Proteggere i dati critici dello Studioper garantire privacy ed efficienza            produttiva Daniele Vecchi Milano 13 o...
1 – La protezione dei dati personali    dei clienti nello svolgimento        dell’attività forense
Normativa di riferimento• Decreto Legislativo 30 giugno 2003, n. 196 “Codice in  materia di protezione dei dati personali”...
Ma anche• Art. 622 Codice Penale – Segreto  professionale• Art. 9 Codice di Deontologia Forense
Art. 9 codice deontologico: dovere di segretezza e riservatezzaÈ dovere, oltre che diritto, primario e fondamentale dellav...
Art. 9 codice deontologico: dovere di segretezza e riservatezzaIV - Costituiscono eccezione alla regola generale i casi in...
Fonti informative• Parere Garante del 3 giugno 2004, Chiarimenti sui  principali adempimenti in materia di protezione di  ...
2 - La privacy in pillole
Privacy: cosa significaPrivacy = disciplina del trattamento dei datipersonaliIl termine “privacy” non corrispondenecessari...
L’oggetto del trattamentoDati Personali: qualunque informazione relativaa persona fisica, persona giuridica, ente odassoci...
Trattamento: qualunque operazione o complesso dioperazioni, svolti con o senza l’ausilio di mezzielettronici o comunque au...
I soggetti del Trattamento:                 struttura organizzativaInteressato                        Titolare            ...
I principali adempimenti• Notifica al Garante (solo nei casi previsti);• Informativa all’interessato (sempre o quasi);• Co...
3 – Privacy e avvocati: la disciplina             specifica
Trattamento di dati genetici ebiometrici dei clientiProvvedimento del Garante del 31 marzo 2004 relativo aicasi da sottrar...
Trattamento di dati sulla solvibilità    e stato di insolvenza di impreseDecisione del Garante del 2 marzo 2000: ricorso p...
Peculiarità del trattamento              effettuato dagli avvocati         Informativa           Art. 13                  ...
Trattamento dei dati sensibili e                giudiziariI dati sensibili e giudiziari possono essere trattati dall’Avvoc...
Trattamento dei dati sensibili del        cliente da parte di liberi              professionistiDati sensibili: dati perso...
Il trattamento dei dati sensibili può essere effettuato    ai soli fini dellespletamento di un incarico che rientri    tra...
Dati giudiziari del clienteDati giudiziari: dati personali idonei a rilevarealcuni provvedimenti giudiziari, eventuali car...
 I liberi professionisti sono autorizzati a trattare i dati a  carattere giudiziario dei rispettivi clienti, nonché di te...
Formazione del fascicolo del cliente da      parte del professionista   Parere del Garante del 3 giugno 2004 “Chiarimenti ...
4 – Difesa dei diritti e investigazioni              difensive
Codice di deontologia e buona condotta peri trattamenti di dati personali effettuati persvolgere investigazioni difensive(...
Informativa: possibilità di omettere l’informativa per idati raccolti presso terzi, qualora essi siano trattati soloper il...
L’unico limite a questa disciplina è      rappresentato dai c.d.      “dati ultrasensibili”      Per i dati idonei a rivel...
5 – Le misure di sicurezza
Ulteriori adempimenti: misure di  sicurezza sui datiI dati dei clienti devono essere protetti da misure di sicurezzaidonee...
Trattamenti con strumenti elettronici            Misure Minime di Sicurezza             Autenticazione Informatica   Utili...
Protezione degli strumenti elettronici e dei datiRispetto a trattamenti illeciti, accessi non consentiti          Procedur...
Trattamenti Con Strumenti Non Elettronici    Aggiornamento periodico ambito di trattamento                     consentito ...
5 – Privacy e avvocati: questioni           particolari
Pubblicità dei provvedimenti   disciplinari adottati nei confronti             degli avvocati                             ...
Tutela della privacy ed oscuramentodei dati identificativi delle sentenzeArt. 52, comma 1 Codice Privacy: “Fermo restandoq...
Tutela della privacy ed oscuramento dei dati identificativi delle sentenze• Lettera Circolare del 17 gennaio 2006 del prim...
Le questioni tuttora aperte• L’attività di assistenza stragiudiziale• La tutela dei diritti “di pari rango”• Il diritto di...
Upcoming SlideShare
Loading in …5
×

Proteggere i dati critici dello Studio per garantire privacy ed efficienza produttiva

582 views
548 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
582
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Proteggere i dati critici dello Studio per garantire privacy ed efficienza produttiva

  1. 1. Proteggere i dati critici dello Studioper garantire privacy ed efficienza produttiva Daniele Vecchi Milano 13 ottobre 2011
  2. 2. 1 – La protezione dei dati personali dei clienti nello svolgimento dell’attività forense
  3. 3. Normativa di riferimento• Decreto Legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” (c.d. Codice Privacy)• Autorizzazioni generali del Garante al trattamento dei dati sensibili e giudiziari• Codice di deontologia e buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive (Provv. 6 novembre 2008);• Parere Garante del 3 giugno 2004, Chiarimenti sui principali adempimenti in materia di protezione di dati personali nello svolgimento dell’attività forense (http://www.garanteprivacy.it/garante/doc.jsp?ID=100 7280)• Altri provvedimenti e decisioni del Garante
  4. 4. Ma anche• Art. 622 Codice Penale – Segreto professionale• Art. 9 Codice di Deontologia Forense
  5. 5. Art. 9 codice deontologico: dovere di segretezza e riservatezzaÈ dovere, oltre che diritto, primario e fondamentale dellavvocatomantenere il segreto sullattività prestata e su tutte leinformazioni che siano a lui fornite dalla parte assistita o di cui siavenuto a conoscenza in dipendenza del mandato.I - Lavvocato è tenuto al dovere di segretezza e riservatezzaanche nei confronti degli ex-clienti, sia per lattività giudiziale cheper lattività stragiudiziale.II - La segretezza deve essere rispettata anche nei confronti dicolui che si rivolga allavvocato per chiedere assistenza senza cheil mandato sia accettato.III - Lavvocato è tenuto a richiedere il rispetto del segretoprofessionale anche ai propri collaboratori e dipendenti e a tuttele persone che cooperano nello svolgimento dellattivitàprofessionale.
  6. 6. Art. 9 codice deontologico: dovere di segretezza e riservatezzaIV - Costituiscono eccezione alla regola generale i casi in cui ladivulgazione di alcune informazioni relative alla parte assistita sianecessaria:a) per lo svolgimento delle attività di difesa;b) al fine di impedire la commissione da parte dello stessoassistito di un reato di particolare gravità;c) al fine di allegare circostanze di fatto in una controversia traavvocato e assistito;d) in un procedimento concernente le modalità della difesa degliinteressi dellassistito.In ogni caso la divulgazione dovrà essere limitata a quantostrettamente necessario per il fine tutelato.
  7. 7. Fonti informative• Parere Garante del 3 giugno 2004, Chiarimenti sui principali adempimenti in materia di protezione di dati personali nello svolgimento dell’attività forense (http://www.garanteprivacy.it/garan- te/doc.jsp?ID=1007280)• Consiglio dell’Ordine degli Avvocati di Milano: privacy per gli studi legali, febbraio 2007 (http://www.ordineavvocatimilano.it/html/pdf/PRI VACY%20PER%20GLI%20STUDI%20LEGALI.pdf)• Consiglio Nazionale Forense, Vademecum dello studio legale, 18 giugno 2004
  8. 8. 2 - La privacy in pillole
  9. 9. Privacy: cosa significaPrivacy = disciplina del trattamento dei datipersonaliIl termine “privacy” non corrispondenecessariamente ad un obbligo di confidenzialitào riservatezza.Nel contesto della direttiva comunitaria, “privacy”indica la disciplina per il trattamento dei dati.
  10. 10. L’oggetto del trattamentoDati Personali: qualunque informazione relativaa persona fisica, persona giuridica, ente odassociazione, identificati o identificabili, ancheindirettamente mediante riferimento a qualsiasi altrainformazione.I dati personali si contrappongono ai dati anonimi:il dato che in origine o a seguito di un trattamentonon può essere associato ad un interessatoidentificato o identificabileDati sensibili, Giudiziari e Quasi-sensibili
  11. 11. Trattamento: qualunque operazione o complesso dioperazioni, svolti con o senza l’ausilio di mezzielettronici o comunque automatizzati, concernenti:  la raccolta,  l’estrazione,  la registrazione,  il raffronto,  l’organizzazione,  l’utilizzo,  la conservazione,  l’interconnessione,  l’elaborazione,  il blocco,  la consultazione,  la comunicazione,  la modificazione,  la diffusione,  la selezione,  la cancellazione.
  12. 12. I soggetti del Trattamento: struttura organizzativaInteressato Titolare Responsabile esterno Responsabile Incaricati del trattamento
  13. 13. I principali adempimenti• Notifica al Garante (solo nei casi previsti);• Informativa all’interessato (sempre o quasi);• Consenso (specifico e distinto in relazione al trattamento);• Consenso scritto (unitamente all’autorizzazione del Garante) per il trattamento di dati sensibili)• Contratti o discipline ad hoc per il trasferimento all’estero dei dati;• Adozione/implementazione misure di sicurezza;• Redazione/aggiornamento DPS;• Creazione di una Struttura organizzativa (interna ed esterna);• Implementazioni di processi per il riscontro alle istanze dell’interessato.
  14. 14. 3 – Privacy e avvocati: la disciplina specifica
  15. 15. Trattamento di dati genetici ebiometrici dei clientiProvvedimento del Garante del 31 marzo 2004 relativo aicasi da sottrarre all’obbligo di notificazioneSono sottratti all’obbligo di notificazione al Garante, tra i casiprevisti dallart. 37, comma 1, del D.lgs. 30 giugno 2003,n. 196: i trattamenti di dati genetici o biometrici effettuati nell’eserciziodella professione di avvocato, in relazione alle operazioni e aidati necessari per svolgere le investigazioni difensive dicui alla legge n. 397/2000, o comunque per far valere odifendere un diritto anche da parte di un terzo in sedegiudiziaria. Ciò sempre che il diritto sia di rango almeno pari aquello dell’interessato e i dati siano trattati esclusivamente pertali finalità e per il periodo strettamente necessario al loroperseguimento.
  16. 16. Trattamento di dati sulla solvibilità e stato di insolvenza di impreseDecisione del Garante del 2 marzo 2000: ricorso presentato dauna Società che lamentava l’asserita illecita comunicazione diinformazioni attinenti la propria situazione economica e finanziariaeffettuata da un avvocato a favore di una società statunitense. “i dati trattati in tema di solvibilità e di stato di insolvenza di un’impresa rientrano nella nozione di dati relativi allo svolgimento di attività economiche, la cui utilizzazione e divulgazione a terzi può avvenire anche senza il consenso dell’interessato”
  17. 17. Peculiarità del trattamento effettuato dagli avvocati Informativa Art. 13 È sempre necessaria quando i dati Può essere anche resa oralmente, sono raccolti direttamente presso con formule sintetiche e colloquiali, l’interessato, anche in caso di omettendo elementi noti al cliente, raccolta di dati tramite ascolto, e precisando se verranno raccolti registrazione o intercettazione di presso terzi dati che lo riguardano conversazioni (Provv. 19 febbraio 2002) Consenso Art. 23Non è richiesto quando il trattamento Non occorre perciò il consenso delè necessario per eseguire obblighi cliente quando il trattamento deiderivanti da un contratto di cui è parte dati c.d. “comuni” è necessariol’interessato, o per adempiere, prima per adempiere agli obblighi deldella conclusione del contratto, a sue contratto di prestazione d’operaspecifiche richieste (art. 24 comma 1,lett. b) del Codice)
  18. 18. Trattamento dei dati sensibili e giudiziariI dati sensibili e giudiziari possono essere trattati dall’Avvocatosenza previa autorizzazione del Garante nel caso si ricada in unadelle autorizzazioni generali emanate dal Garante ai sensidell’abrogata L. 675/96 e operanti erga omnes:  Autorizzazione n. 4 del 2002 al trattamento dei dati sensibili da parte di liberi professionisti (31 gennaio 2002)  Autorizzazione n. 7 del 2002 al trattamento dei dati a carattere giudiziario da parte di privati, enti pubblici economici e soggetti pubblici (31 gennaio 2002) L’efficacia di tali autorizzazioni è stata prorogata dal Garante sino al 31 dicembre 2012
  19. 19. Trattamento dei dati sensibili del cliente da parte di liberi professionistiDati sensibili: dati personali idonei a rilevarel’origine razziale ed etnica, le convinzioni religiose,filosofiche o di altro genere, le opinioni politiche,l’adesione a partiti, sindacati, associazioni odorganizzazioni a carattere religioso, filosofico,politico o sindacale,lo stato di salute e la vitasessuale.
  20. 20. Il trattamento dei dati sensibili può essere effettuato ai soli fini dellespletamento di un incarico che rientri tra quelli che il libero professionista può eseguire in base al proprio ordinamento professionale, e in particolare: per curare gli adempimenti in materia di lavoro, di previdenza ed assistenza sociale e fiscale nellinteresse di altri soggetti che sono parte di un rapporto di lavoro dipendente o autonomo; per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalla normativa comunitaria, dalle leggi, dai regolamenti o dai contratti collettivi; ai fini dello svolgimento da parte del difensore delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, anche a mezzo di sostituti e di consulenti tecnici; per l’esercizio del diritto di accesso ai documenti amministrativi, nei limiti di quanto stabilito dalle leggi e dai regolamenti in materia.
  21. 21. Dati giudiziari del clienteDati giudiziari: dati personali idonei a rilevarealcuni provvedimenti giudiziari, eventuali carichipendenti, la qualità di imputato o di indagato e lasoccombenza ad eventuali sanzioni amministrativedipendenti da reato.
  22. 22.  I liberi professionisti sono autorizzati a trattare i dati a carattere giudiziario dei rispettivi clienti, nonché di terzi ove ciò sia strettamente indispensabile per eseguire specifiche prestazioni professionali richieste dai clienti stessi; Il trattamento dei dati deve essere effettuato unicamente con logiche e mediante forme di organizzazione dei dati strettamente correlate agli obblighi, ai compiti e alle finalità della prestazione professionale richiesta; I dati possono essere comunicati e, ove previsto dalla legge, diffusi, a soggetti pubblici o privati, nei limiti strettamente necessari alle finalità perseguite e nel rispetto, in ogni caso, del segreto professionale. Il consenso non è richiesto, ma possono essere trattati i soli dati essenziali per le finalità che non possano essere adempiute mediante l’impiego di dati anonimi
  23. 23. Formazione del fascicolo del cliente da parte del professionista Parere del Garante del 3 giugno 2004 “Chiarimenti sui principali adempimenti in materia di protezione di dati personali nello svolgimento dell’attività forense”:  la formazione del fascicolo può essere effettuata in via manuale e cartacea e/o mediante mezzi informatici;  non occorre depennare il nome delle parti dalla copertina dei fascicoli cartacei, utilizzando al suo posto solo numeri identificativi;  è invece necessario seguire opportune misure di sicurezza per rendere i fascicoli e la relativa documentazione accessibili agli incaricati del trattamento nei casi e per le finalità previsti annullando rischi di accessi abusivi.
  24. 24. 4 – Difesa dei diritti e investigazioni difensive
  25. 25. Codice di deontologia e buona condotta peri trattamenti di dati personali effettuati persvolgere investigazioni difensive(Provv. 6 novembre 2008)Ambito di applicazione: avvocati e praticanti avvocati cheutilizzano dati di carattere personale per svolgere investigazionidifensive collegate ad un procedimento penale (l. 7 dicembre 2000,n. 397) o comunque per far valere o difendere un diritto in sedegiudiziaria. Ipotesi specifiche di esenzione dagli obblighi di informativa e consenso
  26. 26. Informativa: possibilità di omettere l’informativa per idati raccolti presso terzi, qualora essi siano trattati soloper il periodo strettamente necessario per far valere undiritto in sede giudiziariaConsenso: non è richiesto né per i dati comuni, né peri dati sensibili e giudiziari.Ciò vale sia per i dati trattati nel corso di unprocedimento, anche in sede amministrativa, arbitrato oconciliazione, sia nella fase propedeuticaall’instaurazione di un eventuale giudizio (anche al fine diverificare se vi sia un diritto da tutelare), sia nella fasesuccessiva alla risoluzione, giudiziale o stragiudizialedella lite.
  27. 27. L’unico limite a questa disciplina è rappresentato dai c.d. “dati ultrasensibili” Per i dati idonei a rivelare lo stato di salute e la vita sessuale dell’interessato, il trattamento è lecito solo quando il diritto che si intende tutelare è di rango pari a quello dell’interessato, ovvero consiste in un diritto della personalità o altro diritto o libertà fondamentale e inviolabile (Provv. 9 luglio 2003)
  28. 28. 5 – Le misure di sicurezza
  29. 29. Ulteriori adempimenti: misure di sicurezza sui datiI dati dei clienti devono essere protetti da misure di sicurezzaidonee preventive per ridurre al minimo i rischi di distruzione,perdita, accesso non autorizzato ai dati dei clienti.Alcune cautele, c.d. “misure minime”, sono obbligatorie e la loromancata implementazione ha risvolti sul piano penale (art. 33-36 eAllegato B del Codice).Genericamente le misure di sicurezza sono individuate a secondache il trattamento sia effettuato: con strumenti elettronici oppure con strumenti non elettronici
  30. 30. Trattamenti con strumenti elettronici Misure Minime di Sicurezza Autenticazione Informatica Utilizzazione di un sistema di autorizzazione Procedure di gestione delle credenziali di autenticazione Aggiornamento periodico dell’individuazione dell’ambito di trattamento consentito agli incaricati e addetti alla gestione e manutenzione sistemi
  31. 31. Protezione degli strumenti elettronici e dei datiRispetto a trattamenti illeciti, accessi non consentiti Procedure per la custodia di copie di back-up, il ripristino della disponibilità dei dati e dei sistemi Redazione e aggiornamento del documento Programmatico sulla sicurezza (DPSS), necessario solo se vengono trattati dati sensibili o giudiziari (apposito modello semplificato)
  32. 32. Trattamenti Con Strumenti Non Elettronici Aggiornamento periodico ambito di trattamento consentito Procedure per l’idonea custodia di atti e documenti Procedure per la conservazione di determinati atti in archivi ad accesso selezionato Individuazione modalità di accesso per L’identificazione degli incaricati
  33. 33. 5 – Privacy e avvocati: questioni particolari
  34. 34. Pubblicità dei provvedimenti disciplinari adottati nei confronti degli avvocati “Di conseguenza, è soggetto a deposito e quindi fonte di ampia conoscibilità il provvedimento del I provvedimenti Consiglio dell’Ordine degli disciplinari adottati nei avvocati che dispone la confronti degli iscritti sanzione disciplinare della all’albo degli avvocati si configurano come sospensione dalla atti pubblici soggetti ad professione. Può essereun regime di conoscibilità perciò divulgato anche anche da parte di altri attraverso riviste, notiziari e professionisti e di terzi pubblicazioni, a prescindere dall’opportunità o meno di tale pubblicazione e dall’obbligo di riportare comunque dati esatti e completi” (Decisione del Garante del 29 marzo 2001)
  35. 35. Tutela della privacy ed oscuramentodei dati identificativi delle sentenzeArt. 52, comma 1 Codice Privacy: “Fermo restandoquanto previsto dalle disposizioni concernenti la redazione eil contenuto di sentenze e di altri provvedimentigiurisdizionali dellautorità giudiziaria di ogni ordine e grado,linteressato può chiedere per motivi legittimi, con richiestadepositata nella cancelleria o segreteria dellufficio cheprocede prima che sia definito il relativo grado di giudizio,che sia apposta a cura della medesima cancelleria osegreteria, sulloriginale della sentenza o del provvedimento,unannotazione volta a precludere, in caso di riproduzionedella sentenza o provvedimento in qualsiasi forma, perfinalità di informazione giuridica su riviste giuridiche,supporti elettronici o mediante reti di comunicazioneelettronica, lindicazione delle generalità e di altri datiidentificativi del medesimo interessato riportati sullasentenza o provvedimento”.
  36. 36. Tutela della privacy ed oscuramento dei dati identificativi delle sentenze• Lettera Circolare del 17 gennaio 2006 del primo presidente della Corte Suprema di Cassazione: la possibilità di rendere in forma anonima i dati personali contenuti in una sentenza si ha soltanto al momento della sua riproduzione in qualsiasi forma su riviste giuridiche, supporti elettronici o mediante reti di comunicazione elettronica.• Corte di Cassazione Sezione 5 Penale, Sentenza del 29 gennaio 2009, n. 4239: non può dirsi violato l’art. 52 del Codice della privacy qualora venga pubblicato il testo integrale di una sentenza o di un provvedimento giudiziario, omettendo la cancellazione dei dati e delle informazioni generali inerenti le parti processuali, qualora la sentenza sia in ogni caso già reperibile presso la banca dati dell’autorità giudiziaria procedente, in assenza dell’apposita istanza di parte prevista dall’art. 52 comma 1 d.lgs. 196/03.
  37. 37. Le questioni tuttora aperte• L’attività di assistenza stragiudiziale• La tutela dei diritti “di pari rango”• Il diritto di accesso ai dati

×