Dalla newsletter n. 214 del Garante per la protezione dei dati personali

Adempimenti semplificati per gli avvocati e privacy dei clienti più garantita anche nel corso delle attività che precedono il giudizio. Notificazioni dei trattamenti solo nei casi indicati dal Codice o in quelli stabiliti dal Garante. Informativa ai clienti, scritta o orale, anche in forma sintetica o colloquiale, purché completa.
Adozione di idonee misure per la salvaguardia dei dati e redazione di un documento programmatico sulla sicurezza in caso di trattamento di dati sensibili o giudiziari in via informatica, entro il 30 giugno 2004.
In un parere (consultabile sul sito http://www.garanteprivacy.it/) indirizzato al Consiglio nazionale forense l'Ufficio del Garante ha fornito alcuni chiarimenti per una corretta applicazione della disciplina sulla privacy nell’esercizio dell’attività forense.
Quando l’attività è svolta individualmente, titolare del trattamento è lo stesso avvocato. A lui spettano le decisioni sull’uso dei dati, gli strumenti impiegati, il profilo della sicurezza. Sono contitolari del medesimo trattamento due professionisti che operano congiuntamente. Se l’attività è invece svolta in forma societaria o associata il titolare è l’entità nel suo complesso. In questo caso gli adempimenti previsti dal Codice devono essere attuati unitariamente per evitare frammentazioni o ripetizioni da parte dei singoli professionisti. La designazione del responsabile del trattamento è facoltativa, ma nelle grandi organizzazioni ne possono essere designati anche diversi. Chiunque ha accesso ai dati (praticanti, personale amministrativo ecc.), deve essere designato quale incaricato del trattamento, e per iscritto devono essere indicati anche i compiti.
L'avvocato è tenuto alla notificazione solo nei casi previsti dal Codice tenendo anche presenti quelli che sono stati sottratti a tale obbligo dal Garante. Dall'aprile 2004, in base ad un provvedimento dell’Autorità, non sono infatti più soggetti a notificazione i trattamenti di dati genetici e biometrici  effettuati  nel corso di investigazioni difensive o per far valere o difendere un diritto in giudizio, purché il diritto che si intende far valere sia almeno dello stesso rango di quello dell’interessato. Non vanno inoltre notificati i trattamenti di dati economici relativi a clienti o fornitori, purché l’avvocato non costituisca una banca dati informatica, con dati sulla solvibilità, situazione patrimoniale ecc.
Il cliente deve essere sempre informato, anche in forma orale e sintetica purché completa, sull’uso che verrà fatto dei suoi dati personali.
I dati comuni e sensibili possono essere trattati senza consenso solo se il loro uso è necessario per svolgere indagini difensive o far valere un diritto. Se tra i dati sensibili vi sono anche informazioni relative a salute e vita sessuale il diritto difeso o fatto valere in giudizio  deve essere un diritto della personalità o un altro diritto o libertà fondamentale o inviolabile.  Non è richiesto il consenso per trattare i dati giudiziari, ma l’avvocato deve rispettare le prescrizioni dell'autorizzazione generale rilasciata a suo tempo dal Garante.
I dati dei clienti, inoltre, devono essere protetti da misure di sicurezza idonee e preventive per ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato ecc. Alcune cautele, le cosiddette "misure minime" di sicurezza, sono obbligatorie e hanno risvolti anche sul piano penale. In particolare, l’avvocato che tratta dati sensibili o giudiziari con mezzi informatici è tenuto a predisporre un documento programmatico sulla sicurezza (Dps) entro  il 31 marzo di ogni anno (per il 2004 entro il prossimo 30 giugno).
Il Garante ha anche precisato che, contrariamente a quanto ipotizzato in diversi quesiti posti ai propri uffici, non occorre sostituire i nomi delle parti sul fascicolo cartaceo con un codice identificativo: è sufficiente adottare opportune precauzioni per rendere la documentazione accessibile solo al personale autorizzato.
Regole diverse si applicano all’esercizio dell’attività stragiudiziale (arbitrati, conciliazioni, ricorsi amministrativi) dove il trattamento dei dati comuni di soggetti diversi dal cliente, a meno che siano dati ricavabili da fonti pubbliche, deve avvenire con il consenso dell'interessato. Consenso che deve essere scritto nel caso si tratti di dati sensibili, giudiziari o di informazioni sulla salute e le abitudini sessuali.
Il Garante ha espresso, infine, al Consiglio nazionale forense la propria disponibilità a fornire ogni altro chiarimento e parere anche in altre tematiche da approfondire, quali ad esempio quelle del rapporto con gli investigatori privati, della conservazione di documenti, della conoscibilità di atti e documenti in sede giudiziaria.

Anticipazione della legge quadro sulla privacy (04.02.02)
Certificazione BS 7799 sulla sicurezza informatica (10.05.02)
Come attuare le modifiche recate dal D.Lgs, 467/2001 in relazione alla notifica (02.09.02)
L'uso di internet sul posto di lavoro: le linee-guida del Garante tedesco (31.01.03)
Il viaggio on line vuole la privacy (16.05.03)
Approvato il Codice della Privacy (30.07.03)
No degli esperti UE ai test genetici sui lavoratori (10.10.03)
Lavoro: accessi ai dati e percorso professionale (10.11.03)
Malattie professionali: lecite le segnalazioni dei medici all’Inail (02.12.03)
Il nuovo Codice della Privacy (10.02.04)
Videosorveglianza e protezione dati personali (15.03.04)
Obblighi di sicurezza e documento programmatico: slitta al 30 giugno la redazione del dps (24.03.04)
Chiarimenti sui trattamenti da notificare al Garante (23.04.2004)
Prime riflessioni sui criteri di redazione del Documento programmatico sulla sicurezza (20.05.2004)