I- La disciplina della tutela dei dati personali introdotta dal Dlgs 196/2003, ha riaperto un problema che pareva risolto, ma che in realtà era stato solo dimenticato: quello del rapporto e dell’incidenza della stessa disciplina nell’attività forense.

Già con la precedente normativa, L.675/96, c’erano stati problemi applicativi, la cui soluzione è sempre stata rimandata nel tempo in attesa di soluzioni che in realtà non sono mai venute. Oggi, con la nuova disciplina e con l’aumento degli adempimenti a carico della classe Forense, si pone di nuovo e con maggior forza il problema di un intervento chiarificatore da parte dei rappresentanti istituzionali dell’avvocatura, volto a creare, con gli strumenti che l’art. 12 del T.U. mette a disposizione (il Codice di Autoregolamentazione), i presupposti per una reale e corretta applicazione della disciplina della privacy che tenga conto dei diritti di tutti; quello alla tutela dei dati e quello alla difesa, da sempre prerogativa della classe forense.

II- Va ribadito come il gravare il professionista di ulteriori adempimenti ed oneri, intaccando un delicato equilibrio (comunque di per sé rispettoso della privacy dei clienti), rischi di compromettere la tutela della riservatezza fino ad oggi assicurata. Infatti, è facile prevedere che la difficoltà pratica ad adempiere norme di difficile interpretazione (che disciplinano la tutela di un diritto importantissimo e che quindi dovrebbero essere senz’altro applicate e rispettate), la loro ‘criticità’ ed il fatto che siano scritte per realtà assolutamente diverse da quelle dello studio legale medio italiano, porteranno l’avvocatura (non avendole comprese) a subirle passivamente, e quindi, inevitabilmente, a disattenderle. Al contrario, se vogliamo, come classe forense, applicare concretamente le tutele previste nel T.U. dobbiamo cercare di adeguare questo alle realtà dei nostri Studi, cercando di :

Semplificare la norma per renderne comprensibile la disciplina sottesa;

adeguare la disciplina al ruolo che abbiamo quali difensori dei diritti dei nostri assistiti;

equilibrare le esigenze di tutela dei dati degli interessati con quelle dell’esercizio pieno del diritto/dovere alla difesa;

operare una integrazione tra tutela del trattamento dei dati e obblighi deontologici, senza necessariamente rimettere soltanto a questi ultimi l’onere di garantire l’applicazione del T.U., ma prevedendo adempimenti che tengano conto dell’esistenza dei doveri deontologici stessi;

ridurre al minimo, proprio per tutelare concretamente i dati che trattiamo, la necessità di rivolgersi a personale esterno allo Studio (che rappresenterebbe un punto debole proprio nel sistema di sicurezza dei nostri Studi, ponendo i dati di cui siamo depositari e custodi, alla mercé di soggetti che non potremo controllare), per rendere effettivi gli adempimenti previsti dal T.U. con un duplice intervento: da un lato l’opera di costante e capillare educazione alla sicurezza (da espletarsi obbligatoriamente a cura dei CDO); dall’altro la stesura di un Codice di autoregolamentazione che renda semplici ed immediatamente comprensibili gli obblighi previsti dal T.U. anche a soggetti che non abbiano una cultura informatica approfondita;

evitare che l’applicazione del T.U. si rifletta negativamente sull’equilibrio che la Costituzione riconosce tra accusa e difesa, estendendo la disciplina prevista per i Magistrati, anche agli Avvocati, o viceversa, in modo da metterli tutti sullo stesso piano di eguaglianza sostanziale tra accusa e difesa;

disegnare un diverso assetto (rispetto all’attuale) del rapporto tra T.U. e pratiche civili, prevedendo la possibilità, bilanciata da opportune garanzie, che un Avvocato possa liberamente avere accesso ai dati di terzi (tenuti da enti o privati), in modo da rendere effettivi i diritti dei clienti anche in sede civile (cosa ad oggi impedita dall’eccezione di riservatezza che in maniera generalizzata si oppone alla richiesta del difensore di accedere a tali dati, essenziali ad istruire una pratica al fine di valutare la necessità o l’opportunità di adire le vie giudiziali civili o amministrative……., od anche quelle non contenziose);

III- L’attuale disciplina prescrive tra l’altro i seguenti obblighi ed adempimenti:

-ogni 31 marzo redazione del DPS (documento programmatico sulla sicurezza);

-ogni anno aggiornamento delle patch dei programmi di elaboratore (PC), misura inadeguata ed insufficiente, capace da sola a vanificare ogni altra e più costosa misura di sicurezza;

-ogni 6 mesi aggiornamento dell’antivirus (salvo termini più brevi per dati particolari), misura altrettanto ridicola, posto che un antivirus deve essere aggiornato ogni giorno, così come ogni giorno occorre fare la scansione dell’intero sistema;

-tenuta di registri nei quali menzionare i soggetti Titolari, Responsabili ed Incaricati del trattamento dei dati, indicandone anche le mansioni precise, le modalità di accesso ai dati stessi, le modalità di conservazione dei dati, e tutta una serie di informazioni che sono ritenute necessarie al fine di garantire un trattamento di dati reso in sicurezza;

- rispetto dei contenuti dell’allegato B. al T.U. (disciplinare tecnico in materia di misure minime di sicurezza) che contiene i protocolli e gli adempimenti da rispettare in materia di misure minime di sicurezza ex art. 33 e ss. del T.U. (allegato n.1 alla presente);

- previsione di una informativa, scritta od orale, da fornire al cliente o a colui il quale i dati si riferiscono;

-necessità di un consenso scritto in casi particolari, come il trattamento di dati sensibili o giudiziari in caso di espletamento di attività stragiudiziale (come meglio sotto specificato);

- necessità, nei casi di cui all’art. 37, di una notificazione al Garante per il trattamento dei dati sensibili (oggi praticamente esclusa per gli avvocati, grazie al provvedimento a carattere generale emesso dall’autorità Garante il 31 marzo 2004 ed allegato alla presente relazione con il n. 2).

IV- Questi obblighi sono stati interpretati in modo a volte stravagante e comunque non sempre corretto rispetto all’effettiva portata della norma, e questo ha creato situazioni di incomprensione e di confusione, che hanno portato molti colleghi ad avere un rapporto conflittuale con una disciplina che invece, se correttamente interpretata ed applicata (pur con le necessarie ‘correzioni’ in rapporto ad attività specifiche come quella forense), può realizzare un alto grado di civiltà giuridica per lo Stato, e si impone come difesa irrinunciabile dei diritti dei cittadini, vieppiù necessaria di fronte al progresso tecnologico che sta permeando tutta la nostra società, al fine di impedire che l’informatica, assieme ai grandi benefici che apporta, ponga in pericolo i diritti fondamentali degli stessi.

E’ necessario perciò fornire un’interpretazione della nuova disciplina fedele alla sua ratio, in modo da avere l’esatto quadro della situazione e su questo individuare quelli che sono i punti salienti che dovranno essere affrontati e risolti dal Codice di Autoregolamentazione che la classe forense deve darsi con la supervisione ed il benestare del Garante.

V- Riguardo alla disciplina attuale, si ritiene corretta la seguente interpretazione:

1) il consenso (sia scritto che orale) al trattamento dei dati non sensibili, non è mai dovuto per le attività miranti allo svolgimento di indagini difensive (nel rispetto della legge relativa); per quelle finalizzate a far valere un diritto o a difenderlo nelle sedi giudiziarie (per il tempo necessario a tale finalità); per lo svolgimento di obblighi derivanti dal contratto stipulato dall’interessato (quindi anche per il contratto di consulenza stragiudiziale), oltre alle altre ipotesi di cui all’art. 24 T.U. sulla protezione dei dati personali;

2) il consenso (sia scritto che orale) per il trattamento dei dati sensibili (vedi anche l’Autorizzazione generale n. 4 allegata alla presente, con il n. 3) non è dovuto se i dati sono trattati per l’esercizio di un diritto o la sua difesa in sede giudiziaria (quindi anche per tutte le attività prodromiche a questo finalizzate); ugualmente non dovuto nel caso di indagini difensive; occorre però che il trattamento non sia effettuato per un periodo superire a quello strettamente necessario al perseguimento di tali finalità o per altre finalità con esse non incompatibili…(espressione tra l’altro contraddittoria e che ingenera dubbi). In pratica, a fine rapporto, se rimangono nel fascicolo dei documenti del cliente non restituiti (anche se è sempre bene restituire quanto non di nostra competenza, facendo firmare una ricevuta), si verifica il caso di un trattamento (la conservazione e l’archiviazione) oltre i tempi necessari per espletare l’incarico; perciò è sempre opportuno riconsegnare tutti i documenti, se si vuole evitare di preparare un modello prestampato con informativa e consenso da far firmare e conservare insieme al fascicolo archiviato.

3) il consenso al trattamento dei dati giudiziari, senza doverlo chiedere all’interessato, è stato concesso nell’Autorizzazione generale n. 7 (allegata con il n. 4) che riferisce testualmente :

Il trattamento può riguardare dati attinenti ai clienti.

I dati relativi ai terzi possono essere trattati solo ove ciò sia strettamente indispensabile per eseguire specifiche prestazioni professionali richieste dai clienti per scopi determinati e legittimi.

4) Per le attività meramente stragiudiziali, che non siano finalizzate alla tutela di un diritto o alla sua difesa in giudizio (quindi per le consulenze in genere, e solo quando abbiano ad oggetto dati sensibili), occorre il consenso scritto dell’interessato (aspetto questo che introduce un elemento di disturbo e grave rischio per l’avvocato, il quale potrebbe facilmente scordarsi, nel corso degli anni, di richiedere tale consenso, con le conseguenze che conosciamo; considerato che per tutta l’attività svolta dal legale, l’unica ipotesi di consenso obbligatorio scritto è la presente, visti gli obblighi di segretezza e deontologici in genere, è auspicabile che il nuovo Codice di autoregolamentazione escluda anche questa ipotesi).

5) Riguardo all’informativa orale o scritta (secondo la libera scelta che vogliamo fare) che l’Avvocato deve fornire al cliente, non è dovuta per gli elementi del trattamento già noti all’interessato, il che vuol semplicemente dire che non è quasi mai dovuta (salvo che l’Avvocato non faccia trattamenti particolari, ipotesi molto probabile in Studi professionali dove lavorano più professionisti con molti collaboratori e personale ausiliario), perché al momento del conferimento dell’incarico il cliente è (innegabilmente) a conoscenza di quasi tutti gli elementi in cui si articola l’informativa, ed in quel momento, comunque, generalmente il professionista può tranquillamente avvertire il cliente che i suoi dati saranno trattati dal collega tale e dal segretario tizio ai fini dell’incarico conferito, oltre ad informare se i dati verranno trattati con mezzi informatici; per il resto, le informazioni richieste dall’informativa sono da sempre obbligatorie per un Avvocato, in ragione del suo Codice Deontologico.

6) Nel caso in cui i dati dell’interessato siano raccolti presso terzi, l’informativa allo stesso non è dovuta se i tali dati sono trattati per investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria, con il solito vincolo della finalità e del tempo, anche nel caso di dati sensibili (ad esempio nel caso in cui assumiamo informazioni sulla controparte del nostro cliente, o da conoscenti).

7) Altro problema scottante e che sfugge ai più, è quello dei dati sensibili trattati per fornire una consulenza on-line a norma dell’art. 17 del Codice deontologico; in questo caso, per superare tutti i problemi interpretativi che la disciplina sui documenti informatici pone, la cosa migliore è utilizzare la firma digitale, che, oltre a dare dignità di “forma scritta”, permette di identificare con esattezza il cliente e di garantire sicurezza ed integrità sia alla sottoscrizione elettronica che al contenuto del documento informatico di consenso infomato, mettendo il professionista al riparo da possibili problemi (potrebbe bastare anche quella elettronica, ma la cosa è ancora incerta e pone seri dubbi tra gli esperti del settore, per cui si consiglia di andare sul sicuro).

8) La notificazione al Garante per il trattamento dei dati, non è mai dovuta, salvo particolari ipotesi previste nell’art. 37 del T.U.; serve precisare che i casi elencati in tale articolo possono solo raramente riguardare l’Avvocato nell’esercizio della sua professione; l’unica ipotesi che poteva riguardarci era quella prevista alla lettera del citato articolo che così recita:

“a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica”;

il problema è stato risolto dal Garante con il provvedimento 31 marzo 2004 (allegato n. 2) che esclude l’applicabilità dell’art. 37 nel caso di :

“trattamenti di dati genetici o biometrici effettuati nell’esercizio della professione di Avvocato, in relazione alle operazioni e ai dati necessari per svolgere le investigazioni difensive di cui alla legge n. 397/2000, o comunque per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria. Ciò sempre che il diritto sia di rango almeno pari a quello dell’interessato e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento”;

9) Le misure minime sulla sicurezza: gli art. 33 e ss. del T.U. individuano tutta una serie di misure (minime) da adottare per garantire la sicurezza minima al trattamento dei dati; tali misure minime sono state elaborate e scritte per realtà diverse da quelle di uno Studio legale; questa considerazione deve portare a ridimensionare e ad adeguare tale normativa alla nostra realtà, operazione attuabile proprio attraverso il Codice di autoregolamentazione previsto dall’art. 12 del T.U.
Le misure minime sono elencate nell’art. 34 (per i trattamenti a mezzo elaboratore elettronico) e 35 (per i trattamenti senza elaboratore elettronico) del T.U. :

“Art. 34 (Trattamenti con strumenti elettronici)

1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Art. 35 (Trattamenti senza l'ausilio di strumenti elettronici)

1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.”

Come si può facilmente vedere, se alterniamo alla lettura degli articoli del T.U. , quella dell’allegato B (allegato n. 1 alla presente), si ha un enorme apparato di sicurezza che, nella quasi totalità degli Studi legali italiani, comporterà notevoli costi e soprattutto l’impossibilità e la paura di portare serenamente a termine gli incarichi affidati dai clienti, stante il rischio di pesantissime sanzioni che sono giustificate nel caso di attività economiche finalizzate in via principale o prevalente alla raccolta sistematica di cospicue quantità di dati sensibili (trattati peraltro molto spesso al di fuori dell’attività principale ivi svolta: ad es. Banche, Società multinazionali, grandi catene di supermercati…ed altro); ma che sono assolutamente spropositate nell’attività legale, dove il trattamento dei dati è l’elemento caratterizzante ed essenziale della stessa, finalizzato alla attuazione del diritto alla difesa).

10) Documento Programmatico sulla Sicurezza; ogni 31 marzo (salvo quest’anno, che va compilato entro il 30 giugno, ex art. 180 T.U., come peraltro precisato dal Garante nell’ultimo parere espresso e sollecitato dalla Confindustria, vsionabile direttamente sul sito del Garante), chiunque tratti dati e sia sottoposto alla disciplina del T.U. deve compilare un DPS (firmarlo e datarlo, senza data certa) che ha il compito specifico di indurre a fare, almeno una volta all’anno, il punto sul sistema di sicurezza adottato e da adottare nell’ambito della propria attività; tale documento ha una funzione meramente descrittiva, eppure per la sua violazione, stranamente, il T.U. prevede sanzioni estremamente severe, che vanno dall’arresto fino a due anni (e conseguente inevitabile sanzione disciplinare prevista dal Codice deontologico) al possibile pagamento di somme da 10.000 a 50.000 euro (art. 169 T.U.);

I contenuti di tale documento, previsto dall’art. 34 del T.U. come una delle molte misure minime da adottare, sono specificati dall’art. 19 (con relativi sottopunti) dell’allegato B.

Come si evince facilmente dal tenore dell’allegato, nel DPS non deve essere riassunto l’intero assetto delle misure minime adottate e delle modalità specifiche con le quali queste vengono esplicate, ma pare essere sufficiente una ricognizione, seguendo punto per punto il citato art. 19 dell’allegato B;

A tal fine si riporta (allegato n. 5) un esempio di DPS (elaborato dalla commissione informatica del CDO di Bari) avente un contenuto minimo, relativo all’ipotesi di uno Studio Legale composto da un Avvocato, un collaboratore-praticante, ed un/a segretaria/o (struttura che rappresenta lo studio medio più diffuso nella nostra realtà italiana).
Occorre naturalmente, caso per caso, integrare il DPS qui proposto, in ragione della specificità delle situazioni reali, con eventuali ulteriori elementi tra quelli richiesti (a tal proposito, è utile una specie di guida che aiuti il professionista a stilare un DPS adeguato).

VI- Alla fine di questo escursus sui contenuti del nuovo T.U., preso atto della difficoltà e dei pericoli che tale norma (sostanzialmente estranea alla realtà degli Studi legali), pone a chi voglia con serenità e diligenza continuare ad onorare la professione, così come è stato fatto da sempre, da generazioni di colleghi, non possiamo far altro che cercare di risolvere la contingente ed allarmante situazione attraverso l’utilizzo dei mezzi che la norma stessa ci mette a disposizione.

Invero, l’art. 12 del T.U. così recita:

1. Il Garante promuove nell'ambito delle categorie interessate, nell'osservanza del principio di rappresentatività e tenendo conto dei criteri direttivi delle raccomandazioni del Consiglio d'Europa sul trattamento di dati personali, la sottoscrizione di codici di deontologia e di buona condotta per determinati settori, ne verifica la conformità alle leggi e ai regolamenti anche attraverso l'esame di osservazioni di soggetti interessati e contribuisce a garantirne la diffusione e il rispetto.

2. I codici sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana a cura del Garante e, con decreto del Ministro della giustizia, sono riportati nell'allegato A) del presente codice.

3. Il rispetto delle disposizioni contenute nei codici di cui al comma 1 costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali effettuato da soggetti privati e pubblici.

Come si vede, la soluzione ci viene offerta proprio dalla stessa legge; occorre a questo punto, individuati i punti nevralgici della disciplina, prospettarne le soluzioni conformi, in modo da renderla effettiva anche nella realtà dei nostri Studi.

In sostanza, nel fornire alla classe forense un Codice di autoregolamentazione, l’obiettivo deve essere quello di rendere ancora più concreta ed effettiva la realizzazione dei diritti sanciti e protetti dal T.U., rispetto ad una pedissequa e letterale applicazione del T.U. alla realtà degli studi legali.

Per essere più chiari, va ribadito che tale normativa è stata pensata principalmente per una realtà di impresa e di enti pubblici che trattino enormi quantità di dati, e risulta essere sovradimensionata alla realtà-tipo di una Studio legale. Solo pochissimi Studi (e tra questi quelli stranieri) possono ritenere adeguata al rischio che corrono i dati da loro trattati l’odierna disciplina.

In Italia, la realtà vuole che l’ 80 % degli studi legali siano di piccole dimensioni: uno o due Avvocati, con segretaria e collaboratore, quando non addirittura un Avvocato ed un collaboratore soltanto (conosco molti giovani colleghi che non possono permettersi ancora neppure la segretaria).

La massa dei dati da questi trattati è assolutamente irrisoria, tale da ritenere spesso eccessive, sia dal punto di vista dei costi che da quello del tempo da dedicare e degli impegni burocratici che richiedono, le misure specificate nel T.U; il risultato è che l’applicazione sistematica della disciplina così come è, porta l’Avvocato a privilegiarne l’adempimento formale, o fine a se stesso (per paura delle sanzioni), piuttosto che quello effettivo e concreto (senza citare i casi in cui molti colleghi disattendono ogni obbligo, preferendo l’oblio).

Poiché, tuttavia, il compito di un legale è fondamentalmente quello di curare gli interessi del cliente per garantirgli un altrettanto importante diritto, quello alla difesa (di pari rango rispetto alla tutela della circolazione del DATO), occorre vedere se ed in quali casi, la normativa sulla privacy possa indebolire o pregiudicare le prerogative del difensore, in modo tale da menomare il diritto di cui è paladino.

Occorre, insomma, prima di disegnare l’impronta del Codice di autoregolamentazione, vedere se questo è necessario e, in caso positivo, in quali termini e secondo quali parametri.

Il principio fondamentale ispiratore del Codice di autoregolamentazione della privacy per gli avvocati dovrebbe essere il seguente :

Contemperare il diritto alla tutela del dato (alla sua libera circolazione, come sottolineato dalla Direttiva europea sulla tutela dei dati personali) con il diritto alla difesa, in modo che questo ultimo non venga strumentalizzato dal primo; occorre cioè fare in modo che il pieno diritto alla difesa faccia diventare più forte la tutela della privacy.

Per far questo occorre tenere presente che da sempre la classe forense è soggetta ad una serie di doveri professionali sanzionati disciplinarmente, questi sono elencati nel Codice Deontologico, affondano le radici nella nostra Legge Professionale e così possono essere riassunti:

-art. 6 dovere di lealtà e correttezza
-art. 7 dovere di fedeltà
-art. 8 dovere di diligenza
-art. 9 dovere di segretezza e riservatezza
-art. 11 dovere di difesa
-art. 13 dovere di aggiornamento professionale
-art. 35 rapporto di fiducia con l’assistito
-art. 40 obbligo di informazione dell’assistito
-art. 42 restituzione documenti

è infatti essenziale che, nell’approntare un Codice di autoregolamentazione, l’Avvocatura e il Garante abbiano ben presente il contesto in cui questo viene ad inserirsi, e questo contesto è già da sempre caratterizzato dai sopra riportati doveri deontologici.

Ci troviamo, quindi, di fronte ad una realtà che per sua natura affonda le sue basi culturali e professionali nel rispetto dei diritti che il nuovo T.U. sulla circolazione dei dati personali impone a tutti…….

Partendo da queste necessarie premesse, i contenuti minimi di cui un Codice di autoregolamentazione degli Avvocati in materia di tutela dei dati personali, dovrebbero esser così riassunti :

BOZZA CODICE AUTOREGOLAMENTAZIONE PRIVACY

Premesso che:

1) l’art. 12 del T.U. 196-2003 prevede espressamente la possibilità che il Garante promuova l’adozione dei Codici di autoregolamentazione e tra questi quello degli Avvocati;

2) che nel Codice è necessario rendere effettivo il rispetto dei diritti tutelati dal T.U. sulla privacy nell’ambito della categoria professionale cui il Codice di autoregolamentazione si riferisce;

3) che l’attività professionale dell’avvocato trova la sua giustificazione fondamentale nella tutela dei diritti del cittadino prevista dalla Costituzione;

4) che il diritto alla privacy (inteso come diritto ad una libera e sicura circolazione dei dati, oltre che ad una loro tutela statica) e quello alla difesa, sono entrambi di rango costituzionale ed hanno un rapporto di interconnessione diretta, di modo che la tutela della privacy debba essere assicurata in funzione del pieno godimento del diritto alla difesa e non viceversa (solo così si realizza la piena realizzazione di entrambi, viceversa avremmo la compressione del diritto alla difesa con ripercussioni negative anche sulla effettività della tutela dei dati);

5) che il Codice di autoregolamentazione deve attuare la piena applicazione del diritto alla privacy coniugando le esigenze della difesa a quelle della tutela dei dati personali :

Tutto ciò premesso, si propone all’attenzione del Garante la presente bozza di Codice, i cui contenuti dovranno essere meglio specificati da apposita Commissione che lavorerà sotto la guida del Garante stesso:

1- Specificare che i dati contenuti degli albi professionali resi accessibili al pubblico, siano determinati con esattezza e tassatività (al fine di evitare ‘derive’ pubblicitarie inopportune) dal Codice Deontologico Forense;

2- Sostituire la procedibilità di ufficio dei reati previsti dal T.U. sulla privacy con procedibilità a querela di parte, e prevedere una gradazione delle sanzioni amministrative in ragione del diverso grado di responsabilità in cui un professionista nell’esercizio della professione potrebbe venire a trovarsi, ad esempio prevedendo sanzioni minime per i casi di colpa semplice (attenuati da situazioni contingenti di obiettiva difficoltà a seguire tutti i precetti della norma), via via sempre più alte fino ai casi di colpa grave e dolo;

3- Eliminare (solo per gli avvocati) l’obbligo del consenso scritto per il trattamento dei dati sensibili e giudiziari nell’espletamento dell’attività stragiudiziale; riassumere con chiarezza schematica le ipotesi residuali di consenso obbligatorio;

4- Prevedere una informativa uguale per tutti, da tenere esposta nella sala-clienti, ed eventualmente un fac-simile della stessa da distribuire al cliente senza obbligo di firma…..; oppure eliminare l’obbligo di informativa;

5- Emettere un fac-simile di DPS con l’inserimento dei dati minimali obbligatori, eguali per tutti, con note esplicative allegate che aiutino il professionista a compilare il DPS in situazioni complesse; il modello potrebbe essere prestampato e con istruzioni tipo quelle delle dichiarazioni dei redditi con spazi dove il legale può integrare con note descrittive personali situazioni specifiche;

6- Prevedere il cosiddetto mansionario e i contenuti che deve avere;

7- Prevedere uno schema delle scadenze e degli adempimenti, in modo che siano facilmente ed immediatamente individuabili dal professionista facilitandone l’adempimento;

8- Prevedere l’obbligatoria frequenza di corsi di aggiornamento per i responsabili e titolari del trattamento da espletare presso le scuole forensi;

9- Prevedere il libero accesso ai dati detenuti da enti pubblici e privati da parte dell’avvocato, anche per trattare questioni civili, non solo per quelle penali…. Inserire un sistema di responsabilità per l’avvocato che, accedendo a questi dati civilistici non rispetti gli obblighi di trattamento;

10- Prevedere la revisione del Codice di autoregolamentazione con cadenza annuale in modo da tenerlo sempre aggiornato, a cura di apposita commissione presso CNF.

Accanto a questo Codice di autoregolamentazione, la classe forense, per adeguare tutta la disciplina e renderla omogenea con il nuovo T.U. sulla privacy, deve effettuare modifiche al Codice deontologico inserendo i contenuti precisi ed esatti che devono essere inseriti negli Albi professionali;

occorre poi prevedere nelle Tariffe professionali l’inserimento di una voce di maggiorazione delle competenze dell’avvocato che, per le ragioni del suo mandato, debba trattare dati che lo espongono alla responsabilità ex art. 2050 c.c., prevista dal T.U.

Avv. Patrizio Galeotti
Componente comitato scientifico CSIG di Bari e Commissione Informatica CDO di Bari

Avv. Vito Pasciolla
Componente comitato scientifico CSIG di Bari e Commissione Informatica CDO di Bari

Avv. Mirella Chiarolla
Componente CSIG di Bari e coautrice del Commentario alla legge sulla tutela dei dati personali
675/1996 a cura del Prof. Pardolesi e Prof. Alpa- Milano (2003)

Avv. Massimo Melica
Presidente CSIG e Componente Commissione Informatica CDO di Bari