Entra in vigore domani, 25 maggio, il regolamento Ue 678/ 2016, che regola la protezione dei dati personali delle persone fisiche. Al testo ( di cui non è ancora stato approvato in via definitiva il decreto legislativo di adeguamento e armonizzazione dell’ordinamento interno) devono adeguarsi anche gli studi legali, per tutelare i dati trattati ( clienti, fornitori, dipendenti, controparti) ed evitare che la divulgazione, anche accidentale, possa ledere i diritti dei soggetti interessati. Si tratta, infatti, di precauzioni che si coniugano perfettamente con il rispetto degli obblighi deontologici della professione forense, a partire dall’obbligo di garantire il segreto professionale e di tutela del rapporto di confidenzialità che si crea tra avvocato e cliente. Le nuove disposizioni per la tutela della privacy - schematicamente individuate nelle linee guida pubblicate sul sito del Consiglio Nazionale Forense - tuttavia, non caricano di oneri eccessivamente gravosi gli avvocati, i quali erano già tenuti ad una serie di adempimenti obbligatori di natura informativa nei confronti dei loro clienti.

RESPONSABILITÀ

L’intero Regolamento si fonda sul principio dell’accountability, ovvero della responsabilità del titolare del trattamento: la sua inosservanza comporta l’applicazione di sanzioni amministrative e di ammonimenti, avvertimenti, limitazioni e ordini da parte del Garante per la protezione dei dati personali. Nel caso degli avvocati, accountability significa che il legale deve essere garante della conformità al Regolamento dei trattamenti dei dati personali da lui eseguiti.

L’INFORMATIVA

L’articolo 13 del Regolamento impone che i clienti vengano informati su: identità e dettagli di contatto dell’avvocato o dell’associazione o società professionale; le finalità del trattamento dei dati; la base giuridica del trattamento; i destinatari dei dati ( ad esempio gli uffici giudiziari); i flussi transfrontalieri; la durata della conservazione; i diritti che gli interessati possono esercitare; le condizioni per l’esercizio dei diritti degli interessati; il diritto di revocare il consenso; il diritto di presentare un reclamo all’autorità di controllo; le informazioni sulla natura del trattamento. L’informativa contenente tutte queste informazioni deve essere resa in modo chiaro e comprensibile, può essere resa in formato cartaceo o elettronico ( per esempio, via e- mail) e può essere data anche nel corpo dell’accordo contrattuale. Infine, l’informativa può anche essere pubblicata sul sito web dello studio legale, ma in questo caso è onere dell’avvocato dimostrare che essa è stata letta e compresa ( per esempio, inserendo nel testo della procura la presa visione e comprensione dell’informativa). In seguito alla presa visione dell’informativa, il cliente può dunque esprimere il proprio consenso al trattamento dei propri dati personali. Anche se non è richiesto il consenso scritto ( in quanto il trattamento dei dati dei clienti è necessario all’esecuzione di cui l’interessato è parte, come previsto dalla lettera B dell’articolo 6 del Regolamento), è preferibile che l’avvocato faccia firmare al cliente una dichiarazione di consenso al trattamento dei suoi dati. Sul sito del Cnf è disponibile un modello di informativa e di consenso da far sottoscrivere al cliente.

IL REGISTRO

All’articolo 30, il Regolamento impone l’obbligo di tenuta di un registro delle attività di trattamento, ma si tratta di un onere non obbligatorio per i titolari di trattamento dei dati in strutture con meno di 250 dipendenti, a meno che il trattamento non includa un rischio per i diritti e le libertà degli interessati oppure se si riferisca a dati sensibili o relativi a condanne o reati. In sostanza, questo adempimento ricade sui grandi studi legali e sugli avvocati che si occupano di diritto penale, famiglia e minori, previdenza sociale, responsabilità medica e in generale di vertenze in materia di risarcimento danni da lesioni personali. Il registro individua: il titolare del trattamento; le categorie dei dati trattati; le finalità; le persone coinvolte nel trattamento; le categorie dei destinatari a cui i dati personali sono o saranno comunicati, compresi i destinatari in paesi terzi; il termine ultimo previsto per la cancellazione dei dati; la descrizione delle misure di sicurezza tecniche e organizzative dello studio per garantire la riservatezza dei dati. Anche in questo caso, uno schema del registro dei trattamenti è disponibile e scaricabile sul sito del Cnf.

DATA BREACH

Per data breach si intende la violazione dei dati personali che presenti un rischio per i diritti e per le libertà delle persone fisiche. Ancorchè si tratti di un’ipotesi improbabile nel caso dei dati detenuti da un avvocato, qualora un legale ritenga che questo caso si verifichi deve comunicarlo al Garante e al diretto interessato entro e non oltre 72 ore dalla presa di coscienza di una violazione della sicurezza che comporta accidentalmente o illecitamente la distruzione, la perdita, l’alterazione, la divulgazione o l’accesso di persone non autorizzate ai dati personali da lui conservati.