Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati

GLI ADEMPIMENTI PRIVACY
E LE REGOLE DEONTOLOGICHE
DEGLI AVVOCATI
Treviso, 3 maggio 2019

www.avvsilviadinapoli.it2
1. Il quadro normativo
2. I dati e i soggetti tutelati dal GDPR
3. I soggetti attivi del trattamento
4. Interessati del trattamento
5. L’avvocato: titolare autonomo, contitolare o responsabile del trattamento dei dati personali? Altri soggetti.
6. Gli adempimenti per l’adeguamento degli Avvocati alla normativa privacy
A. Redazione delle Informative – Il consenso
B. Nomine autorizzati / incaricati al trattamento
C. Nomine dei responsabili del trattamento
D. Redazione del Registro trattamenti
E. Redazione della valutazione dei rischi
F. Redazione DPIA - valutazione di impatto sulla protezione dei dati
G. Gestione dell’esercizio dei diritti degli interessati
H. Gestione delle violazioni di dati personali (breach)
7. Le Regole Deontologiche
Argomenti
G l i A d e m p i m e n t i P r i v a c y e l e R e g o l e D e o n t o l o g i c h e d e g l i A v v o c a t i

1. Privacy: il quadro normativo attuale
I - Regolamento (UE) 2016/679 del Parlamento europeo
relativo alla «protezione delle persone fisiche» con riguardo al «trattamento dei
dati personali», nonché alla «libera circolazione» di tali dati (GDPR = General Data
protection Regulation) - vigente dal 25 maggio 2018 – norma sovranazionale
inderogabile
II - D. LGS. N. 196/2003 - Codice privacy
in materia di protezione dei dati personali
come modificato dal d.lgs. n. 101 /2018 - vigente dal 19 settembre 2018
1. il quadro normativo

III – Regole Deontologiche
relative ai trattamenti di dati personali effettuati PER svolgere investigazioni
difensive o PER fare valere o difendere un diritto in sede giudiziaria
(pubblicate in G.U. n. 12 il 15.1.2019).
Provv. 512 del 19.12.2018 Garante della Privacy-- verificata la conformità
del previgente codice di deontologia e di buona condotta al GDPR.
Art. 2 – quater del decreto legislativo n. 196/2003: “Il rispetto delle
disposizioni contenute nelle regole deontologiche costituisce condizione
essenziale per la LICEITA’ e la CORRETTEZZA del trattamento dei dati
personali”.
IV – “Il GDPR e l’Avvocato” - sito istituzionale CNF
1. il quadro normativo

www.avvsilviadinapoli.it51. il quadro normativo
La nuova normativa è oggi pienamente in vigore?
Art. 22, punto 13, del decreto legislativo n. 101/2018: “Per i primi otto
mesi dalla data di entrata in vigore del presente decreto (19.9.2018 –
19.5.2019, n.d.r.) il Garante per la protezione dei dati personali tiene
conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti
in cui risulti compatibile con le disposizioni del Regolamento (UE)
2016/679, della fase di prima applicazione delle disposizioni
sanzionatorie.”
1 Sospensione dell’esecutività delle sanzioni per un periodo di otto mesi.
2 Norma sovrabbondante ed inapplicabile.
3 moratoria intesa come applicazione di attenuanti ex lege da parte del Garante privacy per il
periodo previsto. Una moratoria de facto imposta dalla norma nazionale che riguarda (non
l’esercizio della attività ispettiva ed il potere sanzionatorio del Garante in sé) ma la valutazione ex
lege di attenuanti applicabili al caso concreto che deve essere fatta a monte dall’Autorità
nazionale che, se non adempiuta, lascerebbe spazio a possibili azioni di annullamento delle
sanzioni irrogate dal Garante.

2. I dati e il trattamento dei soggetti tutelati dal GDPR
Qualsiasi informazione riguardante una persona fisica identificata o
identificabile (interessato)
Persona fisica identificabile: può essere identificata, direttamente o
indirettamente con particolare riferimento a un identificativo come il
nome, un numero di identificazione, i dati relativi all'ubicazione, un
identificativo online o a uno o più elementi caratteristici della sua identità
fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
2. I dati e il trattamento soggetti tutelati dal GDPR
Definizione di dato personale (art. 4.1)

Dati particolari (art. 9.1)
Dati che rivelino:
 l'origine razziale o etnica,
 Le opinioni politiche,
 le convinzioni religiose o filosofiche, o l'appartenenza sindacale,
 I dati genetici, dati biometrici intesi a identificare in modo univoco una
persona fisica, dati relativi alla salute o alla vita sessuale o
all'orientamento sessuale.

Tipi di dati particolari
art. 4.13 - dati genetici: relativi alle caratteristiche genetiche
ereditarie o acquisite di una persona fisica, che forniscono informazioni
univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in
particolare dall'analisi di un campione biologico della persona fisica in
questione;
art. 4.14 - dati biometrici: ottenuti da un trattamento tecnico specifico relativi
alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica
che ne consentono o confermano l'identificazione univoca, quali l'immagine
facciale o i dati dattiloscopici;
art. 4.15 - dati relativi alla salute: attinenti alla salute fisica o mentale di una
persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che
rivelano informazioni relative al suo stato di salute.

Trattamento dei dati personali relativi a
condanne penali e reati (art. 10)
Il trattamento dei dati personali relativi alle condanne penali e ai reati deve
avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è
autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie
appropriate per i diritti e le libertà degli interessati

Art. 2-octies del D.Lgs. 196/03, introdotto dal D.Lgs. 101/2018
(Principi relativi al trattamento di dati relativi a condanne penali e reati)
 consentito solo se autorizzato da una norma di legge o, nei casi
previsti dalla legge, di regolamento, che prevedano garanzie
appropriate per i diritti e le libertà degli interessati;
 diversamente i trattamenti vengono individuati con decreto del
Ministro della giustizia, sentito il Garante;
 il comma 3 elenca i casi in cui il trattamento, se autorizzato da una
norma di legge o di regolamento, è consentito: e) accertamento,
esercizio e difesa di un diritto in sede giudiziaria; f) accesso ai dati e
documenti amministrativi, nei limiti di leggi e regolamenti g)
investigazioni

Definizione di trattamento (art. 4.2)
Qualsiasi operazione o insieme di operazioni, compiute con o senza
l'ausilio di processi automatizzati e applicate a dati personali o insiemi di
dati personali, come la raccolta, la registrazione, l'organizzazione, la
strutturazione, la conservazione, l'adattamento o la modifica,
l'estrazione, la consultazione, l'uso, la comunicazione mediante
trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il
raffronto o l'interconnessione, la limitazione, la cancellazione o la
distruzione.

Soggetti attivi
3. I soggetti del trattamento
Titolare del trattamento e gli
eventuali contitolari
Responsabile del trattamento e gli
eventuali sub-responsabili
Autorizzati o Incaricati del
trattamento (dipendenti –
collaboratori interni del titolare o
del responsabile del trattamento)
Soggetti passivi
Interessati

Definizione di titolare del trattamento (art. 4.7)
La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo
che, singolarmente o insieme ad altri, determina le finalità e i mezzi del
trattamento di dati personali;
Mezzi del trattamento: strumenti utilizzati, logica e modalità del trattamento
Contitolari ai sensi dell’art. 26 del G.D.P.R. 679/2016 sono due o più titolari del
trattamento che determinano “congiuntamente” le finalità e i mezzi del
trattamento.
Definizione del Responsabile Del Trattamento (art. 4.8)
La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che
tratta dati personali per conto del titolare del trattamento

Incaricati del trattamento
 “persone (fisiche) autorizzate al trattamento”;
 non vengono definiti formalmente nel Regolamento, ma disciplinati
indirettamente anche in relazione all’obbligo, per il titolare, di
indicarli espressamente;
 dalla mancata indicazione discende inosservanza adozione misure di
sicurezza;
 agiscono sotto le disposizioni e la responsabilità del titolare.

4. Soggetti tutelati dal GDPR - Interessati
INTERESSATI = soggetti i cui dati personali sono oggetto di tutela
giuridica = PERSONE FISICHE (sicuramente).
E i soggetti che esercitano un’attività economica?
Le società di capitali, le società cooperative, le
società di persone e le ditte individuali
Considerando 14: “il presente regolamento NON disciplina il trattamento dei dati
personali relativi a persone giuridiche, in particolare imprese - dotate di
personalità giuridica, compresi il nome e la forma della persona giuridica o i dati
di contatto.

TESI 1
personalità giuridica + autonomia patrimoniale perfetta o imperfetta
- le società di capitali e le società cooperative: personalità giuridica, acquisita con
l’iscrizione al Registro Imprese + autonomia patrimoniale perfetta; soggetti di diritto
formalmente distinti dai soci – NO REGOLAMENTO
- le società di persone: personalità giuridica ed autonomia patrimoniale imperfetta -
NO REGOLAMENTO

I Lavoratori Autonomi
Art. 2222 c.c.
 - Liberi professionisti iscritti ad un albo professionale (es. avvocati, commercialisti, architetti,
ingegneri ecc.)
 Professionisti non iscritti a ordini professionali (es consulenti aziendali, consulenti marketing
ecc.).
Non sono tenuti all’iscrizione nel registro imprese.
NON sono persone giuridiche e non hanno personalità giuridica: Interessati

Ditte Individuali
Art. 2082 c.c.
Impresa individuale o ditta individuale: il soggetto giuridico è una persona fisica
che risponde con il proprio patrimonio delle obbligazioni assunte dalla propria
impresa (es. artigiani o commercianti).
Provvedimento Garante Privacy n. 217/13 doc. web 2439150: “l’apposizione sui
contrassegni della ragione sociale dell’azienda individuale, essendo idonea a
identificare direttamente l’interessato (art. 4, comma 1, lett. b), del Codice),
configura un trattamento di dati personali riguardanti le persone fisiche.” - Ditte
individuali = persone fisiche meritevoli di tutela.

Soggetti tutelati dal GDPR - Interessati
In via prudenziale sono da considerarsi come soggetti interessati:
 persone fisiche
 lavoratori autonomi
 ditte individuali

TESI 2
ESERCIZIO DELL’ATTIVITÀ DI IMPRESA = discrimine per considerare o meno un imprenditore tra
i soggetti da “trattare”.
La tutela dei dati personali va garantita solo alle persone fisiche che NON sono imprenditori.
I liberi professionisti NON sono imprenditori.
Ditta individuale che svolge attività di impresa: NO REG. EU

5. L’avvocato: titolare autonomo, contitolare o
responsabile del trattamento dei dati del cliente?
Art. 2 COMMA 2 REGOLE DEONTOLOGICHE
Chi è il titolare del trattamento?
a) un singolo professionista
b) una pluralità di professionisti
 codifensori della medesima parte assistita
 che siano stati interessati a concorrere all’opera professionale
quali consulenti o domiciliatari, anche al di fuori del mandato di
difesa;
c) un’associazione tra professionisti o una società di professionisti.
5. L’avvocato: titolare autonomo, contitolare o responsabile
del trattamento dei dati personali?

a) avvocato che assume mandato giudiziale/ stragiudiziale
Art. 2 della legge professionale (Legge 31 dicembre 2012, n. 247):
l’avvocato è un libero professionista che, in libertà, autonomia e
indipendenza, svolge l’attività difensiva.
L’ Avvocato (dominus) è titolare autonomo, poiché deve poter trattare i
dati personali del cliente con autonomia ed indipendenza, senza
interferenze del cliente.
Individuazione di finalità e mezzi (strumenti, logica, modalità) del
trattamento

Consulente legale d’impresa: Titolare o Responsabile?
CASO: L’avvocato, nell’ambito di attività consulenziale, riceve dal cliente persona
giuridica l’incarico di trattare dati personali conferiti direttamente dagli interessati al
cliente (ES. l’avvocato incaricato di elaborare contratti tra cliente e persone fisiche clienti
del cliente o dipendenti del cliente). In tali casi il cliente prende le decisioni di fondo ed
effettua le scelte sugli scopi, le finalità, ecc. del trattamento dei dati --- Avvocato =
Responsabile del trattamento
I responsabili del trattamento sono soggetti ad oneri ed obblighi del tutto similari a quelli
previsti per i titolari, devono presentare garanzie sufficienti per mettere in atto misure
tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del
regolamento e garantisca la tutela dei diritti dell’interessato.
Nella sostanza non cambia.

b) Codifensori
Codifensori: Contitolari che determinano congiuntamente finalità e
mezzi di trattamento  Accordo di contitolarità* art. 26 Reg. EU (ruoli
e resp.) + indicazione nell’informativa. (*Oggetto del contratto - ulteriori
rapporti di contitolarità o trattamenti “promiscui” dei dati; richiamo l’art. 26 REG.
UE; Fondamento della contitolarità; Riparto di responsabilità ; Informazioni di
cui agli artt. 13 e 14 GDPR; Esercizio dei diritti degli interessati; Sicurezza delle
informazioni; Decisioni in merito ai trasferimenti internazionali di dati personali;
Incaricati al trattamento (soggetti autorizzati al trattamento); Violazioni di dati
personali )
CNF - Caso: ciascun avvocato riceve mandato per specifiche prestazioni o
attività, pur inerenti lo stesso oggetto di controversia, consulenza o
problematica: NON collaborazione nelle finalità e modalità di trattamento 
ciascuno sarà autonomo titolare (ES. avvocato cui è affidata la difesa in sede
civile + avvocato cui è affidata la difesa in sede penale da parte del medesimo
soggetto per fatti correlati anche all’interno dello stesso studio).

b) Domiciliatario
Regole Deontologiche: Titolare del trattamento dei dati del cliente del
dominus (Contitolare? P. 31 - Contratto di Contitolarità ex art. 26)
CNF - Responsabile del trattamento: tratta dati personali per conto del
dominus (titolare del trattamento) – Nomina del Responsabile
I domiciliatari:
- non potranno ricorrere ad altri sub-responsabili senza previa autorizzazione
scritta, specifica o generale, del titolare del trattamento
- in ogni caso dovranno informare immediatamente di eventuali modifiche del
trattamento riguardanti l’aggiunta o la sostituzione di altri responsabili del
trattamento, dando così al titolare l’opportunità di opporsi a tali modifiche.

Art. 2 Comma 3 - Regole Deontologiche
TITOLARE DEL TRATTAMENTO  ISTRUZIONI SCRITTE AGLI AUTORIZZATI / CONCRETE
INDICAZIONI DI TRATTAMENTO DEI DATI PERSONALI A:
 sostituto processuale (interno?)
 praticante avvocato (collaboratore di studio)
 tirocinante – stagista
 persona addetta a compiti di collaborazione amministrativa
 consulente tecnico di parte /perito (?)
 investigatore privato o altro ausiliario che NON rivesta la qualità di autonomo
titolare del trattamento
N.B. NON si tratta delle istruzioni sostanziali, professionali (es. istruzioni d’udienza), ma
delle istruzioni relative al trattamento dei dati personali

c) Associazione / società tra professionisti
N.B. - Mandato giudiziale/ stragiudiziale fiduciario del singolo avvocato
dell’associazione / società professionale.
CNF: nel caso in cui il fiduciario cessi i propri rapporti professionali con
l’associazione o la società, l’incarico fiduciario con quel professionista è
autonomo e la società o associazione non dovrebbe più reputarsi titolata
a detenere la totalità delle informazioni fornite. Nella pratica
quest’ultima non potrebbe avocare un diritto di titolarità delle
informazioni del fascicolo o di tutti i dati relativi al singolo assistito, ma,
per applicazione dei criteri di necessità, proporzionalità e
minimizzazione, solo dei dati pertinenti e necessari, come ad esempio, a
fini fiscali.

Associazione / società tra professionisti
ENTE E SINGOLO AVVOCATO = CONTITOLARI?
Accordo di contitolarità che regoli i rispettivi ruoli e i rapporti dei
contitolari nei confronti degli interessati (” possono esserci dei contitolari
del trattamento quando solidalmente o per aree separate, si hanno
delle responsabilità precise” - Garante Europeo dott. Giovanni
Buttarelli). Associazione professionale: dati fiscali; singolo professionista:
tutti i dati.
Chiarimento garante 3.6.2004 n. 22457

6. Adempimenti Privacy degli Avvocati – Sistema Gestione -
A. Informative (R.D.) e consenso
B. Nomina degli autorizzati al trattamento (R.D.)
C. Individuazione e nomina dei responsabili esterni
D. Redazione del registro dei trattamenti
E. Redazione del documento di valutazione dei rischi
F. la valutazione di impatto sulla protezione dei dati (DPIA
G. Procedura di gestione diritti interessati e relativo Registro
H. Procedura di gestione di violazioni di dati personali (“data breach”)
e relativo Registro
6. Adempimenti Privacy degli Avvocati

A. Informative e Consenso
Art. 13 GDPR- Informazioni da fornire qualora i dati siano raccolti presso l’interessato
Informativa sul trattamento dei dati personali del Cliente
Preg.mo Sig. ………., nato a…. il …… c.f. ….., residente in ……. – di seguito Interessato /
Cliente -
ai fini di cui al Reg. UE n. 2016/679 in materia di protezione dei dati personali delle
persone fisiche, al D.Lgs. n. 196/2003 come mod. dal D. Lgs. n. 101/2018, nonché alle
regole deontologiche incluse quelle di cui alla delibera dd. 19.12.2018 pubbl. in G.U.
del 15.01.2019 serie generale, Vi informiamo che i dati personali da forniti ed acquisiti
dalla Società da parte degli Avvocati …….. e …… , con riferimento al contratto
professionale di data …… , saranno oggetto di trattamento nel rispetto dei diritti ed
obblighi conseguenti alla citata normativa e che:

a) CONTITOLARI DEL TRATTAMENTO – I Contitolari del trattamento dei dati personali della
Società sono l’Avv……. , con Studio in ……. , tel. …… , e-mail: …… e l’avv. ….., con studio in ……,
tel……. , email: ……. I rapporti tra le contitolari sono regolati da apposito contratto stipulato
tra le stesse.
b) FINALITÀ DEL TRATTAMENTO - Il trattamento dei dati personali – comuni, particolari e
giudiziari - conferiti ai Contitolari è finalizzato 1) all’esecuzione dell’incarico professionale
ricevuto, di cui al contratto di data …….. ; 2) all’adempimento degli obblighi fiscali, contabili,
contrattuali e di legge incombenti sui Contitolari; 3) a consentire la difesa giudiziale e
stragiudiziale difese dei diritti da parte degli scriventi ex art. 9 Reg. UE; 4) allo svolgimento di
attività promozionali (es. invio di newsletter), per l’invio di materiale informativo relativo ai
servizi svolti dai Titolari, a mezzo di e-mail, posta, contatto telefonico, ed altri mezzi di
comunicazione.
c) BASE GIURIDICA DEL TRATTAMENTO - Il trattamento è lecitamente effettuato poiché 1) è
necessario all’esecuzione del contratto professionale di data ……, nonché all’esecuzione di
misure contrattuali richieste dal Cliente; 2) è necessario per adempiere agli obblighi fiscali,
contabili, contrattuali e di legge incombenti sulle Contitolari; 3) sul consenso dell’Interessato
per la finalità sub b.4)

d) MODALITÀ DEL TRATTAMENTO DEI DATI PERSONALI - Il trattamento è realizzato mediante
operazioni effettuate con l’ausilio di strumenti elettronici (informatici e telematici), anche
portatili, con modalità cartacee, e con ogni modalità necessaria alle finalità di cui al punto
b.4).
e) CONFERIMENTO DEI DATI E RIFIUTO - Il conferimento dei dati personali, anche particolari, è
obbligatorio per le finalità di cui al punto b) e il rifiuto da parte dell’interessato di conferirli
comporta l’impossibilità di adempiere all’incarico professionale e agli obblighi di legge. Il
conferimento dei dati personali è facoltativo per la finalità di cui al punto b.4) e il rifiuto da
parte dell’interessato di conferirli comporta l’impossibilità di adempiere all’attività ivi
indicata, fermo restando il carattere necessario degli stessi per conseguire le altre finalità
sub.
f) DATI DI ALTRI SOGGETTI INTERESSATI - Qualora le attività prestate al Cliente prevedano il
trattamento di dati personali di terzi nella Sua titolarità, sarà responsabilità dello stesso
assicurare di aver adempiuto a quanto previsto dalla normativa nei riguardi dei soggetti
Interessati al fine di rendere lecito e legittimo il loro trattamento da parte delle scriventi. In
tal caso il Cliente si pone come autonomo Titolare del trattamento e si assume i conseguenti
obblighi e responsabilità legali, manlevando le scriventi rispetto a ogni contestazione,
pretesa e/o richiesta di risarcimento del danno da trattamento che dovesse pervenire da
terzi interessati per suo fatto o colpa.

g) COMUNICAZIONE DEI DATI - I dati personali possono essere comunicati per le finalità di cui
al punto b) a collaboratori esterni, a professionisti (ad es. commercialista, limitatamente ai
dati necessari all’adempimento di incombenti di natura fiscale; domiciliatari, sostituti
processuali), e a tutti i soggetti ai quali la comunicazione è necessaria per le finalità ivi
indicate, i quali saranno nominati – ove necessario – responsabili del trattamento. Il
trattamento dei dati personali del cliente è svolto dai Contitolari e dalle persone dalle stesse
autorizzati (es. dipendenti, collaboratori, praticanti) a ciò espressamente autorizzati, ai quali
vengono impartite adeguate istruzioni, anche con riferimento all’adozione ed al rispetto delle
misure di sicurezza organizzative ed informatiche.
h) TRASFERIMENTO DEI DATI ALL’ESTERO - I dati personali non sono dai Contitolari diffusi
all’estero né al di fuori dell’UE. L’eventuale trasferimento dei dati all’estero, anche in paesi
extra UE, verrà comunicata al Cliente e avverrà e nel rispetto degli artt. 44 e ss. Reg. UE
679/2016 e delle norme di legge o contrattuali vigenti applicabili a tutela dei diritti
dell’Interessato. CLOUD / FATTURAZIONE ELETTRONICA

i) CONSERVAZIONE DEI DATI - I dati sono conservati per il periodo necessario all’espletamento
dell’attività oggetto dell’incarico professionale per le finalità sub b) e per un periodo non
superiore a dieci anni; in vista dello spirare di tale termine, saranno valutate le esigenze di
conservazione dei dati in rapporto all’espletamento dell’incarico ed alla tutela dei diritti
dell’Interessato e dei Contitolari; qualora le finalità di conservazione di cui al presente
paragrafo non sussistano più, si procederà alla cancellazione dei dati stessi. I particolare, i
dati conferiti per la finalità sub b.4) saranno distrutti a seguito della revoca del consenso,
fatta salva la necessità degli stessi per le altre finalità sub b).
ii) VIOLAZIONI – Il Cliente è invitato a segnalare agli scriventi eventuali circostanze o eventi dai
quali possa discendere una potenziale violazione dei dati personali (“data breach”) al fine di
consentire un’immediata valutazione del rischio derivato e l’adozione di eventuali azioni
volte a contrastare le conseguenze, inviando una comunicazione alla scrivente a mezzo
raccomandata a/r o e-mail ad entrambi i seguenti recapiti: Avv. ……….., e-mail: …..; Avv. …….;
e-mail: ……..
Per quanto i Contitolari abbiano adottato le idonee misure di protezione e sicurezza, qualora
incorressero in una violazione di dati personali da cui possa derivare un grave danno per i
diritti e le libertà della Società, la stessa riceverà le necessarie comunicazioni.

k) DIRITTI DELL’INTERESSATO – In ogni momento, il Cliente potrà esercitare, ai sensi degli articoli dal 15 al
22 del Regolamento UE n. 2016/679, i seguenti diritti: a) chiedere la conferma dell’esistenza o meno di
propri dati personali; b) accedere ai propri dati personali e conoscerne l’origine e conoscerne l’origine, le
finalità e gli scopi del trattamento; c) ottenere l‘aggiornamento o la rettifica dei dati; d) ottenere la
cancellazione dei dati dalle banche dati e/o dagli archivi del Titolare nel caso in cui non siano più
necessari per le finalità sub 2; e) ottenere la limitazione del trattamento in taluni casi, ad esempio
laddove ne abbia contestato l’esattezza, per il periodo necessario al titolare del trattamento per
verificarne l’accuratezza; f) ottenere la portabilità dei dati, ossia riceverli dal Titolare del trattamento, in
un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad un altro
titolare del trattamento; a seguito di tale richiesta il Titolare non potrà più procedere al trattamento dei
dati personali, fatti salvi i casi in cui le leggi ed i regolamenti;
Il Cliente potrà far valere i propri diritti rivolgendosi ai Contitolari del trattamento, mediante
comunicazione scritta da inviarsi a mezzo raccomandata a/r o e-mail ad entrambi i seguenti recapiti: Avv.
…….., e-mail: ….; Avv. …….; e-mail: …….
L’interessato ha altresì diritto di presentare reclamo ai sensi dell’art. 77 del Reg. Ue 2016/679,
rivolgendosi all’Autorità di controllo incaricata della protezione dei dati, in particolare all’Autorità dello
Stato membro in cui ha la sede legale oppure del luogo ove si è verificata la presunta violazione. In Italia
potrà rivolgersi all’Autorità Garante per la Protezione dei dati personali con sede in piazza di Monte
Citorio, 121 – 00186 Roma, seguendo le procedure e le indicazioni disponibili nel sito web
www.garanteprivacy.it, ovvero adire la competente Autorità Giudiziaria.
Il Cliente potrà infine rivolgersi all’Autorità Giudiziale competente ai sensi normativa vigente.

l) DIRITTO DI OPPOSIZIONE - L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi
connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi
dell’articolo 6, paragrafo 1, lettera e (legittimo interesse del titolare o di terzi), compresa la profilazione
sulla base di tali disposizioni. In tal caso il titolare del trattamento si astiene dal trattare ulteriormente i
dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento
che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento,
l’esercizio o la difesa di un diritto in sede giudiziaria.
Il sottoscritto sig. …….. dichiara di avere ricevuto, letto e compreso l’informativa che precede.
Treviso, lì
SIG. …..
Consenso al trattamento dei dati personali
Il/la sottoscritto/a Sig./Sig.ra ____________________________(interessato), ricevuta l’informativa di cui
sopra, presa conoscenza delle informazioni suindicate, con la sottoscrizione in appresso
ACCONSENTE NON ACCONSENTE
Il trattamento dei dati personali conferiti per la finalità sub. B.4).
Letto, confermato e sottoscritto
Treviso, _____________________, ______________
Firma del dichiarante (per esteso e leggibile)

INFORMATIVE vanno consegnate al momento della raccolta dei dati a
 CLIENTI: per ogni incarico giudiziale / stragiudiziale; una tantum se
consulenza continuativa o contratto avente ad oggetto attività giudiziale
continuativa
 DIPENDENTI: una tantum (assunzione)
 COLLABORATORI/DOMICILIATARI/SOSTITUTI PROCESSUALI: una tantum
 TIROCINANTI, STAGISTI ETC.: una tantum
 RESPONSABILI DEL TRATTAMENTO (persone fisiche, professionisti): una
tantum
 FORNITORI persone fisiche / ditte individuali / professionisti

ART. 14 - Informazioni da fornire qualora i dati personali NON siano raccolti
presso l’interessato
Stesso contenuto dell’informativa ex art. 13, alla quale vanno aggiunte le
seguenti indicazioni:
 origine dei dati personali, precisando se gli stessi provengano eventualmente
da fonti accessibili al pubblico;
 categorie di dati personali trattati.
Va data al massimo entro un mese dall’ottenimento dei dati personali

QUESTIONE: l’Avvocato deve fornire l’informativa in caso di
raccolta ed utilizzo di dati raccolti presso terzi? NO
- Abrogato il preambolo delle precedenti Regole deontologiche
(provvedimento del Garante n. 60 del 6 novembre 2008, Gazzetta Ufficiale 24
novembre 2008, n. 275.): espresso esonero per gli avvocati dal rendere
l’informativa in caso di utilizzo di dati personali in giudizio anche se raccolti
presso terzi.
- Art. 14 Regolamento - Informazioni relative a dati personali non ottenuti
presso l’interessato NON devono essere fornite se: (…OMISSIS… )
d) i dati personali debbano rimanere riservati conformemente a un obbligo di
segreto professionale disciplinato dal diritto dell'Unione o degli Stati membri,
compreso un obbligo di segretezza previsto per legge (“Il GDPR e l’Avvocato”
pubblicazione nel sito istituzionale CNF, a pagina 9); ES. il cliente trasmette
informazioni e dati della controparte.

QUESTIONE: l’Avvocato deve fornire l’informativa in caso di
raccolta ed utilizzo di dati raccolti presso terzi? NO
- Considerando 62: non è necessario imporre l'obbligo di fornire l'informazione
se (OMISSIS)
3) informare l'interessato si rivela impossibile (o richiederebbe uno sforzo
sproporzionato).
- Considerando 52: «la deroga al divieto di trattare categorie “particolari” di
dati personali dovrebbe essere consentita … se necessario per accertare,
esercitare o difendere un diritto, che sia in sede giudiziale, amministrativa o
stragiudiziale».

INFORMATIVA sul trattamento dei dati personali (art. 13 del Regolamento)
 in unico contesto
 anche mediante affissione nei locali dello Studio e pubblicazione sul
proprio sito Internet
 anche utilizzando formule sintetiche e colloquiali
ART. 3 REGOLE DEONTOLOGICHE

Basi Giuridiche del trattamento dei dati - il Consenso
 l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più
specifiche finalità;
 il trattamento è necessario per dare esecuzione ad un contratto di cui l’interessato è parte o
all’esecuzione di misure precontrattuali (il cliente che conferisce i dati personali per il
conferimento dell’incarico);
 il trattamento è necessitato da un obbligo di legge (per es. antiriciclaggio) o da legittimo
interesse del titolare (es. videosorveglianza);
 necessità di assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o
dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale
(es. dipendenti dello studio).
Liceità del trattamento (Basi Giuridiche) – Art. 6 GDPR

Il Consenso
BASE GIURIDICA del trattamento SE all’interessato vengono consentiti A) il
controllo del trattamento B) la possibilità reale e concreta di scegliere se
prestare o meno il proprio consenso al trattamento senza subire danni o
pregiudizi.
Il consenso è UNA delle basi giuridiche possibili, non più l’unica o la principale;.
anzi è (quasi) residuale.
CONSENSO VALIDO - ART. 4.11
1. viene manifestato liberamente;
2. è specifico;
3. è informato;
4. è espresso in modo inequivocabile.

L’articolo 6, paragrafo 1, lettera a): il consenso dell’interessato deve essere
espresso in relazione a “una o più specifiche” finalità .
Specificità delle finalità e granularità del consenso informato - L’interessato
deve essere libero di scegliere quale finalità accettare, anziché dover essere
costretto ad acconsentire a tutto l’insieme delle finalità prospettate dal Titolare
del trattamento.
Il Titolare del trattamento deve prevedere:
1. la specificazione di ciascuna finalità;
2. la granularità nelle richieste di consenso;
3. una netta distinzione tra le informazioni rese per il consenso alle attività
di trattamento rispetto a tutte le altre informazioni rese per altre
questioni.

Informazioni chiare, trasparenti e semplici agli interessati prima di
ottenerne il consenso.
N.B. CONSENSO prestato in violazione delle norme del Regolamento
NON è VINCOLANTE

La Prova del Consenso
Art. 7 par. 1 GDPR + Considerando n. 42: “Per i trattamenti basati sul consenso
dell’interessato, il Titolare del trattamento dovrebbe essere in grado di
dimostrare che l’interessato ha acconsentito”.
Il GDPR non prescrive né la forma né il formato per il c.d. consenso informato;
tuttavia: FORMA SCRITTA
art. 7.2 – nel caso di dichiarazione scritta che riguarda più questioni: consenso
distinguibile, in forma comprensibile ed accessibile, con linguaggio semplice e
chiaro.
ATTENZIONE! OPZIONE: PRESTO / NON PRESTO IL CONSENSO al trattamento
dei dati per una/ogni specifica finalità

La Revoca del Consenso
Art. 7 paragrafo 3 GDPR: revoca del consenso in qualsiasi momento e con la
stessa facilità con cui si è espresso.
Revoca senza alcun pregiudizio.
NON prevista una FORMA per la revoca del consenso.
Immediata cessazione delle attività di trattamento interessate.
Liceità del trattamento dei dati personali eseguito sino al momento della
revoca.
Se l’unica base legittima per il trattamento è quella del consenso, la sua revoca
avrà come naturale conseguenza la distruzione di tutti i dati personali
trattati - salva la loro conservazione per il rispetto di obblighi di legge o per
l’esercizio dell’azione giudiziaria.

B. Nomina Autorizzati al Trattamento
ATTI DEL TITOLARE DEL TRATTAMENTO:
1) NOMINA / DESIGNAZIONE SCRITTA - UNICA per categorie di soggetti che trattano
dati per le medesime finalità e con medesimi mezzi (es. dipendenti).
2) ISTRUZIONI OPERATIVE SCRITTE - FINALITÀ / MEZZI DEL TRATTAMENTO (Strumenti,
modalità, logica) - POLICY o REGOLAMENTI: contenuto specifico a seconda del
destinatario e delle attività (es. utilizzo dei sistemi e strumenti informatici: utilizzo
del Personal Computer, gestione e assegnazione delle credenziali di autenticazione,
Utilizzo della rete, di dispositivi elettronici, di supporti rimovibili, uso della posta
elettronica, navigazione in Internet).
FIRMA PER PRESA VISIONE E ACCETTAZIONE.

ART. 2 COMMA 3 REGOLE DEONTOLOGICHE
IL TITOLARE NOMINA GLI AUTORIZZATI
CONCRETE INDICAZIONI DI TRATTAMENTO DEI DATI PERSONALI A:
sostituto processuale, praticante avvocato, consulente tecnico di parte,
perito, investigatore privato o altro ausiliario che non rivesta la qualità di
autonomo titolare del trattamento, tirocinante, stagista, persona
addetta a compiti di collaborazione amministrativa

C. Nomina dei responsabili del Trattamento
L’avvocato - Titolare del trattamento nomina il RESPONSABILE (art. 4 co. 8 del
GDPR):
 un soggetto “esterno” allo Studio legale
 che con i propri mezzi
 nell’ambito delle finalità di trattamento stabilite dal titolare
 per nome e per conto del Titolare
 effettua un trattamento di dati personali trattati dal Titolare stesso
Responsabilità nella scelta del responsabile, che deve presentare garanzie
sufficienti per mettere in atto misure tecniche e organizzative adeguate alla
tutela dei diritti dell’interessato

Contratto di Nomina (art. 28 Regolamento).
RESPONSABILI NOMINATI DALL’AVVOCATO: consulente del lavoro,
commercialista, editore di software (gestionale, licenze di Office), host
web (gestore del server del sito web o email - pec: Aruba, Google;
Servicematica), fornitore di servizi informatici – digitali (posizionamento
sui motori di ricerca, newsletter); conservatori di documenti informatici
e cartacei, ecc.

D. Il Registro dei Trattamenti
Garante Privacy - comunicato stampa dell’8.10.2018: tutti i titolari e i responsabili del
trattamento sono tenuti a redigere il Registro delle attività di trattamento.
Liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati
relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati,
fisioterapisti, farmacisti, medici in generale).
Il registro dovrà contenere le informazioni ex art. 30 comma 1 GDPR 679/2016.
Redatto in forma scritta anche elettronica: tabella o formato Excel con il foglio
“Registro titolare” e “Registro responsabile”.
DATA CERTA: firma digitale + auto-invio con pec
A disposizione dell’Autorità di controllo - e dovrà essere compilato quando si
introducano nuovi o diversi trattamenti/ finalità – aggiornamento

E. DOCUMENTO DI VALUTAZIONE DEI RISCHI – ART. 32 REG. EU
documento necessario a dimostrare 1) di aver compiuto le valutazioni preventive sui rischi
2) di aver adottato misure adeguate e 3) di essersi dotato di un sistema che permetta la
protezione effettiva dei dati (ART. 32 co. 2)
Rischi legati a: distruzione, indisponibilità, perdita; integrità in termini di alterazione,
riservatezza, divulgazione; accesso non autorizzato.
I danni correlati: furto di identità; danni fisici e psicologici; danno reputazionale; perdita di
controllo dei dati; discriminazione; perdite finanziarie; impossibilità di esercitare diritti.
Minimizzazione del rischio in relazione alla tutela dei diritti degli interessati.

F. DOCUMENTO DI VALUTAZIONE DI IMPATTO – ART. 35 REG. EU
CONTENUTO MINIMO:
1. una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento,;
2. una valutazione della necessità e proporzionalità dei trattamenti in relazione alle
finalità;
3. una valutazione dei rischi per i diritti e le libertà degli interessati;
4. le misure previste per affrontare i rischi, includendo le garanzie, le misure di
sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare
la conformità al presente regolamento, tenuto conto dei diritti e degli interessi
legittimi degli interessati e delle altre persone in questione.
AVVOCATI - Considerando 91 del GDPR: non dovrebbe essere obbligatoria per i singoli
professionisti che non effettuano trattamenti di dati su larga scala.
STUDI di una certa dimensione: linee guida del WP 29 elencano criterii per
individuare probabile rischio elevato per i diritti e le libertà degli interessati e
necessità DPIA

G. Procedura di gestione diritti interessati
DIRITTI DELL'INTERESSATO vs Titolare del trattamento
- la conferma che sia o meno in corso un trattamento di dati personali che lo
riguardano e, in caso affermativo, di ottenere l'accesso ai propri dati personali
e a tutte le ulteriori informazioni previste dall'art. 15 GDPR (c.d. "diritto di
accesso dell'interessato");
 la rettifica dei dati personali inesatti che lo riguardano senza
ingiustificato ritardo, nonché l'integrazione dei dati personali incompleti,
pur nel rispetto dei principi di "limitazione della finalità" e di
"minimizzazione dei dati" stabiliti dall'art. 5 del GDPR (c.d. "diritto di
rettifica");

 la cancellazione dei dati personali che lo riguardano senza
ingiustificato ritardo in presenza dei motivi previsti dall'art. 17,
paragrafo 1, GDPR ed in assenza dei presupposti previsti dall'art. 7,
paragrafo 3, GDPR (c.d. "diritto alla cancellazione/ diritto all'oblio");
 la limitazione del trattamento quando ricorre una delle ipotesi
previste dall'art. 18, paragrafo 1, GDPR (c.d. "diritto di limitazione di
trattamento");
 di non essere sottoposto a una decisione basata unicamente
sul trattamento automatizzato, compresa la profilazione (art. 22).

L'interessato, inoltre, ha il diritto:
1. di ricevere in un formato strutturato, di uso comune e leggibile da
dispositivo automatico i dati personali che lo riguardano;
2. di trasmettere tali dati, o di ottenere il trasferimento diretto di tali
dati, ad un altro titolare del trattamento senza impedimenti alle
condizioni previste dall'art. 20 GDPR (c.d. "diritto alla portabilità
dei dati");
3. di opporsi in presenza dei presupposti e secondo le modalità
previste dall'art. 21 GDPR al trattamento dei dati personali che lo
riguardano (c.d. "diritto di opposizione").

G. Procedura di gestione diritti interessati e relativo Registro
Art. 12 del Regolamento: il titolare del trattamento deve adottare
misure appropriate per fornire all'interessato (… omissis …) le
comunicazioni di cui agli articoli da 15 a 22.
Procedura per l’esercizio dei diritti degli interessati : scopo di fornire agli
interessati e al personale competente del Titolare, ISTRUZIONI precise e
dettagliate per permettere l'esercizio dei diritti degli interessati e il
riscontro alle loro richieste.

H. Procedura per la rilevazione, valutazione e gestione
delle violazioni di dati personali (data breach)
Art. 4 GDPR: “la violazione di sicurezza che comporta accidentalmente o in
modo illecito la distruzione, la perdita, la modifica, la divulgazione non
autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque
trattati”.
Oggetto: tutti i trattamenti di dati ed in particolare la gestione di
archivi/documenti cartacei e di sistemi informatici attraverso cui vengono
trattati dati personali degli interessati (dipendenti, clienti, fornitori).

Finalità della procedura
 garantire la corretta applicazione degli obblighi previsti dagli artt. 33 e 34 del GDPR
in capo al titolare / responsabile del trattamento
 definire le modalità e le responsabilità per notifica di data breach (d.b.) e
comunicazione di d.b. ad interessato;
 garantire: identificazione della violazione e delle cause, misure da adottare per porre
rimedio alla violazione e per attenuarne i possibili effetti negativi, registrazione di:
informazioni su violazione, misure identificate e loro efficacia.
Titolare del trattamento (o autorizzato/team di risposta): 1) valuta le segnalazioni
ricevute sia dall’interno che dall’esterno dell’organizzazione, anche con il supporto di
altre figure interne e/o esterne (es. tecnici IT) 2) valuta il rischio sui diritti e le libertà
fondamentali degli interessati per ogni violazione segnalata 3) mantiene aggiornato il
registro delle violazioni 4) provvede, se necessario, alla notifica della violazione
all’Autorità di controllo e alla comunicazione agli interessati.

1. nel corso di un procedimento ( anche in sede amministrativa, di
arbitrato o di conciliazione)
2. nella fase propedeutica all'instaurazione di un eventuale giudizio
3. nella fase successiva alla sua definizione
a) per svolgere investigazioni difensive;
b) per far valere o difendere un diritto in sede giudiziaria
7. Regole Deontologiche
Art. 1 - Ambito di applicazione
QUANDO SI APPLICANO?

a) avvocati o praticanti avvocati
- attività in forma individuale - associata - societaria
- attività in sede giurisdizionale - di consulenza - di assistenza stragiudiziale
- anche avvalendosi di collaboratori, dipendenti o ausiliari, nonché da
avvocati stranieri esercenti legalmente la professione sul territorio dello
Stato;
b) soggetti che, sulla base di uno specifico incarico anche da parte di un
difensore, svolgano in conformità alla legge attività di investigazione privata
(art. 134 r.d. 18 giugno 1931, n. 773; art. 222 norme di coordinamento c.p.p.);
c) chiunque tratti dati personali per le finalità di cui al comma 1, in particolare
altri liberi professionisti o soggetti che in conformità alla legge prestino, su
mandato, attività di assistenza o consulenza per le medesime finalità.
A CHI SI APPLICANO?

L’avvocato
 organizza il trattamento anche non automatizzato (analogico, cartaceo, fascicoli) dei
dati personali
 secondo le modalità che risultino più adeguate, caso per caso, a favorire in concreto
l’effettivo rispetto dei diritti, delle libertà e della dignità degli interessati
(adeguatezza; misure sicurezza adeguate)
 applicando i princìpi di finalità, proporzionalità e minimizzazione dei dati
 sulla base di *un’attenta valutazione sostanziale e non formalistica delle garanzie
previste
* un’analisi della quantità e qualità delle informazioni che utilizza e dei
possibili rischi (valutazione d’impatto sulla protezione dei dati prevista dall’art. 35 del
Regolamento UE 679/2016 - comma 7 lettera c): la valutazione d’impatto deve
contenere anche “una valutazione dei rischi per i diritti e le libertà degli interessati”.
Capo II - Trattamenti da parte di avvocati
Art. 2 Comma 1 - Modalità di trattamento
Capo II - Trattamenti da parte di avvocati - 7. Le Regole Deontologiche

Art. 2 Comma 2
TITOLARE DEL TRATTAMENTO
a) un singolo professionista (avvocato)
b) una pluralità di professionisti (CONTITOLARI / AUTONOMI TITOLARI)
 codifensori della medesima parte assistita
 anche al di fuori del mandato di difesa, siano stati interessati a concorrere
all’opera professionale quali consulenti o domiciliatari;
c) un’associazione tra professionisti o una società di professionisti.

sostituto processuale, praticante avvocato, consulente tecnico di parte, perito,
investigatore privato o altro ausiliario che non rivesta la qualità di autonomo titolare
del trattamento, tirocinante, stagista o di persona addetta a compiti di collaborazione
amministrativa.
Art. 2 Comma 3
POLICY - REGOLE DI CONDOTTA: contenuto specifico a seconda del destinatario delle
stesse e delle attività che quest’ultimo dovrà compiere.
N.B. NON si tratta delle istruzioni sostanziali, professionali (es. istruzioni d’udienza), ma
delle istruzioni relative al trattamento dei dati personali.
ISTRUZIONI SCRITTE AGLI AUTORIZZATI
CONCRETE INDICAZIONI DI TRATTAMENTO DEI DATI PERSONALI A:

Art. 2 Comma 4
Adozione di idonee cautele /misure di sicurezza organizzative, giuridiche, informatiche
per prevenire l'ingiustificata raccolta, utilizzazione o conoscenza di dati derivanti da:
a) acquisizione anche informale di notizie, dati e documenti connotati da un alto grado di
confidenzialità o che possono comportare, comunque, rischi specifici per gli interessati;
b) scambio di corrispondenza, specie per via telematica (criptazione; indirizzi dedicati o personalizzati);
c) esercizio contiguo di attività autonome all'interno di uno studio (es. condivisione di server,
stampanti, fax, fotocopiatrici, archivi etc.);
d) utilizzo di dati di cui è dubbio l'impiego lecito, anche per effetto del ricorso a tecniche invasive;
e) utilizzo e distruzione di dati riportati su particolari dispositivi o supporti, specie elettronici (ivi
comprese registrazioni audio/video), o documenti (tabulati di flussi telefonici e informatici,
consulenze tecniche e perizie, relazioni redatte da investigatori privati);
f) custodia di materiale documentato, ma non utilizzato in un procedimento e ricerche su banche dati
a uso interno, specie se consultabili anche telematicamente da uffici dello stesso titolare del
trattamento situati altrove;
g) acquisizione di dati e documenti da terzi, verificando che si abbia titolo per ottenerli;
h) conservazione di atti relativi ad affari definiti.

Art. 2 Comma 5
Se i dati sono trattati per esercitare il diritto di difesa in sede giurisdizionale,
ciò può avvenire anche prima della pendenza di un procedimento,
sempreché i dati medesimi risultino strettamente funzionali all'esercizio del diritto di
difesa,
in conformità ai princìpi di liceità, proporzionalità e minimizzazione dei dati rispetto
alle finalità difensive (art. 5 del Regolamento UE 2016/679).

Art. 2 Comma 6
Il trattamento dei dati personali è lecito e corretto
quando la legge ne dispone la pubblicità legale o lo consente
a) dati personali contenuti in pubblici registri, elenchi, albi, atti o documenti conoscibili da chiunque,
nonché in banche di dati, archivi ed elenchi, ivi compresi gli atti dello stato civile, dai quali possono
essere estratte lecitamente informazioni personali riportate in certificazioni e attestazioni utilizzabili
a fini difensivi;
b) atti, annotazioni, dichiarazioni e informazioni acquisite nell'ambito di indagini difensive, in
particolare ai sensi degli articoli 391-bis, 391-ter e 391-quater del codice di procedura penale,
evitando l'ingiustificato rilascio di copie eventualmente richieste.
In caso di raccolta dati eccedenti e non pertinenti rispetto alle finalità difensive per conferimento
accidentale, anche in sede di acquisizione di dichiarazioni e informazioni ai sensi dei medesimi articoli
391-bis, 391-ter e 391-quater:
1) estrapolazione o distruzione dati
2) se non è possibile: formano un unico contesto, unitariamente agli altri dati raccolti.

Art. 3 - INFORMATIVA sul trattamento dei dati personali
(art. 13 del Regolamento)
 in unico contesto
 anche mediante affissione nei locali dello Studio e pubblicazione sul proprio sito
Internet
 anche utilizzando formule sintetiche e colloquiali

Conservazione e Cancellazione dei Dati
l’art. 4 esplicito richiamo all’art. 5, paragrafo 1, lettera e) del Regolamento (UE)
679/2016
- conservare i dati personali in una forma che consenta l’identificazione degli
interessati per un arco di tempo non superiore al conseguimento delle finalità per le
quali sono trattati.
D.lgs. 231/07 così come modificato dal D.lgs. 90/2017, conservazione decennale dei
documenti afferenti ai fascicoli contenti dati riferiti alla normativa antiriciclaggio.

Art. 4 Comma 1
.
Che cosa accade al termine di un grado di giudizio o in caso di cessazione
dello svolgimento di un incarico (revoca – rinuncia)?
- NON automatica dismissione dei dati
SI Conservazione di atti e documenti relativi ad oggetto della difesa o ad
investigazioni (in originale - in copia - in formato elettronico)
- SE necessaria per ipotizzabili altre esigenze difensive della parte assistita o del
titolare del trattamento
- per adempiere a un obbligo normativo (in materia fiscale e di contrasto
della criminalità) --- SOLO DATI NECESSARI

Art. 4 Comma 2 - Restituzione degli atti al cliente
è consentito distruggere, cancellare o consegnare all'avente diritto o ai suoi eredi o
aventi causa la documentazione integrale dei fascicoli degli affari trattati e le relative
copie.
previa comunicazione alla parte assistita
salvo quanto previsto dal Codice Deontologico Forense (artt. 33 e 48 terzo comma)
per gli originali degli atti da questi ricevuti

Art. 33 – Restituzione di documenti
1. L’avvocato, se richiesto, deve restituire senza ritardo gli atti ed i documenti ricevuti dal cliente e dalla
parte assistita per l’espletamento dell’incarico e consegnare loro copia di tutti gli atti e documenti,
anche provenienti da terzi, concernenti l’oggetto del mandato e l’esecuzione dello stesso sia in sede
stragiudiziale che giudiziale, fermo restando il disposto di cui all’art. 48, terzo comma, del presente
codice.
3. L’avvocato può estrarre e conservare copia di tale documentazione, anche senza il consenso del
cliente e della parte assistita.
Art. 48 – Divieto di produrre la corrispondenza scambiata con il collega
3. L’avvocato non deve consegnare al cliente e alla parte assistita la corrispondenza riservata tra
colleghi; può, qualora venga meno il mandato professionale, consegnarla al collega che gli succede, a
sua volta tenuto ad osservare il medesimo dovere di riservatezza.
Art. 4 Comma 2 - Restituzione degli atti al cliente

Art. 4 Comma 3 – Revoca e rinuncia al mandato
La documentazione acquisita è rimessa in originale al difensore che subentra formalmente nella difesa.
 se manca un nuovo difensore la documentazione dei fascicoli degli affari trattati, decorso un
congruo termine dalla comunicazione all’assistito, è consegnata al Consiglio dell’ordine di
appartenenza ai fini della conservazione per finalità difensive.
QUESTIONE: domiciliazione dell’interessato presso la persona e lo studio dell’avvocato titolare del
trattamento in ipotesi di revoca o rinuncia al mandato ed in assenza di un nuovo difensore.
 revoca o rinuncia al mandato: NO trattamento dei dati personali del cliente - NO ricevimento
eventuali notifiche successive
 l’art. 32 comma 5 del codice deontologico forense: “l’avvocato deve comunque informare la parte
assistita delle comunicazioni e notificazioni che dovessero pervenirgli”; sanzione disciplinare -
censura.
 l’illiceità del trattamento dei dati personali a seguito della revoca o della rinuncia al mandato
(sempre in ipotesi di assenza di nuovo difensore) o la violazione dell’art. 32 comma 5 con relativa
sanzione disciplinare della censura? Auspicabile interpretazione autentica del Garante.

Art. 4 Comma 4
Sospensione o cessazione dell'esercizio della professione
e qualora manchi un altro difensore anche succeduto nella difesa o nella cura
dell'affare:
la documentazione dei fascicoli degli affari trattati, decorso un congruo termine dalla
comunicazione all'assistito, è consegnata al Consiglio dell'ordine di appartenenza ai
fini della conservazione per finalità difensive.
la titolarità NON cessa
Cessazione (della titolarità del trattamento), anche per
sopravvenuta incapacità

Art. 5 - Comunicazione e diffusione di dati
Rapporti con i terzi e con la stampa
possono essere rilasciate informazioni non coperte da segreto
qualora sia necessario per finalità di tutela dell'assistito
ancorché non concordato con l'assistito medesimo (No consenso)
nel rispetto dei princìpi di liceità, trasparenza, correttezza, e minimizzazione dei dati di
cui al Regolamento (UE) 2016/679 (art. 5)
nonché dei diritti e della dignità dell'interessato e di terzi e
nel rispetto di eventuali divieti di legge e del codice deontologico forense.

Art. 6 – Accertamenti riguardanti documentazione detenuta dal difensore
1) In occasione di accertamenti ispettivi che lo riguardano l'avvocato ha diritto ai sensi dell'articolo
159, comma 3, del d.lgs. n. 196/2003 che vi assista il presidente del competente Consiglio
dell'ordine forense o un consigliere da questo delegato. Allo stesso, se interviene e ne fa richiesta, è
consegnata copia del provvedimento.
2) In sede di istanza di accesso o richiesta di comunicazione dei dati di traffico relativi a
comunicazioni telefoniche in entrata, si applica quanto previsto dall’art. 132, comma 3, del d.lgs. n.
196/2003.
Entro il termine di cui al comma 1, i dati sono acquisiti presso il fornitore con decreto motivato del
pubblico ministero anche su istanza del difensore dell'imputato, della persona sottoposta alle indagini,
della persona offesa e delle altre parti private. Il difensore dell'imputato o della persona sottoposta alle
indagini può richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito
con le modalità indicate dall' articolo 391-quater del codice di procedura penale. La richiesta di accesso
diretto alle comunicazioni telefoniche in entrata può essere effettuata solo quando possa derivarne un
pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7
dicembre 2000, n. 397; diversamente, i diritti di cui agli articoli da 12 a 22 del Regolamento possono
essere esercitati con le modalità di cui all’articolo 2-undecies, comma 3, terzo, quarto e quinto periodo.

1) Le disposizioni di cui agli articoli 2 (modalità di trattamento) e 5 (comunicazione e
diffusione di dati) si applicano, salvo quanto applicabile per legge unicamente
all'avvocato:
a) a liberi professionisti che prestino attività di consulenza e assistenza per far
valere o difendere un diritto in sede giudiziaria o per lo svolgimento delle
investigazioni difensive
 su mandato dell'avvocato o
 unitamente a esso o
 nei casi e nella misura consentita dalla legge;
b) agli altri soggetti, di cui all'art. 1, comma 2, salvo quanto risulti obiettivamente
incompatibile in relazione alla figura soggettiva o alla funzione svolta.
Capo III - Trattamenti da parte
di altri liberi professionisti e ulteriori soggetti
Art. 7 - Applicazione di disposizioni riguardanti gli avvocati
Capo III - Trattamenti da parte di altri soggetti - 7. Le Regole Deontologiche

1) MANDATO SCRITTO DELL’AVVOCATO specificare la portata degli
articoli 2 e 5 e l’obbligatorietà della loro applicazione.
2) SENZA MANDATO  l’avvocato titolare del trattamento si troverà
nella necessità di notiziare il professionista che lo affianca sulla
portata degli articoli 2 e 5 e sull’obbligo della loro applicazione; in
mancanza: illecito trattamento dei dati.
L’avvocato titolare del trattamento dovrà informare, sempre per iscritto,
il professionista che il suo nominativo verrà inserito nel registro dei
trattamenti ai sensi dell’art. 30 del Regolamento (UE) 679/2016.
Capo III - Trattamenti da parte di altri soggetti - 7. Le Regole Deontologiche

Grazie!
Le slide della presente relazione saranno disponibili a breve su www.avvsilviadinapoli.it

Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati

Recommended

Recommended

More Related Content

What's hot

What's hot (14)

Similar to Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati

Similar to Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati (20)

Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati