Diritto e Fisco | Editoriale

Gdpr: cos’è e cosa prevede per gli avvocati

20 maggio 2018 | Autore:


> Diritto e Fisco Pubblicato il 20 maggio 2018



Come devono adeguarsi gli avvocati al nuovo regolamento europeo in materia di protezione dei dati personali? Ecco il modello per essere al sicuro.

Il tam tam mediatico è stato quasi senza precedenti: dal 25 maggio 2018 entra in vigore il nuovo regolamento europeo in materia di protezione dei dati personali. Giornali e televisioni ne hanno parlato come di una svolta epocale per la tutela del diritto alla privacy dei cittadini, con risvolti e conseguenze difficilmente immaginabili.

Ma è proprio così? Il nuovo regolamento segnerà davvero un punto di non ritorno? Quali saranno le implicazioni concrete per gli avvocati? Cerchiamo di capirne un po’ di più con questo articolo. E allora: cos’è il Gdpr e cosa prevede per gli avvocati?

Gdpr: cos’è?

Il nuovo regolamento europeo in materia di protezione dei dati personali (per brevità chiamato Gdpr, acronimo che sta per General data protection regulation) [1] è stato adottato dall’Unione Europea sulla scorta di una semplice considerazione: i dati personali dei cittadini rappresentano, nel mondo di oggi, un bene giuridico di primo rilievo, al pari della libertà di pensiero, della libertà personale e del diritto di esprimere il proprio pensiero.

La globalizzazione, l’e-commerce, internet, i social network hanno creato una rete di dati e di scambio di informazioni talmente fitta da dover essere necessariamente rivista e tutelata. La privacy assurge quindi a diritto fondamentale del cittadino europeo. Proprio questo è l’obiettivo principale del regolamento: tutelare il diritto alla riservatezza del singolo individuo, proteggerlo da invasioni della sua sfera privata.

La veridicità di quanto appena detto è facilmente verificabile: quante mail indesiderate riceviamo quotidianamente da parte di siti a cui non siamo nemmeno iscritti? Quante volte siamo contattati telefonicamente da operatori che ci propongono offerte di beni e servizi che non abbiamo richiesto?

Gdpr: a chi è rivolto?

In effetti, il nuovo regolamento europeo in materia di protezione dei dati personali è rivolto principalmente alle grandi società, cioè agli enti che trattano una grande quantità di dati personali. In modo più specifico, la nuova disciplina riguarderà tutti i tipi di imprese che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione europea.

Il Gdpr impone a ogni organizzazione l’onere di assumersi maggiori responsabilità sui dati degli utenti e di compiere tutte le attività necessarie a proteggerli, dall’obbligo della cifratura dei dati a quello di notificare, entro 72 ore, all’Autorità di protezione dei dati una qualsiasi possibile violazione di dati personali (cosiddetto data breach), con multe fino a un massimo di 20 milioni di euro o, nel caso di un’impresa, fino al 4% del fatturato annuo a livello mondiale.

Trattandosi di un regolamento europeo, la nuova disciplina sulla privacy sarà direttamente applicabile in tutti gli Stati membri dell’Unione Europea, senza necessità di un atto interno di recepimento (ad esempio una legge, un regolamento, ecc.). Di conseguenza, in tutti i Paesi dell’Unione si applicherà la stessa disciplina in materia di privacy, con conseguente abrogazione delle precedenti normative in contrasto con essa.

Da ciò segue un’ulteriore conseguenza: non solo le imprese e le istituzioni europee dovranno adeguarsi al nuovo Gdpr, ma anche tutti i soggetti (società, imprese, ecc.) che in esse lavorano oppure che offrono servizi in questi Paesi. Anche colossi come facebook e whatsapp, pertanto, dovranno rispettare la nuova normativa europea.

Gdpr: cosa sono i dati personali?

Il Gdpr attribuisce alle persone il diritto di conoscere e controllare ciò che accade con i propri dati personali, di assicurarsi che queste informazioni siano gestite con cura, tutelate rispetto ai più elevati standard di protezione possibile, di essere a conoscenza di quali dati vengono trasmessi a terze parti e come gli stessi dati vengono utilizzati.

L’incipit del sesto considerando del nuovo regolamento europeo in materia di protezione dei dati personali è oltremodo significativo: «La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo». È questo il cuore della nuova normativa: la tutela dei dati personali soggetti ad una circolazione di massa in ragione dell’uso (oramai indispensabile) dei moderni mezzi di comunicazione.

Fondamentale, quindi, è comprendere cosa si intenda per dato personale, protagonista assoluto del nuovo regolamento. Il Gdpr lo definisce come «qualsiasi informazione riguardante una persona fisica identificata o identificabile», con l’ulteriore precisazione che «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» [2].

Come detto sopra, quindi, il regolamento è sì rivolto alle grandi imprese, ma l’oggetto della tutela è la persona fisica, il singolo individuo, indipendentemente dalla sua nazionalità o dalla residenza. Ne restano escluse, quindi, tutte le persone giuridiche (in linea di continuità, peraltro, con quanto già previsto dal Codice della Privacy).

Un secondo elemento di fondamentale importanza è la determinazione delle tipologie di attività rilevanti ai sensi della nuova normativa: la disciplina introdotta dal regolamento dovrà essere applicata ai casi di trattamenti di dati personali interamente o parzialmente automatizzati, nonché ai trattamenti manuali che abbiano a oggetto dati personali contenuti o destinati a essere contenuti in archivi. Cosa significa?

Significa che la nuova protezione è destinata ai dati delle persone fisiche, sia che essi siano trattati in maniera automatica tramite software specializzati che provvedono alla loro automatica gestione, sia nel caso in cui il trattamento avvenga in modo tradizionale, ma pur sempre destinato alla conservazione duratura.

Gdpr: quando il trattamento dei dati personali è lecito?

Secondo il nuovo regolamento sulla privacy, il trattamento dei dati personali è lecito solamente se:

  • c’è il consenso espresso dell’interessato al trattamento per una o più specifiche finalità (ad esempio, nel caso di incarico conferito ad un avvocato, il consenso espresso riguarderà il trattamento dei dati ai fini difensivi e/o giudiziari);
  • il trattamento è assolutamente necessario all’esecuzione di un contratto di cui l’interessato è parte (sempre in riferimento al mandato conferito all’avvocato, questi difficilmente potrebbe esercitare la sua professione senza essere a conoscenza dei dati del cliente);
  • il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  • il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  • il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  • il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore [3].

Il regolamento, in maniera condivisibile, lascia agli Stati membri il compito di integrare le previsioni europee mediante disciplina di dettaglio volta non a derogare (non sarebbe possibile) ma a specificare i principi generali del regolamento stesso.

Gdpr: quando non si applica?

Da quanto detto finora possiamo già fissare alcuni confini del regolamento europeo sulla protezione dei dati personali. Abbiamo precisato, infatti, che la nuova disciplina:

  • si applica in maniera uniforme in tutta Europa;
  • tutela i dati personali delle sole persone fisiche;
  • è rivolta alle persone giuridiche che trattano i dati personali in modo automatizzato o manuale, in qualsiasi forma o modalità;
  • si applica a tutti coloro che agiscono nell’Unione Europea, anche se non vi hanno la sede o la residenza.

Precisiamo ancor più i contorni dicendo che il Gdpr non copre per intero il raggio d’azione dell’Unione Europea. Cosa vuol dire? In altre parole, se è vero che il regolamento sulla protezione dei dati personali è direttamente applicabile ad ogni Stato membro e a tutti coloro che operano nell’Ue, è altrettanto vero che l’attuazione indiscriminata della nuova disciplina rischierebbe di frenare alcuni settori dell’Unione. Ad esempio, il Gdpr non trova applicazione nel settore della politica estera e della sicurezza comune dell’Unione, oppure nelle attività delle autorità pubbliche competenti a fini di prevenzione, indagine, perseguimento di reati ed esecuzione di sanzioni penali.

Le ragioni della deroga sono comprensibili: le autorità giudiziarie che perseguono i crimini (si pensi alla lotta al terrorismo internazionale) avrebbero le mani legate se dovessero rispettare il Gdpr come sono di fatto obbligate le società.

A questa deroga se ne aggiunge un’altra: il nuovo regolamento europeo non si estende alle attività svolte a carattere esclusivamente personale e domestico da parte di persone fisiche, senza connessioni con attività commerciali o professionali, quali la corrispondenza o la creazione di indirizzari a uso personale, o il ricorso a social network e simili strumenti online, sempre per fini personali. Chi invece fornisce i mezzi per trattare i dati nell’ambito di attività personali o domestiche (come ad esempio, chi fornisce gli strumenti per scambiare dati tramite social network) è invece completamente soggetto all’applicazione delle norme previste dal Gdpr.

Gdpr: cosa cambia per i professionisti?

Il nuovo regolamento europeo in materia di protezione dei dati personali si applica non soltanto alle persone giuridiche, ma anche ai professionisti. Ed infatti, il Gdpr dice che il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri [4].

Questo significa che non solo le imprese, ma anche gli avvocati, gli architetti, gli ingegneri e, in genere, tutti i liberi professionisti devono adeguarsi alla nuova normativa. In concreto cosa cambierà? In verità non molto: il professionista dovrà sottoporre al proprio cliente un documento ove viene indicato espressamente il consenso al trattamento dei propri dati personali. Vediamo più nel dettaglio quali sono le informazioni che i professionisti e, in particolare, gli avvocati, devono fornire ai propri clienti.

Gdpr: cos’è previsto per gli avvocati?

L’avvocato, nel momento in cui riceve il mandato, viene a conoscenza dei dati personali del cliente: luogo e data di nascita, residenza, professione, ecc. L’avvocato, quindi, diventa il titolare del trattamento dei dati, dati che potrà divulgare solo a fini professionali e dietro consenso dell’interessato, cioè del cliente.

Secondo il regolamento europeo in materia di protezione dei dati personali [5], il titolare del trattamento (nel nostro caso, l’avvocato o, comunque, il professionista) fornisce all’interessato (l’assistito), nel momento in cui i dati personali sono ottenuti, alcune informazioni, tra cui:

  • i propri dati identificativi (nome, cognome, indirizzo, telefono, ecc.);
  • le finalità del trattamento cui sono destinati i dati personali;
  • i legittimi interessi perseguiti dal titolare del trattamento (chiaramente legati all’attività difensiva);
  • gli eventuali destinatari dei dati personali (controparti, autorità giudiziaria, organismi di mediazione, ecc.);
  • il periodo di conservazione dei dati personali, normalmente coincidente con quello del rapporto fiduciario;
  • l’esistenza del diritto del cliente di chiedere all’avvocato l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  • l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  • il diritto di proporre reclamo a un’autorità di controllo;
  • l’obbligatorietà del trattamento dei dati legato al mandato conferito.

Qualora l’avvocato, titolare del trattamento, intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento è obbligato a fornire all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente.

Gdpr: cosa cambia per gli avvocati?

In effetti, che l’avvocato sia tenuto a chiedere il consenso al trattamento dei dati personali non è una novità: anche in precedenza, il legale, nell’ambito del mandato, faceva prestare il consenso secondo la normativa italiana [6]. Con il nuovo Gdpr le cose non cambiano in maniera sostanziale: in attesa di maggiori chiarimenti anche giurisprudenziali, sembra però opportuno essere più dettagliati nel momento in cui si sottopone il documento al cliente.

Nello specifico, sarebbe opportuno preparare un documento ad hoc da sottoporre al cliente, specificando tutte le condizioni che sopra abbiamo indicato. In caso contrario, se, cioè, si intende continuare ad inserire nel corpo della procura il consenso al trattamento dei dati personali, il regolamento europeo prescrive che la richiesta di consenso sia presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro, affermando altresì che nessuna parte di una tale dichiarazione che costituisca una violazione del regolamento è vincolante [7].

Cliccando qui troverai un modello che potrai utilizzare nel caso in cui tu sia un avvocato.

Gdpr: cosa fare se il cliente è un minore?

Può sicuramente accadere che il cliente di un avvocato sia un minore. Cosa fare in questo caso? Il regolamento europeo sulla protezione dei dati personali  dice che il consenso si ritiene correttamente espresso anche se proviene da minore che abbia compiuto i sedici anni. La legge dello Stato, però, può prevedere anche un’età minore, purché non inferiore ai tredici anni [8].

Ove il minore abbia un’età inferiore ai sedici anni e non esista una legge che abbia abbassato tale limite, il trattamento è lecito soltanto se il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

Gdpr: come si trattano i dati sensibili?

Come già anticipato, il Gdpr non modifica in maniera sostanziale la definizione di dato personale. Alla stessa tregua, resta immutata la categoria dei dati sensibili, dovendosi intendere per essi quelli che rivelano l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale.

In questa ipotesi, il trattamento dei dati è vietato a meno che non vi sia consenso espresso e tali dati non siano essenziali per lo svolgimento dell’incarico conferito all’avvocato [9]. Si pensi, ad esempio, ad una violenza commessa nella convinzione (religiosa) di esercitare un proprio diritto: in questo caso il difensore avrà ben interesse a tirare in ballo, davanti al giudice, le opinioni religiose dell’imputato, in modo tale da farlo assolvere o, almeno, fargli ottenere uno sconto di pena. Non a caso, il regolamento dice che il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni.

Gdpr: si estende anche ai collaboratori?

Quasi tutti gli studi legali si avvalgono di collaboratori: praticanti, segretari, colleghi. Ebbene, le norme del nuovo regolamento europeo sulla protezione dei dati personali si estendono anche a queste figure. L’avvocato che assume un incarico dal cliente, quindi, dovrà istruire i propri collaboratori affinché la privacy dell’assistito sia tutelata e protetta, sia nell’attività che si svolge nello studio, sia in quella rivolta verso l’esterno: si pensi, ad esempio, ai tanti studi legali che si pubblicizzano attraverso internet. Ebbene, anche in queste ipotesi non sarà mai possibile divulgare i dati personali dei clienti senza il loro consenso.

Il sottoscritto, Mario Rossi, nato a ______ il ______, residente in _______________, codice fiscale ______________,

CONSAPEVOLE CHE

  • l’avv. Cicerone, nato a ________ il ____________, del foro di ________________, esercita la professione forense con studio in _____________ alla via _______________, tel. _____________;
  • il trattamento dei propri dati personali avverrà esclusivamente nell’ambito del mandato difensivo conferito (eventualmente specificare il numero di procedimento, se già in corso, oppure la materia che sarà oggetto del contenzioso), ivi inclusi quelli sensibili e/o sensibilissimi;
  • i dati personali potranno essere resi noti all’autorità giudiziaria, ad organismi di mediazione o a patrocinatori di controparte nell’ambito dell’espletamento del mandato difensivo conferito con separato atto;
  • i dati personali verranno conservati nei limiti di tempo necessari all’espletamento del mandato e non oltre;
  • è proprio diritto chiedere all’avvocato l’accesso ai dati ai fini della rettifica o della cancellazione;
  • è proprio diritto revocare, in qualsiasi momento, il consenso inizialmente espresso, con effetti solamente per il futuro;
  • è proprio diritto proporre reclamo a un’unica autorità di controllo;
  • l’avvocato è obbligato al rispetto delle norme sul trattamento dei dati personali in ragione del mandato difensivo conferitogli;

tanto premesso, il Sig. Mario Rossi, così come sopra identificato,

PRESTA IL CONSENSO

al trattamento dei propri dati personali secondo la normativa sulla protezione dei dati personali di cui al Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 e il decreto legislativo 30 giugno 2003 n. 196.

 

Luogo, data.

Mario Rossi

 

Avv. Cicerone

note

[1] Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016.

[2] Art. 4 Regolamento (UE) 2016/679.

[3] Art. 6 Regolamento (UE) 2016/679.

[4] Art. 4 Regolamento (UE) 2016/679.

[5] Art. 13 Regolamento (UE) 2016/679.

[6] D. lgs. 196/2003.

[7] Art. 7 Regolamento (UE) 2016/679.

[8] Art. 8 Regolamento (UE) 2016/679.

[9] Art. 9 Regolamento (UE) 2016/679.

Autore immagine: Pixabay.com


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI