L’avvocato quale Titolare del trattamento dei dati personali degli assistiti

Fonte: https://www.consiglionazionaleforense.it/ 

Inquadramento normativo: artt.13 e 28 codice deontologico forense; Regolamento generale sulla protezione dei dati UE n.2016/276 (GDPR)

Nello svolgimento della professione forense, l'avvocato ha accesso a molteplici dati di diversa natura, tra i quali i dati personali, i dati rientranti in particolari categorie (c.d. dati "sensibili", che rivelano l'origine razziale o etnica, le convinzioni religiose, le opinioni politiche, l'appartenenza sindacale, relativi alla salute o alla vita sessuale), i dati giudiziari e così via.

Il trattamento di tutti questi dati è connesso al rapporto di fiducia che lega l'avvocato al suo cliente ed è soggetto al rispetto sia degli obblighi deontologici che impongono all'avvocato la rigorosa osservanza del segreto professionale e il massimo riserbo su fatti e circostanze in qualsiasi modo apprese nell'espletamento del mandato o comunque per ragioni professionali (artt.13 e 28 cdf); sia degli obblighi derivanti dal GDPR.

L'avvocato come Titolare del trattamento. In relazione a tutte le informazioni che gli assistiti forniscono all'avvocato in virtù del mandato, l'avvocato assume la qualità di Titolare del trattamento, ossia il soggetto che, "singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali" (art.4 GDPR). Il ruolo del titolare del trattamento può essere ricoperto da: 

• un singolo professionista;
• una pluralità di professionisti; in questo caso si parla di contitolarità del trattamento, che ricorre quando due o più titolari del trattamento possono determinare congiuntamente le finalità e i mezzi del trattamento (art. 26 GDPR); ciò avviene ad esempio nel caso di co-difensori del medesimo cliente;
• un'associazione tra professionisti e/o una società di professionisti. In questa ipotesi, la titolarità del trattamento non spetta all'ente giuridico in nome del legale rappresentante, ma all'avvocato che riceve l'incarico (o agli avvocati che ricevono l'incarico), in virtù del mandato tra assistito e avvocato che ha natura prettamente personale e fiduciaria.

L'avvocato domiciliatario è Titolare del trattamento? Il Consiglio Nazionale Forense ha precisato che l'avvocato domiciliatario, non è Titolare del trattamento, ma deve qualificarsi come Responsabile del trattamento ai sensi dell'art. 4 par. 8 GDPR, ossia il soggetto che tratta i dati personali per conto titolare del trattamento (Commissione CNF in materia di privacy, Il GDPR e l'avvocato). Pertanto, il domiciliatario dovrà trattare i dati personali solo se è istruito in tal senso dal dominus titolare del trattamento e dovrà prestare garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate a garantire il rispetto del GDPR e la tutela dei diritti dell'interessato.

Gli obblighi derivanti dal GDPR. Quale Titolare del trattamento l'avvocato è tenuto all'osservanza

• degli obblighi previsti dal GDPR, tra i quali l'obbligo di rendere l'informativa di cui agli artt.13 e 14, che stabiliscono rispettivamente le informazioni da fornire qualora i dati personali siano raccolti presso l'interessato e quelli non ottenuti presso l'interessato; l'obbligo di fornire all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa e così via.
• dei principi del GDPR, per cui i dati devono essere trattati secondo i principi di «liceità, correttezza e trasparenza», «limitazione della finalità», «minimizzazione dei dati»«esattezza», «limitazione della conservazione», «integrità e riservatezza»

 Trattamento illecito. L'avvocato che tratti illecitamente i dati degli assistiti può essere sanzionato o ammonito dal Garante per la protezione dei dati personali. Ciò avviene quando ad es. l'avvocato non renda l'informativa ex art.13 e 14 GDPR o non risponda entro il termine di un mese per fornire all'interessato le informazioni relative alle azioni intraprese ai sensi degli articoli da 15 a 22 del Regolamento (ossia il diritto di accesso dell'interessato, il diritto alla cancellazione, il diritto di portabilità dei dati, il diritto di limitazione del trattamento, il diritto di opposizione ecc.).

Nella casistica di reclami presentati al Garante, questi ha ammonito l'avvocato dopo aver accertato

• l'illiceità del trattamento di dati personali per aver, a seguito di rinuncia al mandato, promosso azione legale nei confronti dell'ex cliente al fine di vedersi riconosciute le competenze relative al mandato risolto, producendo in giudizio una mole di documenti contenenti dati personali genetici e relativi allo stato di salute acquisiti direttamente presso l'interessato reclamante, senza fornirgli l'informativa inderogabilmente dovuta (Provvedimento del 21 dicembre 2022, doc. web10001164);
• la violazione dell'art. 15 GDPR, in quanto a fronte delle istanze di accesso ai propri dati personali ancora detenuti dallo Studio, l'avvocato non ha fornito un idoneo e compiuto riscontro entro il termine di 30 giorni previsto dall'art.12 GDPR per fornire all'interessato le informazioni relative all'azione intrapresa ai sensi degli articoli da 15 a 22 del Regolamento né ha comunicato all'interessato la necessità della proroga del termine per il riscontro alla richiesta di informazioni e dei motivi del ritardo, entro un mese dal ricevimento della richiesta, come previsto dal predetto articolo 12 (Provvedimento del 9 maggio 2024 doc. web n. 10027814).