Studi legali e regole GDPR – adempimenti privacy degli avvocati





Anche per gli avvocati sono validi gli obblighi di protezione dati dei propri clienti: sia in caso di indagini difensive, sia in caso di difesa di un diritto in sede giudiziaria. Non solo il GDPR, ma anche il D. Lgs. n. 101/2018 e le Regole deontologiche, sono molti gli aspetti che gli avvocati devono tenere in considerazione.



Il ruolo dell’avvocato nell’organigramma privacy

Nell’ambito dell’attività svolta dall’avvocato non è cosa scontata individuare il ruolo esatto dallo stesso svolto nei confronti degli interessati clienti.

Precisiamo prima le definizioni:

  • l titolare del trattamento ai sensi dell’art. 4 e del considerando 74 del G.D.P.R. 679/2016 è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.
  • Contitolari ai sensi dell’art. 26 del G.D.P.R. 679/2016 sono due o più titolari del trattamento che determinano congiuntamente le finalità e i mezzi del trattamento.
  • Responsabili del trattamento ai sensi dell’articolo 28 del G.D.P.R. 679/2016 sono quei soggetti che effettuano un trattamento dati personali per conto del titolare.

Nei confronti dei clienti persone fisiche (non soggetti all’applicazione del G.D.P.R. 679), quindi, l’avvocato/studio legale potrà porsi come:

  • titolare in quanto avvocato singolo che ha ricevuto mandato;
  • contitolare con altri professionisti per effetto di un mandato congiunto. In questo caso occorrerà un accordo ai sensi dell’art. 26 GDPR.

Nel caso dello studio associato/società è l’ente persona giuridica a qualificarsi come titolare. Tuttavia nel caso di rappresentanza in giudizio si pone il problema del ruolo del singolo avvocato che assume l’incarico fiduciario.

Come ribadito anche dall’ANF “nel caso in cui il fiduciario cessi i propri rapporti professionali con l’associazione o la società, l’incarico fiduciario con quel professionista è autonomo, e la società o associazione non dovrebbe più reputarsi titolata a detenere la totalità delle informazioni fornite. Nella pratica non potrebbe avocare un diritto di titolarità delle informazioni del fascicolo o di tutti i dati relativi al singolo assistito, ma, per applicazione dei criteri di necessità, proporzionalità e minimizzazione solo dei dati pertinenti e necessari, come ad esempio, a fini fiscali.”

Tale peculiarità potrebbe essere superata forse da un accordo di contitolarità che rifletta adeguatamente i rispettivi ruoli e i rapporti dei contitolari nei confronti degli interessati considerando anche che “possono esserci dei contitolari del trattamento quando solidalmente o per aree separate, si hanno delle responsabilità precise” (dall’intervista rilasciata dal Garante Europeo dott. Giovanni Buttarelli a Iuslaw Webradio).

  • domiciliatario trattando dati conferiti dagli interessati al dominus, si ritiene che in questo caso l’avvocato rivesta ruolo di responsabile esterno.

Nei confronti invece dei clienti persone giuridiche (o comunque soggetti tenuti all’osservanza del G.D.P.R) il professionista potrà porsi come titolare (o contitolare nei casi sopra previsti) o responsabile esterno.

La distinzione dipenderà essenzialmente dall’oggetto dell’incarico:

 

  • difesa in giudizio:secondo l’articolo 2 della legge professionale (Legge 31 dicembre 2012, n. 247) l’avvocato è un libero professionista che, in libertà, autonomia e indipendenza, svolge l’attività difensiva”. In questo caso il professionista non può configurarsi come responsabile del trattamento perché altrimenti non potrebbe agire in autonomia. Diverso è il caso dell’avvocato domicilatario: trattando dati conferiti dagli interessati al dominus, si ritiene che come per i clienti persone fisiche, rivesta ruolo di responsabile esterno.

  • consulente legale d’impresa: si pensi al caso in cui l’avvocato nell’ambito di attività consulenziale riceva dal cliente persona giuridica l’incarico di trattare dati personali conferiti direttamente dagli interessati al cliente (per esempio l’avvocato incaricato di elaborare contratti tra cliente e persone fisiche clienti del cliente o dipendenti del cliente). In tali casi sarà il a prendere le decisioni di fondo e a fare le scelte sugli scopi, le finalità, ecc. Si ritiene quindi che il professionista possa configurarsi come responsabile esterno del cliente.

 

Adeguare lo studio legale alle norme privacy

  • Informativa
  • Conservazione dei dati
  • Basi giuridiche di legittimità e consenso
  • Nomina degli autorizzati al trattamento
  • Individuazione e nomina dei responsabili esterni
  • Redigere il registro dei trattamenti
  • Redigere la valutazione dei rischi
  • DPIA: la valutazione di impatto sulla protezione dei dati


Informativa privacy

Il principio di trasparenza resta uno dei principi chiave in materia di privacy, anche dopo il GDPR. Proprio in quest’ottica, il professionista deve informare i propri clienti di come vengono trattati i loro dati e per che finalità: in che modo?

Mediante la predisposizione di un’“informativa unica”, che potrà essere fornita al cliente in unico contesto, anche mediante l’affissione ai locali dello studio e/o la pubblicazione sul sito internet, e che dovrà contenere tutti gli elementi previsti dall’art. 13 del GDPR.

Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento dovrà fornire all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente.

Le informative andranno consegnate a:

  • clienti;
  • dipendenti;
  • collaboratori/domiciliatari;
  • tirocinanti, stagisti e via dicendo.

Conservazione dei dati

La definizione di un grado di giudizio e/o la conclusione di un incarico non comporta automaticamente la cancellazione dei dati contenuti negli atti e/o nei documenti, anche in formato elettronico.

È, infatti, sufficiente che detti dati vengano utilizzati per il perseguimento di ulteriori e nuove finalità (quale, ad esempio, l’adempimento di obblighi di fiscali e di contrasto alla criminalità previsti dalla legge), per far scattare l’obbligo di conservazione in capo al professionista.

Obbligo di conservazione, però, che non riguarderà tutti i dati del cliente, bensì solo quelli che effettivamente serviranno al professionista per il perseguimento di quelle ulteriori e nuove finalità. Il tutto nel rispetto dei principi di necessità e minimizzazione sanciti dal GDPR; fermo restando quanto previsto dal Codice deontologico forense circa la restituzione degli originali degli atti del cliente.

Basi giuridiche di legittimità e consenso

Il consenso rappresenta una delle basi legittime per trattare i dati personali anche particolari, come disposto dall’articolo 6 e 9 del regolamento.

Il consenso pur rappresentando la base giuridica per eccellenza, si affianca ad altre basi giuridiche che legittimano il trattamento dati e l’avvocato dovrà quindi valutare con attenzione la base legittima appropriata per il trattamento.

Quando il trattamento dei dati personali non particolari è legittimato dalla necessità di dare esecuzione ad un contratto di cui l’interessato è parte o all’esecuzione di misure pre contrattuali richieste dallo stesso, il consenso non è necessario (cliente che conferisce i dati personali per il conferimento dell’incarico).

Così come non sarà necessario il consenso quando la base di legittimità al trattamento è rappresentata dall’obbligo di legge (per es. antiriciclaggio) o legittimo interesse del titolare.

Nomina degli autorizzati al trattamento

L’avvocato all’interno del suo studio per il trattamento dei dati personali a lui conferiti si avvarrà di collaboratori/personale dipendente.

Tale personale dovrà essere autorizzato per iscritto al trattamento dati e istruito.

Come stabilisce l’art. 29 del GDPR 679/2016 “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

L’ autorizzato è il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali. Questo indica che se in teoria è possibile che un incaricato sia un soggetto esterno all’azienda, nella pratica risulterebbe difficile.

Anche se non si prevede l’obbligo di nomina espressa risulta fondamentale fornire per iscritto agli autorizzati le istruzioni operative e le misure di sicurezza da osservare e che sia fornita loro la necessaria formazione.

La nomina può essere fatta anche in un unico atto per più soggetti.

Individuazione e nomina dei responsabili esterni

L’avvocato in qualità di Titolare del trattamento può nominare un responsabile che effettui il trattamento per suo conto.

Il responsabile a differenza dell’autorizzato non è un mero esecutore ma un soggetto esterno che con i suoi mezzi nell’ambito delle finalità di trattamento stabilite dal titolare per nome e per conto del titolare effettua un trattamento di dati.

Il titolare ha la responsabilità di scegliere per tale incarico un soggetto/organismo che presenti garanzie sufficienti per mettere in atto le prescritte misure tecniche e organizzative adeguate.

All’art.28 il Regolamento stabilisce che “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

Redigere il registro dei trattamenti

Al fine di dimostrare la conformità al GDPR 679/2016 il titolare (lo studio legale/avvocato) deve tenere un registro delle attività di trattamento effettuate.

Come precisato anche dal Garante Privacy nel comunicato stampa dell’8.10.2018 tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento.

Sono tenuti all’obbligo di redazione del registro, ad esempio:

liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale).

 
 

Per rendere più chiari gli adempimenti degli studi legali in materia di protezione dei dati trattati Vi invitiamo a scaricare la nostra guida omaggio Orientarsi negli adempimenti GDPR degli Studi Legali

 
Omaggio guida privacy avvocati 
 
 

Regolamento 679 è a Vostra disposizione per consulenza e formazione privacy e GDPR!

Maggiori info sulla consulenza privacy torino 
 
 

Il nostro corso DPO, specificatemente progettato per professionisti è chiaro, completo ed ottimizzato dal punto di vista del risparmio di tempo garantendo la qualità della formazione! Affrettati a prenotare il posto in aula! 

 
Corso DPO torino 
 
 
 
 


Studi legali e regole GDPR – adempimenti privacy degli avvocati





Anche per gli avvocati sono validi gli obblighi di protezione dati dei propri clienti: sia in caso di indagini difensive, sia in caso di difesa di un diritto in sede giudiziaria. Non solo il GDPR, ma anche il D. Lgs. n. 101/2018 e le Regole deontologiche, sono molti gli aspetti che gli avvocati devono tenere in considerazione.



Il ruolo dell’avvocato nell’organigramma privacy

Nell’ambito dell’attività svolta dall’avvocato non è cosa scontata individuare il ruolo esatto dallo stesso svolto nei confronti degli interessati clienti.

Precisiamo prima le definizioni:

  • l titolare del trattamento ai sensi dell’art. 4 e del considerando 74 del G.D.P.R. 679/2016 è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.
  • Contitolari ai sensi dell’art. 26 del G.D.P.R. 679/2016 sono due o più titolari del trattamento che determinano congiuntamente le finalità e i mezzi del trattamento.
  • Responsabili del trattamento ai sensi dell’articolo 28 del G.D.P.R. 679/2016 sono quei soggetti che effettuano un trattamento dati personali per conto del titolare.

Nei confronti dei clienti persone fisiche (non soggetti all’applicazione del G.D.P.R. 679), quindi, l’avvocato/studio legale potrà porsi come:

  • titolare in quanto avvocato singolo che ha ricevuto mandato;
  • contitolare con altri professionisti per effetto di un mandato congiunto. In questo caso occorrerà un accordo ai sensi dell’art. 26 GDPR.

Nel caso dello studio associato/società è l’ente persona giuridica a qualificarsi come titolare. Tuttavia nel caso di rappresentanza in giudizio si pone il problema del ruolo del singolo avvocato che assume l’incarico fiduciario.

Come ribadito anche dall’ANF “nel caso in cui il fiduciario cessi i propri rapporti professionali con l’associazione o la società, l’incarico fiduciario con quel professionista è autonomo, e la società o associazione non dovrebbe più reputarsi titolata a detenere la totalità delle informazioni fornite. Nella pratica non potrebbe avocare un diritto di titolarità delle informazioni del fascicolo o di tutti i dati relativi al singolo assistito, ma, per applicazione dei criteri di necessità, proporzionalità e minimizzazione solo dei dati pertinenti e necessari, come ad esempio, a fini fiscali.”

Tale peculiarità potrebbe essere superata forse da un accordo di contitolarità che rifletta adeguatamente i rispettivi ruoli e i rapporti dei contitolari nei confronti degli interessati considerando anche che “possono esserci dei contitolari del trattamento quando solidalmente o per aree separate, si hanno delle responsabilità precise” (dall’intervista rilasciata dal Garante Europeo dott. Giovanni Buttarelli a Iuslaw Webradio).

  • domiciliatario trattando dati conferiti dagli interessati al dominus, si ritiene che in questo caso l’avvocato rivesta ruolo di responsabile esterno.

Nei confronti invece dei clienti persone giuridiche (o comunque soggetti tenuti all’osservanza del G.D.P.R) il professionista potrà porsi come titolare (o contitolare nei casi sopra previsti) o responsabile esterno.

La distinzione dipenderà essenzialmente dall’oggetto dell’incarico:

 

  • difesa in giudizio:secondo l’articolo 2 della legge professionale (Legge 31 dicembre 2012, n. 247) l’avvocato è un libero professionista che, in libertà, autonomia e indipendenza, svolge l’attività difensiva”. In questo caso il professionista non può configurarsi come responsabile del trattamento perché altrimenti non potrebbe agire in autonomia. Diverso è il caso dell’avvocato domicilatario: trattando dati conferiti dagli interessati al dominus, si ritiene che come per i clienti persone fisiche, rivesta ruolo di responsabile esterno.

  • consulente legale d’impresa: si pensi al caso in cui l’avvocato nell’ambito di attività consulenziale riceva dal cliente persona giuridica l’incarico di trattare dati personali conferiti direttamente dagli interessati al cliente (per esempio l’avvocato incaricato di elaborare contratti tra cliente e persone fisiche clienti del cliente o dipendenti del cliente). In tali casi sarà il a prendere le decisioni di fondo e a fare le scelte sugli scopi, le finalità, ecc. Si ritiene quindi che il professionista possa configurarsi come responsabile esterno del cliente.

 

Adeguare lo studio legale alle norme privacy

  • Informativa
  • Conservazione dei dati
  • Basi giuridiche di legittimità e consenso
  • Nomina degli autorizzati al trattamento
  • Individuazione e nomina dei responsabili esterni
  • Redigere il registro dei trattamenti
  • Redigere la valutazione dei rischi
  • DPIA: la valutazione di impatto sulla protezione dei dati


Informativa privacy

Il principio di trasparenza resta uno dei principi chiave in materia di privacy, anche dopo il GDPR. Proprio in quest’ottica, il professionista deve informare i propri clienti di come vengono trattati i loro dati e per che finalità: in che modo?

Mediante la predisposizione di un’“informativa unica”, che potrà essere fornita al cliente in unico contesto, anche mediante l’affissione ai locali dello studio e/o la pubblicazione sul sito internet, e che dovrà contenere tutti gli elementi previsti dall’art. 13 del GDPR.

Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento dovrà fornire all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente.

Le informative andranno consegnate a:

  • clienti;
  • dipendenti;
  • collaboratori/domiciliatari;
  • tirocinanti, stagisti e via dicendo.

Conservazione dei dati

La definizione di un grado di giudizio e/o la conclusione di un incarico non comporta automaticamente la cancellazione dei dati contenuti negli atti e/o nei documenti, anche in formato elettronico.

È, infatti, sufficiente che detti dati vengano utilizzati per il perseguimento di ulteriori e nuove finalità (quale, ad esempio, l’adempimento di obblighi di fiscali e di contrasto alla criminalità previsti dalla legge), per far scattare l’obbligo di conservazione in capo al professionista.

Obbligo di conservazione, però, che non riguarderà tutti i dati del cliente, bensì solo quelli che effettivamente serviranno al professionista per il perseguimento di quelle ulteriori e nuove finalità. Il tutto nel rispetto dei principi di necessità e minimizzazione sanciti dal GDPR; fermo restando quanto previsto dal Codice deontologico forense circa la restituzione degli originali degli atti del cliente.

Basi giuridiche di legittimità e consenso

Il consenso rappresenta una delle basi legittime per trattare i dati personali anche particolari, come disposto dall’articolo 6 e 9 del regolamento.

Il consenso pur rappresentando la base giuridica per eccellenza, si affianca ad altre basi giuridiche che legittimano il trattamento dati e l’avvocato dovrà quindi valutare con attenzione la base legittima appropriata per il trattamento.

Quando il trattamento dei dati personali non particolari è legittimato dalla necessità di dare esecuzione ad un contratto di cui l’interessato è parte o all’esecuzione di misure pre contrattuali richieste dallo stesso, il consenso non è necessario (cliente che conferisce i dati personali per il conferimento dell’incarico).

Così come non sarà necessario il consenso quando la base di legittimità al trattamento è rappresentata dall’obbligo di legge (per es. antiriciclaggio) o legittimo interesse del titolare.

Nomina degli autorizzati al trattamento

L’avvocato all’interno del suo studio per il trattamento dei dati personali a lui conferiti si avvarrà di collaboratori/personale dipendente.

Tale personale dovrà essere autorizzato per iscritto al trattamento dati e istruito.

Come stabilisce l’art. 29 del GDPR 679/2016 “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

L’ autorizzato è il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali. Questo indica che se in teoria è possibile che un incaricato sia un soggetto esterno all’azienda, nella pratica risulterebbe difficile.

Anche se non si prevede l’obbligo di nomina espressa risulta fondamentale fornire per iscritto agli autorizzati le istruzioni operative e le misure di sicurezza da osservare e che sia fornita loro la necessaria formazione.

La nomina può essere fatta anche in un unico atto per più soggetti.

Individuazione e nomina dei responsabili esterni

L’avvocato in qualità di Titolare del trattamento può nominare un responsabile che effettui il trattamento per suo conto.

Il responsabile a differenza dell’autorizzato non è un mero esecutore ma un soggetto esterno che con i suoi mezzi nell’ambito delle finalità di trattamento stabilite dal titolare per nome e per conto del titolare effettua un trattamento di dati.

Il titolare ha la responsabilità di scegliere per tale incarico un soggetto/organismo che presenti garanzie sufficienti per mettere in atto le prescritte misure tecniche e organizzative adeguate.

All’art.28 il Regolamento stabilisce che “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

Redigere il registro dei trattamenti

Al fine di dimostrare la conformità al GDPR 679/2016 il titolare (lo studio legale/avvocato) deve tenere un registro delle attività di trattamento effettuate.

Come precisato anche dal Garante Privacy nel comunicato stampa dell’8.10.2018 tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento.

Sono tenuti all’obbligo di redazione del registro, ad esempio:

liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale).

 
 

Per rendere più chiari gli adempimenti degli studi legali in materia di protezione dei dati trattati Vi invitiamo a scaricare la nostra guida omaggio Orientarsi negli adempimenti GDPR degli Studi Legali

 
Omaggio guida privacy avvocati 
 
 

Regolamento 679 è a Vostra disposizione per consulenza e formazione privacy e GDPR!

Maggiori info sulla consulenza privacy torino 
 
 

Il nostro corso DPO, specificatemente progettato per professionisti è chiaro, completo ed ottimizzato dal punto di vista del risparmio di tempo garantendo la qualità della formazione! Affrettati a prenotare il posto in aula! 

 
Corso DPO torino 
 
 
 
 


Scopri subito la nostra soluzione Privacy Facile
e trova la versione più adatta alle tue esigenze


SCOPRI