ASCOLTA ARTICOLO
|
Il provvedimento in commento mette in luce la necessità (anche) per gli Avvocati di riscontrare le richieste di esercizio dei diritti previste agli artt. 15 –22 gdpr nei termini di legge e ci offre la possibilità di ripercorrere i più importanti adempimenti privacy a cui sono sottoposti gli studi legali.
Premessa.
Un interessato si rivolgeva al Garante per la protezione dei dati personali lamentando di aver rivolto una istanza di esercizio dei diritti di cui agli articoli 15 e segg. GDPR al proprio Avvocato e di non aver ricevuto riscontro nel termine di un mese dal ricevimento.
Come è noto, l’art. 15 GDPR prevede che “L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un’autorità di controllo; g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”.
Svolgimento dell’istruttoria.
Il Garante privacy, adito dall’interessato, invitava l’Avvocato a voler comunicare all’interessato (che parimenti riceveva la comunicazione) ed all’Autorità scrivente, entro venti giorni dal ricevimento dell’invito, se intendesse esercitare la facoltà di adesione spontanea alla richiesta del reclamante, ai sensi dell’art. 15 del Regolamento 1-20191. Nel mentre l’interessato comunicava al Garante privacy di avere ricevuto dall’Avvocato il riscontro all’esercizio dei suoi diritti, trasmettendone copia. Risultava, tuttavia, che l’Avvocato, avendo fornito riscontro alla richiesta di informazioni oltre il termine di un mese , aveva violato l’art. 12, comma 3, del RGPD, ai sensi del quale il titolare del trattamento deve fornire all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste, ma il titolare del trattamento deve informare l’interessato di tale proroga e dei motivi del ritardo entro un mese dal ricevimento della richiesta. Poiché non risultano allegate né tempestivamente comunicate all’interessato, da parte del titolare, l’Ufficio del Garante comunicava all’Avvocato l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, paragrafo 2, e 83 GDPR.
Controdeduzioni del trasgressore.
L’Avvocato, in conformità a quanto previsto dagli artt. 12 e 13 del Regolamento n. 1/2019, produceva memoria difensiva rappresentando di aver ricevuto il modulo intitolato “esercizio di diritti in materia di protezione dei dati personali (artt. 15-22 del Regolamento (UE) 2016/679)” a mezzo di raccomandata postale, proveniente dall’estero, senza che fosse accompagnato da alcun documento di identità che ne attestasse la provenienza e l’originalità della firma.
Va precisato, sul punto, che l’art 12 c. 2 GDPR stabilisce che “il titolare del trattamento non può rifiutare di soddisfare la richiesta dell’interessato al fine di esercitare i suoi diritti ai sensi degli articoli 15a 22, salvo che il titolare del trattamento dimostri che non è in grado di identificare l’interessato”. Riferiva l’Avvocato che per riscontrare l’istanza aveva dovuto individuare e visionare presso la Cancelleria penale competente il fascicolo del dibattimento ivi pendente relativo al procedimento penale al fine di reperire qualche elemento che gli permettesse di sincerarsi, in primo luogo, della provenienza e correttezza dell’istanza. Dopodiché è stato necessario del tempo per approfondire, sia nel citato fascicolo del dibattimento sia in quello di studio, le richieste che facevano riferimento a vari dati, tra cui in particolare documenti che avrebbero riguardato le “sue condizioni si salute”, che non risultavano al trasgressore il quale, effettivamente, dopo accurata verifica, ha potuto con certezza assoluta affermare di non aver mai posseduto e/o visionato e/o detenuto.
Purtroppo l’accertamento dell’identità dell’interessato e la conseguente ricerca documentale, hanno richiesto più tempo del previsto per riscontrare l’istanza, finendo per oltrepassare, seppure di poco, un mese dal ricevimento previsto dalla norma, senza aver comunicato la necesssità di usufruire di una proroga.
Motivazioni dell’ammonimento.
Concludeva il Garante privacy ritenendo che le argomentazioni dell’Avvocato non risultano idonee a giustificare la condotta del titolare che, avendo deciso di concentrarsi nel rispondere “nel più breve tempo possibile” – ma oltre i termini di legge – ha unilateralmente prorogato il termine di legge omettendo di adempiere all’obbligo di informativa del ritardo prescritto dalla disposizione eurounitaria, il cui adempimento era del resto di facile esecuzione, consistendo nella mera comunicazione all’interessato, senza particolari oneri o formalità, dei motivi del ritardo.
Risultava, pertanto, che l’Avvocato, in qualità di titolare del trattamento, ha violato la disposizione di cui all’art. 12 paragrafo 3, del RGPD, non avendo comunicato all’interessato la proroga dei termini di legge per il riscontro alla richiesta di informazioni di quest’ultimo e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Sulla base dei criteri indicati dall’art. 83 del RGPD, considerando che la condotta ha esaurito i suoi effetti, che il riscontro all’esercizio dei diritti dell’interessato è stato comunque spontaneamente fornito sia pur in ritardo, che non risultano eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento, che il livello del danno subito dall’interessato appare di lieve entità e che non sembrano sussistere eventuali fattori aggravanti, quali benefici finanziari conseguiti o perdite evitate, direttamente o indirettamente, quale conseguenza della violazione, l’Autorità indipendente ha ritenuto non sussistenti i presupposti per infliggere una sanzione amministrativa pecuniaria di cui all’art. 58, par. 2, lett. i) del Regolamento ma, essendo comunque stata accertata l’illiceità del trattamento di dati personali, ha ritenuto di dover ammonire, ai sensi degli artt. 58, par. 2, lett. b) del RGPD, l’Avvocato per aver violato l’art. 12, par. 3, del RGPD.
Adempimenti privacy per lo studio legale.
Senza pretesa di esaustività e non tenendo conto dell’organizzazione interna dello studio legale, si possono orientativamente indicare, a mero titolo esemplificativo, i seguenti come adempimenti privacy che non possono mancare in uno studio legale.
In primo luogo, trattando l’Avvocato principalmente dati giudiziari ai sensi dell’art. 10 GDPR, dovrà necessariamente predisporre e tenere aggiornato un registro delle attività di trattamento ai sensi dell’art. 30 GDPR nel quale dovrà specificare nome e i dati di contatto del titolare del trattamento (o del contitolare del trattamento) e del responsabile della protezione dei dati (qualora nominato); le finalità e la base giuridica del trattamento; una descrizione delle categorie di interessati e delle categorie di dati personali trattati; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; l’eventuale trasferimento di dati personali verso un paese terzo; i termini ultimi previsti per la cancellazione delle diverse categorie di dati e una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1, eventualmente utilizzando l’apposita modulistica predisposta dal Garante privacy2.
Non potrà mancare l’informativa sul trattamento dei dati ai sensi dell’art. 13 GDPR nei confronti (quantomeno) dei propri clienti, che dovrà essere consegnata contestualmente alla firma della procura o, comunque, al conferimento dell’incarico.
Nei confronti di tutti i professionisti e le società che trattano dati personali per conto del Titolare dovranno essere predisposti e fatti firmare atti di nomina o contratti che abbiano i requisiti di cui all’art. 28 GDPR.
Occorrerà, inoltre, assicurarsi che i dipendenti abbiano ricevuto idonea formazione sul trattamento di dati personali in ottemperanza all’obbligo previsto all’art. 29 GDPR.
Da ultimo, massima attenzione va dedicata al riscontro, nei termini, delle istanze degli interessati ai sensi degli artt. 15 –22 GDPR. Allo scopo di limitare il rischio di non riscontrarle nei termini e a seconda della complessità dell’organizzazione del Titolare, si potrebbe valutare se istituire un apposito indirizzo di posta elettronica, all’uopo dedicato.
1Il regolamento nr. 1/2019 del Garante per la protezione dei dati personali ha ad oggetto “Procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, nonché all’adozione dei provvedimenti correttivi e sanzionatori” ed è reperibile all’indirizzo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9107633