Fra le regole generali per il trattamento dei dati personali il nuovo Codice (art.13 D.lgs 196/2003) disciplina forma e contenuto dell'informativa che il titolare del trattamento (il professionista) deve fornire all’interessato (il cliente). Fra le regole ulteriori, specifiche per privati ed enti pubblici economici, è inserito il consenso al trattamento dei dati (artt. 23 e ss.). Nello stesso capo III del titolo III sono contenute particolari garanzie per il trattamento di dati sensibili e dati giudiziari (artt. 26 e 27). I due adempimenti sono strettamente connessi e complementari.
Premessa
E' da rilevare, per quanto riguarda i signori Notai presenti oggi, che quanto diremo su informativa e consenso riguarda la componente strettamente "professionale" della loro attività, quella "qualificata consulenza legale super partes" che il Notaio fornisce al proprio cliente, spesso anche contestualmente all'espletamento della propria competenza funzionale pubblica. Quest'ultima invece esimerebbe di per sè il Notaio dall'obbligo di raccogliere il consenso al trattamento ed è regolata dal capo II del titolo III, sul quale non possiamo in questa sede soffermarci.
D'altra parte, la ricorrente compresenza di due funzioni si ritrova anche nelle attività di assistenza e patrocinio svolte dall'avvocato negli incarichi giudiziali, laddove il difensore, libero professionista, può sicuramente qualificarsi "privato" ai sensi della legge sulla privacy, anche se in concreto l'esercizio del servizio di pubblica necessità, comporta alcune particolari esenzioni.
Di queste duplici funzioni dovremo necessariamente tenere conto nel valutare l'opportunità di adottare le garanzie più complete, a tutela dei nostri rispettivi clienti.
Ma prima di vedere in dettaglio in cosa consistono gli obblighi di informativa e consenso, cerchiamo di puntualizzarne la terminologia essenziale. Ciò ci sarà indispensabile per capire “chi debba informare chi e di che cosa ” (che sarebbe già un passo avanti!) ma anche per assumere la giusta posizione relazionale con la ratio della normativa: Il trattamento dei dati personali deve svolgersi nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali. (art.2).
In sostanza dovremmo forse abituarci a parlare più propriamente e significativamente di “protezione” dei dati personali, anziché semplicemente di privacy, che di per sé, non esprime nessuno dei valori sopra enunciati: è meno di riservatezza, meno di identità o personalità….
Quando un cliente si affida ad un professionista subito viene a porre nella sua sfera di conoscenza e nella sua disponibilità una serie di dati personali. E' importante quindi focalizzare per prima cosa le definizioni normative, che offre l'art.4. In particolare:
a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
L’elencazione è data in un crescendo di importanza e di esigenza di protezione, dalla semplice raccolta alla diffusione (che significa comunicazione a un numero indeterminato di destinatari), e contiene una precisazione importante e nuova rispetto alla precedente formulazione della 675/96: il trattamento non presuppone necessariamente la registrazione del dato in una banca dati.
Raccomandiamo inoltre un'attenta lettura delle definizioni di dato personale, identificativo, sensibile, giudiziario.
Tengo a richiamare alla vostra attenzione la netta differenza fra la nozione di dato giudiziario e quella di dato personale (comune, identificativo, sensibile, giudiziario) trattati in sede giudiziaria, su cui avremo modo di ritornare.
Ciò posto, è evidente che il professionista che riceve i dati personali del cliente ne assume le relative responsabilità ed in quanto tale gli incombono, fra i primi, gli obblighi di informativa e di consenso.
Ma chiediamoci preliminarmente: qual è la posizione dell’avvocato nei confronti dei dati personali di persone diverse dal cliente (la controparte, i testimoni, altri terzi) di cui venga a conoscenza nell’espletamento del mandato? E’ possibile che in quanto non direttamente titolari del relativo trattamento o perchè non raccolti presso il nostro studio non abbiamo alcun obbligo nei confronti di detti dati?
In realtà essi sono comunque salvaguardati dai principi generali del codice e in particolare dall’art.1 secondo cui “Chiunque ha diritto alla protezione dei dati personali che lo riguardano.”
Ritengo inoltre che in alcune ipotesi particolari il legislatore si riferisca (in modo implicito ed incidentale) al dato personale della controparte (es: art.26 comma 4 lett.c) ultimo inciso).
L’autorizzazione generale del Garante per i dati sensibili, cui torneremo ad accennare, prevede che i dati sensibili relativi ai terzi possono essere trattati ove ciò sia strettamente indispensabile per l'esecuzione di specifiche prestazioni professionali richieste dai clienti per scopi determinati e legittimi, e sempre nel rispetto dei principi di proporzionalità, determinatezza dell'incarico e legalità. L'autorizzazione al trattamento dei dati giudiziari prevede invece che se i dati sono raccolti per l'esercizio di un diritto in sede giudiziaria o per le indagini difensive, l'informativa relativa ai dati raccolti presso terzi, e il consenso scritto, sono necessari solo se i dati sono trattati per un periodo superiore a quello strettamente necessario al perseguimento di tali finalità, oppure per altre finalità con esse non incompatibili.
Vorrei poter ritenere che tali specifiche salvaguardie debbano ritenersi estensibili a tutti i dati di "terzi" rispetto al rapporto professionale di mandato.
L'Informativa
Perché allora il cliente deve essere “informato”? Una risposta già di per sé convincente potrebbe essere questa: perché l’art.161 del codice prevede per la violazione dell’art.13 la sanzione amministrativa del pagamento di una somma da tremila euro a diciottomila euro o, nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ai sensi dell'articolo 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore.
Restano salve eventuali ulteriori responsabilità anche penali per il trattamento illecito (es.: mancata o illegittima raccolta del consenso al trattamento) nelle specifiche ipotesi previste dall’art.167.
Dobbiamo ricordare poi che l’art.15 prevede l’applicabilità dell’art.2050 cod.civ. oltre che la risarcibilità del danno non patrimoniale arrecato per effetto del trattamento illecito di dati personali e ciò anche nel caso di violazione dell’art.11 (modalità di trattamento). Si tratta di una responsabilità aggravata che può essere evitata dal titolare soltanto dimostrando, di avere adottato le “misure idonee ad evitare il danno”; ma in tema di misure preventive (tali possono considerarsi, con interpretazione "estensiva", anche i doveri di informativa e consenso)……se le misure fossero state idonee, per definizione il danno non si sarebbe verificato! E' quindi evidente che si potrebbe ottenere l’esonero da responsabilità unicamente provando un caso fortuito o la sussistenza di una causa di forza maggiore.
L'argomento verrà ripreso nella relazione relativa alle misure di sicurezza, propriamente dette.
Queste sanzioni che abbiamo enunciato sono certo ragioni molto “forti” per occuparci di informativa e consenso, ma non è questa la giusta chiave di lettura. In realtà l’informativa serve in primo luogo a rendere edotto il cliente dei suoi diritti, ed ecco perché gli si comunica il contenuto dell’art.7, riportandolo preferibilmente nel testo dell’informativa e delle modalità, finalità, obbligatorietà e destinatari del trattamento in questione. Per questo motivo essa deve essere chiara ed il più possibile analitica. L'invalidità dell'informativa inoltre compromette la validità del consenso al trattamento, come vedremo.
Veniamo quindi all’art.13, dal quale estrapoliamo le prescrizioni più importanti dando la precedenza ai contenuti sulle forme.
L’informativa deve essere resa sempre dal professionista, anche per la forma minima di trattamento-dati: la raccolta, quindi indipendentemente dal fatto che detti dati verranno poi gestiti, registrati o consultati per il tramite di strumenti informatici o anche solo cartacei ed indipendentemente dall'utilizzo di banche dati.
Essa deve essere resa dal o dagli avvocati-titolari personalmente anche nel caso di associazione professionale, stante la personalità e fiduciarietà del mandato e quindi del conferimento dei dati stessi, oltre che in ottemperanza al tenore letterale della definizione normativa "anche unitamente ad altro titolare". E’ opportuno tuttavia che si faccia menzione della struttura organizzativa dello studio.
Deve essere prestata all'interessato, oppure alla persona presso cui i dati vengono raccolti (es.: il rappresentante legale o volontario del medesimo).
Deve contenere inoltre i nominativi di tutti i componenti dello studio, abituali sostituti d’udienza, praticanti ed altri ausiliari dello studio (personale di segreteria, amministrativo e/o contabile e fiscale) nella qualità di incaricati del trattamento, nonchè del responsabile del trattamento, figura eletta facoltativamente, di cui si avrà occasione di parlare in tema di documento programmatico e di misure di sicurezza.
Devono essere chiaramente indicati, fra l’altro, le finalità e modalità del trattamento, laddove si dovrà avere ben presente anche il disposto dell’art.11 sulle modalità di trattamento e sui requisiti dei dati, che devono essere:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
Tutto quanto precede andrà specificamente segnalato in ordine alle singole tipologie di dati (comuni, identificativi, sensibili o giudiziari) in questione.
Dovrà esplicitarsi, per quanto possa sembrare ultroneo, che tali dati verranno indicati negli atti di causa o nella corrispondenza nei confronti delle controparti, terzi intervenuti, testimoni e dei pubblici uffici, costituendo anche questa una forma di “comunicazione”, il tutto per le finalità inerenti l’espletamento del mandato e nei precisi limiti spaziali e temporali strettamente necessari, in relazione alla singola tipologia; lo stesso dicasi per eventuali, ma improbabili, esigenze di "diffusione" a terzi.
Si indicherà inoltre la natura obbligatoria o facoltativa del conferimento dei dati, con le conseguenze di un eventuale rifiuto di fornirli (mentre il rifiuto di prestare il consenso al trattamento andrà valutato in relazione alla specifica obbligatorietà del medesimo, in considerazione dei doveri professionali di prestare il patrocinio e di portare a termine l'incarico giudiziale).
Quando deve essere resa l’informativa? Come regola generale al momento della raccolta dei dati, se detti dati non venissero raccolti presso lo studio, ma trasmessi da un terzo autorizzato, l’informativa andrà inoltrata all’atto della registrazione; in ogni caso non oltre la prima comunicazione a terzi dei medesimi, necessaria in virtù dello specifico conferimento. Il tutto con eccezioni specifiche nell'ipotesi che i dati non venissero raccolti presso l'interessato, fra cui investigazioni difensive e tutela giudiziaria dei diritti.
Può ritenersi, ma la disposizione non è chiara sul punto, che debba ricomprendervisi una specifica esenzione dall'obbligo di informare del trattamento la controparte processuale e gli altri interessati che non hanno direttamente conferito i propri dati al titolare del trattamento (es. testimoni).
La forma con cui viene resa l’informativa non deve essere necessariamente scritta, ma visto che si potrebbe porre un problema di prova e che comunque, a quanto vedremo, sarà talvolta opportuno procurarci il consenso (espresso e/o scritto) al trattamento ed infine per il semplice fatto che una forma più rigorosa comporta una maggiore attenzione per il contenuto dell’atto da parte di chi ne è destinatario, è altamente consigliabile che sia redatta per iscritto.
E’ consigliabile infine che il testo dell’informativa sia il più ampio, dettagliato e chiaro possibile, come vedremo dall’esempio pratico che ci offrirà il collega Turco.
Il Consenso
Per tutti i privati e per gli enti pubblici economici il consenso dell’interessato ad ogni tipo di trattamento dati deve essere espresso e documentato in forma scritta per i dati comuni, espresso in forma scritta per i dati sensibili, specifico per l'intero trattamento ovvero una o più operazioni dello stesso, comunque chiaramente individuati. E’ valido solo in presenza di valida informativa.
Oltre ai settori specifici di cui al capo II, si è esentati dall’obbligo di ottenere il consenso, per quanto ci occupa in questa sede: quando è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato; quando riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; quando riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale; quando è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo; quando è prestato in vece dell’interessato per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato; quando è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale; in altri casi specificamente individuati per provvedimento del Garante e comunque poco ricorrenti nella nostra professione.
Quanto abbiamo appena detto non vale per i dati sensibili e per quelli giudiziari, per i quali valgono altre, più restrittive esenzioni individuate negli artt.26 e 27 e per i quali, anche quando non è necessario il consenso, rimane ferma l’obbligatorietà dell’autorizzazione del Garante. I dati idonei a rivelare lo stato di salute non possono mai essere “diffusi” senza consenso scritto. Nella maggior parte dei casi sopra detti non è ammessa la "comunicazione” dei dati senza consenso.
Per i dati sensibili segnaliamo in particolare che il consenso non è necessario quando il trattamento è necessario ai fini dello svolgimento delle investigazioni difensive, o, comunque, per far valere o difendere in sede giudiziaria un diritto, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Se i dati sono idonei a rivelare lo stato di salute e la vita sessuale, il diritto deve essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile.
Per il trattamento dei dati giudiziari il consenso dell'interessato non è previsto.
Per i dati comuni quindi, secondo una diffusa interpretazione, il professionista sarebbe prevalentemente esente dall’obbligo di consenso in quanto agisce per definizione nell’esecuzione di un contratto di mandato in cui il cliente è parte o per adempiere ad un obbligo precontrattuale su sua specifica richiesta.
Il consenso non sarebbe poi necessario, come abbiamo detto, per il tempo strettamente necessario a far valere o difendere un diritto in sede giudiziaria.
Sappiamo bene tuttavia che nella maggior parte dei casi le cose non sono così semplici.
Il mandato professionale di cui siamo investiti comporta un’ampia discrezionalità operativa e per quanto possiamo essere fedeli e rispettosi del dovere deontologico-professionale di informazione del cliente, spesso questi non è in grado o non si cura di seguire scrupolosamente le singole attività e le scelte difensive che poniamo in essere.
Non è neppure sempre facile valutare, al momento di conferimento di un incarico, se una vertenza troverà sicuro sfogo giudiziale e quanti e quali altre specifiche informazioni relative alla persona verremo a raccogliere nello svolgimento dell'incarico.
Con riferimento alla conservazione dei dati personali (art.16), ed in particolare per quelli utilizzati in sede giudiziaria, soprattutto se di natura sensibile, si pone il problema della durata del diritto del professionista alla conservazione, dopo l'esaurimento dell'incarico. Ritengo che il diritto alla conservazione, da esplicitarsi nell'informativa e nella dichiarazione di consenso, debba rapportarsi al periodo di durata dell'obbligo di rendiconto del mandatario (art.1713 cod. civ.) e della relativa prescrizione decennale, restando ininfluente la prescrizione presuntiva di cui all'art. 2961 c. c. (Cass. civ., 7 giugno 1991, n. 6461); il tutto nel rispetto ovviamente dei principi sopradetti di non eccedenza e determinatezza. L'autorizzazione generale n.7/2002 prevede inoltre che "Al fine di assicurare che i dati siano strettamente pertinenti e non eccedenti rispetto alle finalità medesime, i soggetti autorizzati valutano specificamente il rapporto tra i dati e i singoli obblighi, compiti e prestazioni".
Nel dubbio, sarà opportuno, anche sul punto, procurarsi il preventivo consenso informato dell'assistito.
Per i dati comuni e con riferimento all'attività personale ed alla corrispondenza del professionista ricordo che l'art.16 prevede per la cessazione del trattamento che i dati siano conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione.
E’ pertanto consigliabile munirci della forma più ampia e rigoristica di consenso dell’interessato, che non deve voler dire, guardate bene: il più generica possibile, perché verremmo così a contravvenire all’obbligo di specificità ed individualità del consenso.
E visto che in ogni caso consenso ed informativa sono indissolubilmente connessi è opportuno che vengano redatti in unico corpo, non importa in quale ordine, purchè causalmente connessi, in modo che sia chiaro che il consenso prestato si riferisca alle tipologie, modalità e finalità di trattamento specificamente enunciate nell’informativa, di cui contestualmente l'interessato accusa ricevuta.
La forma sarà quella scritta (la più rigorosa prevista per i dati sensibili), con le ordinarie cautele che adottiamo nella redazione di una scrittura privata e quindi senza spazi bianchi, abrasioni o cancellature. Data e firma saranno chiaramente apposte in calce e a margine di ogni mezzo foglio, in forma leggibile, dall'interessato. E’ naturalmente opportuno che al cliente venga rilasciata una copia fotostatica del documento.
Ma non basta. Oltre all'obbligo generale di informativa ed al consenso che abbiamo inquadrato e descritto, per due particolari categorie di dati sussiste un ulteriore onere: l'autorizzazione. L'art.26 del TU recita: 1. I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti.
2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell'interessato, che il titolare del trattamento è tenuto ad adottare e prosegue formulando una serie di eccezioni su cui non ci possiamo soffermare.
Rileva il fatto che per i dati sensibili, cioè quelli idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale, come abbiamo visto, il consenso è (quasi) sempre obbligatorio ed oltre all'informativa occorrerebbe anche l'autorizzazione del Garante.
L’art. 27, invece, con riferimento ai dati giudiziari, recita: 1. Il trattamento di dati giudiziari da parte di privati o di enti pubblici economici è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.
Per nostra fortuna il Garante ci è venuto in soccorso con due autorizzazioni generali, rispettivamente relative al trattamento dei dati sensibili e di quelli giudiziari, sulle quali non ci è possibile soffermarci di più: sono le autorizzazioni nn. 4 e 7, pubblicate nell'anno 2002 e rinnovate nel giugno scorso, con le quali i liberi professionisti, ivi esplicitamente inclusi gli avvocati, i loro praticanti e incaricati e tutti "i liberi professionisti tenuti ad iscriversi in albi o elenchi per l'esercizio di un'attività professionale", sono permanentemente autorizzati al trattamento dei dati sensibili (e giudiziari) dei loro clienti. L'autorizzazione n.4 precisa alcune particolarità in ordine a finalità e modalità dei trattamento, richiamando fra l'altro l'obbligo permanente di informativa e di consenso scritto dell'interessato. Se i dati sono raccolti per l'esercizio di un diritto in sede giudiziaria o per le indagini difensive, l'informativa relativa ai dati raccolti presso terzi, e il consenso scritto, sono necessari solo se i dati sono trattati per un periodo superiore a quello strettamente necessario al perseguimento di tali finalità, oppure per altre finalità con esse non incompatibili.
In definitiva possiamo già andare traendo le prime conclusioni: informativa e consenso sono obblighi di legge nella maggior parte dei casi; rincorrere le maglie del codice per evitarli, ove si possa, non avrebbe senso: è importante acquisire invece un elevato grado di attenzione per la protezione del dato personale che ci consenta di fornire un'informativa il più ampia, completa e comprensibile per l'interessato. Ciò anche in considerazione delle peculiarità del mandato professionale e soprattutto delle diverse tipologie di servizi legali prestati dai nostri studi; ripeto che, almeno la grossa fetta di noi civilisti, sa bene che quando riceviamo un incarico non sappiamo mai in anticipo: se la questione troverà sfogo giudiziale o no; quanti e quali interessati potranno inserirvisi, quali terzi, quali tipologie di dati potremo incontrare cammin facendo e così via, l'adozione della forma più ampia dettagliata e "protettiva" si impone. Un documento unico quindi, comprensivo di consenso al trattamento e informativa, costruito con il massimo formalismo richiesto, che non si limiti a riportare le norme di legge in modo anonimo ed aspecifico, ma determinato e proporzionato, in senso spaziale e temporale, agli usi professionali.
Concludo, con uno sguardo al web.
Chi di Voi si è attrezzato con sito web informativo delle attività professionali e soprattutto se per mezzo di internet intende fornire servizi professionali on-line, nei limiti di cui al nuovo art.17 Codice Deontologico Forense e dell'art.10 Dlgs. n.70/2003 attuativo della direttiva europea sulla società dell'informazione (2000/31/CE), come pure servirsi della posta elettronica per rapporti professionali con clienti e colleghi, oltre a tutti gli obblighi in tema di misure di sicurezza, non solo a tutela del trattamento dei dati personali, ma dei nostri sistemi informativi in genere, dovrà pure tenere presente che secondo le ampie definizioni di dato personale e identificativo: (b) "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
c) "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato;) anche il trattamento di un indirizzo di posta elettronica del tipo
(contenente quindi nome, cognome e dominio registrato a nome dell'interessato) è soggetto alla normativa che stiamo illustrando, e quindi quantomeno all'obbligo di informativa.
I colleghi responsabili di un sito web che vogliano raccogliere detti dati al fine della distribuzione di una news letter o di una circolare informativa sulle attività dello studio predispongano pertanto idonea informativa relativa allo specifico e limitato trattamento in questione, con espressa esclusione di ogni altro, indicazione del titolare responsabile e delle modalità di "cancellazione" dal servizio.
Ritengo che per tali attività il consenso non sia necessario ai sensi dell'art.24 lett.b): "per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato".
Diverso è il caso in cui il professionista intenda raccogliere altri dati personali per l'esercizio di servizi professionali on-line (sempre nei limiti consentiti dalla normativa civilistica e deontologica sopra richiamata): la cd "consulenza on-line". In questi casi la necessaria e/o opportuna prestazione del consenso informato al trattamento da parte dell'interessato potrebbe riproporsi negli esatti termini e limiti più sopra trattati.
Occorre avere ben presente in proposito che al fine della documentazione per iscritto del consenso o della sua espressione in forma scritta nel caso di dati sensibili, si renderà necessario che il consenso venga espresso formalmente e non solo “spuntato” in area non protetta, o trasmesso per e-mail semplice, per così dire "in chiaro", poiché ai sensi dell’art.10 DPR 445/2000 (cd TUDA) solo la firma elettronica, quantomeno "leggera", assicura il requisito di forma scritta, previsto dall'art.24, testè citato, mentre il meccanismo del cd "point and click" in un'area web accessibile al pubblico (e quindi con connessione non protetta) non sarebbe sufficiente.
Per un'attenta disamina delle problematiche connesse alla fase di acquisizione del consenso nella fase di registrazione dell'utente e successive, segnalo un chiaro articolo degli Avvocati Andrea Lisi e M. De Giorgi del Foro di Lecce, disponibile on-line sulla rivista Diritto & Diritti che tutti conosciamo, all'indirizzo web: http://www.diritto.it/articoli/dir_privacy/lisi_degiorgi.html , nonché la recente pubblicazione per i tipi della Simone "La privacy in internet" sempre a cura del Collega Lisi.
Segnalo infine brevemente, a titolo di curiosità, che con un recente parere (newsletter N. 194 del 1 - 7 dicembre 2003 che potete consultare sul sito del Garante) l’Autorità Garante ha autorizzato, definendo limiti e garanzie, una importante casa editrice a trattare dati sensibili relativi anche a opinioni politiche, sindacali, religiose, appartenenza etnica delle persone che richiedono servizi di consulenza on line, offerti a pagamento dalla stessa società attraverso siti e pagine web di testate giornalistiche. Medici, avvocati, psicologi, ed altri professionisti potranno rispondere a richieste formulate anche per e-mail, ma nel rispetto di determinate regole: i dati dovranno essere pertinenti in rapporto all’argomento trattato o al quesito posto, oltre che indispensabili per fornire il servizio di consulenza on line. Alla società è stato, quindi, prescritto di inserire in modo visibile nell’informativa fornita agli utenti, l’invito a non indicare nei quesiti dati di carattere sensibile non strettamente necessari per la risposta. I quesiti verrebbero inviati agli esperti comunque privi dei dati anagrafici e indirizzi e-mail e le risposte arriverebbero automaticamente ai richiedenti attraverso dei codici identificativi, tramite il sistema informativo.
Nel caso poi che la domanda e la risposta dovessero essere inserite, previo consenso dell’utente, negli spazi consultabili liberamente dal pubblico (ad esempio in una rubrica delle domande più frequenti, faq), la società dovrà altresì verificare prima della loro pubblicazione che, oltre al nome e all’indirizzo e-mail dell’interessato, non vi siano altri dati, anche diversi da quelli sensibili, che possano rendere identificabile l’interessato. La società dovrà, inoltre, impartire agli esperti (che vengono designati responsabili del trattamento) precise istruzioni per la verifica della pertinenza ed effettiva necessità dei dati sensibili riportati nei quesiti, ma anche per la loro eliminazione nel caso non fossero necessari. Gli "esperti on line" dovranno anche controllare che nelle risposte pubblicate non vi sia nessun elemento che permetta di risalire all’identità della persona che ha richiesto la consulenza.
E' quindi probabile che analoga autorizzazione verrebbe fornita, su richiesta e a pari condizioni, anche nell'ipotesi di rubriche gestite direttamente da avvocati sui propri siti professionali.
Mi permetto tuttavia di dubitare che tali rubriche e queste forme di consulenza spersonalizzata ed esposta al pubblico, possano ritenersi compatibili con il più specifico dovere di riservatezza e segreto imposto all'Avvocato dall'art.9 CDF, comprensivo di "tutte le informazioni" comunque fornite dal cliente, anche indipendentemente dalla realizzabilità in concreto della “non identificabilità" dell’interessato.
Avendo a disposizione ben altri esperti di deontologia, io ho finito e Vi ringrazio per l’attenzione.
Estratto dell’intervento dell'avv. Marisa Bonanno durante la conferenza “Privacy e studi legali”
DIRITTO.NET | IL FORO CIVILE | IL FORO PENALE | IL FORO TRIBUTARIO sono testate sviluppate da DIEGO CARMENATI (EDITORE)
GIORNALISTA Iscrtto all'ORDINE DEI GIORNALISTI DELLA LOMBARDIA
C.F. CRMDGI71H30F205Y
IMPRESA EDITRICE Iscritta al ROC
P.IVA 02820540124
Sede legale Milano via MA Colonna 41 Redazione via N Sauro Va
