La delibera del Garante 19 dicembre 2018 si rivolge ad avvocati, liberi professionisti e investigatori privati
Definite le regole per la gestione della privacy dei dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria. È quanto riporta la delibera del Garante per la protezione dei dati personali 19 dicembre 2018 (pubblicata sulla Gazzetta Ufficiale del 15 gennaio 2019, n. 12) che ha definito il trattamento dati da parte di:
- avvocati;
- liberi professionisti;
- investigatori privati.
Sempre il Garante di recente ha dettato le regole deontologiche per il trattamento dati nell'esercizio dell'attività giornalistica (clicca qui per leggere il testo della delibera).
Box
Sei interessato ai temi della sicurezza e dell’ambiente?
Abbonati ad Ambiente&Sicurezza! Clicca qui!
Di seguito il testo integrale della delibera 19 dicembre 2018.
Delibera del Garante per la protezione dei dati personali 19 dicembre 2018 Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria. (Delibera n. 512/2018). (19A00179) in Gazzetta Ufficiale del 15 gennaio 2019, n. 12 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale; Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati che abroga la direttiva 95/46/CE (di seguito, «Regolamento»); Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo 30 giugno 2003, n. 196, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito «Codice»); Visto l'art. 20, comma 4, del decreto legislativo n. 101/2018 che demanda al Garante il compito di effettuare, nel termine di novanta giorni dall'entrata in vigore del decreto stesso, una verifica della conformita' al Regolamento delle disposizioni contenute in alcuni codici deontologici ivi indicati, tra i quali quelle contenute nel «Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive», adottato il 6 novembre 2008, attualmente inserito nel Codice in materia di protezione come allegato A.6 ed applicabile sino al completamento della menzionata procedura; Rilevato che, sempre secondo quanto previsto dal citato art. 20, comma 4, del decreto legislativo n. 101/2018, al termine della suddetta procedura di verifica, le «disposizioni ritenute compatibili, ridenominate regole deontologiche, sono pubblicate nella Gazzetta Ufficiale della Repubblica italiana e, con decreto del Ministro della giustizia, sono successivamente riportate nell'allegato A del Codice»; Ritenuto che la valutazione di compatibilita' di dette disposizioni con il regolamento non possa prescindere da una loro lettura che tenga integralmente conto del mutato quadro normativo di riferimento; Ritenuto, per tale ragione, che: i richiami al decreto legislativo n. 196/2003 contenuti in alcune disposizioni del codice deontologico, nonche' la terminologia utilizzata, sono stati opportunamente aggiornati ai sensi delle corrispondenti disposizioni del Regolamento e del medesimo decreto legislativo n. 196/2003, come modificato dal decreto legislativo n. 101/2018; e' opportuno espungere il preambolo del codice di deontologia, dovendosi, in base al richiamato art. 20 del decreto legislativo 101/2018, ridenominare solo le disposizioni dello stesso; il preambolo, invece, nel sintetizzare le condizioni di liceita' del trattamento, evidenziava, altresi', i presupposti della sottoscrizione del codice di deontologia, nel rispetto del principio di rappresentativita', che, comunque, rimane alla base delle presenti regole; e' stata eliminata la previsione riguardante il monitoraggio periodico del codice di deontologia e di buona condotta; Ritenuto che tali elementi, relativi all'aggiornamento della disciplina in materia, debbano essere recepiti nelle «Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive» in ragione di quanto disposto dall'art. 20, comma 4, del decreto legislativo n. 101/2018; Ritenuto, all'esito della verifica della conformita' al regolamento delle disposizioni previste nel «Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria», che le medesime, riportate nell'allegato 1 al presente provvedimento e che ne forma parte integrante, debbano essere pubblicate ai sensi dell'art. 20, comma 4, del decreto legislativo n. 101/2018 come «Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria»; Considerato che le predette «Regole deontologiche» sono volte a disciplinare i trattamenti in questione in attesa di un auspicabile aggiornamento delle stesse ai sensi degli articoli 2-quater del Codice; Vista la documentazione in atti; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il dott. Antonello Soro; Tutto cio' premesso il Garante: Ai sensi dell'art. 20, comma 4, del decreto legislativo n. 101/2018, verificata la conformita' al regolamento delle disposizioni del «Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria», dispone che le medesime, riportate nell'allegato 1 al presente provvedimento e che ne forma parte integrante, siano pubblicate come «relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria» e ne dispone, altresi', la trasmissione all´Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, nonche' al Ministero della giustizia per essere riportato nell´Allegato A) al Codice. Capo I Principi generali Allegato 1 Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria Art. 1. Ambito di applicazione 1. Le presenti regole deontologiche devono essere rispettate nel trattamento di dati personali per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria, sia nel corso di un procedimento, anche in sede amministrativa, di arbitrato o di conciliazione, sia nella fase propedeutica all'instaurazione di un eventuale giudizio, sia nella fase successiva alla sua definizione, da parte di: a) avvocati o praticanti avvocati iscritti ad albi territoriali o ai relativi registri, sezioni ed elenchi, i quali esercitino l'attivita' in forma individuale, associata o societaria svolgendo, anche su mandato, un'attivita' in sede giurisdizionale o di consulenza o di assistenza stragiudiziale, anche avvalendosi di collaboratori, dipendenti o ausiliari, nonche' da avvocati stranieri esercenti legalmente la professione sul territorio dello Stato; b) soggetti che, sulla base di uno specifico incarico anche da parte di un difensore, svolgano in conformita' alla legge attivita' di investigazione privata (art. 134 regio decreto 18 giugno 1931, n. 773; art. 222 norme di coordinamento del c.p.p.). 2. Le presenti regole deontologiche si applicano, altresi', a chiunque tratti dati personali per le finalita' di cui al comma 1, in particolare a altri liberi professionisti o soggetti che in conformita' alla legge prestino, su mandato, attivita' di assistenza o consulenza per le medesime finalita'. Capo II Trattamenti da parte di avvocati Art. 2. Modalita' di trattamento 1. L'avvocato organizza il trattamento anche non automatizzato dei dati personali secondo le modalita' che risultino piu' adeguate, caso per caso, a favorire in concreto l'effettivo rispetto dei diritti, delle liberta' e della dignita' degli interessati, applicando i principi di finalita', proporzionalita' e minimizzazione dei dati sulla base di un'attenta valutazione sostanziale e non formalistica delle garanzie previste, nonche' di un'analisi della quantita' e qualita' delle informazioni che utilizza e dei possibili rischi. 2. Le decisioni relativamente a quanto previsto dal comma 1 sono adottate dal titolare del trattamento il quale resta individuato, a seconda dei casi, in: a) un singolo professionista; b) una pluralita' di professionisti, codifensori della medesima parte assistita o che, anche al di fuori del mandato di difesa, siano stati comunque interessati a concorrere all'opera professionale quali consulenti o domiciliatari; c) un'associazione tra professionisti o una societa' di professionisti. 3. Nel quadro delle adeguate istruzioni da impartire per iscritto alle persone autorizzate ad al trattamento dei dati, sono formulate concrete indicazioni in ordine alle modalita' che tali soggetti devono osservare, a seconda del loro ruolo di sostituto processuale, di praticante avvocato con o senza abilitazione al patrocinio, di consulente tecnico di parte, perito, investigatore privato o altro ausiliario che non rivesta la qualita' di autonomo titolare del trattamento, nonche' di tirocinante, stagista o di persona addetta a compiti di collaborazione amministrativa. 4. Specifica attenzione e' prestata all'adozione di idonee cautele per prevenire l'ingiustificata raccolta, utilizzazione o conoscenza di dati in caso di: a) acquisizione anche informale di notizie, dati e documenti connotati da un alto grado di confidenzialita' o che possono comportare, comunque, rischi specifici per gli interessati; b) scambio di corrispondenza, specie per via telematica; c) esercizio contiguo di attivita' autonome all'interno di uno studio; d) utilizzo di dati di cui e' dubbio l'impiego lecito, anche per effetto del ricorso a tecniche invasive; e) utilizzo e distruzione di dati riportati su particolari dispositivi o supporti, specie elettronici (ivi comprese registrazioni audio/video), o documenti (tabulati di flussi telefonici e informatici, consulenze tecniche e perizie, relazioni redatte da investigatori privati); f) custodia di materiale documentato, ma non utilizzato in un procedimento e ricerche su banche dati a uso interno, specie se consultabili anche telematicamente da uffici dello stesso titolare del trattamento situati altrove; g) acquisizione di dati e documenti da terzi, verificando che si abbia titolo per ottenerli; h) conservazione di atti relativi ad affari definiti. 5. Se i dati sono trattati per esercitare il diritto di difesa in sede giurisdizionale, cio' puo' avvenire anche prima della pendenza di un procedimento, sempreche' i dati medesimi risultino strettamente funzionali all'esercizio del diritto di difesa, in conformita' ai principi di liceita', proporzionalita' e minimizzazione dei dati rispetto alle finalita' difensive (art. 5 del regolamento UE 2016/679). 6. Sono utilizzati lecitamente e secondo correttezza secondo i medesimi principi di cui all'art. 5 del regolamento (UE) 2016/679: a) i dati personali contenuti in pubblici registri, elenchi, albi, atti o documenti conoscibili da chiunque, nonche' in banche di dati, archivi ed elenchi, ivi compresi gli atti dello stato civile, dai quali possono essere estratte lecitamente informazioni personali riportate in certificazioni e attestazioni utilizzabili a fini difensivi; b) atti, annotazioni, dichiarazioni e informazioni acquisite nell'ambito di indagini difensive, in particolare ai sensi degli articoli 391-bis, 391-ter e 391-quater del codice di procedura penale, evitando l'ingiustificato rilascio di copie eventualmente richieste. Se per effetto di un conferimento accidentale, anche in sede di acquisizione di dichiarazioni e informazioni ai sensi dei medesimi articoli 391-bis, 391-ter e 391-quater, sono raccolti dati eccedenti e non pertinenti rispetto alle finalita' difensive, tali dati, qualora non possano essere estrapolati o distrutti, formano un unico contesto, unitariamente agli altri dati raccolti. Art. 3. Informativa unica 1. L'avvocato puo' fornire in un unico contesto, anche mediante affissione nei locali dello Studio e, se ne dispone, pubblicazione sul proprio sito Internet, anche utilizzando formule sintetiche e colloquiali, l'informativa sul trattamento dei dati personali (art. 13 del Regolamento) e le notizie che deve indicare ai sensi della disciplina sulle indagini difensive. Art. 4. Conservazione e cancellazione dei dati 1. Fermo restando quanto previsto dall'art. 5, par. 1, lettera e), del regolamento (UE) 2016/679, la definizione di un grado di giudizio o la cessazione dello svolgimento di un incarico non comportano un'automatica dismissione dei dati. Una volta estinto il procedimento o il relativo rapporto di mandato, atti e documenti attinenti all'oggetto della difesa o delle investigazioni difensive possono essere conservati, in originale o in copia e anche in formato elettronico, qualora risulti necessario in relazione a ipotizzabili altre esigenze difensive della parte assistita o del titolare del trattamento, ferma restando la loro utilizzazione in forma anonima per finalita' scientifiche. La valutazione e' effettuata tenendo conto della tipologia dei dati. Se e' prevista una conservazione per adempiere a un obbligo normativo, anche in materia fiscale e di contrasto della criminalita', sono custoditi i soli dati personali effettivamente necessari per adempiere al medesimo obbligo. 2. Fermo restando quanto previsto dal codice deontologico forense in ordine alla restituzione al cliente dell'originale degli atti da questi ricevuti, e salvo quanto diversamente stabilito dalla legge, e' consentito, previa comunicazione alla parte assistita, distruggere, cancellare o consegnare all'avente diritto o ai suoi eredi o aventi causa la documentazione integrale dei fascicoli degli affari trattati e le relative copie. 3. In caso di revoca o di rinuncia al mandato fiduciario o del patrocinio, la documentazione acquisita e' rimessa, in originale ove detenuta in tale forma, al difensore che subentra formalmente nella difesa. 4. La titolarita' del trattamento non cessa per il solo fatto della sospensione o cessazione dell'esercizio della professione. In caso di cessazione anche per sopravvenuta incapacita' e qualora manchi un altro difensore anche succeduto nella difesa o nella cura dell'affare, la documentazione dei fascicoli degli affari trattati, decorso un congruo termine dalla comunicazione all'assistito, e' consegnata al Consiglio dell'ordine di appartenenza ai fini della conservazione per finalita' difensive. Art. 5. Comunicazione e diffusione di dati 1. Nei rapporti con i terzi e con la stampa possono essere rilasciate informazioni non coperte da segreto qualora sia necessario per finalita' di tutela dell'assistito, ancorche' non concordato con l'assistito medesimo, nel rispetto dei principi di liceita', trasparenza, correttezza, e minimizzazione dei dati di cui al Regolamento (UE) 2016/679 (art. 5), nonche' dei diritti e della dignita' dell'interessato e di terzi, di eventuali divieti di legge e del codice deontologico forense. Art. 6. Accertamenti riguardanti documentazione detenuta dal difensore 1. In occasione di accertamenti ispettivi che lo riguardano l'avvocato ha diritto ai sensi dell'art. 159, comma 3, del decreto legislativo n. 196/2003 che vi assista il presidente del competente Consiglio dell'ordine forense o un consigliere da questo delegato. Allo stesso, se interviene e ne fa richiesta, e' consegnata copia del provvedimento. 2. In sede di istanza di accesso o richiesta di comunicazione dei dati di traffico relativi a comunicazioni telefoniche in entrata, si applica quanto previsto dall'art. 132, comma 3, del decreto legislativo n. 196/2003. Capo III Trattamenti da parte di altri liberi professionisti e ulteriori soggetti Art. 7. Applicazione di disposizioni riguardanti gli avvocati 1. Le disposizioni di cui agli articoli 2 e 5 si applicano, salvo quanto applicabile per legge unicamente all'avvocato: a) a liberi professionisti che prestino o su mandato dell'avvocato o unitamente a esso o, comunque, nei casi e nella misura consentita dalla legge, attivita' di consulenza e assistenza per far valere o difendere un diritto in sede giudiziaria o per lo svolgimento delle investigazioni difensive; b) agli altri soggetti, di cui all'art. 1, comma 2, salvo quanto risulti obiettivamente incompatibile in relazione alla figura soggettiva o alla funzione svolta. Capo IV Trattamenti da parte di investigatori privati Art. 8. Modalita' di trattamento 1. L'investigatore privato organizza il trattamento anche non automatizzato dei dati personali secondo le modalita' di cui all'art. 2, comma 1. 2. L'investigatore privato non puo' intraprendere di propria iniziativa investigazioni, ricerche o altre forme di raccolta dei dati. Tali attivita' possono essere eseguite esclusivamente sulla base di apposito incarico conferito per iscritto e solo per le finalita' di cui alle presenti regole. 3. L'atto d'incarico deve menzionare in maniera specifica il diritto che si intende esercitare in sede giudiziaria, ovvero il procedimento penale al quale l'investigazione e' collegata, nonche' i principali elementi di fatto che giustificano l'investigazione e il termine ragionevole entro cui questa deve essere conclusa. 4. L'investigatore privato deve eseguire personalmente l'incarico ricevuto e puo' avvalersi solo di altri investigatori privati indicati nominativamente all'atto del conferimento dell'incarico, oppure successivamente in calce a esso qualora tale possibilita' sia stata prevista nell'atto di incarico. Restano ferme le prescrizioni predisposte ai sensi dell'art. 2-septies del decreto legislativo n. 196/2003 e art. 21 del decreto legislativo n. 101/2018 relative al trattamento delle particolari categorie di dati personali di cui all'art. 9, par. 1, del Regolamento (UE) 2016/679. 5. Nel caso in cui si avvalga di persone autorizzate al trattamento dei dati per suo conto, l'investigatore privato rende specifiche istruzioni in ordine alle modalita' da osservare e vigila, con cadenza almeno settimanale, sulla puntuale osservanza delle norme di legge e delle istruzioni impartite. Tali soggetti possono avere accesso ai soli dati strettamente pertinenti alla collaborazione a essi richiesta. 6. Il difensore o il soggetto che ha conferito l'incarico devono essere informati periodicamente dell'andamento dell'investigazione, anche al fine di permettere loro una valutazione tempestiva circa le determinazioni da adottare riguardo all'esercizio del diritto in sede giudiziaria o al diritto alla prova. Art. 9. Altre regole di comportamento 1. L'investigatore privato si astiene dal porre in essere prassi elusive di obblighi e di limiti di legge e, in particolare, conforma ai principi di liceita', trasparenza e correttezza del trattamento sanciti dal Regolamento (UE) 2016/679 e dal decreto legislativo n. 196/2003: a) l'acquisizione di dati personali presso altri titolari del trattamento, anche mediante mera consultazione, verificando che si abbia titolo per ottenerli; b) il ricorso ad attivita' lecite di rilevamento, specie a distanza, e di audio/videoripresa; c) la raccolta di dati biometrici. 2. L'investigatore privato rispetta nel trattamento dei dati le disposizioni di cui all'art. 2, commi 4, 5 e 6 delle presenti regole. Art. 10. Conservazione e cancellazione dei dati 1. Nel rispetto dell'art. 5 del regolamento (UE) 2016/679, i dati personali trattati dall'investigatore privato possono essere conservati per un periodo non superiore a quello strettamente necessario per eseguire l'incarico ricevuto. A tal fine deve essere verificata costantemente, anche mediante controlli periodici, la stretta pertinenza, non eccedenza e indispensabilita' dei dati rispetto alle finalita' perseguite e all'incarico conferito. 2. Una volta conclusa la specifica attivita' investigativa, il trattamento deve cessare in ogni sua forma, fatta eccezione per l'immediata comunicazione al difensore o al soggetto che ha conferito l'incarico, i quali possono consentire, anche in sede di mandato, l'eventuale conservazione temporanea di materiale strettamente personale dei soggetti che hanno curato l'attivita' svolta, a i soli fini dell'eventuale dimostrazione della liceita', trasparenza e correttezza del proprio operato. Se e' stato contestato il trattamento il difensore o il soggetto che ha conferito l'incarico possono anche fornire all'investigatore il materiale necessario per dimostrare la liceita', trasparenza e correttezza del proprio operato, per il tempo a cio' strettamente necessario. 3. La sola pendenza del procedimento al quale l'investigazione e' collegata, ovvero il passaggio ad altre fasi di giudizio in attesa della formazione del giudicato, non costituiscono, di per se stessi, una giustificazione valida per la conservazione dei dati da parte dell'investigatore privato. Art. 11. Informativa 1. L'investigatore privato puo' fornire l'informativa in un unico contesto ai sensi dell'art. 3 delle presenti regole, ponendo in particolare evidenza l'identita' e la qualita' professionale dell'investigatore, nonche' la natura facoltativa del conferimento dei dati, fermo restando quanto disposto dall'art. 14 del regolamento, nel caso in cui i dati personali non siano stati ottenuti presso l'interessato.