Il vademecum

GDPR e segreto professionale dell’avvocato, ecco come comportarsi

Alla luce del GDPR, sorgono incertezze sul corretto trattamento dei dati personali in relazione al segreto professionale dell’avvocato. Di seguito, un approfondimento sulla normativa e cosa fare in casi pratici, come per esempio se si rinuncia al mandato

23 Lug 2019
F
Ione Ferranti

Avvocato


Uno degli elementi essenziali della professione forense è la comunicazione all’avvocato di informazioni riservatissime, che il cliente non rivelerebbe a nessun altro.

L’avvocato viene a conoscenza di tali categorie particolari di dati personali nello svolgimento e a causa del mandato professionale (giudiziale o stragiudiziale), ottenendoli o meno presso l’interessato. Alla luce del GDPR[1], è utile approfondire come viene considerato questo aspetto.

GDPR e segreto professionale dell’avvocato: il contesto

L’art. 90 GDPR riconosce un ampio margine di competenza agli Stati membri al fine di conciliare il diritto alla protezione dei dati personali e l’obbligo di segretezza. L’adeguamento del diritto nazionale al GDPR (di cui al D.lgs. n. 101/2018) lascia impregiudicata la questione relativa all’armonizzazione fra GDPR e segreto professionale dell’avvocato[2].

Per quanto concerne specificamente il processo civile telematico, l’accesso al fascicolo informatico consente all’avvocato di acquisire tutti i dati personali oggetto di causa (anche relativi a terze persone).

Nel caso di sostituzione del legale nella difesa (per rinuncia o revoca del mandato), può succedere (per errore) che l’accesso al fascicolo informatico del processo civile telematico sia consentito non solo al nuovo difensore ma anche al vecchio avvocato sostituito.

Il presente articolo affronta (senza alcuna pretesa di completezza) il tema dell’eventuale violazione del GDPR o del segreto professionale dell’avvocato nel caso indicato.

GDPR e segreto professionale dell’avvocato: il trattamento dati

Molto spesso l’avvocato è costretto a trattare categorie particolari di dati personali nello svolgimento dell’incarico professionale. Per tali categorie di dati, l’art. 9 par. 1 GDPR (rubricato Trattamento di categorie particolari di dati personali) prevede che è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

In deroga a quanto previsto dal par. 1, il par. 2 del medesimo art. 9 GDPR dispone, fra l’altro, che il par. 1 non si applica, fra l’altro, se il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali [cfr. art. 9 par. 2 lett. f) GDPR].

Inoltre, spesso nello svolgimento dell’incarico professionale, l’avvocato è costretto a trattare dati personali che non sono stati ottenuti presso l’interessato (si pensi al caso di informazioni riservatissime, concernenti terze persone, confidate dal cliente al legale).

L’art. 14 GDPR (rubricato Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato) introduce una nuova eccezione all’obbligo di fornire informazioni all’interessato qualora i dati non siano stati ottenuti presso l’interessato: allorché i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge [cfr. art. 14 lett. d) GDPR].

Pertanto, il diritto di difesa – di cui è corollario la protezione del segreto professionale dell’avvocato (v. infra) – giustifica alcune deroghe alla protezione dei dati personali accordata dal GDPR e dalla relativa normativa nazionale di adeguamento.

È opportuna una breve digressione sulla tutela del segreto professionale dell’avvocato, anche al fine di chiarire quali categorie particolari di dati personali sono coperte dal riserbo.

Il segreto professionale, un diritto fondamentale

La protezione del segreto professionale dell’avvocato – riferita a quanto conosciuto in ragione dell’attività forense svolta da chi sia legittimato a compiere atti propri di tale professione – nell’ordinamento UE riveste il rango di principio giuridico generale avente natura di diritto fondamentale[3].

La segretezza dei rapporti fra difensore e difeso è uno dei valori fondamentali degli Stati di diritto che formano l’UE, essendo destinata a tutelare le attività inerenti alla difesa e non l’interesse soggettivo del professionista[4].

Il segreto professionale – oltre a essere alla base del rapporto di fiducia esistente tra l’avvocato e il suo cliente – costituisce una garanzia essenziale della libertà dell’individuo e del buon funzionamento della giustizia, di modo che esso rientra nell’àmbito dell’ordine pubblico nella maggior parte degli Stati membri[5].

In Italia, l’art. 6 (rubricato Segreto professionale) della l. n. 247/2012 (recante Nuova disciplina dell’ordinamento della professione forense) stabilisce, fra l’altro, che “l’avvocato è tenuto verso terzi, nell’interesse della parte assistita, alla rigorosa osservanza del segreto professionale e del massimo riserbo sui fatti e sulle circostanze apprese nell’attività di rappresentanza e assistenza in giudizio, nonché nello svolgimento dell’attività di consulenza legale e di assistenza stragiudiziale”.

La violazione degli obblighi di cui al comma 1 costituisce illecito disciplinare. Infatti, il codice deontologico forense (“c.d.f.”), all’art. 28 (rubricato Riserbo e segreto professionale), prevede, fra l’altro, che “è dovere, oltre che diritto, primario e fondamentale dell’avvocato mantenere il segreto e il massimo riserbo sull’attività prestata e su tutte le informazioni che gli siano fornite dal cliente e dalla parte assistita, nonché su quelle delle quali sia venuto a conoscenza in dipendenza del mandato”.

La carta dei princìpi fondamentali dell’avvocato europeo (adottata all’unanimità dal Consiglio degli ordini forensi europei (CCBE) nella sessione plenaria tenutasi a Bruxelles il 24.11.2006[6]) e il codice deontologico degli avvocati europei (risalente al 28.10.1988, più volte modificato, l’ultima delle quali nella sessione plenaria tenutasi a Oporto il 19.5.2006[7]) sottolineano la duplice natura del segreto professionale: il rispetto della riservatezza non è soltanto un dovere dell’avvocato ma anche un diritto fondamentale del cliente.

Il segreto professionale è tutelato dalla legge penale. L’art. 622 c.p. (rubricato Rivelazione di segreto professionale) punisce “chiunque, avendo notizia, per ragione del proprio stato o ufficio, o della propria professione o arte, di un segreto, lo rivela, senza giusta causa, ovvero lo impiega a proprio o altrui profitto”, se dal fatto può derivare nocumento, con la reclusione fino a un anno o con la multa da € 30 a € 516.

Nel processo penale, l’art. 200 c.p.p. (rubricato Segreto professionale) stabilisce che, per quanto di interesse, gli avvocati non possono essere obbligati a deporre su quanto hanno conosciuto per ragione della propria professione, salvi i casi in cui hanno l’obbligo di riferirne all’autorità giudiziaria (cfr. art. 200 comma 1 lett. b) c.p.p.).

WEBINAR
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Sicurezza
Sicurezza dei dati

L’art. 200 c.p.p. è richiamato dagli artt. 249 c.p.c. e 9 l. n. 162/2014, i quali ne estendono l’applicazione, rispettivamente, al processo civile e alla negoziazione assistita.

La disciplina del segreto professionale dell’avvocato e della correlativa facoltà di astenersi dal deporre, quale testimone in giudizio, su quanto conosciuto nell’esercizio di tale professione, si ispira ad un principio che, nel suo contenuto essenziale, è risalente nel tempo[8].

Tale disciplina risponde all’esigenza di assicurare una difesa tecnica, basata sulla conoscenza di fatti e situazioni, non condizionata dall’obbligatoria trasferibilità di tale conoscenza nel giudizio, attraverso la testimonianza di chi professionalmente svolge una tipica attività difensiva.

L’esenzione dal dovere di testimoniare è destinata a garantire la piena esplicazione del diritto di difesa, consentendo che ad un difensore tecnico possano, senza alcuna remora, essere resi noti fatti e circostanze la cui conoscenza è necessaria o utile per l’esercizio di un efficace ministero difensivo.

La protezione del segreto professionale dell’avvocato giustifica deroghe al diritto di accesso ai documenti amministrativi. Infatti, tutti gli atti che attengono all’esercizio del diritto di difesa in giudizio delle Pubbliche Amministrazioni – c.d. atti defensionali – sono sottratti all’accesso, in ragione delle esigenze di riservatezza relative alla strategia difensiva dell’Amministrazione[9].

La normativa di cui all’art. 7 l. n. 142/1990 e agli artt. 22 ss. l. n. 241/1990 – pur affermando l’ampia portata della regola dell’accesso, la quale rappresenta la coerente applicazione del principio di trasparenza, che governa i rapporti tra Amministrazione e cittadini – introduce alcune limitazioni di carattere oggettivo, definendo le ipotesi in cui determinate categorie di documenti sono sottratte all’accesso.

L’art. 24 l. n. 241/1990 stabilisce che il diritto di accesso è escluso – oltre che per i documenti coperti da segreto di Stato, ai sensi dell’art. 12 l. n. 801/1977 – nei casi di segreto o di divieto di divulgazione altrimenti previsti dall’ordinamento.

In tali casi, i documenti, seppure formati o detenuti dall’Amministrazione, non sono suscettibili di divulgazione, giacché il principio di trasparenza cede innanzi alla esigenza di salvaguardare il segreto professionale.

Regole deontologiche e compliance al GDPR

Ai sensi dell’art. 20 d.lgs n. 101/2018, alla fine del 2018, il Garante italiano ha emanato le “Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria” (“Regole deontologiche”; cfr. Delibera n. 512/2018 pubbl. in G.U. n. 12 del 15.1.2019).

L’armonizzazione fra la protezione dei dati personali accordata dal GDPR – nonché dalla normativa nazionale di adeguamento – e la tutela del segreto professionale dell’avvocato è affidata a tali Regole deontologiche.

Queste ultime “devono essere rispettate nel trattamento di dati personali per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria, sia nel corso di un procedimento, anche in sede amministrativa, di arbitrato o di conciliazione, sia nella fase propedeutica all’instaurazione di un eventuale giudizio, sia nella fase successiva alla sua definizione” (art. 1, co. 1).

Per quanto di interesse, tali regole devono essere rispettate da parte di:

  • “avvocati o praticanti avvocati iscritti ad albi territoriali o ai relativi registri, sezioni ed elenchi, i quali esercitino l’attività in forma individuale, associata o societaria svolgendo, anche su mandato, un’attività in sede giurisdizionale o di consulenza o di assistenza stragiudiziale, anche avvalendosi di collaboratori, dipendenti o ausiliari, nonché da avvocati stranieri esercenti legalmente la professione sul territorio dello Stato” (cfr. art. 1 co. 1 a) Regole deont.);
  • “soggetti che, sulla base di uno specifico incarico anche da parte di un difensore, svolgano in conformità alla legge attività di investigazione privata (art. 134 r.d. n. 773/1931; art. 222 norme coord. c.p.p.)” [cfr. art. 1 co. 1 a) Regole deont.].

In base all’art. 2 co. 1 Reg. deont.: “L’avvocato organizza il trattamento anche non automatizzato dei dati personali secondo le modalità che risultino più adeguate, caso per caso, a favorire in concreto l’effettivo rispetto dei diritti, delle libertà e della dignità degli interessati, applicando i princìpi di finalità, proporzionalità e minimizzazione dei dati sulla base di un’attenta valutazione sostanziale e non formalistica delle garanzie previste, nonché di un’analisi della quantità e qualità delle informazioni che utilizza e dei possibili rischi”.

Il comma 4 prevede che “Specifica attenzione è prestata all’adozione di idonee cautele per prevenire l’ingiustificata raccolta, utilizzazione o conoscenza di dati in caso di:

  • acquisizione anche informale di notizie, dati e documenti connotati da un alto grado di confidenzialità o che possono comportare, comunque, rischi specifici per gli interessati;
  • scambio di corrispondenza, specie per via telematica;
  • esercizio contiguo di attività autonome all’interno di uno studio;
  • utilizzo di dati di cui è dubbio l’impiego lecito, anche per effetto del ricorso a tecniche invasive;
  • utilizzo e distruzione di dati riportati su particolari dispositivi o supporti, specie elettronici (ivi comprese registrazioni audio/video), o documenti (tabulati di flussi telefonici e informatici, consulenze tecniche e perizie, relazioni redatte da investigatori privati);
  • custodia di materiale documentato, ma non utilizzato in un procedimento e ricerche su banche dati a uso interno, specie se consultabili anche telematicamente da uffici dello stesso titolare del trattamento situati altrove;
  • acquisizione di dati e documenti da terzi, verificando che si abbia titolo per ottenerli;
  • conservazione di atti relativi ad affari definiti.”

Il comma 5 “Se i dati sono trattati per esercitare il diritto di difesa in sede giurisdizionale, ciò può avvenire anche prima della pendenza di un procedimento, sempre che i dati medesimi risultino strettamente funzionali all’esercizio del diritto di difesa, in conformità ai princìpi di liceità, proporzionalità e minimizzazione dei dati rispetto alle finalità difensive (art. 5 del Regolamento UE 2016/679)”.

Sostituzione dell’avvocato

Ai fini del nostro discorso è di interesse l’art. 4 co. 1 Reg. deont. (rubricato Conservazione e cancellazione dei dati), il quale stabilisce, fra l’altro, che, salvo quanto previsto dall’art. 5, par. 1, lett. e) GDPR, “la definizione di un grado di giudizio o la cessazione dello svolgimento di un incarico non comportano un’automatica dismissione dei dati.

Una volta estinto il procedimento o il relativo rapporto di mandato, atti e documenti attinenti all’oggetto della difesa o delle investigazioni difensive possono essere conservati, in originale o in copia e anche in formato elettronico, qualora risulti necessario in relazione a ipotizzabili altre esigenze difensive della parte assistita o del titolare del trattamento, ferma restando la loro utilizzazione in forma anonima per finalità scientifiche.

La valutazione è effettuata tenendo conto della tipologia dei dati. Se è prevista una conservazione per adempiere a un obbligo normativo, anche in materia fiscale e di contrasto della criminalità, sono custoditi i soli dati personali effettivamente necessari per adempiere al medesimo obbligo”.

Il co. 2 dell’art. 4 Reg. deont. stabilisce che, salvo quanto previsto dal codice deontologico forense in ordine alla restituzione al cliente dell’originale degli atti da questi ricevuti, e salvo quanto diversamente stabilito dalla legge, “è consentito, previa comunicazione alla parte assistita, distruggere, cancellare o consegnare all’avente diritto o ai suoi eredi o aventi causa la documentazione integrale dei fascicoli degli affari trattati e le relative copie”.

Il co. 3 dell’art. 4 Reg. deont. prevede che “in caso di revoca o di rinuncia al mandato fiduciario o del patrocinio, la documentazione acquisita è rimessa, in originale ove detenuta in tale forma, al difensore che subentra formalmente nella difesa”.

L’avvocato che rinunci al mandato, fino a che non sia avvenuta la sostituzione del difensore è tenuto a informare la parte assistita delle comunicazioni e notificazioni che dovessero pervenirgli relativamente al precedente incarico, al fine di evitare pregiudizi alla difesa.

Tali principi sono validi anche per la revoca del mandato, quanto meno sotto il profilo della violazione dei doveri di correttezza e di diligenza. L’art. 32 c.d.f. (rubricato Rinuncia al mandato) prevede che, in caso di rinuncia al mandato, l’avvocato deve dare alla parte assistita un congruo preavviso e deve informarla di quanto necessario per non pregiudicarne la difesa.

In ipotesi di irreperibilità della parte assistita, l’avvocato deve comunicare alla stessa la rinuncia al mandato con lettera raccomandata all’indirizzo anagrafico o all’ultimo domicilio conosciuto o a mezzo PEC; con l’adempimento di tale formalità, fermi restando gli obblighi di legge, l’avvocato è esonerato da ogni altra attività, indipendentemente dall’effettiva ricezione della rinuncia.

Nel caso di sostituzione del collega nell’attività di difesa per revoca dell’incarico o rinuncia, l’art. 45 c.d.f. prevede che il nuovo difensore deve rendere nota la propria nomina al collega sostituito, adoperandosi, senza pregiudizio per l’attività difensiva, perché siano soddisfatte le legittime richieste per le prestazioni svolte.

Sotto il profilo processuale, l’art. 85 c.p.c. (rubricato Revoca e rinuncia alla procura) prevede che la procura alle liti può essere sempre revocata e il difensore può sempre rinunciarvi ma la revoca e la rinuncia non hanno effetto nei confronti dell’altra parte finché non sia avvenuta la sostituzione del difensore.

Le vicende della procura alle liti sono disciplinate in guisa diversa dalla disciplina della procura al compimento di atti di diritto sostanziale, perché – mentre nella disciplina sostanziale è previsto che chi ha conferito i poteri può revocarli (o chi li ha ricevuti, dismetterli) con efficacia immediata – né la revoca né la rinuncia privano, di per sé, il difensore della capacità di compiere o di ricevere atti. Infatti, i poteri attribuiti dalla legge processuale al procuratore non sono quelli che liberamente determina chi conferisce la procura ma sono attribuiti dalla legge al procuratore che la parte si limita a designare.

Deriva che, in base all’art. 85 c.p.c., ciò che priva il procuratore della capacità di compiere o ricevere atti non sono la revoca o la rinuncia, di per sé soli, bensì il fatto che alla revoca o alla rinuncia si accompagni la sostituzione del difensore[10].

La rinuncia al mandato da parte del procuratore – come la revoca da parte del conferente – è dichiarazione recettizia a forma libera, che produce effetto nei confronti dell’altra parte quando sia avvenuta la sostituzione del difensore, sicché il procuratore rinunciatario è privo dello ius postulandi in relazione al processo nel quale ha rinunciato ed è stato sostituito[11].

Conseguentemente, il difensore che abbia rinunciato al mandato conserva (fino alla sua sostituzione) la legittimazione a ricevere gli atti indirizzati dalla controparte al suo assistito[12].

L’art. 27 d.m. 21.2.2011 n. 44 (rubricato Visibilità delle informazioni) dispone, fra l’altro, che il dominio giustizia consente al soggetto abilitato esterno l’accesso alle informazioni contenute nei fascicoli dei procedimenti in cui è costituito.

È sempre consentito l’accesso alle informazioni necessarie per la costituzione o l’intervento in giudizio in modo tale da garantire la riservatezza dei nomi delle parti e limitatamente ai dati identificativi del procedimento.

In caso di delega, il dominio giustizia consente l’accesso alle informazioni contenute nei fascicoli dei procedimenti patrocinati dal delegante, previa comunicazione, a cura di parte, di copia della delega stessa al responsabile dell’ufficio giudiziario, che provvede ai conseguenti adempimenti. L’accesso è consentito fino alla comunicazione della revoca della delega.

Conclusione

Il segreto professionale impone all’avvocato di non divulgare alcuna informazione comunicatagli dal cliente e si estende ratione temporis al periodo posteriore alla cessazione del suo mandato e ratione personae a tutti i terzi.

Il co. 2 art. 28 c.d.f. precisa che l’obbligo del segreto va osservato anche quando il mandato sia stato adempiuto, comunque concluso, rinunciato o non accettato.

In conclusione, nel caso in cui, dopo la sostituzione dell’avvocato nella difesa (per rinuncia o per revoca dell’incarico), al vecchio avvocato sostituito venga (per errore) consentito l’accesso al fascicolo informatico del processo civile telematico, nessuna violazione del GDPR è configurabile, ad avviso di chi scrive.

Infatti, l’obbligo di riserbo dell’avvocato verso il cliente permane anche dopo la cessazione del mandato. L’avvocato deve mantenere il segreto su tutte le informazioni riservate di cui venga a conoscenza nell’àmbito della sua attività professionale.

Tale obbligo di riservatezza non ha limiti di tempo. L’eventuale divulgazione da parte dell’avvocato dei dati personali acquisiti mediante accesso al fascicolo informatico dopo la rinuncia o la revoca del mandato costituisce violazione dell’obbligo di segreto professionale.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

NOTE

  1. Il GDPR è “completato”, fra l’altro, dalla Dir. 2016/680/UE relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati. Il d.lgs. n. 101/2018 modifica e abroga numerose disposizioni del c.d. Codice della privacy (d.lgs. n. 196/2003) e va ad aggiungersi al d.lgs. n. 51/2018 di attuazione della dir. 2016/680/UE. Per una panoramica sulle novità introdotte e sulle altre disposizioni complementari al GDPR, v. La protezione dei dati personali in Italia e in Europa, collana di articoli a cur. di F. Pizzetti.
  2. In Germania, il § 29 (2) del Bundesdatenschutzgesetz (BDSG), in considerazione della riservatezza dei rapporti avvocato-cliente, ha introdotto ulteriori eccezioni alle obbligazioni di informazione previste dal GDPR. Sulla compatibilità fra GDPR e segreto professionale, v. p. 69 ss. Handbook on European Data Protection Law 2018 di European Union Agency For Fundamental Rights (FRA).
  3. Cfr. le Conclusioni dell’Avvocato Generale J. Kokott, presentate il 29.4.2010, nella causa C-550/07, Akzo Nobel e a.
  4. Cfr. Corte cost. 25.3.1997, n. 87.
  5. Cfr. par. 182 delle Conclusioni dell’Avvocato Generale P. Léger, presentate in 10.7.2001, nella causa C-309/99, Wouters e a.
  6. V. il website del Consiglio degli ordini forensi europei www.ccbe.eu
  7. V. il website del Consiglio Nazionale Forense.
  8. Cfr. Corte cost. 25.3.1997, n. 87.
  9. Cfr. Cons. Stato, Sez. VI, 30.9.2010, n. 7237.
  10. Cass. civ., sez. lav., 28 luglio 2010, n. 17649 , Lupo c. Inail.
  11. Cfr. Cass., Sez. III civ., 18.12.2012, n. 23324.
  12. Cfr. Cass., Sez. II civ., 31.5.2013, n. 13858, ivi.
@RIPRODUZIONE RISERVATA

Articolo 1 di 3