Il 15 gennaio 2019 sono state pubblicate in Gazzetta Ufficiale n. 12 Le regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria. I primi 7 articoli, degli 11 totali, interessano direttamente gli avvocati che sono chiamati all’applicazione anche di tali precetti pena la possibilità di rilievi sia sotto il profilo deontologico da parte dei Consigli Distrettuali di Disciplina competenti, sia sotto il profilo dell’adeguamento al Regolamento (UE) 679/2016.
Il Garante per la protezione dei dati personali, in ossequio al disposto di cui all’art. 20, comma 4, D.lgs. 101/2018, ha verificato la conformità al Regolamento (UE) 679/2016 delle disposizioni contenute nel Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive, adottato il 6 novembre 2008 ed inserito nel Codice in materia di protezione come Allegato A.6, e, al termine di tale verifica ha trasmesso all’Ufficio pubblicazione leggi e decreti del Ministero della giustizia il testo da pubblicare in Gazzetta Ufficiale nonché da riportare nell’Allegato A) al Codice.
Ma analizziamo nello specifico l’impatto che tali regole deontologiche hanno all’interno dello studio di un avvocato.
Indice degli argomenti
Liceità e correttezza del trattamento dei dati personali
Preme sottolineare innanzitutto come l’art. 2-quater introdotto nel D.lgs. 196/2003 dal D.lgs. 101/2018 al comma 4 preveda espressamente che il rispetto delle disposizioni contenute nelle regole deontologiche costituisce condizione essenziale per la liceità e la correttezza del trattamento dei dati personali. In sostanza la violazione delle regole deontologiche determina l’illiceità del trattamento dei dati personali con tutte le relative conseguenze, non ultima quella della possibile inutilizzabilità di tali dati prevista dall’art. 2-decies del D.lgs. 101/2018.
La prima valutazione che l’avvocato dovrà fare sarà quella relativa all’ambito di applicazione delle regole deontologiche. L’art. 1 comma 1 è chiaro nel prevedere che esse devono essere rispettate sia nel corso di un procedimento, anche in sede amministrativa, di arbitrato o di conciliazione, sia nella fase propedeutica all’instaurazione di un eventuale giudizio, sia nella fase successiva alla sua definizione.
I destinatari delle regole deontologiche per avvocati
Chiarito l’ambito di applicazione, andranno identificati con attenzione e precisione i destinatari di tali regole che, ai sensi dell’art. 1 lettera a), sono avvocati o praticanti avvocati iscritti ad albi territoriali o ai relativi registri, sezioni ed elenchi, i quali esercitino l’attività in forma individuale, associata o societaria svolgendo, anche su mandato, un’attività in sede giurisdizionale o di consulenza o di assistenza stragiudiziale, anche avvalendosi di collaboratori, dipendenti o ausiliari, nonché da avvocati stranieri esercenti legalmente la professione sul territorio dello Stato.
Trattamenti di dati da parte di avvocati
Detto dei principi generali previsti dalle regole deontologiche, il Capo II di tali regole, che comprende gli articoli dal 2 al 6, si occupa specificatamente dei trattamenti da parte di avvocati.
Ai sensi dell’art. 2 comma 1, l’avvocato deve organizzare il trattamento dei dati personali, anche non automatizzato (il riferimento è palese al trattamento analogico dei dati personali: si pensi per esempio ad un archivio cartaceo, ai fascicoli presenti in uno studio ed al loro contenuto) secondo le modalità che risultino più adeguate a favorire il rispetto dei diritti, delle libertà e della dignità degli interessati.
Evidente il richiamo al concetto di adeguatezza proprio del Regolamento (UE) 679/2016 (per tutte rammentiamo l’introduzione del nuovo concetto di misure di sicurezza adeguate in luogo di quelle minime) in perfetta continuità con i dettati in esso contenuti. Non va dimenticato, infatti, che in ossequio al principio della gerarchia delle fonti del diritto, il Regolamento (UE) 679/2016 costituisce norma sovranazionale inderogabile (fatte salve le eccezioni e le deroghe in esso contenute).
L’avvocato titolare del trattamento deve quindi applicare i principi di finalità, proporzionalità e minimizzazione dei dati e, per farlo, deve porre in essere una attenta valutazione sostanziale (e non formalistica) delle garanzie previste. Il cambio di passo voluto dal Regolamento (UE) 679/2016 è recepito anche dalle regole deontologiche: l’approccio alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, deve essere concreto e non formale.
L’avvocato, in ossequio al cosiddetto principio di accountability, deve poter dimostrare, caso per caso, di avere applicato i principi di finalità, proporzionalità e minimizzazione. Non solo, l’avvocato, sempre ai sensi del richiamato art. 2 comma 1, deve porre in essere un’analisi della quantità e qualità delle informazioni che utilizza e dei possibili rischi.
In sostanza appare chiaro il richiamo alla valutazione d’impatto sulla protezione dei dati prevista dall’art. 35 del Regolamento (UE) 679/2016 che, al comma 7 lettera c) espressamente prevede che la valutazione d’impatto debba contenere anche “una valutazione dei rischi per i diritti e le libertà degli interessati”.
Identikit del titolare del trattamento
L’art. 2 comma 2 precisa che il titolare del trattamento può essere un singolo professionista, una pluralità di professionisti, codifensori della medesima parte assistita o che, anche al di fuori del mandato di difesa, siano stati comunque interessati a concorrere all’opera professionale quali consulenti o domiciliatari, un’associazione tra professionisti o una società di professionisti.
Ai sensi dell’art. 2 comma 3 il titolare del trattamento deve impartire per iscritto adeguate istruzioni alle persone autorizzate al trattamento dei dati. Tali istruzioni devono contenere concrete indicazioni in ordine alle modalità che tali soggetti devono osservare, a seconda del loro ruolo di sostituto processuale, di praticante avvocato con o senza abilitazione al patrocinio, di consulente tecnico di parte, perito, investigatore privato o altro ausiliario che non rivesta la qualità di autonomo titolare del trattamento, nonché di tirocinante, stagista o di persona addetta a compiti di collaborazione amministrativa.
Molta confusione si è creata sul punto anche in considerazione della pronuncia della Suprema Corte di Cassazione Penale, Sez. I, 25 ottobre 2018 n. 48862 che in tema di nomina del sostituto processuale (art. 102 c.p.p.) ha statuito che l’art. 96, comma 2 c.p.p. consente che la designazione dell’avvocato sostituito da parte del difensore titolare possa essere effettuata con delega orale.
A ciò si aggiunga anche il disposto dell’art. 14 Legge 247/12 (Nuova disciplina dell’ordinamento della professione forense) che, in materia di mandato professionale, sostituzioni e collaborazioni prevede, al comma 2, che “gli avvocati possono farsi sostituire da altro avvocato, con incarico anche verbale, o da un praticante abilitato, con delega scritta”.
I due profili vanno considerati su due piani completamente diversi. Se infatti da un lato l’avvocato può essere sostituito in udienza con delega orale, il medesimo commette comunque un illecito disciplinare se non impartisce adeguate istruzioni scritte al proprio sostituto processuale. Quest’ultimo non ha alcuna necessità di esibire alcunché in udienza ma deve poter sempre dimostrare di avere ricevuto adeguate e concrete istruzioni per iscritto. Medesima modalità della forma scritta anche per le istruzioni da impartire ai consulenti tecnici di parte, ai periti (anche se il richiamo a tale figura appare ultroneo dal momento che la nomina non rientra nelle competenze dell’avvocato e che, comunque, il perito, alla stregua del CTU e del Consulente del P.M. è soggetto alle Linee guida emanate per tali figure) e a tutte le altre persone autorizzate elencate al comma 3 dell’art. 2.
L’espressa previsione normativa di concrete indicazioni impartite per iscritto appare come un chiaro richiamo a quella concretezza e a quella praticità contenute nel Regolamento (UE) 679/2016 che costituiscono alcune delle importanti novità della norma europea. Il mero formalismo deve lasciare spazio alla soluzione dei problemi quotidiani che l’avvocato titolare del trattamento incontra ogni giorno nel trattare i dati personali degli interessati. E le soluzioni adottate devono essere adeguate e comprovate.
Adozione di idonee cautele nel trattamento dati
Rimanendo ancora sull’articolo 2, il comma 4 invita il titolare del trattamento ad adottare idonee cautele (un ulteriore richiamo alle adeguate misure di sicurezza del Regolamento UE 679/2016) volte a prevenire l’ingiustificata raccolta, utilizzazione o conoscenza di dati in situazioni che trovano una esaustiva elencazione nei punti dalla a) alla h).
Rimandando alla lettura di tale elenco ci limitiamo ad evidenziare il caso dello scambio di corrispondenza specie (ma non esclusivamente) per via telematica (di nuovo il richiamo al trattamento dei dati personali anche in modalità non automatizzate) di cui al punto b), l’esercizio contiguo di attività autonome all’interno di uno studio (la fattispecie classica della condivisione degli spazi da parte di più professionisti all’interno di un medesimo studio) di cui al punto c), e la conservazione di atti relativi ad affari definiti di cui al punto h).
L’informativa unica
L’informativa unica è la grande novità (per la verità potremmo definirla più una conferma) delle regole deontologiche.
L’art. 3 consente all’avvocato titolare del trattamento di fornire in un unico contesto, anche attraverso l’affissione nei locali dello studio e la pubblicazione sul sito internet, l’informativa sul trattamento dei dati personali. Il richiamo al solo art. 13 del Regolamento (UE) 679/2016 non appare esaustivo e convincente.
L’informativa unica cui si riferisce l’articolo 3 non può che essere quella estesa prevista dal Regolamento (UE) 679/2016 e dalle Linee guida sul consenso del WP29 (oggi EDPB, l’European Data Protection Board o Comitato europeo per la protezione dei dati, ha sostituito il Gruppo di lavoro articolo 29). Permane in capo all’avvocato titolare del trattamento, quindi, l’obbligo di fornire l’informativa minima all’interessato per ogni finalità del trattamento, fermo restando la possibilità di un’unica informativa minima relativa alla medesima finalità per più trattamenti.
Conservazione e cancellazione dei dati
Per quanto concerne la conservazione e la cancellazione dei dati personali trattati, l’art. 4 delle regole deontologiche apre con un esplicito richiamo all’art. 5, paragrafo 1, lettera e) del Regolamento (UE) 679/2016 e pertanto l’avvocato non potrà prescindere dal conservare i dati personali in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, fatta eccezione per la conservazione ai sensi dell’art. 89 del Regolamento. Ciò chiarito, l’art. 4 richiama l’avvocato al proprio ruolo di titolare del trattamento specificando che la definizione di un grado di giudizio o la cessazione dello svolgimento di un incarico non comportano una automatica dismissione dei dati.
L’avvocato, pertanto, continua a trattare i dati personali anche dopo avere adempiuto al proprio incarico o dopo avere cessato ogni rapporto professionale con l’interessato. Si rammenta che ai sensi del D.lgs. 231/07 così come modificato dal D.lgs. 90/2017, l’avvocato è tenuto alla conservazione decennale dei documenti afferenti ai fascicoli contenti dati riferiti alla normativa antiriciclaggio.
Obblighi e diritti dell’avvocato
Quali sono gli obblighi cui è chiamato in questi casi l’avvocato titolare del trattamento e quali i suoi diritti relativamente alla conservazione e cancellazione dei dati? Innanzitutto, una volta estinto il procedimento o il rapporto di mandato può conservare atti e documenti attinenti all’oggetto della difesa, in originale o in copia e anche in formato elettronico, quando lo ritenga necessario in relazioni a ipotizzabili altre esigenze difensive della parte assistita o del titolare del trattamento. Una tale valutazione è demandata all’avvocato titolare del trattamento che dovrà tenere nel dovuto conto la tipologia dei dati personali che intende conservare. Quando l’avvocato deve conservare i dati personali per adempiere ad un obbligo normativo (per esempio in materia fiscale o di contrasto alla criminalità) la conservazione deve includere i soli dati personali effettivamente necessari per adempiere tale obbligo.
Per quanto concerne la restituzione al cliente dell’originale degli atti ricevuti l’avvocato deve sempre ottemperare agli obblighi previsti dal codice deontologico forense (artt. 33 e 48 terzo comma) e alle eventuali norme particolari. L’avvocato può tuttavia, previa comunicazione alla parte assistita, risolvere almeno in parte il problema della conservazione attraverso la distruzione, cancellazione o consegna all’avente diritto o ai suoi eredi o aventi causa della documentazione integrale dei fascicoli degli affari trattati e delle relative copie.
Revoca e rinuncia al mandato
In caso di revoca o di rinuncia al mandato la documentazione acquisita è rimessa, in originale se detenuta in tale forma, al difensore che subentra formalmente nella difesa. Ma cosa succede se manca un nuovo difensore? L’art. 4 comma 4 delle regole deontologiche sembra tracciare un percorso preciso allorquando statuisce che, in tale caso, la documentazione dei fascicoli degli affari trattati, decorso un congruo termine dalla comunicazione all’assistito, è consegnata al Consiglio dell’ordine di appartenenza ai fini della conservazione per finalità difensive.
Altro punto dolente che le regole deontologiche non contribuiscono a chiarire è quello della domiciliazione dell’interessato presso la persona e lo studio dell’avvocato titolare del trattamento in ipotesi di revoca o rinuncia al mandato ed in assenza di un nuovo difensore.
Se infatti da un lato la revoca o la rinuncia determina l’impossibilità per l’avvocato titolare del trattamento di continuare il trattamento dei dati personali del cliente, e quindi l’impossibilità di ricevere le eventuali notifiche successive, dall’altro l’art. 32 del codice deontologico forense al comma 5 statuisce che “l’avvocato deve comunque informare la parte assistita delle comunicazioni e notificazioni che dovessero pervenirgli”, pena l’applicazione della sanzione disciplinare della censura.
Stando così le cose l’avvocato titolare del trattamento si troverà a dover scegliere tra l’illiceità del trattamento dei dati personali a seguito della revoca o della rinuncia al mandato (sempre in ipotesi di assenza di nuovo difensore) o la violazione dell’art. 32 comma 5 con relativa sanzione disciplinare della censura. È auspicabile, sul punto, un autorevole intervento del Garante volto a fornire una interpretazione autentica delle norme sopra richiamate.
Comunicazione e diffusione di dati
Quale condotta deve assumere l’avvocato nei rapporti con i terzi e con la stampa? Quali informazioni può condividere e quando necessita del consenso del proprio assistito? L’art. 5 delle regole deontologiche autorizza l’avvocato titolare del trattamento a rilasciare informazioni non coperte da segreto, senza necessità di accordo con l’assistito, quando ciò sia necessario per finalità di tutela dell’assistito medesimo.
A questa prima importante valutazione deve seguirne una seconda che riguarda la perfetta osservanza da parte dell’avvocato dell’art. 5 del Regolamento (UE) 679/2016 (rispetto dei principi di liceità, trasparenza, correttezza e minimizzazione dei dati), nonché dei diritti e della dignità dell’interessato e dei terzi, ed eventualmente di divieti imposti dalla legge e dal codice deontologico forense.
Gli accertamenti ispettivi
Nella eventualità che l’avvocato titolare del trattamento subisca un accertamento ispettivo relativo a documentazione dallo stesso detenuta, quest’ultimo ha diritto di richiedere ai sensi dell’art. 159 comma 3 D.lgs. 196/03 che a tale accertamento assista il Presidente del Consiglio dell’Ordine Forense competente o un Consigliere da questo delegato.
Nel caso in cui l’avvocato opti per tale opzione, dovrà far verbalizzare dagli incaricati all’ispezione tale richiesta, l’accertamento dovrà essere sospeso sino all’arrivo del Presidente o del Consigliere a ciò delegato, per poi riprendere regolarmente. Alla fine dell’accertamento Presidente o Consigliere potranno richiedere ed ottenere copia del provvedimento emesso dagli ispettori. Tale opzione non preclude in alcun modo all’avvocato titolare del trattamento la possibilità di farsi assistere, in sede ispettiva, da altri soggetti dallo stesso indicati.
Si fa presente, inoltre, che è stato pubblicato in G.U. n. 128 del 5 giugno 2018 il D.lgs. 60/2018 che attua le disposizioni europee della Direttiva 2016/2258/UE in materia di accesso da parte delle autorità fiscali alle informazioni in materia di antiriciclaggio, al fine di garantire una cooperazione amministrativa efficiente tra gli stati membri. In particolare, grazie alle nuove disposizioni in vigore dal 6 giugno 2018 è consentito alla Agenzia delle Entrate e alla Guardia di Finanza l’accesso ai documenti, ai dati e alle informazioni acquisite in assolvimento degli obblighi di adeguata verifica della clientela conservati dai soggetti tenuti a detto obbligo. A livello nazionale, grazie al decreto in oggetto, viene modificato ed integrato l’art. 3 del D.lgs. 29/2014 con cui è stata recepita la Direttiva 2011/2016/UE, che rappresenta la principale fonte comunitaria in materia di cooperazione amministrativa nel settore fiscale, così da fornire alle autorità fiscali nazionali gli strumenti idonei per prevedere in anticipo e combattere i meccanismi illeciti accedendo ai dati e ai documenti acquisiti da soggetti obbligati in adempimento alle procedura antiriciclaggio; dati che consentono l’individuazione dei beneficiari effettivi di strutture intermedie che hanno la mera titolarità formale di conti finanziari.
Pertanto, ora la Guardia di Finanza e l’Agenzia delle Entrate hanno la possibilità di accedere ai dati sulla titolarità effettiva di imprese dotate di personalità giuridica, persone giuridiche private e trust produttivi di effetti fiscali in Italia disponibili in sezioni speciali del Registro delle Imprese delle Camere di Commercio.
L’accesso ai documenti, ai dati e alle informazioni suddette è consentito nello svolgimento dei controlli finalizzati alla verifica del corretto adempimento delle procedure di adeguata verifica ai fini fiscali. Il nuovo comma 3 ter dell’art. 3 del D.lgs. 60/2018 disciplina le modalità di acquisizione delle suddette informazioni utili ai fini antiriciclaggio delle autorità fiscali in particolare disponendo che l’accesso è effettuato esclusivamente attraverso le articolazioni della Guardia di Finanza nel caso in cui le informazioni siano nella disponibilità di professionisti o prestatori di servizi di gioco. La decorrenza di tale norma è retroattiva dal 1° gennaio 2018.
Trattamenti da parte di altri liberi professionisti e ulteriori soggetti
Un’ultima questione va affrontata in ordine alla applicazione degli art. 2 (modalità di trattamento) e 5 (comunicazione e diffusione di dati) delle regole deontologiche a soggetti diversi dagli avvocati. L’art 7 lettera a) specifica che tali altri soggetti possono essere liberi professionisti che prestino o su mandato dell’avvocato o unitamente a esso o, comunque, nei casi e nella misura consentita dalla legge, attività di consulenza per far valere o difendere un diritto in sede giudiziaria o per lo svolgimento delle investigazioni difensive.
Il disposto presenta alcune evidenti criticità. Ci si chiede innanzitutto come possa un soggetto diverso da un avvocato (ad esempio un commercialista, piuttosto che un consulente del lavoro o un ingegnere) conoscere e conseguentemente applicare gli art. 2 e 5 delle regole deontologiche che si riferiscono ai trattamenti di dati personali da parte degli avvocati.
Il primo problema si pone laddove l’avvocato conferisca direttamente il mandato a tali figure per l’attività prevista dall’art. 7 lettera a). Al momento del conferimento del mandato, che dovrà avvenire per iscritto in ossequio al principio di accountability richiamato dal Regolamento (UE) 679/2016, l’avvocato dovrà specificare, declinandoli e rendendoli quanto più chiari e fruibili possibile, la portata degli articoli 2 e 5 e l’obbligatorietà della loro applicazione.
Cosa succede nella eventualità in cui non vi sia un mandato diretto dell’avvocato ma il soggetto svolga l’attività consentita unitamente al legale? La questione non cambia nella sostanza ma solamente nella forma (anche se molte volte in diritto la forma è anche sostanza). Partendo dal presupposto che il rispetto delle regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria costituisce condizione essenziale per la liceità e la correttezza del trattamento dei dati personali (art. 2-quater introdotto nel D.lgs. 196/03 dal D.lgs. 101/18), l’avvocato titolare del trattamento si troverà nella necessità di dover notiziare il professionista che lo affianca sulla portata degli articoli 2 e 5 e sull’obbligo della loro applicazione incappando, in caso contrario, nella fattispecie dell’illecito trattamento dei dati.
Anche in questo caso l’obbligo di rendicontazione, che ai sensi del Regolamento (UE) 679/2016 grava sul titolare del trattamento, suggerisce all’avvocato di fornire tali indicazioni per iscritto e nella forma più chiara e comprensibile possibile. Sia nel primo caso, che in questo, l’avvocato titolare del trattamento dovrà informare, sempre per iscritto, il professionista che il suo nominativo verrà inserito nel registro dei trattamenti ai sensi dell’art. 30 del Regolamento (UE) 679/2016.
L’art. 7 lettera b) allarga infine la platea dei soggetti cui è fatto obbligo di applicare gli articoli 2 e 5 delle regole deontologiche ricomprendendo chiunque tratti dati personali per le finalità di cui all’art. 1 comma 1.
Un’ultima importante considerazione va fatta in ordine alla portata delle regole deontologiche richiamate. Le suddette norme non costituiscono in alcun modo un codice di condotta né hanno una tale valenza. Non a caso il Garante nel verificare la loro conformità al Regolamento (UE) 679/2016 le ha rinominate eliminando sia i termini “codice di deontologia” che quello di “buona condotta” proprio a voler sottolineare la totale differenza tra tali regole e i codici previsti dall’art. 40 del Regolamento (UE) 679/2016.
Esse rappresentano un ulteriore strumento per l’avvocato titolare del trattamento attraverso il quale cercare di proteggere concretamente e adeguatamente i dati personali delle persone fisiche avendo riguardo al loro trattamento.
Tale esigenza è sentita a tal punto che il mancato rispetto delle regole deontologiche espone l’avvocato titolare del trattamento alla duplice conseguenza dell’illecito trattamento dei dati e dell’illecito disciplinare.
Un motivo ulteriore per compiere quello sforzo di adeguamento che viene richiesto dal Regolamento (UE) 679/2016, dal D.lgs. 196/03, dal D.lgs. 101/18 e, da ultimo, anche dalle regole deontologiche. In tale ottica l’avvocato titolare del trattamento può adeguatamente tutelarsi prevedendo all’interno del proprio documento di privacy by design, accountability, e privacy by default, un capitolo ad hoc dove spiegare le prassi applicate nel proprio studio in ottemperanza alle norme appena richiamate.
