Con la delibera 19 dicembre 2018, il Garante per la protezione dei dati personali ha fissato le regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria. Il provvedimento è stato concepito principalmente per avvocati e investigatori privati ma, come indicato all’art. 7, si estende anche a tutti i professionisti che collaborano con l’avvocato come ad esempio i consulenti tecnici di parte. Si tratta della Delibera n. 512/2018 pubblicata in Gazzetta Ufficiale Serie Generale n.12 del 15 gennaio 2019 che viene qui commentata.

Ambito di applicazione della delibera 512 del Garante Privacy

L’articolo 1 la delibera 512 del Garante Privacy definisce il suo ambito di applicazione: le regole devono essere rispettate nel trattamento di dati personali per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria, sia nel corso di un procedimento, anche in sede amministrativa, di arbitrato o di conciliazione, sia nella fase propedeutica all’instaurazione di un eventuale giudizio, sia nella fase successiva alla sua definizione, da parte di:

• Avvocati o praticanti avvocati iscritti ad albi territoriali o ai relativi registri, sezioni ed elenchi, i quali esercitino l’attività in forma individuale, associata o societaria svolgendo, anche su mandato, un’attività in sede giurisdizionale o di consulenza o di assistenza stragiudiziale, anche avvalendosi di collaboratori, dipendenti o ausiliari, nonchè da avvocati stranieri esercenti legalmente la professione sul territorio dello Stato
• Soggetti che, sulla base di uno specifico incarico anche da parte di un difensore, svolgano in conformità alla legge attività di investigazione privata (art. 134 regio decreto 18 giugno 1931, n. 773; art. 222 norme di coordinamento del c.p.p.)

Le regole si applicano inoltre ad altri liberi professionisti o soggetti che in conformità alla legge prestino, su mandato, attività di assistenza o consulenza per le medesime finalità come meglio indicato all’articolo 7, come ad esempio il professionista o la società di consulenza di informatica forense.

Modalità di trattamento e informativa secondo la delibera 512 dell’Autorità Garante per la protezione dei dati personali

All’articolo 2 della delibera 512/2018 del Garante Privacy sono definite le modalità di trattamento. Spetta all’avvocato organizzare il trattamento, anche non automatizzato dei dati personali, secondo le modalità che caso per caso risultino più adeguate al rispetto dei diritti, delle libertà e della dignità degli interessati.

Il trattamento deve avvenire applicando i principi di finalità, proporzionalità e minimizzazione dei dati sulla base di un’attenta valutazione sostanziale e non formalistica delle garanzie previste, nonchè di un’analisi della quantità e qualità delle informazioni che utilizza e dei possibili rischi. Le decisioni sono adottate dal titolare del trattamento il quale resta individuato, a seconda dei casi, in:

• Singolo professionista;
• Pluralità di professionisti, codifensori della medesima parte assistita o che, anche al di fuori del mandato di difesa, siano stati comunque interessati a concorrere all’opera professionale quali consulenti o domiciliatari;
• Associazione tra professionisti o una società di professionisti.

La delibera chiede che le istruzioni siano impartite per iscritto alle persone autorizzate al trattamento dei dati e siano formulate concrete indicazioni in ordine alle modalità che tali soggetti devono osservare, a seconda del loro ruolo di sostituto processuale, di praticante avvocato con o senza abilitazione al patrocinio, di consulente tecnico di parte, perito, investigatore privato o altro ausiliario che non rivesta la qualità di autonomo titolare del trattamento, nonchè di tirocinante, stagista o di persona addetta a compiti di collaborazione amministrativa. Viene richiesto di adottare idonee cautele per prevenire l’ingiustificata raccolta, utilizzazione o conoscenza di dati in caso di:

• Acquisizione anche informale di notizie, dati e documenti connotati da un alto grado di confidenzialità o che possono comportare, comunque, rischi specifici per gli interessati;
• Scambio di corrispondenza, specie per via telematica;
• Esercizio contiguo di attività autonome all’interno di uno studio;
• Utilizzo di dati di cui è dubbio l’impiego lecito, anche per effetto del ricorso a tecniche invasive;
• Utilizzo e distruzione di dati riportati su particolari dispositivi o supporti, specie elettronici (ivi comprese registrazioni audio/video), o documenti (tabulati di flussi telefonici e informatici, consulenze tecniche e perizie, relazioni redatte da investigatori privati);
• Custodia di materiale documentato, ma non utilizzato in un procedimento e ricerche su banche dati a uso interno, specie se consultabili anche telematicamente da uffici dello stesso titolare del trattamento situati altrove;
• Acquisizione di dati e documenti da terzi, verificando che si abbia titolo per ottenerli;
• Conservazione di atti relativi ad affari definiti.

Quando i dati sono trattati per esercitare il diritto di difesa in sede giurisdizionale, ciò può avvenire anche prima della pendenza di un procedimento. La condizione è che i dati siano strettamente funzionali all’esercizio del diritto di difesa, in conformità ai principi di liceità, proporzionalità e minimizzazione dei dati rispetto alle finalità difensive (art. 5 del GDPR).

Sono utilizzati lecitamente e secondo correttezza secondo i medesimi principi di cui all’art. 5 del regolamento (UE) 2016/679:

• i dati personali contenuti in pubblici registri, elenchi, albi, atti o documenti conoscibili da chiunque, nonchè in banche di dati, archivi ed elenchi, ivi compresi gli atti dello stato civile, dai quali possono essere estratte lecitamente informazioni personali riportate in certificazioni e attestazioni utilizzabili a fini difensivi
• atti, annotazioni, dichiarazioni e informazioni acquisite nell’ambito di indagini difensive, in particolare ai sensi degli articoli 391-bis, 391-ter e 391-quater del codice di procedura penale, evitando l’ingiustificato rilascio di copie eventualmente richieste. Se per effetto di un conferimento accidentale, anche in sede di acquisizione di dichiarazioni e informazioni ai sensi dei medesimi articoli 391-bis, 391-ter e 391-quater, sono raccolti dati eccedenti e non pertinenti rispetto alle finalità difensive, tali dati, qualora non possano essere estrapolati o distrutti, formano un unico contesto, unitariamente agli altri dati raccolti

All’articolo 3 è precisato che l’informativa sul trattamento dei dati personali (art. 13 GDPR) può essere fornita in un unico contesto, anche mediante affissione nei locali dello Studio e/o sul proprio sito Internet, anche utilizzando formule sintetiche e colloquiali.

Come conservare e/o cancellare i dati alla luce della delibera 512 del GPDP

In merito alla conservazione e cancellazione dei dati, all’articolo 4 la delibera prevede che la definizione di un grado di giudizio o la cessazione dello svolgimento di un incarico non comportano un’automatica dismissione dei dati. Infatti, una volta estinto il procedimento o il relativo rapporto di mandato, atti e documenti attinenti all’oggetto della difesa o delle investigazioni difensive possono essere conservati, in originale o in copia e anche in formato elettronico, qualora risulti necessario in relazione a ipotizzabili altre esigenze difensive della parte assistita o del titolare del trattamento, ferma restando la loro utilizzazione in forma anonima per finalità scientifiche.

La valutazione è effettuata tenendo conto della tipologia dei dati. Se è prevista una conservazione per adempiere a un obbligo normativo, anche in materia fiscale e di contrasto della criminalità, sono custoditi i soli dati personali effettivamente necessari per adempiere al medesimo obbligo.

Per gli avvocati, fermo restando quanto previsto dal codice deontologico forense in ordine alla restituzione al cliente dell’originale degli atti da questi ricevuti, è consentito, previa comunicazione alla parte assistita, distruggere, cancellare o consegnare all’avente diritto o ai suoi eredi o aventi causa la documentazione integrale dei fascicoli degli affari trattati e le relative copie.

In caso di revoca o di rinuncia al mandato fiduciario o del patrocinio, la documentazione acquisita è rimessa, in originale ove detenuta in tale forma, al difensore che subentra formalmente nella difesa. In caso di cessazione, anche per sopravvenuta incapacità e qualora manchi un altro difensore anche succeduto nella difesa o nella cura dell’affare, la documentazione dei fascicoli degli affari trattati, decorso un congruo termine dalla comunicazione all’assistito, è consegnata al Consiglio dell’ordine di appartenenza ai fini della conservazione per finalità difensive.

Per quanto riguarda la comunicazione e la diffusione di dati, all’articolo 5 è previsto che possano essere rilasciate informazioni non coperte da segreto qualora sia necessario per finalità di tutela dell’assistito, ancorchè non concordato con l’assistito medesimo, nel rispetto dei principi di liceità, trasparenza, correttezza, e minimizzazione dei dati di cui all’art. 5 del GDPR: è il caso ad esempio delle dichiarazioni a mezzo stampa.

L’impatto della delibera 512 del Garante Privacy sui CTP informatici

All’articolo 7 viene specificato che le disposizioni di cui agli articoli 2 e 5 si applicano anche a liberi professionisti che prestino attività di consulenza e assistenza per far valere o difendere un diritto in sede giudiziaria o per lo svolgimento delle investigazioni difensive, su mandato dell’avvocato, unitamente a esso o comunque nei casi e nella misura consentita dalla legge: è ad esempio il caso del CTP informatico forense.