori previsti dal GDPR

•Obbligo ai titolari di siti web di informare gli utenti che visitano il sito sulle modalità di utilizzo dei cookie
•Informativa sul trattamento dei dati
. le informazioni di cui agli art.li 13 e 14.

• Come rendere l’informativa nel sito in caso di utilizzazione dei cookies

Come prima cosa, gli avvocati dovranno verificare l’effettiva presenza di cookie sul loro sito web attraverso il dipartimento IT dell’azienda, i fornitori di servizi o controllando gli strumenti utilizzati, ecc.
Successivamente, è necessario determinare i tipi di cookie utilizzati sul sito web dell’avvocato. In effetti, alcuni cookie richiedono il consenso dell’utente, questo è il caso per:

. cookie pubblicitari;
• cookie “social network” generati dai pulsanti di condivisione quando raccolgono datipersonali senza il consenso delle persone interessate;
• alcuni cookie di misurazione degli accessi
In questo caso, il consenso deve essere precedente all’inserimento o alla lettura del contenuto del sito. Finché il cliente non ha dato il suo consenso, questi cookie non possono essere depositati o letti dal sito stesso.

********