COP SERVIZI INFORMATICI imp
7-02-2007
10:48
Pagina 1
c/o PALAZZO DI GIUSTIZIA
VIA FREGUGLIA, 1
20122 MILANO
TEL. 02 549292.1 - FAX 02 54101447 - 02 55181003
www.ordineavvocatimilano.it
DEGLI
AVVOCATI DI MILANO
PRIVACY
per gli
STUDI LEGALI
2
I
ORDINE DEGLI AVVOCATI DI MILANO
QUADERNI DELL’ ORDINE
ORDINE
c/o PALAZZO DI GIUSTIZIA
VIA FREGUGLIA, 1
20122 MILANO
TEL. 02 549292.1 - FAX 02 54101447 - 02 55181003
www.ordineavvocatimilano.it
DEGLI
AVVOCATI DI MILANO
PRIVACY
per gli
STUDI LEGALI
2
I
ORDINE DEGLI AVVOCATI DI MILANO
QUADERNI DELL’ ORDINE
ORDINE
PANTONE 200 NERO
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 1
UNIVERSITÀ DEGLI STUDI DI MILANO
ORDINE
ISTITUTO DI FILOSOFIA
E SOCIOLOGIA DEL DIRITTO
DEGLI
AVVOCATI DI MILANO
VIA FESTA DEL PERDONO, 7 - 20112 MILANO
PRIVACY
PER GLI STUDI LEGALI
con un’appendice sulla normativa antiriciclaggio di Remo Danovi
A cura di
Filippo Pappalardo e Stefano Ricci
2
I quaderni
dell’Ordine
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 2
HANNO COLLABORATO:
Avv. Paolo Giuggioli
Prof. Mario Jori
Prof. Andrea Rossetti
Prof. Avv. Remo Danovi
Dott. Filippo Pappalardo
Avv. Stefano Ricci
Dott. Carmelo Ferraro
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 3
INDICE:
EDITORIALE: PRIVACY PER GLI STUDI LEGALI Avv. Paolo Giuggioli
LA PRIVACY COME SICUREZZA DEI DATI Andrea Rossetti
1. INTRODUZIONE
2. NOZIONI FONDAMENTALI IN MATERIA DI PRIVACY
NELL’AMBITO DELLA PROFESSIONE FORENSE
3. SOGGETTI COINVOLTI E ANALISI DEL FLUSSO
DELLE INFORMAZIONI
3.1 Soggetti coinvolti
3.2 Analisi del flusso delle informazioni
4. ACQUISIZIONE CORRETTA E
TRATTAMENTO LECITO DEL DATO
4.1 L’informativa
4.1.1 Informativa da rendere al cliente
4.1.2 Informativa da rendere a terzi
4.2 Il consenso
4.2.1 Dati personali comuni
4.2.2 Dati sensibili
4.2.3 Dati ultrasensibili: il principio del pari rango
4.2.4 Dati giudiziari
4.2.5 Attività stragiudiziale
4.3 Le autorizzazioni generali
4.4 La notificazione
4.5 Utilizzazione di dati: informatica giuridica
5. ADOTTARE LE MISURE MINIME DI SICUREZZA
5.1 Creare un sistema di autenticazione informatica
(art. 34 lett a) e b) del Codice, regole da 1 a 11 dell’allegato B)
5.1.1 Le credenziali di autenticazione
5.1.2 La procedura di gestione delle credenziali di autenticazione
5.2 Creare un sistema di autorizzazione
(art. 34 lett. c) e d) del Codice, regole da 12 a 14 dell’allegato B)
5.3 Adottare altre misure di sicurezza
(art. 34 lett. e) e f ) del Codice, regole da 15 a 18 dell’allegato B)
5.3.1 Rischi per la sicurezza provenienti dall’interno della struttura
5.3.1.1 Le patch
5.3.1.2 Il backup
5.3.2 Rischi per la sicurezza provenienti dall’esterno della struttura
5.3.2.1 Il firewall
5.3.2.2 L’antivirus
5.4 Prevedere misure di tutela e garanzia (regole da 25 e 26 dell’allegato B)
5.5 Trattamento senza l’ausilio di strumenti elettronici
(art. 35 del Codice, regole da 27 a 29 dell’allegato B)
6. ADOTTARE IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
7. SCREENING DELLA STRUTTURA TIPO STUDIO LEGALE. PASSO PER PASSO
8. SCADENZE (tabella)
APPENDICE - Prof. Avv. Remo Danovi
Gli adempimenti antiriciclaggio a carico dei professionisti
A1. Le direttive europee
A2. Recepimento ed attuazione
A3. I soggetti
A4. Gli obblighi
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 4
EDITORIALE:
PRIVACY PER GLI STUDI LEGALI
a cura del Presidente dell’Ordine degli Avvocati di Milano – Avv. Paolo Giuggioli
Cari Colleghi,
il secondo dei Quaderni dell’Ordine è dedicato al controverso e delicato tema della
privacy, ossia della tutela dei dati personali che ogni professionista quotidianamente
si trova a raccogliere, custodire e, più in generale, trattare.
Come noto, il legislatore con il Testo Unico dedicato alla tutela dei dati personali
(DLgs 196/03) ha previsto una serie di misure che anche l’avvocato è chiamato ad
adottare al fine di garantire un sufficiente grado di sicurezza nel trattamento dei dati
personali che sia idoneo ad impedire che essi siano distrutti, alterati o peggio sottratti
da terzi non autorizzati.
Il crescente impiego degli strumenti informatici nell’attività forense impone del resto
una maggiore sensibilità verso il problema, poiché l’archiviazione digitale comporta
inevitabilmente, oltre agli indiscussi benefici, una maggiore vulnerabilità delle informazioni.
Benché tali adempimenti possano apparire come l’ennesimo e ulteriore onere per l’attività dell’avvocato, già gravato dai numerosi incombenti che si affiancano all’attività
intellettuale che ne caratterizza l’opera, essi vanno visti in realtà come un’opportunità per tutelare l’attività professionale e per curare nel migliore dei modi gli stessi interessi dei propri clienti.
Con riferimento proprio al cliente, è poi lo stesso Codice Deontologico, prima ancora che il TU sulla privacy, ad imporre la massima riservatezza con riguardo alle informazioni concernenti l’assistito: in quest’ottica la riservatezza dei dati costituisce di
fatto un rafforzamento del preesistente vincolo imposto dalla deontologia forense.
Vorrei anche incoraggiare i Colleghi, osservando come gli adempimenti richiesti dal
TU non siano in realtà di troppo difficile attuazione. Sovente infatti, alcuni modesti
correttivi apportati all’organizzazione del lavoro si rivelano sufficienti perché la maggioranza degli studi legali possano trovarsi in poco tempo ad operare in piena regolarità, assicurando così la giusta tutela ai dati personali dell’assistito.
Attraverso l’illustrazione sintetica e, spero, efficace del novero degli accorgimenti da
adottare, il presente opuscolo si propone di informare il professionista sui contenuti
della normativa presa in esame e di facilitare la verifica della propria situazione e la
predisposizione dei correttivi necessari.
L’Ordine degli Avvocati di Milano, nel promuovere con orgoglio l’informatizzazione
del processo in anticipo sul resto d’Italia, esprime anche l’esigenza che l’attività svolta dagli avvocati si innesti sui binari della sicurezza e dell’efficienza, presupposti
necessari per il continuo progresso dell’avvocatura meneghina.
In tal senso, assicurare la giusta tutela ai dati personali rappresenta un passaggio essen-
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 5
ziale che, sono certo, i Colleghi vorranno realizzare appieno.
È questo il mio auspicio e, nello stesso tempo, è anche l’invito che rivolgo a tutti gli
avvocati del foro di Milano, affinché dedichino qualche tempo alla lettura della presente pubblicazione, pensata con l’unico obiettivo di semplificare l’approccio alla normativa in materia di privacy e il rapporto con i propri assistiti.
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 6
presentazione:
LA PRIVACY COME SICUREZZA DEI DATI
a cura del Prof. Andrea Rossetti*
Recentemente, dopo il caso suscitato dalla pubblicazione del DVD di Enrico Deaglio
“Uccidete la democrazia”, il Viminale ha deciso di sospendere ogni sperimentazione
sulle procedure elettroniche per la raccolta e il conteggio del voto, poiché il voto elettronico sarebbe facilmente "taroccabile". Ha dichiarato Giuliano Amato, Ministro
degli interni: "[...] la firma elettronica può essere truccata e taroccata: rinunciamo
quindi ai benefici dell'evoluzione tecnologica e ci affidiamo al conteggio manuale, che
è meno facile da taroccare". Chi abbia anche solo una superficiale ed occasionale
conoscenza dei meccanismi matematici che sono alla base dei sistemi crittografici di
firma digitale, non può che restare basito: l'information tecnology (IT), se correttamente utilizzata, potrebbe garantire una sicurezza molto maggiore rispetto ad ogni
altro tipo di memorizzazione e di trasmissione delle informazioni sino ad ora inventato nella storia dell'umanità. Anzi, di fatto già oggi, l'IT permette una sicurezza, un
controllo che può diventare inquietantemente pervasivo: pensate di passeggiare tra gli
scaffali di una biblioteca aperta, come quelle che ormai si stanno fortunatamente diffondendo anche qui in Italia, e di sfogliare o leggere prendendo casualmente libri qui
e là, rimettendoli poi accuratamente al loro posto; ebbene, il vostro percorso di lettura non lascerà nessuna traccia che non sia nella vostra memoria. Pensate ora ad una
virtuale, e forse più comoda, passeggiata in una biblioteca elettronica, come ad esempio la Ricerca libri di Google: ogni volume sfogliato, ogni singola pagina da voi consultata lascerà una traccia, potenzialmente indelebile, nei servers della factory di
Mountain View. A questa pervasività si possono opporre contromisure di carattere
tecnologico che, in Italia, hanno anche una statuizione normativa. Negli ultimi dieci
anni, con la progressiva diffusione e maturazione delle IT, il problema della privacy,
o meglio della tutela giuridica delle varie modalità della privacy, è diventato rilevante
agli occhi dei legislatori di tutti i paesi occidentali: è proprio in questa ottica, di sicurezza intesa come controllo, che deve essere letta, interpretata e professionalmente
declinata l'attuale normativa italiana che tutela il diritto al controllo sulle informazioni che necessariamente generiamo nella vita quotidiana.
In molti casi, fino ad ora, questa legge è stata vista come un'inutile fardello che si
aggiunge alla già lunga serie di adempimenti deontologici burocratici, senza portare
nessun reale vantaggio per il professionista. Ed è stata proprio tale mentalità, conseguenza della scarsa alfabetizzazione all'uso dei computer di tutta la società italiana,
uno dei principali problemi alla diffusione di sistemi sicuri di ausilio alle professioni.
Invece, il problema della privacy è un problema normativo quanto lo è quello della
sicurezza delle automobili: è sensato allacciarsi le cinture, controllare il buon funzionamento generale di un'automobile, guidare con prudenza non perché sia previsto
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 7
per legge, ma per essere più sicuri. Allo stesso modo è necessario adottare una serie
misure tecnologiche (ad esempio, installare un antivirus e un firewall) e agire cum
granu salis per rendere sicuro l'uso delle tecnologie dell'informazione. Inoltre, la rigorosa applicazione delle norme e delle regole tecniche, l'utilizzo delle corrette tecnologie descritte e commentate da Filippo Pappalardo e Stefano Ricci in questo opuscolo,
da una parte può garantire al professionista una completa tracciabilità ed opponibilità di ogni sua azione, dall'altra gli consente di declinare correttamente il tradizionale
dovere deontologico alla riservatezza, il "duty of confidentiality", da alcuni considerato costitutivo della figura degli operatori del diritto, garantendo i dati dei suoi assisti
da ogni indebita e illegale consultazione, comunicazione o diffusione. E' da questo
punto di vista, che deve essere letto l’art. 135 del Testo Unico della Privacy che prevede la redazione di un "Codice di deontologia e di buona condotta" per il trattamento dei dati personali effettuato per lo svolgimento delle investigazioni difensive, per
far valere o difendere un diritto in sede giudiziaria. Tale codice dovrà proprio regolare specifici aspetti dell'attività professionale di avvocati e investigatori (ad esempio,
l'informativa, il trattamento dei dati personali tramite sistemi informatici, la loro
conservazione, comunicazione e diffusione ed il conferimento di incarichi a consulenti esterni). Ma già da ora, la collaborazione tra Garante della privacy e Consiglio
Nazionale Forense ha portato, da una parte, al provvedimento del Garante di data 3
giugno 2004, prot. n. 22457, dall'altra, di seguito, ha portato al Vademecum per gli
studi legali proposto dal CNF in data 18 giugno 2004. Da questi due normativamente eterogenei documenti si può derivare un principio costitutivo della prassi professionale: l’avvocato deve rispettare i vari adempimenti per garantire il proprio lavoro e
i propri assistiti tramite la definizione di modalità organizzative semplificate rispetto
a quelle previste dalla norma, ma che non per questo devono essere meno effettive o
meno efficaci.
*Andrea Rossetti è docente di Filosofia del diritto e di Informatica giuridica all'Università di Milano-Bicocca.
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 8
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 9
1.
INTRODUZIONE
L’avvocato adempie agli obblighi di legge in materia di privacy con modalità semplificate ed efficaci.
Premesse alcune definizioni di carattere generale (capitolo 2), illustreremo come
debba avvenire:
1) l’individuazione del titolare, dei responsabili e degli incaricati dei trattamenti che
si svolgono all’interno dello Studio legale (capitolo 3);
2) la corretta acquisizione dei dati dei propri clienti (capitolo 4);
3) l’adozione delle misure di sicurezza volte a tutelare le banche dati, cartacee ed
informatiche, dello Studio legale (capitoli 5 e 6).
Occorre sottolineare che la disciplina sulla riservatezza riguarda diritti costituzionalmente garantiti e, pertanto, rispetto a tali adempimenti qualsiasi dichiarazione liberatoria da parte dell’interessato è illegittima, così come qualsivoglia clausola di esonero di responsabilità1.
Le regole da seguire sono state puntualizzate dal Garante e dal Consiglio Nazionale
Forense in vari provvedimenti, tra i quali segnaliamo: il parere del Garante del 3 giugno 2004, prot. n. 22457 (“Adempimenti degli avvocati in materia di privacy”), i
provvedimenti del Garante del 22 marzo 2004 (“Obblighi di sicurezza e documento
programmatico”), del 31 marzo 2004 (“Casi da sottrarre all’obbligo di notificazione”), del 23 e 26 aprile 2004 (“Chiarimenti sui trattamenti da notificare”), la Guida
operativa per redigere il Documento Programmatico sulla Sicurezza dell’11 giugno
2004 ed, infine, il Vademecum per gli studi legali proposto dal Consiglio Nazionale
Forense in data 18 giugno 20042.
Il principio di semplificazione si declina in una serie di esenzioni in materia di:
1) informativa (solo) se i dati personali vengono raccolti presso terzi, vale a dire non
presso l’interessato (art. 13, comma 4 e 5, del Codice);
2) consenso in caso di dati personali comuni (art. 24, comma 1, lett. f, del Codice),
sensibili e ultrasensibili (art. 26, comma 4, lett. c, del Codice);
3) trasferimenti consentiti in Paesi Terzi (art. 43, comma 1, lett. e, del Codice);
4) autorizzazioni, con riferimento alle autorizzazioni generali rilasciate dal Garante
per il trattamento dei dati sensibili, ultrasensibili e giudiziari;
5) esercizio dei diritti dell’interessato quando possa derivarne pregiudizio effettivo e
concreto per le investigazioni difensive o per l’esercizio di un diritto (art. 8, comma
2, lett. e, del Codice).
Tali esenzioni riguardano strettamente l’attività forense poiché derivano dal bilanciamento, operato dal Legislatore, tra diritto di difesa e diritto alla riservatezza dell’inteConsiglio Nazionale Forense, Vademecum dello Studio Legale, 18 giugno 2004.
Tutti i testi normativi, i provvedimenti e i pareri del Garante utili agli avvocati sono disponibili sul sito
www.infogiure.it sezione “Privacy per gli studi legali”.
1
2
1
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 10
ressato; pertanto operano:
1) durante lo svolgimento di un giudizio già instaurato;
2) nella fase precedente all’instaurazione del giudizio solo laddove l’attività sia funzionale a verificare l’esistenza di un diritto da tutelare o l’eventualità di una utile difesa
in sede giudiziaria;
3) in sede di arbitrato rituale ed irrituale3;
4) in fase di investigazioni difensive, antecedenti o concomitanti ad un giudizio, per
il tempo strettamente necessario allo svolgimento dell’incarico ricevuto e per le esclusive finalità di giustizia;
5) in particolari fasi in cui il diritto viene tutelato in sede amministrativa, o in procedure di arbitrato o di conciliazione previste dalla normativa comunitaria, da leggi, da
regolamenti o da contratti collettivi4.
Regole diverse, invece, si applicano nell’esercizio dell’attività stragiudiziale, dove,
secondo il Garante, non sono invocabili le suddette esenzioni previste dal Codice per
gli obblighi di informativa in tema di dati raccolti presso terzi (art. 13, comma 5) e
di consenso (artt. 24, comma 1, lett. f e 26, comma 4, lett. c)5. Eppure sia nell’attività giudiziale che nell’attività stragiudiziale (consulenza, redazione di atti stragiudiziali, trattative ecc.) l’avvocato opera pur sempre al fine di tutelare i diritti del proprio
cliente, sicché sarebbe stato ragionevole attendersi identica regolamentazione.
E’ bene ricordare che la modulistica utile può essere reperita nella sezione privacy ai
seguenti indirizzi:
i) http://www.consiglionazionaleforense.it/
ii) http://www.ordineavvocatimilano.it/html/index.html.
3
4
5
Garante per la protezione dei dati personali, provvedimento 19 febbraio 2002.
Garante per la protezione dei dati personali, provvedimento 3 giugno 2004.
Garante per la protezione dei dati personali, provvedimento 3 giugno 2004.
2
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 11
2.
NOZIONI FONDAMENTALI
IN MATERIA DI PRIVACY NELL’AMBITO
DELLA PROFESSIONE FORENSE
Occorre dunque delineare i principali concetti in materia di privacy.
Il titolare del trattamento è il soggetto cui competono, anche unitamente ad altro
titolare, le decisioni riguardanti:
i) le finalità e le modalità di trattamento dei dati personali;
ii) gli strumenti utilizzati;
iii) la sicurezza degli archivi cartacei ed informatici6.
L’interessato è la persona fisica o giuridica cui si riferiscono i dati personali.
Nell’esercizio della professione forense gli interessati non sono solo i clienti, ma anche
il personale amministrativo, i collaboratori, i praticanti, i fornitori ed in generale tutti
i soggetti i cui dati vengono trattati dal professionista nello svolgimento della propria
attività.
Nell’esercizio della professione, dunque, l’avvocato compie una serie di operazioni
coordinate su dati personali di varie categorie di interessati e tali operazioni, compiute con o senza l’ausilio di strumenti elettronici, sono comprese nell’amplissima definizione di trattamento (art. 4, lett. a, del Codice): “qualunque operazione o complesso
di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il
blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se
non registrati in una banca di dati”. Il Codice fornisce la definizione della comunicazione e della diffusione dei dati personali: per comunicazione si intende il dare conoscenza di tali dati “a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”; mentre per
diffusione si intende il darne conoscenza a soggetti indeterminati (art. 4, lett. l e m,
del Codice).
La comunicazione e la diffusione sono vietati, ex art. 25 del Codice, in caso di:
a) divieto disposto dal Garante o dall’autorità giudiziaria;
b) in riferimento a dati personali dei quali è stata ordinata la cancellazione;
c) quando è decorso il periodo di tempo necessario agli scopi per i quali i dati sono
stati raccolti;
d) per finalità diverse da quelle indicate nella notificazione del trattamento, se prescritta.
I dati personali debbono comunque essere comunicati (art. 25, comma 2, del Codice)
6
Garante per la protezione dei dati personali, provvedimento 3 giugno 2004.
3
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 12
su richiesta delle forze di polizia, dell’autorità giudiziaria e di altri organismi pubblici di informazione e sicurezza per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.
I trattamenti disciplinati dal Codice riguardano i dati personali, ossia quelle informazioni relative a persone fisiche o giuridiche, identificate o identificabili (anche indirettamente) mediante riferimento a qualsiasi altra informazione. Il concetto di dato
personale comprende dunque qualsiasi informazione riconducibile ad una persona
fisica o giuridica; sono esclusi dall’ambito applicativo del Codice i dati anonimi, ossia
quei dati che, sin dall’origine o a seguito di trattamento, non possono essere associati ad un soggetto (art. 4, lett. n, del Codice).
Al genus dati personali appartengono:
1) i dati identificativi;
2) i dati sensibili;
3) i dati giudiziari;
4) i dati, diversi da quelli sensibili e giudiziari, che presentano specifici rischi per i
diritti, la libertà e la dignità dell’interessato7.
I dati personali che non rientrano in nessuna di queste categorie vengono definiti dati
personali cd. comuni.
I dati identificativi sono dati personali che consentono l’identificazione diretta
(nome, cognome, codice fiscale ecc.) dell’interessato.
Alcune informazioni trattate dall’avvocato sono dati sensibili, ossia dati personali
idonei a rivelare:
1) l’origine razziale ed etnica dell’interessato,
2) le sue convinzioni religiose, filosofiche o di altro genere,
3) le sue opinioni politiche,
4) l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso,
filosofico, politico o sindacale,
5) il suo stato di salute e la sua vita sessuale.
I dati idonei a rilevare lo stato di salute e la vita sessuale rappresentano un sottoinsieme dell’insieme dati sensibili (cd. dati ultrasensibili, poiché godono di particolare
protezione).
L’avvocato (specie il penalista) tratta poi dati giudiziari, ossia dati personali idonei a
rivelare:
1) provvedimenti iscritti nel casellario giudiziale (d.P.R. 14 novembre 2002, n. 313:
art. 3, lettere da “a” ad “o” e da “r” ad “u”);
2) provvedimenti in materia di anagrafe delle sanzioni amministrative dipendenti da
reato;
3) i relativi carichi pendenti e la qualità di indagato o imputato in un procedimento
penale.
L’art. 17 del Codice è dedicato ai trattamenti che presentano rischi specifici, riferiti a dati diversi da quelli sensibili e
giudiziari, il cui uso presenta particolari rischi per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare.
7
4
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 13
Non si devono confondere dati giudiziari e dati trattati in ambito giudiziario (artt.
46, 47, 48 e 49 del capo I del titolo I del Codice). I dati trattati in ambito giudiziario, infatti, sono quei dati che gli uffici giudiziari di ogni ordine e grado, il Consiglio
Superiore della Magistratura (e gli altri organi di autogoverno) e il Ministero della
Giustizia trattano relativamente alle competenze loro assegnate in forza di legge o di
regolamento. Il legislatore, dunque, non ha tenuto conto del ministero del difensore
tra le attività svolte in ambito giudiziario per ragioni di giustizia, riservando alla professione forense altro titolo del Codice (il titolo XI) dedicato a “Libere professioni e
investigazione privata”.
I dati personali vengono raccolti in banche dati, cartacee o informatiche, che devono
consentire l’accesso esclusivamente ai soggetti autorizzati (cd. accesso selezionato).
Il dato riservato e sicuro viene utilizzato dall’avvocato per il tempo strettamente
necessario a svolgere il proprio incarico: alla cessazione del trattamento l’avvocato
deve (art. 16 Codice):
a) distruggere i dati;
b) cederli ad altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti;
c) conservarli per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione;
d) conservarli o cederli ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta.
Ogni forma di cessione in violazione delle disposizioni in materia di trattamento è
priva di effetto.
Queste regole devono essere coordinate con gli obblighi di conservazione della documentazione derivanti dal contratto di mandato e dagli obblighi fiscali: è possibile
affermare che il dato riservato e sicuro viene utilizzato per il periodo strettamente
necessario a svolgere il proprio incarico ma può essere conservato in ossequio ad altri
obblighi che gravano sul professionista. La cessazione, dunque, implica l'inutilizzabilità di questi dati senza escludere la loro legittima conservazione in osservanza ad altri
obblighi di legge (ad es. in materia fiscale) comunque per il tempo minimo necessario in ossequio al principio sancito dall'art. 3 del Codice.
L’ordito normativo sopra esposto prevede infine un triplice profilo sanzionatorio
(civile, amministrativo e penale): l’inosservanza delle norme del Codice espone il titolare a responsabilità civile per danno, anche non patrimoniale, qualora, davanti al
giudice ordinario, non si dia prova di aver adottato tutte le misure idonee ad evitarlo
(artt. 15 e 152 del Codice); i riquadri alla fine dei singoli paragrafi segnalano infine
le sanzioni, amministrative o penali, conseguenti alla violazione di specifiche disposizioni di legge.
5
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 14
SANZIONI
D: Quali sanzioni sono previste per la violazione delle disposizioni in materia di
trattamento dei dati personali?
R: L’art. 162 del Codice prevede un illecito amministrativo, punibile pertanto anche a
titolo di colpa, per il caso di cessione dei dati in violazione di quanto previsto dall’art.
16, comma 1, lettera b, del Codice o di altre disposizioni in materia di disciplina del
trattamento dei dati personali.
La sanzione comporta il pagamento di una somma da cinquemila a trentamila euro.
L’art. 167, comma 2, prevede invece un delitto, punibile quindi solo se commesso con
dolo, in caso di violazione dell’art. 25 (comunicazione e diffusione), 26 (trattamento
di dati sensibili), 27 (trattamento di dati giudiziari) e 45 (trasferimenti dati all’estero).
L’ipotesi criminosa prevede inoltre:
i) il dolo specifico, ossia l’intenzione di volere procurare, a sé o ad altri, un profitto
oppure di recare un danno;
ii) il verificarsi di un nocumento (quale condizione obiettiva di punibilità) per il soggetto cui si riferiscono i dati: si tratta di un evento dannoso (cd. vulnus) direttamente ed
immediatamente collegabile all’interessato.
La sanzione importa la reclusione da uno a tre anni.
6
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 15
3.
SOGGETTI COINVOLTI E ANALISI DEL
FLUSSO DELLE INFORMAZIONI
3.1 Soggetti coinvolti
In materia di trattamento di dati personali, nello Studio legale si devono distinguere
tre categorie di soggetti:
- il titolare del trattamento: vale a dire il soggetto al quale competono le scelte circa i
trattamenti dei dati personali;
- il responsabile del trattamento (figura eventuale): si tratta del soggetto designato dal
titolare e preposto a verificare il corretto adempimento della normativa;
- l’incaricato del trattamento: è il soggetto autorizzato dal titolare a compiere operazioni di trattamento sui dati personali (ad esempio la segretaria, il praticante, il collaboratore ecc.8).
Il Garante fornisce alcune indicazioni riguardo l’individuazione del titolare.
1. Quando l'attività professionale è prestata individualmente, il titolare del trattamento è il singolo avvocato.
2. Se l’attività è svolta congiuntamente da due o più professionisti, questi devono
considerarsi contitolari del medesimo trattamento.
3. Se l'attività è svolta in forma societaria (da un’associazione professionale o da una
società tra avvocati), il titolare è l’entità nel suo complesso, ovvero l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e
sulle modalità del trattamento.
Gli adempimenti previsti dal Codice vanno attuati in termini unitari, evitando, se
possibile, la loro frammentazione o ripetizione a cura dei singoli professionisti9.
Il titolare del trattamento ha la facoltà di designare uno o più responsabili10. Occorre
precisare che il responsabile:
1) è scelto tra soggetti esperti che forniscano idonea garanzia11 del pieno rispetto delle
disposizioni in materia di privacy, compreso il profilo relativo alla sicurezza (deve,
cioè, coadiuvare il titolare, dal punto di vista pratico-operativo, nella corretta gestione dei dati);
2) può essere sia una persona fisica sia una persona giuridica (a differenza dell’incaricato che è sempre e solo una persona fisica);
3) può trattarsi anche di un soggetto esterno il quale svolga prestazioni strumentali e
subordinate alle scelte del titolare del trattamento12 (potrà essere la società che, nello
Consiglio Nazionale Forense, Vademecum dello Studio Legale, 18 giugno 2004.
Garante per la protezione dei dati personali, provvedimento 3 giugno 2004.
Una pluralità di responsabili si giustifica essenzialmente in caso di realtà organizzative complesse.
11 E’ quindi configurabile una eventuale culpa in eligendo in capo al titolare.
8
9
10
7
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 16
Studio, si occupa della consulenza informatica).
La sua designazione avviene attraverso una lettera di nomina che indica in modo analitico i compiti assegnati. Il titolare, nominando più responsabili, può suddividere le
relative incombenze; resta fermo, in ogni caso, il dovere di vigilare sull’operato del (o
dei) responsabile(i). Il Codice prevede anche una figura tipica di responsabile: il titolare può infatti designare un soggetto per fornire riscontro all’interessato (artt. 8, 9, e
10 del Codice) in caso di esercizio dei diritti che il Codice gli riconosce all’articolo 7.
Il titolare del trattamento deve quindi designare per iscritto gli incaricati, ossia le persone fisiche autorizzate dal titolare o dal responsabile ad eseguire operazioni sui dati
personali dei clienti, individuando puntualmente l’ambito di trattamento consentito.
L’atto di designazione da parte del titolare o dell’eventuale responsabile (lettera di
incarico) deve, pertanto, elencare i trattamenti e le attività consentite ai collaboratori del professionista, i quali dovranno attenersi alle istruzioni impartite. Si possono
utilizzare le modalità semplificate previste dall’art. 30, comma 2, del Codice13: nella
redazione delle lettere di incarico, lo Studio legale può essere ripartito in unità organizzative (Segreteria, Avvocati, Praticanti abilitati, Praticanti, Consulenti), fermo
l’obbligo del titolare di individuare puntualmente e per iscritto l’ambito del trattamento consentito agli addetti della singola unità. Resta fermo l’obbligo del titolare o
del responsabile di vigilare sull’operato del soggetto incaricato, verificando sistematicamente (almeno una volta l’anno) l’ambito dei trattamenti consentiti.
Al momento della redazione delle relative lettere, occorre ricordare che il responsabile ha una autonomia decisionale e gestionale di cui l’incaricato non può godere, in
quanto quest’ultimo agisce sempre sotto la diretta autorità del titolare o del responsabile.
In dettaglio, la lettera di nomina o di incarico deve contenere:
- l’individuazione dei dati personali e delle relative banche dati accessibili;
- l’individuazione dei trattamenti autorizzati;
- i limiti all’autonomia decisionale in merito all’organizzazione tecnica, all’attività di
gestione e alle procedure di trattamento dei dati personali;
- il richiamo alle responsabilità in ordine alle misure di sicurezza da applicare e alle
altre responsabilità giuridiche originate dai trattamenti di dati personali.
3.2 Analisi del flusso delle informazioni
Le informazioni devono essere trattate soltanto da soggetti autorizzati dal titolare, sia
nel caso in cui il trattamento si svolga all’interno della struttura, sia quando il professionista si rivolga, per sue esigenze organizzative, all’esterno.
Per quanto riguarda le attività che si svolgono all’interno della struttura, l’avvocato
potrà dunque designare quali responsabili o incaricati del trattamento i sostituti, gli
ausiliari, i tirocinanti e i praticanti che cooperano con lui. Conseguentemente, tali
12
13
Garante per la protezione dei dati personali, provvedimento 3 giugno 2004.
Garante per la protezione dei dati personali, provvedimento 3 giugno 2004.
8
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 17
soggetti potranno accedere ai soli dati pertinenti alla collaborazione richiesta e secondo le indicazioni presenti nella lettera di incarico. A tal riguardo, occorre rammentare che
1) il responsabile può essere scelto solo tra soggetti in grado di garantire il corretto
adempimento di tutti gli obblighi di legge;
2) gli incaricati devono essere designati dal titolare, compresi coloro che, nello Studio,
sono preposti a svolgere compiti amministrativi o mansioni meramente strumentali
che importino comunque accesso ai dati personali.
Per quanto riguarda le attività affidate all’esterno della struttura (si pensi, ad esempio,
al commercialista o ad un consulente esterno), l’avvocato deve delineare, nella lettera
di nomina o di incarico, i dati utilizzabili e i trattamenti consentiti.
Il soggetto che compie queste attività può essere:
1) considerato titolare autonomo di trattamento ma, in tal caso, è tenuto ad adempiere ai normali obblighi di legge (per quanto riguarda, ad esempio, l’informativa ed
il consenso e salve eventuali esenzioni);
2) designato quale responsabile (in outsourcing);
3) nominato incaricato (ma solo se è una persona fisica) di trattamento.
In ogni caso, è opportuno che l’avvocato ottenga una dichiarazione di impegno al
rispetto della normativa e delle misure minime di sicurezza perché il professionista,
acquisiti i dati personali, deve sempre garantire un livello uniforme di protezione
delle informazioni trattate.
9
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 18
F.A.Q. – Soggetti coinvolti
D: Il soggetto Responsabile della procedura di backup non ottempera a quanto prescritto nella lettera di nomina e, di fatto, non è in grado di ripristinare il sistema
entro sette giorni come richiesto dalla normativa. Il Titolare dello Studio è comunque considerato solidalmente responsabile con il Responsabile inadempiente nei
confronti del terzo interessato?
R: Sì, il Titolare è tenuto ad effettuare verifiche periodiche sulla puntuale osservanza delle
istruzioni impartite al Responsabile del trattamento.
D: Quando devono essere rinnovate le lettere d’incarico?
R: Le lettera d’incarico, oltre alle istruzioni impartite dal Titolare all’incaricato, riporta i dati
dell’incaricato stesso e il suo profilo di autorizzazione (ovvero a quali archivi o banche dati
può avere accesso e con quali eventuali limitazioni). Il profilo di autorizzazione assegnato deve essere periodicamente verificato (almeno una volta all’anno); ne consegue che
la lettera d’incarico deve essere rinnovata almeno una volta l’anno.
D: E’ necessario formare gli incaricati? Chi deve compiere tale attività e quando?
R: Sì, gli incaricati devono ricevere adeguata formazione riguardo:
Normativa in generale (D. Lgs. 196/2003 – “Codice”);
Sicurezza interna (misure minime di sicurezza adottate dal titolare);
Responsabilità e sanzioni.
La formazione può essere gestita dal Titolare stesso o da un esperto esterno che sia
ragionevolmente in grado di far riferimento alle misure di sicurezza adottate all’interno della
struttura.
La formazione deve essere prevista:
In occasione della prima adozione del D.P.S. (riferimento: tutti gli incaricati);
In occasione di cambiamenti di mansioni (ipotesi remota per uno studio legale);
In occasione di un significativo aggiornamento degli strumenti utilizzati.
D: Non ho ricevuto dal soggetto esterno al quale ho affidato dei dati dei miei clienti (es. commercialista) la dichiarazione di impegno al rispetto della normativa e
delle misure minime di sicurezza. Cosa devo fare?
R: Non posso fornire i dati del cliente al soggetto esterno in quanto non ho avuto la possibilità di verificare che esso sia adempiente alla normativa. Il Titolare che adotta le misure di sicurezza previste dal Codice deve garantire il medesimo livello di protezione del
dato lecitamente acquisito dal cliente in qualsiasi tipo di attività e trattamento, compresa
a maggior ragione quella svolta all’esterno della struttura.
SANZIONI
D: Che cosa si intende per organigramma in materia di privacy? E’ obbligatorio adottarlo?
R: Il Documento Programmatico sulla Sicurezza deve individuare puntualmente l’organigramma dello Studio. La responsabilità, in caso di inadempienza, deriva dall’art. 169,
dedicato alla misure minime di sicurezza (tra cui il DPS), che prevede una contravvenzione, ossia un reato, per chiunque, essendovi tenuto, omette di adottare le misure minime
previste dal Codice.
La sanzione importa l’arresto sino a due anni o l'ammenda da diecimila a cinquantamila
euro.
In caso di contestazione, il legislatore ha previsto un meccanismo di tipo oblativo: all'autore del reato, all’atto dell'accertamento o, nei casi complessi, anche con successivo atto
del Garante, è assegnato un termine per la regolarizzazione. Nei sessanta giorni successivi allo scadere del termine, se risulta detta regolarizzazione, l’autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita
per la contravvenzione.
L’adempimento e il pagamento estinguono il reato.
10
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 19
4.
ACQUISIZIONE CORRETTA E
TRATTAMENTO LECITO DEL DATO
Il trattamento dei dati personali (dei clienti, ma non solo) è lecito (art. 11 del Codice)
quando viene effettuato:
i) secondo correttezza;
ii) per scopi determinati, espliciti e legittimi;
iii) per operazioni di trattamento in termini compatibili con tali scopi;
iv) esattamente e, se necessario, aggiornando i dati;
v) in modo pertinente, completo e non eccedente rispetto ai suddetti scopi;
vi) in modo da consentire l’identificazione dell’interessato per un periodo di tempo
non superiore a quello necessario al raggiungimento delle finalità del trattamento.
In sintesi: le informazioni utilizzate devono essere pertinenti e non eccedenti rispetto
alle finalità determinate, esplicite e legittime per le quali sono raccolte o successivamente trattate.
Il trattamento deve svolgersi secondo correttezza, ossia previa informativa che deve
essere rilasciata, lo ricordiamo, al cliente e a tutti gli altri interessati (vedi paragrafo
4.1).
Nella maggior parte dei casi, non è necessario richiedere il consenso al trattamento
(vedi paragrafo 4.2).
L’avvocato è autorizzato (vedi paragrafo 4.3) dal Garante in via generale (aut. n.
4/2005) a trattare dati sensibili, ultrasensibili (aut. n. 4/2005 e 2/2005) e giudiziari
(aut. n. 4/2005 e 7/2005), anche dei propri collaboratori (aut. n. 1/2005). Le autorizzazioni generali prevedono una disciplina omogenea per categorie di titolari o per
gruppi di trattamenti senza richiedere la specifica autorizzazione del Garante.
Non vi sono obblighi di notificazione nei confronti del Garante, salve le ipotesi previste dall’art. 37, comma 1, del Codice (vedi paragrafo 4.4) che non riguardano,
comunque, la normale attività dell’avvocato.
L’informativa e il consenso (nei soli casi in cui è richiesto) non possono dedursi dalla
formula con cui il cliente conferisce il mandato al difensore. E’ necessario invece sottoporre al cliente una specifica informativa: è opportuno quindi che il cliente sottoscriva due documenti:
i) informativa per presa visione (e consenso nei soli casi in cui è richiesto);
ii) mandato14.
Nei successivi paragrafi analizzeremo nel dettaglio i temi dell’informativa, del consenso, delle autorizzazioni e delle notificazioni. Gli ultimi due paragrafi sono dedicati
agli obblighi in materia di antiriciclaggio e al regime della pubblicità delle sentenze.
14
Consiglio Nazionale Forense, Vademecum per lo Studio legale, 18 giugno 2004.
11
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 20
4.1 L’informativa
4.1.1 Informativa da rendere al cliente
L’avvocato ha la facoltà di scegliere la forma dell’informativa, che può essere
i) scritta o orale,
ii) fornita anche in modo sintetico o colloquiale.
Il Codice lascia al professionista ampia libertà anche se, per evidenti profili probatori, è opportuno15 predisporre un modello e raccogliere la firma del cliente per la presa
visione.
L’informativa deve precedere la raccolta dei dati: nel primo contatto con l’interessato l’avvocato deve rendere l’informativa e tale obbligo riguarda anche il caso di raccolta di dati attraverso l’ascolto, la registrazione o l’intercettazione di conversazioni16.
L’informativa deve essere completa: ossia deve farsi menzione degli elementi contenuti nell’art. 13 del Codice, anche se è possibile non indicare quegli elementi già noti
alla persona che fornisce i dati (art. 13, comma 2, del Codice). Gli elementi della corretta informativa, pertanto, sono:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere (per l’avvocato, l’impossibilità
di svolgere l’incarico ricevuto);
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che, comunque, possono venire a conoscenza di tali informazioni in qualità di
responsabili o incaricati, e l’ambito di diffusione dei dati medesimi (per l’avvocato, il
riferimento può essere a tutte le categorie, o solo alcune, di incaricati del proprio
Studio);
e) i diritti di cui all'articolo 7 (vedi infra);
f ) gli estremi identificativi del titolare e, se designato, del (o dei) responsabile(i). E’
importante che il cliente possa agevolmente individuare il titolare del trattamento e
gli altri soggetti cui riferirsi: l’informativa deve indicare, senza lacune o ambiguità, il
titolare del trattamento, sia esso un singolo professionista, più professionisti contitolari del trattamento, un’associazione di professionisti o un gruppo di avvocati che
esercitano la professione in forma societaria, nonché gli altri soggetti cui l’interessato
può rivolgersi per avere riscontro sui trattamenti effettuati. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, specificando il sito della rete di
comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l’elenco aggiornato dei responsabili.
L’articolo 7 del Codice fornisce un elenco di ulteriori diritti dell’interessato: in particolare, il diritto di ottenere:
Consiglio Nazionale Forense, Vademecum per lo Studio legale, 18 giugno 2004.
Garante per la protezione dei dati personali, provvedimento 3 giugno 2004; cfr. Garante per la protezione dei dati
personali, provvedimento 19 febbraio 2002.
15
16
12
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 21
1) la conferma dell’esistenza o meno di dati personali che lo riguardano, nonché la
loro comunicazione;
2) l’indicazione dell’origine dei dati personali e della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
3) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei
dati;
4) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in
violazione di legge;
5) l’attestazione che le operazioni sub 3 e 4 sono state portate a conoscenza di coloro
ai quali i dati sono stati comunicati o diffusi, salvo il caso in cui tale adempimento si
riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato
rispetto al diritto tutelato.
L’interessato ha poi diritto di opporsi, per motivi legittimi, al trattamento dei dati
personali che lo riguardano.
Il Consiglio Nazionale Forense ha confermato la liceità di informative rese a mezzo di
avvisi esposti in luoghi visibili e accessibili al cliente. Tuttavia, in questo caso, non si
acquisisce la prova certa dell’avvenuta informativa17.
4.1.2 Informativa da rendere a terzi
La disciplina è in parte diversa quando i dati personali trattati riguardano persone
diverse dal cliente.
Gli avvocati non devono rilasciare l’informativa a terzi: se l’attività è rivolta a far
valere o difendere un diritto in sede giudiziaria non è necessario informare il soggetto terzo del trattamento dei suoi dati. In base ai principi generali, l’esenzione si estende all’attività preparatoria che precede quella difensiva per il tempo strettamente
necessario a svolgere l’incarico affidato.
Così, l’informativa si renderà necessaria solo in due casi:
1) se i dati sono trattati per un periodo superiore a quello strettamente necessario per
l’adempimento dell’incarico;
2) se i dati sono trattati per altre finalità (comunque non incompatibili18) rispetto a
quelle che giustificano l’esenzione.
E’ controverso, come detto, che l’esonero possa riguardare anche l’attività stragiudiziale. Il Garante lo ha escluso, mentre il Consiglio Nazionale Forense ha rilevato che
l’esenzione è dovuta al bilanciamento tra diritto alla riservatezza e diritto di difesa e
assistenza: non pare giustificabile, sotto il profilo della tutela dei diritti dell’interessato19, una diversa disciplina tra attività giudiziale e attività stragiudiziale.
17
18
19
Consiglio Nazionale Forense, Vademecum per lo Studio legale, 18 giugno 2004.
Garante per la protezione dei dati personali, provvedimento 3 giugno 2004.
Consiglio Nazionale Forense, Vademecum per lo Studio legale, 18 giugno 2004.
13
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 22
F.A.Q. – Informativa
D: Predisposizione e rilascio dell’informativa, come mi devo comportare?
R: Devo predisporre un documento contenente le informazioni descritte dall’art. 13 del
Codice o servirmi di un modello già predisposto (facendo attenzione, in questo caso, a
verificare e adeguare i vari punti alla mia struttura). Devo rilasciare tale documento
all’interessato (cliente) in forma orale o scritta (preferibile per fini probatori) una volta
acquisiti i dati (l’operazione non deve essere ripetuta per ogni pratica).
D: E’ possibile far riferimento nell’informativa anche alla normativa anti-riciclaggio?
R: Sì, nella sezione dedicata alla descrizione delle modalità di trattamento e finalità degli
scopi.
SANZIONI
D: Che sanzioni sono previste nel caso in cui non renda l’informativa al cliente?
R: L’art. 161 del Codice prevede un illecito amministrativo per omessa o inidonea
informativa all’interessato.
La sanzione importa il pagamento di una somma da tremila a diciottomila euro o, nei
casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ai sensi
dell'articolo 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila a trentamila euro.
Il trattamento sanzionatorio può essere ulteriormente aggravato (aumento sino al triplo)
in ragione delle condizioni economiche del contravventore.
4.2 Il consenso
4.2.1 Dati personali comuni
Il consenso del cliente al trattamento dei dati non è richiesto se si tratta di dati comuni (art. 24, comma 1, lett. f, del Codice) quando, con esclusione della diffusione dei
dati, il trattamento è necessario ai fini dello svolgimento delle investigazioni difensive o, comunque, per far valere o difendere un diritto in sede giudiziaria. In tal caso,
non è necessario nemmeno richiedere il consenso del terzo-interessato.
I dati devono essere trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.
L’avvocato, in ogni caso, non deve richiedere il consenso dell’interessato quando il
trattamento risulti necessario per adempiere agli obblighi del contratto di prestazione
d’opera (art. 24, comma 1, lett. b, del Codice).
Se non ricorrono queste finalità, il consenso è necessario, salvo che l’avvocato, per
quanto concerne i dati personali comuni, possa far valere altre esenzioni (art. 24 del
Codice), ossia quando i dati trattati sono:
- dati “pubblici”,
- informazioni relative ad attività economiche,
- dati raccolti in adempimento di un obbligo di legge.
14
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 23
Per informazioni relative ad attività economiche si intendono, ad esempio, la ragione
sociale, l’indirizzo, la partita IVA, il codice fiscale, la categoria merceologica e tutti i
dati volti ad identificare un operatore commerciale.
4.2.2 Dati sensibili
Non vi sono particolari differenze rispetto al regime dei dati personali comuni.
Se i dati sono sensibili, il consenso (che andrebbe manifestato per iscritto) non è
richiesto quando il trattamento è necessario per svolgere indagini difensive o, comunque, per far valere o difendere un diritto in sede giudiziaria (art. 26, comma 4, lett.
c, Codice). Il trattamento può riguardare i dati sensibili relativi ai clienti, ma anche i
dati di terzi-interessati qualora sia strettamente necessario ed indispensabile per eseguire specifiche prestazioni professionali richieste dai clienti per scopi determinati e
legittimi.
Anche in tal caso, i dati devono essere trattati esclusivamente per tali finalità e per il
periodo strettamente necessario al loro perseguimento. I dati devono essere pertinenti e non eccedenti rispetto agli incarichi conferiti.
L’avvocato non deve richiedere al Garante l’autorizzazione a tal tipo di trattamenti,
ma dovrà far riferimento all’autorizzazione generale n. 4 del 2005 (cfr. infra paragrafo 4.3).
4.2.3 Dati ultrasensibili: il principio del pari rango
L’avvocato deve richiedere il consenso all’interessato (che dovrebbe essere manifestato in forma scritta) per il trattamento dei dati sensibili idonei a rivelare lo stato di
salute e la vita sessuale (cd. dati ultrasensibili), con l’eccezione del caso in cui il diritto da far valere o da difendere in giudizio sia di rango pari a quello dell’interessato
(principio del pari rango).
Il diritto è di pari rango quando si tratta di diritto della personalità o di altro diritto
o libertà fondamentale ed inviolabile (art. 26, comma 4, lett. c, del Codice).
Ne discende una possibile tensione tra attività difensiva, protetta dall’art. 24 della
Costituzione, e tutela della privacy.
Infatti, il Garante, in un parere reso il 9 luglio 2003, ha sostenuto che, nel valutare il
criterio del pari rango, il parametro di riferimento non è il generico diritto di azione
e di difesa (pure costituzionalmente garantito) quanto il diritto sottostante che si
intende far valere. In tal caso è evidente che un diritto a contenuto patrimoniale, ad
esempio azionato al fine di ottenere il risarcimento dei danni subiti, non sarebbe di
rango pari a quello dell’interessato.
Il Consiglio Nazionale Forense ha però evidenziato che taluni Tribunali (Tribunale di
Bari, sentenza 12 luglio 2000, in Foro it., 2000, I, 2989) ritengono il diritto alla
prova, espressione immediata del diritto costituzionale d’azione, di rango quanto
meno pari, se non superiore, a quello alla riservatezza degli interessati.
15
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 24
E’ evidente che sia necessario, nei codici deontologici e di buona condotta previsti
dall’art. 135 del Codice, risolvere definitivamente tale questione.
4.2.4 Dati giudiziari
I dati giudiziari sono trattati in forza di autorizzazione n. 4 e 7 del 2005, senza necessità di richiedere il consenso dell’interessato (art. 27 del Codice).
Analogamente a quanto scritto sopra, i dati giudiziari relativi a terzi-interessati possono essere trattati quando ciò sia strettamente indispensabile per eseguire specifiche
prestazioni professionali richieste dai clienti per scopi determinati e legittimi20 e per il
tempo necessario.
4.2.5 Attività stragiudizialE
Abbiamo visto che l’esonero deve estendersi ad ogni attività preparatoria della difesa
giudiziale ma il Garante ha escluso che tale esonero riguardi anche l’attività stragiudiziale.
Pertanto, l’avvocato:
1) deve rendere l’informativa sia all’interessato-cliente sia all’interessato-terzo;
2) in tema di dati comuni, non è necessario che l’interessato-cliente presti il consenso in forza dell’esenzione prevista dall’art. 24, comma 1, lett. b del Codice ma, quando l’interessato è un soggetto terzo, egli deve prestare il consenso salvo che sia possibile invocare altre esenzioni specifiche, ad esempio si tratti di:
- dati pubblici;
- informazioni relative ad attività economiche;
- dati raccolti nell’adempimento di un obbligo di legge.
In tema di dati sensibili e ultrasensibili, è necessario richiedere il consenso scritto dell’interessato e rispettare le autorizzazioni generali n. 4 e 2.
In tema di dati giudiziari, è necessario rispettare l’autorizzazione generale n. 7.
4.3 Le autorizzazioni generali
L’avvocato non è tenuto a presentare richiesta di autorizzazione al Garante, purché
i trattamenti siano conformi alle prescrizioni contenute nell’autorizzazione generale
riguardante i liberi professionisti: l’ultima autorizzazione generale al trattamento dei
dati sensibili e giudiziari ha efficacia sino al 30 giugno 2007 (ma le autorizzazioni
generali vengono rilasciate, più o meno con regolarità, di anno in anno).
Dette prescrizioni impongono:
1) di ridurre al minimo l’uso di dati sensibili, ultrasensibili e giudiziari;
2) di controllare sempre la stretta pertinenza, non eccedenza e indispensabilità dei
20
Garante per la protezione dei dati personali, provvedimento 3 giugno 2004.
16
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 25
dati rispetto agli incarichi in corso;
3) di conservare tali dati per il periodo di tempo strettamente necessario ad adempiere il proprio mandato, salvi gli altri obblighi derivanti dalla legge (comunitaria o
nazionale) o dai regolamenti.
L’autorizzazione al trattamento di dati sensibili si estende:
1) ai liberi professionisti tenuti ad iscriversi in albi o elenchi per l’esercizio di un’attività professionale, tra cui i soggetti iscritti nei corrispondenti albi o elenchi speciali
istituiti anche ai sensi dell'art. 34 del regio decreto-legge 27 novembre 1933, n. 1578
e successive modificazioni e integrazioni, recante l'ordinamento della professione di
avvocato;
2) ai collaboratori dell’avvocato:
i) ai sostituti e agli ausiliari che operano sotto la direzione e responsabilità dell’avvocato;
ii) ai praticanti e ai tirocinanti presso il libero professionista, qualora tali soggetti
siano titolari di un autonomo trattamento o siano contitolari del trattamento;
iii) all’avvocato che esercita la professione in forma individuale o in forma associata.
Il trattamento può riguardare i dati sensibili non solo dei clienti ma anche di soggetti terzi:
1) ove ciò sia strettamente indispensabile;
2) per l’esecuzione di specifiche prestazioni professionali richieste dai clienti;
3) per scopi determinati e legittimi.
Quanto alle finalità, i dati sensibili possono essere utilizzati solo se ciò risulti indispensabile, in particolare:
a) per curare gli adempimenti in materia di lavoro, di previdenza ed assistenza sociale e fiscale nell'interesse di altri soggetti che sono parte di un rapporto di lavoro
dipendente o autonomo, ai sensi della legge 11 gennaio 1979, n. 12, che disciplina la
professione di consulente del lavoro;
b) ai fini dello svolgimento da parte del difensore delle investigazioni difensive di cui
alla legge 7 dicembre 2000, n. 397, anche a mezzo di sostituti e di consulenti tecnici, o, comunque, per far valere o difendere un diritto anche da parte di un terzo in
sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di
conciliazione nei casi previsti dalla normativa comunitaria, dalle leggi, dai regolamenti o dai contratti collettivi.
c) per l’esercizio del diritto di accesso ai documenti amministrativi, nei limiti di
quanto stabilito dalle leggi e dai regolamenti in materia, salvo quanto previsto dall'art.
60 del Codice in relazione ai dati sullo stato di salute e sulla vita sessuale.
I dati sensibili possono essere comunicati (e ove necessario diffusi) a soggetti pubblici o privati, nei limiti strettamente pertinenti all’espletamento dell'incarico conferito
e nel rispetto, in ogni caso, del segreto professionale. I dati acquisiti in occasione di
precedenti incarichi possono essere mantenuti se pertinenti, non eccedenti e indispensabili rispetto a successivi incarichi.
Restano fermi gli obblighi previsti:
17
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 26
1) da norme di legge o di regolamento o dalla normativa comunitaria che stabiliscono divieti o limiti più restrittivi;
2) in particolare, dallo Statuto dei lavoratori (legge 20 maggio 1970, n. 300) e dal
Piano degli interventi urgenti in materia di prevenzione e lotta all'AIDS (legge 5 giugno 1990, n. 135, come modificata dall'art. 178 del Codice);
3) dalle norme volte a prevenire discriminazioni;
4) dalle norme che vietano la rivelazione senza giusta causa e l'impiego a proprio o
altrui profitto delle notizie coperte dal segreto professionale;
5) dalle norme di deontologia e di buona condotta professionale.
Per quanto riguarda i dati ultrasensibili, l’autorizzazione generale n. 2/2005 si applica anche all’avvocato che tratti dati idonei a rivelare lo stato di salute e la vita sessuale, quando ciò sia necessario per:
1) lo svolgimento delle investigazioni difensive;
2) far valere o difendere un diritto (anche da parte di un terzo) in sede giudiziaria,
nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei
casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti
collettivi.
I dati sono raccolti, di regola, presso l'interessato e possono essere anche relativi a stati
di salute pregressi. Anche le informazioni relative ai nascituri devono essere trattate
alla stregua dei dati personali e rientrano nel campo di applicazione di questa autorizzazione generale. Per le informazioni relative ai nascituri, il consenso è prestato
dalla gestante. Dopo il raggiungimento della maggiore età l'informativa è fornita
all'interessato anche ai fini della acquisizione di una nuova manifestazione del consenso quando ciò risulti necessario (art. 82, comma 4, del Codice).
La comunicazione di tali dati all’interessato deve avvenire di regola direttamente a
quest’ultimo o a un suo delegato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati. I dati idonei a rivelare lo stato
di salute non possono essere diffusi, ad eccezione del caso in cui la diffusione riguardi dati resi pubblici dall’interessato e per i quali l’interessato non abbia manifestato
successivamente la sua opposizione per motivi legittimi21.
L’autorizzazione n. 7 in materia di dati giudiziari è rilasciata a beneficio di:
a) liberi professionisti, anche associati, tenuti ad iscriversi in albi o elenchi per l'esercizio di un'attività professionale in forma individuale o associata, anche in conformità al decreto legislativo 2 febbraio 2001, n. 96 o alle norme di attuazione dell'art. 24,
comma 2, della legge 7 agosto 1997, n. 266, in tema di attività di assistenza e consulenza;
b) soggetti iscritti nei corrispondenti albi o elenchi speciali, istituiti anche ai sensi dell'art. 34 del regio decreto-legge 27 novembre 1933, n. 1578 e successive modificazioni e integrazioni, recante l'ordinamento della professione di avvocato;
c) sostituti e ausiliari che collaborano con il libero professionista ai sensi dell'art. 2232
Resta fermo, ai sensi dell’art. 734-bis c.p., il divieto di divulgare, senza consenso, le generalità o l'immagine della persona offesa da atti di violenza sessuale.
21
18
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 27
del Codice civile, nonché praticanti e tirocinanti, qualora tali soggetti siano titolari di
un autonomo trattamento o siano contitolari del trattamento effettuato dal libero
professionista.
L’autorizzazione è rilasciata anche:
a) a chiunque, per far valere o difendere un diritto anche da parte di un terzo in sede
giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o
dai contratti collettivi, sempre che il diritto da far valere o difendere sia di rango pari
a quello dell’interessato e i dati siano trattati esclusivamente per tale finalità e per il
periodo strettamente necessario per il suo perseguimento;
b) a chiunque, per l’esercizio del diritto di accesso ai documenti amministrativi, nei
limiti di quanto previsto dalle leggi e dai regolamenti in materia;
c) a persone fisiche e giuridiche, istituti, enti ed organismi che esercitano un’attività
di investigazione privata autorizzata con licenza prefettizia (art. 134 del regio decreto
18 giugno 1931, n. 773, e successive modificazioni e integrazioni).
Il trattamento deve essere necessario:
1) per permettere a chi conferisce uno specifico incarico di far valere o difendere in
sede giudiziaria un proprio diritto di rango pari a quello del soggetto al quale si riferiscono i dati, ovvero di un diritto della personalità o di un altro diritto fondamentale ed inviolabile;
2) su incarico di un difensore in riferimento ad un procedimento penale, per ricercare e individuare elementi a favore del relativo assistito da utilizzare ai soli fini dell'esercizio del diritto alla prova.
L’autorizzazione è rilasciata per il trattamento, ivi compresa la diffusione, di dati per
finalità di documentazione, di studio e di ricerca in campo giuridico, in particolare
per quanto riguarda la raccolta e la diffusione di dati relativi a pronunce giurisprudenziali, nel rispetto di quanto previsto dagli artt. 51 e 52 del Codice.
Per quanto riguarda, infine, la gestione delle prestazioni di lavoro si applica l’autorizzazione generale n. 1/2005.
Il trattamento può riguardare, previo consenso scritto dell’interessato, i dati sensibili
attinenti:
a) lavoratori subordinati, tirocinanti, associati anche in compartecipazione;
b) consulenti e liberi professionisti, agenti, rappresentanti e mandatari;
c) soggetti che effettuano prestazioni coordinate e continuative, anche nella modalità
di lavoro a progetto, o ad altri lavoratori autonomi in rapporto di collaborazione,
anche sotto forma di prestazioni di lavoro accessorio;
d) candidati all'instaurazione dei rapporti di lavoro di cui alle lettere precedenti.
I dati sono raccolti, di regola, presso l’interessato.
La comunicazione di dati all’interessato deve avvenire direttamente a quest'ultimo o
a un suo delegato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati.
19
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 28
Restano fermi gli obblighi di informare l’interessato e, ove necessario, di acquisirne il
consenso scritto, in conformità a quanto previsto dagli articoli 13, 23 e 26 del Codice.
SANZIONI
Quali sono le sanzioni previste nel caso di trattamento svolto senza il necessario
consenso dell’interessato? E in caso di violazione delle prescrizioni delle autorizzazioni generali?
E’ previsto un illecito penale in caso di violazione dell’art. 23 in materia di consenso.
L’art. 167 del Codice, infatti, punisce chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di
detto articolo se dal fatto deriva nocumento per l’interessato.
Necessario sia il dolo specifico di procurarsi un profitto o di recare un danno, sia il verificarsi della condizione obiettiva di punibilità del nocumento per l’interessato.
La sanzione è la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, da sei a ventiquattro mesi.
L’art. 167, comma 2, del Codice prevede altre ipotesi delittuose in caso di violazione
dell’art. 25 (comunicazione e diffusione), 26 (trattamento di dati sensibili), 27 (trattamento di dati giudiziari) e 45 (trasferimenti dati all’estero).
La struttura del reato rimane la stessa; la cornice edittale è più grave: da uno a tre anni
di reclusione.
4.4 Notificazione del trattamento di dati al Garante
L’avvocato non è tenuto a notificare al Garante il trattamento di dati personali cui
intende procedere: il presupposto di tale obbligo, infatti, è l’effettuazione di trattamenti in ipotesi (considerate dall’art. 37, comma 1) che difficilmente possono riguardare il normale esercizio dell’attività professionale22.
Inoltre il Garante ha espressamente escluso l’obbligo di notificazione per alcuni trattamenti che rientrano in tali ipotesi.
Non sono soggetti a notificazione:
1) i trattamenti di dati genetici e biometrici effettuati da avvocati anche in forma
associata (provvedimento 31 marzo 2004, adottato ai sensi dell’art. 37, comma 2, del
Codice)23 in relazione allo svolgimento di indagini difensive o comunque per far valere o difendere un diritto (anche da parte di un terzo) in sede giudiziaria. Si applica il
L’art. 37, comma 1, del Codice impone l’obbligo di notificazione nei seguenti casi:
a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi
sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro,
anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione
dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f ) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.
23 Garante per la protezione dei dati personali, provvedimento 3 giugno 2004.
22
20
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 29
principio del pari rango: il diritto tutelato deve essere di rango almeno pari a quello
dell’interessato ed il trattamento è lecito per il periodo strettamente necessario al perseguimento di tale finalità;
2) i trattamenti di dati registrati in banche dati relative alla solvibilità economica dell’interessato, utilizzate in rapporti per la fornitura di beni, prestazioni o servizi, o per
adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni
di recupero del credito e contenzioso con l’interessato, incluso il caso in cui il trattamento sia effettuato in fase pre-contrattuale; fa eccezione il caso in cui il professionista costituisca un’apposita banca dati, gestita con strumenti elettronici, contenente
dati relativi al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti da parte
dell’interessato24;
3) i trattamenti di dati effettuati tramite la rilevazione di immagini o suoni, anche con
impianti a circuito chiuso, presso immobili o edifici ove si svolge l’attività del professionista, nonché le relative aree perimetrali, adibite a parcheggi o a carico/scarico
merci, accessi, uscite di emergenza; fa eccezione il caso in cui il professionista possa
rilevare, anche mediante interazione con altri sistemi, le diverse ubicazioni o gli spostamenti di una persona o di un oggetto in determinati luoghi o aree sul territorio25.
SANZIONI
D: Sono previste delle sanzioni in caso di violazione dell’obbligo di notificazione
al Garante?
R: Si, è previsto un illecito amministrativo anche per il caso di omessa o incompleta
notificazione: dispone l’art. 163 del Codice che “chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica
in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di
una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa
accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in
uno o più giornali indicati nel provvedimento che la applica”.
4.5 Utilizzazione di dati: informatica giuridica
Il Garante ha più volte ribadito che la normativa in materia di protezione dei dati personali non ha modificato il regime di pubblicità delle sentenze, le quali devono essere redatte secondo le regole ordinarie.
L’interessato ovvero il cliente dell’avvocato può chiedere, per motivi legittimi, che
vengano omesse le sue generalità o altri dati identificativi riportati sulla sentenza o
provvedimento nel caso in cui questa venga riprodotta per finalità di informazione
giuridica su riviste giuridiche, supporti elettronici (ad es. banche dati su cd o dvd) o
24
25
Garante per la protezione dei dati personali, provvedimento 3 giugno 2004.
Garante per la protezione dei dati personali, provvedimento 23 aprile 2004.
21
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 30
mediante reti di comunicazione elettronica (ad es. banche dati on-line, siti web d’informazione giuridica, ecc.).
I motivi da considerare legittimi sono quelli che obiettivamente appaiono meritevoli
di tutela da parte dell’ordinamento anche in un’ottica di contemperamento con altri
interessi coinvolti.
L’autorità che pronuncia la sentenza o adotta il provvedimento provvede sulla richiesta, senza ulteriori formalità, in calce al decreto. La stessa autorità può provvedere
d’ufficio in base ad autonoma valutazione riguardante la tutela dei diritti o della
dignità dell’interessato.
L’interessato può depositare la sua richiesta in cancelleria o segreteria dell’ufficio che
procede prima che sia definito il relativo grado di giudizio. L’ufficio adito deve apporre sull’originale della sentenza o del provvedimento un’annotazione che renda conto
della richiesta fatta dall’interessato.
All’atto del deposito della sentenza o del provvedimento, l’ufficio adito appone e sottoscrive (anche con timbro) la seguente annotazione rivolta anche ai terzi: “In caso di
diffusione omettere le generalità e gli altri dati identificativi di …”.
E’ il caso di ricordare che per diffusione, ai sensi dell’art. 4 c. 1 lett. m) del Codice,
s’intende il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque
forma, anche mediante la loro messa a disposizione o consultazione.
In ogni caso, chiunque diffonde sentenze o altri provvedimenti dell’autorità giudiziaria di ogni ordine e grado riguardanti situazioni particolari (ad esempio violenza sessuale) o dai quali possano desumersi anche direttamente generalità di terzi, familiari
o minori coinvolti in situazioni particolari è punito, anche in mancanza dell’annotazione di cui sopra, con la sanzione amministrativa prevista per la violazione di disposizioni in materia di disciplina del trattamento di dati personali ex art. 162 comma 1
del Codice, ossia con il pagamento di una somma da cinquemila a trentamila euro.
L’art 52 del Codice conclude estendendo l’applicazione della norma al lodo e ammettendo esplicitamente la diffusione in ogni forma del contenuto anche integrale di sentenze o provvedimenti giurisdizionali.
22
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 31
5.
ADOTTARE LE MISURE
MINIME DI SICUREZZA
Sul titolare di un trattamento di dati personali grava l’onere di adottare le misure
minime di sicurezza previste dagli articoli 33, 34 e 35 del Codice seguendo le regole
indicate dal disciplinare tecnico allegato al Codice stesso (Allegato B). Tale onere non
esime il titolare dall’adozione di tutte quelle misure di sicurezza ulteriori, dirette a
soddisfare l’obbligo generale di sicurezza previsto dall’articolo 31 del Codice, che
valuta utili in considerazione della struttura di riferimento e della tipologia di dati
trattati. Il trattamento dei dati personali non è consentito se non vengono adottate le
misure minime di sicurezza in quanto in mancanza verrebbe leso il diritto alla protezione dei dati personali dell’interessato sancito dal fondamentale articolo 1 del
Codice26 .
L’individuazione e l’attuazione delle misure di sicurezza cosidette idonee viene
demandata al titolare del trattamento al contrario delle misure minime che vengono
imposte e minuziosamente descritte dal legislatore. Esse richiedono modalità di attuazione tecniche e organizzative diverse a seconda che riguardino trattamenti di dati
personali comuni, sensibili o giudiziari, effettuati con o senza l’utilizzo di strumenti
elettronici.
Quali sono, pertanto, le misure minime di sicurezza che devono essere obbligatoriamente adottate in uno Studio legale?
Lo Studio legale è titolare di trattamento di dati sensibili (a volte anche giudiziari) che
opera con o senza strumenti elettronici. Dal punto di vista normativo, per quanto
riguarda le misure minime di sicurezza, sono applicabili gli articoli da 33 a 36 del
Codice e tutte le regole del disciplinare tecnico allegato.
Nel dettaglio, dal combinato disposto dell’articolo 34 del Codice e delle regole da 1
a 26 dell’allegato B si evince che il titolare dello Studio legale che utilizza strumenti
elettronici ha i seguenti obblighi:
- Creare un sistema di autenticazione informatica (art. 34 lett a) e b) del Codice,
regole da 1 a 11 dell’allegato B);
- Creare un sistema di autorizzazione (art. 34 lett. c) e d) del Codice, regole da 12 a
14 dell’allegato B);
- Adottare altre misure di sicurezza (art. 34 lett. e) e f ) del Codice, regole da 15 a 18
dell’allegato B);
- Prevedere misure di tutela e garanzia (regole da 25 e 26 dell’allegato B).
26
Cfr. artt. 34 c. 1 e 35 c. 1 del d. lgs. 196/2003.
23
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 32
5.1 Creare un sistema di autenticazione informatica (art. 34 lett. a) e b) del Codice, regole da 1 a 11
dell’allegato B)
5.1.1 Le credenziali di autenticazione
Un sistema di autenticazione informatica può essere definito come l’insieme di uno o
più strumenti elettronici idonei ad operare il riconoscimento di un utente che accede ad un sistema informatico.
Per sapere quali sono gli strumenti utilizzabili a tal scopo e quali devono essere le
caratteristiche degli stessi bisogna consultare le regole da 1 a 5 dell’allegato B al
Codice.
Tutti gli strumenti che permettono ad un utente di accedere ad un sistema informatico sono definiti “credenziali di autenticazione”. Sicuramente il sistema maggiormente utilizzato e conosciuto è quello comunemente definito “username e password”
ovvero l’associazione di un Codice identificativo ad una parola chiave riservata conosciuta solamente dall’utente. Il legislatore ha previsto la possibilità di utilizzare anche
altri strumenti, singolarmente o in aggiunta a username e password, idonei allo scopo.
Ad esempio, l’utilizzo di dispositivi di autenticazione in possesso ed uso esclusivo dell’incaricato (smart card) oppure il riconoscimento di caratteristiche biometriche dell’incaricato. E’ sempre più frequente trovare sul mercato pc (soprattutto portatili) che
richiedono l’autenticazione del soggetto tramite impronta digitale al fine di ottenere
i più elevati standard di sicurezza. Tornando alle credenziali di autenticazione composte da Codice identificativo e password, si può affermare che si tratta di uno strumento di autenticazione informatica più che sufficiente per il riconoscimento dell’utente
in una struttura tipo Studio legale.
Considerato che si tratta di uno strumento di autenticazione, ogni persona che tratta i dati dello Studio utilizzando strumenti elettronici deve essere in possesso di almeno una credenziale per poter accedere al sistema informatico27.
La parte relativa al Codice per l’identificazione (userID) è la meno complicata. Non
è previsto alcun vincolo normativo per la costruzione di questa parte della credenziale. Il nome utente può essere scelto dal titolare, dall’incaricato o dall’amministratore
del sistema sulla base di criteri definiti (ad es. le prime tre lettere del nome e le prime
tre del cognome) o fantasiosi. Quest’ultima opzione, tuttavia, è quella maggiormente
consigliabile in quanto complicherebbe ulteriormente il lavoro di un utente non
autorizzato che volesse operare un accesso abusivo al sistema informatico in quanto
lo costringerebbe ad individuare non solo la password ma anche il nome utente.
La situazione è diversa per quanto riguarda la componente riservata della credenziale
di autenticazione, la “password”. Per quanto riguarda la sua costruzione è previsto che
essa debba essere composta da almeno otto caratteri, non necessariamente alfanumeLe credenziali di autenticazione in possesso ad un singolo soggetto possono anche essere più di una se ciò è necessario
per definire diversi profili di autorizzazioni su una o più banche dati. Cfr. Regola 3 All. B D. Lgs. 196/03.
27
24
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 33
rici28, e non debba contenere riferimenti agevolmente riconducibili all’incaricato. La
finalità di protezione del sistema perseguita mediante l’utilizzo di credenziali di
autenticazione verrebbe, infatti, completamente elusa da password inadeguate ovvero
troppo facili da indovinare. Ad esempio, una password composta dai numeri della
data di nascita dell’incaricato potrebbe essere facilmente ricavabile da parte di terzi
attraverso la semplice lettura dei documenti dello stesso.
Per quanto riguarda i tempi, è previsto che la password venga cambiata dopo il primo
utilizzo nel caso in cui venga assegnata da altri (ad esempio, dall’amministratore di
sistema) e successivamente ogni tre mesi in caso di trattamento di dati sensibili o giudiziari o sei mesi in tutti gli altri casi.
Infine, per quanto riguarda il comportamento da tenere è previsto che il titolare
impartisca precise istruzioni all’incaricato per assicurare la segretezza della password e
che quest’ultimo osservi con la dovuta diligenza quanto prescritto (ad esempio, evitando di apporre post-it riportanti la password di accesso in prossimità della propria
postazione o comunque all’interno della struttura).
5.1.2 La procedura di gestione delle credenziali di
autenticazione
Per quanto riguarda, invece, l’adozione di procedure di gestione delle credenziali di
autenticazione bisogna far riferimento alle regole da 6 a 11 dell’allegato B.
La parte delle credenziali definita Codice di identificazione (userID) non può essere
utilizzata da più incaricati anche in tempi diversi. In questo modo, s’intende attribuire all’utente un Codice identificativo univoco all’interno del sistema tracciabile nel
tempo. Le credenziali di autenticazione non utilizzate per un periodo di sei mesi
oppure nel caso in cui dovessero venir meno le qualità che autorizzano l’incaricato ad
accedere ai dati personali devono essere disattivate. Questa norma diminuisce il
rischio di accesso ai dati da parte di persone non autorizzate o non più autorizzate al
trattamento. Fanno eccezione le credenziali utilizzate dai tecnici per finalità di manutenzione e ripristino del sistema, quest’ultime infatti non sono soggette a scadenza. Il
titolare, inoltre, deve impartire precise istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento, ciò
al fine di evitare il completo svilimento della funzione tipica delle credenziali di
autenticazione che consiste nell’impedire l’accesso al sistema informatico da parte
delle persone non autorizzate. Ad esempio, è opportuno prevedere l’utilizzo di modalità di protezione del sistema con password (cd. screensaver) per impedire l’accesso ai
dati da parte di persone non autorizzate durante una sessione aperta a causa del temporaneo allontanamento di un incaricato per qualsiasi motivo dalla propria postazioSignifica che le password possono essere composte da soli numeri, sole lettere, numeri e lettere con l’aggiunta o meno
di caratteri speciali (?!%&/.). Una buona password deve essere facile da ricordare ma difficile da ricostruire. Ad esempio,
associare la password al significato di una determinata frase rappresentata dalle iniziali delle singole parole (Il Mio Gatto
Ha Dieci Anni E Si Chiama Max – IMGHDAESCM) o addirittura mascherando alcune lettere con dei numeri
(1MGH10A3SCM).
28
25
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 34
ne di lavoro. In caso di prolungata assenza o impedimento di un incaricato, il titolare può consentire ad un altro soggetto di accedere al sistema utilizzando copia delle
credenziali di autenticazione da lui o da altro responsabile custodite al fine di assicurare alla struttura la disponibilità dei dati o degli strumenti elettronici necessari per
l’operatività o la sicurezza del sistema. E’ previsto che nel caso in cui si verifichi tale
eventualità l’incaricato assente al suo ritorno venga tempestivamente informato dell’avvenuto accesso e dei motivi che hanno reso necessario tale accesso.
F.A.Q. – Sistema di autenticazione informatica
D: Come faccio a controllare se il mio sistema informatico consente l’inserimento
delle credenziali di autenticazione “username e password”?
R: E’ necessario, per prima cosa, controllare l’idoneità del sistema operativo di ogni
macchina. I sistemi operativi Windows 95, 98 o ME consentono l’accesso al sistema
informatico anche senza autenticazione. Tutti gli altri sistemi operativi Windows, Mac o
Linux consentono di attivare idonee credenziali di autenticazione. Nel caso in cui si
disponga di un server che gestisce una rete di computer le credenziali di accesso
vanno impostate sullo stesso.
D: Se il sistema operativo della mia macchina non consente di supportare le credenziali di autenticazione devo necessariamente cambiare computer?
R: No, si può cambiare solamente il sistema operativo. Tuttavia, bisogna tenere in debita considerazione l’obsolescenza della macchina e valutare caso per caso se il cambiamento del sistema operativo comporta o meno un rallentamento delle prestazioni.
D: Non ho alcuna intenzione di cambiare il mio pc con Windows 98, posso inserire
una password in fase di avvio del sistema operativo (BIOS)?
R: Questa soluzione permette di non far accedere ai dati contenuti nella macchina chi
non conosce la password, ma non può essere considerata una credenziale di autenticazione idonea, perché non permette di associare la password ad un codice identificativo dell’utente come richiesto dalla normativa.
D: Come faccio a ricordarmi di cambiare la password ogni tre mesi?
R: Predisponendo uno scadenzario o, molto più semplicemente, incaricando un tecnico
di impostare in automatico, nel sistema operativo utilizzato, la scadenza della password
a 90 giorni con conseguente richiesta automatica di rinnovo della stessa.
5.2 Creare un sistema di autorizzazione (art. 34 lett.
c) e d) del Codice, regole da 12 a 14 dell’allegato B)
Innanzitutto, è necessario creare un sistema di autorizzazione in uno Studio legale?
Un sistema di autorizzazione è l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente (incaricato). Non è obbligatorio creare un sistema
di autorizzazione, il Titolare può consentire a tutti gli incaricati di accedere alla totalità dei dati trattati o solo a quelli relativi a determinati trattamenti. Nel compiere tale
valutazione è importante tenere in considerazione il differente livello di sicurezza
richiesto dal trattamento delle diverse tipologie di dati, in quanto dare la possibilità
di accedere a dati sensibili a qualsiasi incaricato potrebbe non essere opportuno. Ad
26
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 35
esempio, nel caso in cui la struttura disponga di un ufficio contabilità nel quale lavorano dipendenti (incaricati) che abbiano necessità di accedere solamente ad una determinata tipologia di dati utili alla loro attività (ad es. fatturazione), il trattamento di
dati strettamente connessi all’attività legale rimarrebbe comunque estraneo al lavoro
di tali incaricati e quindi il permesso di accedere a quel tipo di dati potrebbe non essere previsto dal loro profilo di autorizzazione in quanto si tratterebbe di perseguire una
finalità eccedente gli scopi del trattamento29.
F.A.Q. – Sistema di autorizzazione
D: Cosa devo fare per assegnare diversi profili di autorizzazione agli utenti del
sistema informatico dello Studio?
R: Utilizzare singoli computer per il trattamento di una determinata tipologia di dati oppure nel caso in cui i computer siano organizzati in rete impostare permessi diversi sulle
cartelle del server.
D: Ho cambiato idea. Voglio consentire ad un determinato incaricato di accedere
ad una banca dati che in precedenza gli era preclusa. Cosa devo fare?
R: Fornire all’incaricato un computer idoneo a svolgere le nuove mansioni oppure nel
caso in cui i computer siano organizzati in rete cambiare i permessi sulle cartelle del server. E’, inoltre, da aggiornare la lettera di incarico.
D: Quando devo effettuare il controllo delle sussistenza delle condizioni per la
conservazione dei profili di autorizzazione?
R: Periodicamente e, comunque, almeno una volta l’anno.
5.3 Adottare altre misure di sicurezza (art. 34 lett. e)
e f) del Codice, regole da 15 a 18 dell’allegato B)
Lo Studio legale deve garantire la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti al sistema e all’azione di determinati programmi informatici.
Il trattamento illecito di dati, ovvero trattamento non autorizzato di dati da parte di
soggetti non autorizzati, si evita anche attraverso l’aggiornamento periodico almeno
annuale del trattamento consentito ai singoli incaricati e addetti alla gestione e manutenzione degli strumenti informatici della struttura. Tali incaricati devono essere inseriti in una lista che può essere redatta in ordine alfabetico con l’indicazione dei trattamenti consentiti, per classi omogenee di incarico e in relazione a profili di autorizzazione.
All’interno di uno Studio legale si consiglia di adottare il sistema delle classi omogenee di incarico30 eventualmente corredate dall’indicazione di determinati profili di
autorizzazione.
I dati personali devono essere protetti contro il rischio di intrusione nel sistema, ovvero accesso non consentito dall’interno e dall’esterno della struttura, e dall’azione dei
programmi descritti dall’articolo 615 quinquies del Codice penale (virus), mediante
Cfr. Art. 11 lett d) D. Lgs. 196/03
Ad esempio, una suddivisione tipica di uno Studio legale in classi omogenee è la seguente: professionisti, collaboratori e dipendenti.
29
30
27
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 36
l’attivazione di strumenti elettronici idonei allo scopo31.
5.3.1 Rischi per la sicurezza provenienti dall’interno
della struttura
Per quanto riguarda la prevenzione dei rischi provenienti dall’interno della struttura
abbiamo già parlato delle credenziali di autenticazione e delle relative modalità di
implementazione. Assumono rilevanza inoltre:
5.3.1.1 Le patch
Tutti i programmi per elaboratore possono avere dei difetti tali da comportare problemi di sicurezza e contribuire alla maggiore vulnerabilità di un sistema. A tali difetti
pongono rimedio i programmatori che forniscono periodicamente agli utenti altri
software in grado di correggerli (in gergo tecnico vengono definiti patch, letteralmente “pezze”). Una volta terminata l’installazione della patch l’intero sistema sarà più
sicuro rispetto alla situazione preesistente. La verifica della disponibilità di nuove
patch e l’aggiornamento dei sistemi deve essere effettuato almeno una volta ogni sei
mesi32. Ad esempio, esistono patch rilasciate da Microsoft per l’aggiornamento dai
vari sistemi operativi, del browser Internet Explorer o dei client di posta Outlook e
Outlook Express ma anche quelle di tanti altri sistemi operativi e software che richiedono aggiornamenti periodici di sicurezza (per tutti Acrobat Reader di Adobe).
5.3.1.2 Il backup
Un’altra misura minima di sicurezza descritta dal Codice riguarda il salvataggio dei
dati. Il termine backup descrive un’importante operazione informatica tesa a duplicare su differenti supporti le informazioni (siano esse dati o programmi) presenti sui
dischi di una stazione di lavoro o sui server di produzione. Normalmente la procedura viene svolta con una periodicità stabilita, quella minima richiesta dal legislatore è
di una volta alla settimana33. L'attività di backup è un aspetto fondamentale nella
gestione di un computer: in caso di guasti o manomissioni il backup consente, infatti, il recupero dei dati dell'utente o degli utenti che utilizzano la postazione o il server. Il Codice prevede, nei casi in cui è previsto il trattamento di dati sensibili, il ripristino dell’accesso ai dati in tempi certi compatibili con i diritti degli interessati e
comunque non superiori a sette giorni34. Esistono procedure automatiche di backup
(soggette a verifica periodica) e altre procedure che comportano un intervento
Art. 615-quinquies - diffusione di programmi diretti a danneggiare o interrompere un sistema informatico - chiunque
diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per
effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad
esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, è punito con la
reclusione
sino a due anni e con la multa sino a lire 20 milioni.
32
Cfr. Regola 17 All. B D. Lgs. 196/03.
33 Fonte sito internet http://it.wikipedia.org/wiki/backup
34 Cfr. Regola 18 All. B D. Lgs. 196/03
31
28
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 37
manuale da parte dell’utente. Per effettuare le operazioni di backup si possono utilizzare supporti ottici o magnetici, CD-R, CD riscrivibili, DVD-R, DVD riscrivibili,
DAT, cartucce a nastro, hard disk esterni, pen drive usb, mentre appaiono molto
meno consigliabili, per motivi diversi, le soluzioni floppy35 e dischi RAID36). I supporti sui quali viene effettuato il backup devono essere periodicamente verificati e sostituiti. La conservazione e la custodia dei supporti di backup in un luogo fisicamente
distinto e separato dai sistemi in uso è strettamente necessaria per evitare che in caso
di furto, incendio, alluvione o altro evento catastrofico, le copie vadano perse insieme agli originali oltre che per impedire accessi non autorizzati ai dati attraverso le
copie stesse. Le istruzioni tecniche e organizzative relative alle procedure di backup
devono essere impartire dal titolare o da un responsabile a tal scopo nominato. I supporti rimovibili contenenti dati sensibili o giudiziari non più utilizzati (ad esempio
nastri o CD di vecchi backup) devono essere distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi
dati, se le informazioni in essi contenuti non sono intelligibili (ad esempio, cifrate) e
tecnicamente non ricostruibili37.
5.3.2 Rischi per la sicurezza provenienti dall’esterno
della struttura
Per quanto riguarda la prevenzione dei rischi collegati al mondo esterno è necessario
verificare i supporti rimovibili (floppy, cd, ecc.) potenzialmente in grado di veicolare
codice malevolo e l’accesso a internet. Gli strumenti in grado di svolgere una costante
funzione di controllo in questo senso sono i programmi firewall e quelli antivirus:
5.3.2.1 Il firewall
Il firewall è un dispositivo hardware e/o software volto a proteggere una rete locale dal
traffico di informazioni che transita da e verso reti esterne, in particolar modo Internet.
I firewall permettono di intercettare i pacchetti di rete, di analizzarne il contenuto e di
filtrarli in modo tale da consentire l'applicazione di una serie di regole di sicurezza, tali
da includere o da escludere segmenti del flusso di dati, autorizzando o meno il viaggio
verso la loro destinazione. Nel cercare di semplificare una spiegazione molto tecnica, si
può affermare che il meccanismo consiste nel frapporre tra l'accesso a Internet e il
computer connesso a Internet una piccolissima rete che verifica che i collegamenti
avvengano solo tra le connessioni a internet e il pc. Questa rete intermedia verifica che
i comandi arrivino solo dalla connessione, e non da altre fonti. In questo modo risulSono ormai in disuso i floppy disk per la scarsa affidabilità e la limitata capacità.
Molti IT manager pensano che usare il RAID elimini o riduca la necessità di avere un buon sistema di backup, ma
questo non è vero. Il RAID protegge dal guasto di un drive, ma non dai danni causati da un virus o da un hacker ostile e, soprattutto, ai nostri fini non si presenta come supporto esterno rimovibile.
37 Rendere i files tecnicamente non ricostruibili significa preservarli da qualsiasi tipo di ricostruzione successiva alla loro
eliminazione mediante tecniche di sovrascrittura necessarie per una effettiva ed efficace distruzione delle informazioni
contenute (c.d. attività di wiping).
35
36
29
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 38
ta molto limitata la possibilità di entrare nel computer dell'utente finale38. ZoneAlarm
è uno dei firewall più usati, free per l'uso personale39.
5.3.2.2 L’antivirus
Gli antivirus sono software che svolgono la funzioni di intercettazione, prevenzione ed eliminazione di virus e di altri tipi di malware40. Essi si dividono in due categorie principali. Gli
scanner on demand, che vengono lanciati esplicitamente dall'utente o da uno scheduler al
fine di eseguire attivamente la scansione di memoria, file e settori; e i monitor on access, antivirus residenti nel sistema che effettuano la scansione solo in risposta a particolari eventi: esecuzione di programmi, apertura e creazione di file, lettura/scrittura di settori, ecc41. In maniera alquanto bizzarra, il legislatore impone un obbligo di aggiornamento entro sei mesi di tali
strumenti quando, invece, sarebbe stato necessario indicare un tempo di gran lunga inferiore o addirittura giornaliero anche in considerazione dell’estrema facilità di automatizzazione
di tale procedura. I dati sensibili, inoltre, devono essere protetti anche dall’accesso abusivo
ad un sistema informatico, ex articolo 615 ter del Codice penale, mediante l’adozione di idonei strumenti elettronici come, da esempio, software in grado di contrastare i cd. trojan42.
Da non sottovalutare sotto questo aspetto l’importanza della scelta del software adatto. In
generale, i software più diffusi sono anche quelli che hanno maggiori probabilità di essere
attaccati. Ad esempio, utilizzare Outlook Express anziché altri client di posta elettronica può
esporre a maggiori rischi per la sicurezza quantomeno perché maggiormente conosciuto e
quindi attaccato43. Tuttavia, è necessario anche considerare il grado di compatibilità dei software di posta che si utilizzano con gli strumenti informatici forensi44. Ad esempio, Internet
Explorer è l’unico browser indicato tra i requisiti necessari per il funzionamento del
Redattore Atti PCT Ministeriale45.
Definizione semplificata del Dott. Valentino Spataro ripresa dal seguente link:
http://www.civile.it/ilaw/diziovisual.asp?num=423
39 Download dal sito http://www.zonelabs.com/store/content/home.jsp. Si segnala, inoltre, che molti sistemi operativi prevedono nativamente software firewall integrati (Ad es., Windows XP).
40 Si definisce malware un qualsiasi software creato con il solo scopo di causare danni più o meno estesi al computer su cui
viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale
di "programma malvagio"; in italiano è detto anche codice maligno. (Fonte: http://it.wikipedia.org/wiki/Malware)
41 Gli antivirus più conosciuti sono il “Norton” (http://www.symantec.com/it/it/index.jsp), “McAfee” (http://it.mcafee.com/)
e il più recente “AVG” (http://www.grisoft.it/new/index.html).
42 Un trojan o trojan horse è un tipo di virus malware. deve il suo nome al fatto che le sue funzionalità sono nascoste all'interno di un programma apparentemente utile; è dunque l'utente stesso che installando ed eseguendo un certo programma,
inconsapevolmente, installa ed esegue anche il Codice trojan nascosto.
In genere col termine trojan ci si riferisce ai trojan ad accesso remoto (detti anche rat dall'inglese remote administration tool),
composti generalmente da 2 file: il file server, che viene installato nella macchina vittima, ed un file client, usato dal dall’utente abusivo per inviare istruzioni che il server esegue.
I trojan non si diffondono autonomamente come i virus o i worm, quindi richiedono un intervento diretto dell'attaccante
per far giungere l'eseguibile malizioso alla vittima. spesso è la vittima stessa a ricercare e scaricare un trojan sul proprio computer, dato che i cracker amano inserire queste "trappole" in software in genere sono molto richiesti. per la loro individuazione non sempre è sufficiente un programma antivirus, a volte è necessario dotarsi di un software apposito.
Un trojan può contenere qualsiasi tipo di istruzione maliziosa. spesso i trojan sono usati come veicolo alternativo ai worm e
ai virus per installare delle backdoor o dei keylogger, sistemi utilizzati per accedere abusivamente e controllare il sistema informatico della vittima. definizione in parte ripresa da www.wininizio.it/forum/index.php?act=st&f=146&t
43 Esempi di altri client di posta elettronica sono Eudora (http://www.eudora.com/) e Mozilla Thunderbird
(http://www.mozillaitalia.it/thunderbird/).
44 Per maggiori informazioni sugli strumenti informatici forensi consultare il primo opuscolo di questa Collana realizzato dall’Ordine.
45 Strumento attualmente utilizzato in Milano nella fase di sperimentazione della procedura di ricorso per decreto
ingiuntivo telematica.
38
30
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 39
F.A.Q. – Altre misure di sicurezza
D: Durante l’anno ho assunto un nuovo dipendente, cosa devo fare?
R: Molto spesso le lettere d’incarico vengono inserite come allegato al D.P.S. anche se potrebbero essere tranquillamente autonome e quindi separate dallo stesso. Tali lettere devono essere sostituite o aggiunte alla modulistica predisposta nel caso in cui vi siano cambiamenti nell’organico della struttura.
D: Come faccio a capire se dispongo di tutti i software necessari per la protezione del
sistema informatico dello Studio?
R: Facendo o commissionando un check-up dei software installati nel sistema o nella rete locale. Sono indispensabili firewall, antivirus ed eventualmente anti-trojan. E’ consigliabile, inoltre,
informarsi presso il proprio tecnico di fiducia sulla possibilità di installare anche altri software
dedicati alla sicurezza e alla privacy dei sistemi: ad esempio, anti-spyware (ad-aware) e filtri antispam.
D: Posso impostare l’installazione automatica delle patch dei vari software?
R: L’operazione è possibile utilizzando il pannello di controllo di molti sistemi operativi sul mercato. Per gli altri software, spesso la procedura non è completamente automatizzata ma richiede il download della patch dal sito del produttore e l’installazione della stessa in locale.
D: Devo osservare regole particolari per la conservazione dei supporti di backup?
R: Il legislatore si limita ad imporre che le copie di sicurezza vengano custodite in un luogo sicuro e che periodicamente venga verificata l’efficienza dei supporti. Tuttavia, sarebbe buona norma
conservare i supporti di backup in luogo fresco, asciutto e al riparo il più possibile dalla polvere.
D: Ho l’onere di eseguire personalmente una copia di backup dei dati almeno una volta
a settimana?
R: E’ possibile nominare un responsabile della procedura di backup il quale sarà obbligato a
rispettare le procedure previste per il corretto svolgimento di tale operazione. La procedura che
prevede la copia su nastro dal server può essere completamente automatizzata a parte, eventualmente, l’operazione di sostituzione del nastro.
Retro. Sono progettati per attaccare il software antivirus, che possono eludere o disattivare per
poi fare danni senza che ne siate informati.
D: Da quale tipo di virus sono stato infettato46?
• Settore di boot. Sono virus progettati per attaccare il primo settore dei supporti avviabili, noto
come settore di boot: è lui che dice al supporto come effettuare il caricamento. Sul disco rigido
principale del vostro computer, il settore di boot è ciò che effettivamente avvia il sistema operativo (Windows, Linux e così via): se viene infettato, l’infezione si estenderà a qualsiasi altro settore di boot con cui entrerà in contatto (dischi rigidi, floppy disk, unità Zip) e renderà il supporto
non avviabile.
• BIOS. Il BIOS è una zona della memoria del computer che controlla tutti i componenti (tastiera, mouse, dischi rigidi, CD-ROM, schede video e così via). Se un virus lo infetta, può rendere
completamente inutilizzabile il sistema, costringendovi a portare il computer all’assistenza.
• File. I virus da file sono i tipi più comuni: infettano i file esistenti (a volte sostituendoli), facendo
in modo di essere caricati in memoria ogni volta che viene eseguito un file infetto.
• Macro. Le macro sono codice incorporato nei documenti di Office (Excel, Word, Access) per
automatizzare alcune attività. Gli sviluppatori di virus inseriscono codice maligno in queste
macro, da dove riescono a diffondersi in altri documenti.
• Worm. Mentre i virus normali si diffondono sul dispositivo locale, i worm si diffondono velocemente e infettano altri sistemi attraverso le reti (Internet, reti domestiche, reti aziendali).
• Cavalli di Troia. Si spacciano per applicazioni comuni, mentre mettono in atto le proprie azioni
distruttive dietro le quinte. Un esempio di cavallo di Troia può essere un gioco che elimina i file
mentre giocate. Non è molto divertente, vero?
Fonte http://www.microsoft.com/italy/pmi/tecnologia/themes/originale/virus/article/article1.mspx. (Apogeo
Editore). Si segnala, inoltre, per chi volesse approfondire l’argomento virus Attivissimo, L’acchiappavirus, Apogeo Editore
disponibile anche on-line all’indirizzo http://www.attivissimo.net/acchiappavirus/.
46
31
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 40
5.4 Prevedere misure di tutela e garanzia (regole da
25 e 26 dell’allegato B)
Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla
propria struttura per provvedere alla loro esecuzione riceve dall’installatore una
descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del disciplinare tecnico – allegato B. Nel momento in cui il titolare dello Studio
legale si affida ad un terzo (tecnico installatore) per l’adeguamento degli strumenti
elettronici in base a quanto previsto dall’allegato tecnico ha il diritto di farsi rilasciare una dichiarazione scritta dell’intervento effettuato.
F.A.Q. – Misure di tutela e garanzia
D: Un consulente esterno mi ha rilasciato un documento di non conformità nel
quale vengono elencate le misure minime di sicurezza che devo adottare per adeguarmi alla normativa. Mi devo far rilasciare qualche dichiarazione?
R: Il documento di non conformità (o simile) indica al tecnico informatico di fiducia
come implementare o adeguare le misure di sicurezza esistenti perché siano conformi
a quelle minime richieste dalla normativa delle quali il consulente esterno ha verificato
la carenza o inidoneità nel momento in cui ha avuto accesso alla struttura in fase di
verifica. Il tecnico che implementa in concreto le misure di sicurezza previste dalla normativa deve rilasciare al titolare dello Studio una dichiarazione attestante la conformità della struttura, a seguito del suo intervento, alle prescrizioni del D. Lgs. 196/2003.
D: Posso nominare responsabile della manutenzione e dell’aggiornamento dei
sistemi informatici il mio tecnica di fiducia?
R: Certamente sì. L’onere di mantenere aggiornato e affidabile dal punto di vista della
sicurezza il sistema informatico ricadrà sul tecnico nominato responsabile.
D: Posso consentire al tecnico di fiducia di fornirmi un servizio di assistenza in
locale o in remoto (attraverso internet) con accesso diretto al sistema?
R: Certamente sì. Tuttavia, è necessario predisporre un metodo che consenta di individuare e tener traccia del soggetto che ha avuto accesso ai dati e quali operazioni ha
effettuato (credenziali di autenticazione specifiche per la manutenzione di sistema).
Il tecnico deve essere incaricato con una lettera apposita contenente le istruzioni
specifiche e le misure di sicurezza previste per questo tipo di interventi.
5.5 Trattamento senza l’ausilio di strumenti elettronici (art. 35 del Codice, regole da 27 a 29 dell’allegato B)
Il titolare dello Studio legale impartisce per iscritto agli incaricati istruzioni finalizzate al controllo ed alla custodia degli atti e dei documenti cartacei contenenti dati personali. Ad esempio, in caso di allontanamento dalla postazione di lavoro si può prevedere che l’incaricato custodisca i documenti su cui sta lavorando in un cassetto della
propria scrivania o in altro luogo comunque controllato e/o non accessibile al pubbli47
Consiglio Nazionale Forense, Vademecum dello Studio Legale, 18 giugno 2004
32
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 41
co. L’Autorità Garante ha avuto modo di precisare che non è necessario procedere alla
sostituzione del nome delle parti con un Codice numerico sull’intestazione delle pratiche dello Studio legale47.
La lista degli incaricati e l’individuazione dell’ambito del trattamento consentito ai
singoli incaricati, analogamente a quanto previsto per il sistema informatico, può
avvenire per tipologia di dati trattati oppure per classi omogenee d’incarico (professionista, collaboratore o dipendente) ed eventualmente in relazione ai diversi profili
di autorizzazione (ad esempio, l’incaricato Tizio può accedere alla banca dati A e B
ma non C oppure a tutte le tipologie di dati trattati tranne quelli definiti sensibili).
Il legislatore, in linea generale, impone sempre criteri maggiormente restrittivi quando il trattamento riguarda dati sensibili o giudiziari. E’ opportuno, pertanto, che lo
Studio legale disponga di archivi dotati di serratura nel caso in cui questi siano ubicati in zone potenzialmente accessibili al pubblico mentre è sufficiente che garantisca
la presenza di un incaricato o altro soggetto autorizzato al trattamento durante l’orario di lavoro in grado di controllare gli accessi agli archivi posti in una zona o stanza
dello Studio non liberamente accessibile al pubblico. E’ necessario, inoltre, predisporre un metodo di registrazione e di identificazione delle persone preventivamente autorizzate che accedono, a qualunque titolo, alla struttura al di fuori dell’orario di lavoro48
F.A.Q. – Trattamento senza l’ausilio di strumenti elettronici
D: Ho un archivio contenente dati personali sensibili in una zona potenzialmente
accessibile al pubblico. Cosa devo fare in questo caso?
R: Se nella zona in cui è ubicato l’archivio è stabilita la postazione di un incaricato questi dovrà operare un generico controllo su di esso evitando che soggetti non autorizzati
accedano ai dati. E’ consigliabile, per una maggiore sicurezza, utilizzare le serrature in
dotazione all’archivio o predisporre strumenti comunque in grado di impedire fisicamente l’accesso allo stesso.
D: Ho un archivio con le pratiche già definite in cantina o sul balcone. Cosa devo
fare in questo caso?
R: In caso di cessazione del trattamento i dati, ad eccezione dei documenti da conservare ai fini fiscali, devono essere distrutti oppure possono essere conservati per fini
esclusivamente personali. In quest’ultimo caso, il trattamento è soggetto all'applicazione del codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione, ferme restando le disposizioni in tema di responsabilità e di sicurezza dei dati
di cui agli articoli 1 e 31. Inoltre, è comunque necessario prevedere modalità di conservazione che non permettano l’accesso ai dati a persone non autorizzate al trattamento
e che non consentano l’identificazione dell’interessato oltre il periodo di tempo necessario agli scopi per i quali essi sono stati raccolti o trattati.
48
Cfr. Regola 29 All. B D. Lgs. 196/03
33
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 42
6.
ADOTTARE IL DOCUMENTO
PROGRAMMATICO SULLA SICUREZZA
La redazione del D.P.S. è solamente una delle misure minime di sicurezza previste dal
Codice. Si tratta dell’unico adempimento afferente alla sicurezza che ha per oggetto
la redazione di un documento e non una mera installazione tecnica. La ratio della
norma che impone la redazione di tale documento al titolare di una struttura che
effettua un trattamento di dati particolari (sensibili o giudiziari) come, ad esempio,
uno Studio legale è quella di costringere quest’ultimo a descrivere per iscritto (quindi con maggiore coscienza) l’organizzazione interna, le misure adottate per la protezione dei dati personali e il livello di sicurezza raggiunto.
La regola 19 disciplina punto per punto quale deve essere il contenuto del D.P.S. e i
tempi per la sua redazione e aggiornamento.
Per la stesura del Documento Programmatico della Sicurezza è necessario dare corso
alle seguenti operazioni:
· Redazione di un elenco di trattamenti di dati personali, sensibili o giudiziari effettuati dalla struttura (regola 19.1 all. B Codice);
· Compilazione di un organigramma relativo alla distribuzione di compiti e responsabilità nell'ambito delle strutture preposte al trattamento dei dati (regola 19.2 all. B
Codice);
· Analisi dei rischi che incombono sui dati (regola 19.3 all. B Codice);
· Descrizione dei criteri da adottare per garantire l'adozione delle misure minime di
sicurezza in caso di trattamenti di dati personali affidati, in conformità al Codice,
all'esterno della struttura del titolare (regola 19.7 all. B Codice);
· Elencazione delle misure da adottare, per garantire l’integrità e la disponibilità dei
dati, la protezione fisica delle aree e dei locali, rilevanti ai fini della custodia e accessibilità dei dati (19.4 all. B Codice);
· Descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in
seguito a distruzione o danneggiamento, in tempi certi compatibili con i diritti degli
interessati e comunque non superiori a sette giorni (19.5 e 23 all. B Codice);
· Prevedere interventi formativi degli incaricati del trattamento, per renderli edotti dei
rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi,
dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto
alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione deve essere programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di
mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali (19.6 all. B Codice).
34
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 43
F.A.Q. – Documento Programmatico sulla Sicurezza
D: E’ sufficiente redigere il D.P.S. per non essere considerati inadempienti?
R: No, il D.P.S. è solo una delle misure minime di sicurezza previste dal Legislatore.
Si tratta di una misura di sicurezza non propriamente tecnica che ha la funzione di
responsabilizzare maggiormente tutti i soggetti coinvolti in un trattamento di dati sensibili o giudiziari.
D: A chi deve essere inviato il D.P.S.?
R: Nessuno. Dovrà semplicemente essere esibito in caso di controllo.
D: Il D.P.S. deve avere data certa?
R: No, il D.P.S. non deve avere data certa in quanto non c’è alcun riferimento nella normativa in tal senso. L’Autorità Garante si è espressa confermando tale impostazione in
un parere datato 22 marzo 200449. L’unico obbligo è quello di aggiornarlo entro il 31
marzo di ogni anno50. La confusione sul punto si è generata per due motivi: i) da alcuni
è stato apoditticamente sostenuto il contrario51. ii) l’errata associazione tra il D.P.S. e il
documento richiesto ai sensi dell’art. 180 comma 2 del Codice. Quest’ultimo documento perseguiva tutt’altro fine, quello di differire l’obbligo di adeguamento delle strutture,
che per obiettive ragioni tecniche, erano costrette ad utilizzare strumenti non idonei e
obsoleti al momento dell’entrata in vigore della normativa.
SANZIONI
L’art. 169 del Codice penale prevede che “chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni o
con l'ammenda da diecimila euro a cinquantamila euro”.
L’avvocato deve proteggere i dati personali che tratta, in modo da ridurre al minimo i
rischi di distruzione, perdita, accesso non autorizzato o trattamento non consentito.
A tal fine egli deve applicare le necessarie misure di sicurezza.
Occorre distinguere tra misure di sicurezza idonee e misure di sicurezza minime: i dati
devono essere protetti da misure di sicurezza idonee, ma soltanto la mancata adozione
delle misure di sicurezza minime, puntualmente identificate dal legislatore, integra una
ipotesi di reato contravvenzionale. Anche l’adozione del DPS è una misura minima di
sicurezza.
In caso di accertamento del reato, il legislatore ha predisposto un meccanismo volto
a consentire la regolarizzazione non eccedente il periodo di tempo tecnicamente
necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà
dell'adempimento (comunque entro sei mesi).
Scaduto il termine, nei sessanta giorni successivi, se risulta l’avvenuta regolarizzazione,
l’autore del reato è ammesso a pagare una somma pari al quarto del massimo dell’ammenda.
L’adempimento e il pagamento estinguono il reato, configurando quindi una sorta di
oblazione.
Bollettino Autorità Garante n. 48/3/2004 disponibile su www.garanteprivacy.it/garante/doc.jsp?ID=771307
e per tutti Falzone “Il falso dilemma della data certa del documento programmatico sulla sicurezza” http://www.ambientediritto.it/dottrina/Dottrina_2006/falso_dilemma_dps_falzone.htm
50Come fare per dimostrare di aver adottato il DPS nei termini di legge? P. Ricchiuto, pur confermando che il DPS non
deve avere data certa, propone una soluzione http://www.interlex.it/675/ricchiu19.htm
51Per tutti vedi http://www.consulentiprivacy.it/documento_programmatico_generale
49
35
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 44
7.
SCREENING DELLA STRUTTURA TIPO
STUDIO LEGALE. PASSO PER PASSO
Con questo paragrafo s’intende fornire una semplice guida al Titolare dello Studio o
al Responsabile designato per poter procedere autonomamente all’adeguamento della
struttura sotto il profilo della privacy.
1) Individuare la tipologia di dati trattati (personali comuni, sensibili e giudiziari),
banche dati e archivi presenti nella struttura.
2) Identificare i soggetti operanti all’interno della struttura (eventuali responsabili,
incaricati) e predisporre le lettere di nomina e di incarico. Questi documenti dovranno indicare il campo nel quale opera il soggetto (avvocato, dipendente o collaboratore) e le istruzioni impartite dal Titolare per trattare lecitamente i dati (ad esempio:
non comunicare la password di accesso al pc; non lasciare incustodita la postazione di
lavoro; ecc.).
3) Identificare i soggetti operanti all’esterno della struttura e farsi rilasciare dichiarazione di conformità al Codice, misure minime di sicurezza comprese (ad esempio:
commercialista; buste paga).
4) Rilasciare idonea informativa al cliente nel momento in cui vengono acquisiti i
dati.
5) Adottare le misure minime di sicurezza previste dall’allegato B al Codice: credenziali di autenticazione, antivirus, firewall, backup, registro accesso selezionato fuori
dall’orario di lavoro, redazione D.P.S.
36
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 45
8.
SCADENZE (tabella)
Nella seguente tabella con riferimento ad ogni adempimento viene messa in evidenza la scadenza (o rinnovo) dello stesso e il soggetto obbligato a metterlo in atto.
ADEMPIMENTO
SCADENZA
OBBLIGATO
Rilascio informativa al cliente
Primo contatto con il cliente
Avvocato titolare oppure Avvocato incaricato oppure Dipendente o collaboratore
incaricato
Acquisizione del consenso al trattamento
da parte del cliente
Trattamento di un dato sensibile nell’ambito di attività stragiudiziale
Avvocato titolare oppure Avvocato incaricato oppure Dipendente o collaboratore
incaricato
Notificazione del trattamento all’autorità
Garante solo nei casi previsti dall’art. 37
del Codice
All’inizio del trattamento
Avvocato titolare
Adozione delle misure minime di sicurezza
ai sensi degli artt. da 33 a 36 e all.B del
Codice
All’inizio del trattamento. In mancanza i dati non sono utilizzabili e il loro
trattamento è illecito.
Avvocato titolare oppure Responsabile
della Sicurezza eventualmente nominato
oppure Tecnico esterno (che deve rilasciare dichiarazione di conformità al Codice)
Cambiamento della password di accesso al
sistema (parte riservata della credenziale di
autenticazione) per il trattamento dei dati.
3 mesi (dati sensibili o giudiziari)
Chiunque sia in possesso di credenziali di
autenticazione per l’accesso al sistema
informatico dello Studio.
Disattivazione (N.B. non cancellazione)
delle credenziali di autenticazione dell’incaricato
Termine rapporto incaricato-struttura
Avvocato titolare oppure Responsabile
della custodia delle credenziali di autenticazione eventualmente nominato
Cambiamento della password di accesso
al sistema (parte riservata della credenziale di autenticazione) per ripristino e manutenzione tecnica dello stesso.
Sostituzione solamente nel caso in
cui venga meno la riservatezza.
Chiunque sia in possesso di credenziali di
autenticazione per il ripristino e manutenzione tecnica del sistema informatico dello
Studio
Aggiornamento protezione informatica del
sistema da intrusioni e azioni di Codice
malevolo (firewall, antivirus e anti-trojan).
Cadenza semestrale
Avvocato titolare (anche tramite il proprio
tecnico di fiducia) oppure Responsabile
della Sicurezza eventualmente nominato
Aggiornamento dei programmi idonei a
prevenire il rischio di vulnerabilità degli
strumenti elettronici (patch).
Cadenza semestrale (dati sensibili o
giudiziari)
Avvocato titolare (anche tramite il proprio
tecnico di fiducia) oppure Responsabile
della Sicurezza eventualmente nominato
Operazione di backup dei dati.
Almeno una volta a settimana
Avvocato titolare (anche tramite il proprio
tecnico di fiducia) oppure Responsabile
della procedura di backup eventualmente
nominato
Verifica dei supporti di backup (simulazione ripristino dei dati del sistema).
Almeno una volta l’anno
Avvocato titolare (anche tramite il proprio
tecnico di fiducia) oppure Responsabile
della procedura di backup eventualmente
nominato
Redazione
e
aggiornamento
del
Documento Programmatico sulla Sicurezza
Entro il 31 marzo di ogni anno.
Avvocato titolare oppure Responsabile
della Sicurezza eventualmente nominato
Verifica e aggiornamento dei profili di
autorizzazione
All’inizio del trattamento e poi almeno
una volta l’anno
Avvocato titolare oppure Responsabile
della Sicurezza eventualmente nominato
37
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 46
9.
APPENDICE a cura del Prof. Avv. Remo Danovi:
Gli adempimenti antiriciclaggio a carico dei professionisti
A1. Le direttive europee
La prima direttiva europea sulla lotta contro il riciclaggio risale al 1991, come è a tutti
noto (direttiva 91/308/CEE del 28 giugno 1991). La direttiva obbligava gli Stati membri a combattere unicamente il riciclaggio dei proventi da reato connesso al traffico di
stupefacenti e riguardava soprattutto gli enti creditizi e finanziari. Non toccava i professionisti e quindi non ha suscitato particolare interesse.
Negli anni più recenti ha cominciato a essere affermata la necessità di aggiornare la normativa e si è operato sostanzialmente su due fronti: da un lato si è riconosciuto che il
fenomeno preso in esame è il risultato di una gamma ben più vasta di reati, tutti potendo costituire il presupposto per la utilizzazione successiva dei proventi dalle attività illecite; e d’altro lato si è constatato che i riciclatori del denaro hanno la tendenza ad avvalersi non più soltanto di enti creditizi o finanziari, ma anche di una pluralità di soggetti che a vario titolo intervengono nella trasformazione del denaro.
Così è sorta, la seconda direttiva europea (direttiva 2001/97/CEE del 4 dicembre
2001).
Questa seconda direttiva ha definito i reati gravi che danno origine a flussi di denaro
(tra cui sono compresi anche la frode e la corruzione, e comunque tutti i reati passibili
di severe pene detentive) e ha precisato soprattutto la nozione di riciclaggio, inteso come
conversione o trasferimento di beni o denaro (per occultarne o dissimularne l’origine
illecita), come occultamento o dissimulazione della reale natura di beni o diritti, come
acquisto o detenzione o utilizzazione di beni provento di attività criminose e infine
come partecipazione o agevolazione a uno di tali atti. In pratica ogni movimentazione
di denaro, beni o risorse.
L’ambito di applicazione della normativa è stato quindi notevolmente ampliato e, per la
prima volta, sono stati compresi tra i destinatari degli obblighi anche i professionisti e
precisamente i revisori, i contabili esterni e i consulenti tributari, gli agenti immobiliari, i notai e gli “altri liberi professionisti legali” (così qualificati). Per questi ultimi, la
direttiva ha specificato le attività oggetto di controllo, che riguardano variamente l’assistenza e la rappresentanza dei clienti.
Da ultimo è stata approvata una terza direttiva (direttiva 2005/60/CE del 26 ottobre
2005), che ha ulteriormente precisato i contenuti precedenti. Questa terza direttiva,
invero, ha il dichiarato scopo di introdurre “disposizioni più specifiche e dettagliate”
non solo sulla identificazione e la verifica della identità del cliente, ma anche su quella
38
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 47
dell’eventuale “titolare effettivo” della operazione; intende poi estendere l’ambito di
applicazione a nuovi soggetti (ad esempio gli intermediari assicurativi) e a nuove operazioni (ad esempio le iniziative attuate con Internet), con il controllo severo di tutte le
operazioni in contanti di importo elevato; e intende infine anche “compiere ogni sforzo” per proteggere le persone che hanno effettuato segnalazioni e sono vittime di minacce o atti ostili.
A2. Recepimento e attuazione
Già in relazione alla prima direttiva, lo Stato italiano era intervenuto con un decreto
legge (d.l. 3 maggio 1991, n. 143), poi convertito con modificazioni dalla legge 5 luglio
1991, n. 197. Questa legge contiene le norme sostanziali ed è ancora oggi indicata come
“legge antiriciclaggio”.
Successivamente è stata emanata la seconda direttiva 4 dicembre 2001, come abbiamo
detto, e ad essa è stata data attuazione, dapprima formalmente con la legge comunitaria 2002 (legge 3 febbraio 2003, n. 14) e poi sostanzialmente con il d.lgs. 20 febbraio
2004, n. 56.
La terza direttiva ha avuto un recepimento formale con la legge comunitaria del 2005
(art. 22 della legge 25 gennaio 2006, n. 29), ma non è stato ancora emanato il d. lgs.
di attuazione.
In pratica, dunque, quando ci riferiamo alla “normativa antiriciclaggio” intendiamo
indicare non tanto le direttive europee che ne costituiscono il presupposto, quanto particolarmente la legge 5 luglio 1991, n. 197 (la c.d. legge antiriciclaggio), nonché il d.lgs.
20 febbraio 2004, n. 56, e, quali fonti secondarie, il regolamento (decreto 3 febbraio
2006, n. 141) e le istruzioni applicative (provved. 24 febbraio 2006), che ad esso hanno
fatto seguito.
In definitiva la legge 197/1991, il decreto legislativo n. 56/2004, il regolamento e le
istruzioni applicative costituiscono la “normativa antiriciclaggio” che anche i professionisti sono obbligati a rispettare a partire dal 22 aprile 2006.
A3. I soggetti
Destinatari della normativa sono:
- i soggetti iscritti nell’albo dei ragionieri e dei periti commerciali, nel registro dei revisori contabili, nell’albo dei dottori commercialisti e nell’albo dei consulenti del lavoro;
- i notai e gli avvocati quando, in nome o per conto di propri clienti, compiono qualsiasi operazione di natura finanziaria o immobiliare (atti di rappresentanza) ovvero
quando assistono i propri clienti nella progettazione o nella realizzazione di operazioni
(atti di assistenza) riguardanti:
1) il trasferimento a qualsiasi titolo di beni immobili o attività economiche (aziende);
2) la gestione di denaro, strumenti finanziari o altri beni;
39
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 48
3) l’apertura o la gestione di conti bancari, libretti di deposito e conti di titoli;
4) l’organizzazione degli apporti necessari alla costituzione, alla gestione o all’amministrazione di società;
5) la costituzione, la gestione o l’amministrazione di società, enti, trust o strutture analoghe.
Si noti che, mentre in un primo tempo erano previsti soltanto i professionisti contabili
iscritti agli albi o ai registri, con l’art. 21 della legge comunitaria del 2005 (legge 25 gennaio 2006, n. 29) sono stati aggiunti anche i professionisti contabili non iscritti ad albi
o registri. Destinatario infatti della normativa è anche “ogni altro soggetto che renda servizi forniti dai revisori contabili, periti, consulenti e altri soggetti che svolgano attività
in materia di amministrazione, contabilità e tributi”.
La circostanza curiosa è che in un primo tempo questi professionisti erano stati sostanzialmente esclusi (onde avevamo commentato che la clientela più incline alla violazione delle leggi si sarebbe rivolta a questi ultimi), mentre ora, non essendo questi professionisti tutelati da specifici statuti professionali, l’applicazione della normativa viene ad
essere quasi più rigorosa nei loro confronti.
Si noti infine che, mentre per i consulenti contabili (così genericamente indicati) non
sono precisate le attività oggetto di attenzione (e quindi tutte le prestazioni sono prese
in considerazione), per i soli notai e avvocati sono state esattamente indicate le operazioni svolte con riferimento alla rappresentanza o alla assistenza dei clienti (come sopra
abbiamo indicato).
A4. Gli obblighi
La normativa precisa quindi gli obblighi a cui sono tenuti i professionisti, ed essenzialmente:
- l’obbligo di identificazione dei clienti;
- l’obbligo di istituzione dell’archivio informatico;
- l’obbligo di registrazione e conservazione dei dati ricevuti;
- l’obbligo di segnalazione delle operazioni sospette.
Vi è anche un obbligo generico di adottare “adeguate procedure volte a prevenire e
impedire la realizzazione di operazioni di riciclaggio, in particolare istituendo misure di
controllo interno e assicurando un’adeguata formazione dei dipendenti e dei collaboratori” (art. 8.1 del d.lgs. 56/2004).
Più in particolare:
A) Obbligo di identificazione dei clienti.
Tale obbligo sussiste per ogni prestazione professionale che possa comportare la trasmissione o movimentazione di mezzi di pagamento beni o utilità per un valore superiore a
12.500 euro (inteso come valore dell’oggetto della prestazione richiesta e non del compenso pattuito), ovvero per un valore indeterminato o indeterminabile (ad esempio,
costituzione di società, tenuta contabilità o contributi). L’obbligo di identificazione sus40
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 49
siste anche in presenza di operazioni frazionate.
L’obbligo grava a carico di tutti i professionisti (per i notai e gli avvocati per le sole operazioni di rappresentanza e assistenza che abbiamo indicato).
L’identificazione deve essere eseguita al momento dell’accettazione dell’incarico (secondo il regolamento, invece, al momento in cui inizia la prestazione professionale) e sarà
registrata entro trenta giorni dalla identificazione del cliente (ovvero entro un anno in
caso di incarichi conferiti anteriormente al 22 aprile 2006, che siano ancora in corso al
termine dell’anno).
L’identificazione viene effettuata in presenza del cliente, anche attraverso collaboratori
dello studio, mediante un documento di identificazione non scaduto. La presenza fisica non è necessaria in determinati casi analiticamente considerati (precedente identificazione in relazione ad altra attività professionale, atti pubblici, attestazione di altri professionisti o di altri soggetti legittimati. In nessun caso l’attestazione può essere rilasciata da soggetti che non abbiamo insediamenti fisici in alcun paese).
Più complessa ancora è l’identificazione del cliente che opera per conto terzi (e in tal
caso il cliente dovrà rilasciare per iscritto i dati identificativi del terzo).
La sanzione in caso di inosservanza è pecuniaria (da 500 a 25.000 euro).
B) Obbligo di istituzione dell’archivio informatico.
L’archivio è unico per ogni libero professionista “ed è tenuto in maniera trasparente e
ordinata, in modo tale da facilitare la consultazione, la ricerca e il trattamento dei dati
nonché garantire la storicità delle informazioni e la loro conservazione secondo criteri
uniformi”.
Le registrazioni sono conservate nell’ordine cronologico d’inserimento nell’archivio in
maniera da rendere possibile la ricostruzione delle operazioni.
L’archivio è formato e gestito a mezzo di strumenti informatici. Tuttavia, in sostituzione dell’archivio informatico, il libero professionista può tenere un registro cartaceo,
numerato progressivamente e siglato in ogni pagina a cura del libero professionista o di
un suo collaboratore autorizzato per iscritto, con indicazione alla fine dell’ultimo foglio
del numero delle pagine di cui è composto il registro e l’apposizione della firma delle
suddette persone. Il registro cartaceo deve essere tenuto in maniera ordinata, senza spazi
bianchi e abrasioni.
I liberi professionisti non sono tenuti a istituire l’archivio qualora non vi siano dati da
registrare.
Nel caso di svolgimento dell’attività professionale in forma associata, ovvero societaria,
è consentito tenere un unico archivio per tutto lo studio professionale. In tal caso, è
necessaria l’individuazione nell’archivio, per ogni cliente, del libero professionista
responsabile degli adempimenti concernenti gli obblighi di identificazione e conservazione (art. 7 Regolamento).
E’ anche prescritto (art. 8 Regolamento) che i liberi professionisti debbano rilasciare ai
clienti una informativa idonea ad assolvere agli obblighi previsti dall’art. 13 del codice
in materia di protezione dei dati personali.
41
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 50
La sanzione prevista è l’arresto da sei mesi a un anno e l’ammenda da 5.164 a 25.822
euro (sanzione che dovrebbe peraltro essere depenalizzata con l’attuazione della delega
relativa alla terza direttiva).
C) Obbligo di registrazione e conservazione dei dati rilevanti.
I dati del cliente devono quindi essere inseriti nell’apposito archivio informatico (o registro cartaceo) entro trenta giorni dalla identificazione del cliente.
I dati invece della prestazione (descrizione simbolica della tipologia e valore della prestazione) devono essere inseriti entro trenta giorni dalla esecuzione della prestazione
professionale.
Come abbiamo detto, i dati relativi ai clienti e alle prestazioni effettuate antecedentemente all’entrata in vigore della normativa devono essere registrati entro 12 mesi, qualora le prestazioni siano ancora in corso a tale data.
Devono essere registrati e conservati (per dieci anni) i seguenti dati:
- i dati (le complete generalità) del cliente o del soggetto per cui agisce il cliente e gli
estremi del documento di identificazione
- l’attività lavorativa svolta dal cliente o dal soggetto per cui agisce il cliente
- la data della identificazione
- la descrizione sintetica della tipologia della prestazione professionale fornita
- il valore dell’oggetto della prestazione.
Nel caso di nuova operazione o di conferimento di incarico compiuto da un cliente già
identificato è sufficiente annotare nell’archivio (a parte le informazioni che riguardano
eventuali terze persone interessate) la tipologia della (nuova) prestazione richiesta e il
valore della (nuova) prestazione.
Avvocati e notai devono procedere alla registrazione sia quando essi eseguono le prestazioni per nome e conto del cliente, sia quando le prestazioni consistono in attività di
assistenza nella progettazione e realizzazione delle iniziative indicate.
In caso di inadempimento dell’obbligo è prevista una sanzione amministrativa pecuniaria da 500 e 25.000 euro.
D) Obbligo di segnalazione di operazione sospetta.
Devono essere segnalate all’Ufficio italiano cambi tutte le operazioni presunte sospette,
cioè le operazioni che per caratteristiche, entità, natura o altra circostanza conosciuta dal
professionista inducano lo stesso a ritenere, in base agli elementi disponibili, che il denaro, i beni o le utilità oggetto dell’operazione possano provenire dai delitti di cui agli artt.
648-bis e 648-ter cod. penale. La segnalazione non costituisce violazione del segreto
professionale e, se il professionista è in buona fede, non comporta responsabilità di
alcun tipo.
Le segnalazioni devono essere effettuate senza ritardo, “ove possibile prima del compimento dell’operazione”. E’ fatto comunque divieto al libero professionista di comunicare le segnalazioni al cliente e ad alcun altro soggetto (in tal senso lo Stato italiano ha
sciolto l’opzione che la seconda direttiva aveva concesso).
L’UIC ha il potere di sospendere l’operazione sospetta per 48 ore.
42
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 51
In ogni caso l’UIC trasmetterà agli organi investigativi competenti le segnalazioni, corredate di una relazione tecnica, omettendo l’indicazione del nominativo del professionista che ha effettuato la segnalazione stessa. L’identità delle persone segnalate può essere rivelata solo quando l’autorità giudiziaria, con decreto motivato, lo ritenga indispensabile ai fini dell’accertamento dei reati per i quali procede. In tal caso, peraltro, è da
ritenere che il professionista possa opporre il segreto professionale sulle ulteriori informazioni richieste.
E’ ribadito dal regolamento quanto era già contenuto nel decreto legislativo, e cioè che
gli obblighi di segnalazione previsti non si applicano ai professionisti “per le informazioni che essi ricevono da un loro cliente o ottengono riguardo allo stesso, nel corso dell’esame della posizione giuridica del loro cliente o dell’espletamento dei compiti di difesa o di rappresentanza del medesimo in un procedimento giudiziario o in relazione a
tale procedimento, compresa la consulenza sull’eventualità di intentare o evitare un procedimento, ove tali informazioni siano ricevute o ottenute prima, durante o dopo il procedimento stesso”.
Sono dunque esclusi dalla segnalazione (ma non dalla identificazione del cliente) tutte
le informazioni ricevute nel corso dell’esame della posizione giuridica del cliente, o nell’attività giudiziale, compresa la consulenza.
Tale esenzione si applica anche ai giudizi arbitrali e alle controversie trattate avanti a
organismi di conciliazione previsti dalla legge.
E’ oggetto dunque di segnalazione l’attività di rappresentanza per operazioni finanziarie o immobiliari compiute in nome del cliente, ovvero di assistenza per attività che non
consistono in una valutazione prettamente giuridica, ma si risolvono in una prestazione particolare come indicato dalla legge.
Identificata dunque una operazione sospetta la segnalazione deve avvenire in conformità con un modello-schema che si articola in 6 quadri:
quadro A) informazioni generali sulla segnalazione;
quadro B) informazioni generali sul segnalante;
quadro C) informazioni inerenti l’operazione oggetto della segnalazione;
quadro D) informazioni sulla persona fisica cui l’operazione va riferita;
quadro E) informazioni sul soggetto diverso dalla persona fisica cui l’operazione va riferita;
quadro F) informazioni sulla persona fisica che ha operato per conto del soggetto cui va
riferita l’operazione.
Occorre indicare anche le ragioni che hanno indotto alla segnalazione, con riferimento
agli elementi oggettivi e a quelli soggettivi (descrizione dei motivi del sospetto).
In caso di inosservanza, la sanzione prevista è una pena pecuniaria che va dal 5% al 50%
del valore delle operazioni non segnalate.
43
opus PRIVACYarial STUDI LEGALI cor
8-02-2007
14:24
Pagina 52
Finito di stampare nel mese di Febbraio 2007
COP SERVIZI INFORMATICI imp
7-02-2007
10:48
Pagina 1
c/o PALAZZO DI GIUSTIZIA
VIA FREGUGLIA, 1
20122 MILANO
TEL. 02 549292.1 - FAX 02 54101447 - 02 55181003
www.ordineavvocatimilano.it
DEGLI
AVVOCATI DI MILANO
PRIVACY
per gli
STUDI LEGALI
2
I
ORDINE DEGLI AVVOCATI DI MILANO
QUADERNI DELL’ ORDINE
ORDINE
c/o PALAZZO DI GIUSTIZIA
VIA FREGUGLIA, 1
20122 MILANO
TEL. 02 549292.1 - FAX 02 54101447 - 02 55181003
www.ordineavvocatimilano.it
DEGLI
AVVOCATI DI MILANO
PRIVACY
per gli
STUDI LEGALI
2
I
ORDINE DEGLI AVVOCATI DI MILANO
QUADERNI DELL’ ORDINE
ORDINE
PANTONE 200 NERO