GRUPPO INIZIATIVA FORENSE

Privacy  e studi legali

Misure di sicurezza, Consenso ed Informativa, Il Documento Programmatico

Verona 27 febbraio 2004 ore 15,30

TRATTAMENTO DEI DATI SENZA L’AUSILIO
DI STRUMENTI ELETTRONICI

Relazione dell’avv. Giulia Ferrarese del Foro di Verona

Le operazioni di trattamento dei dati indicate dall’art. 4 D.Lgs. n. 196/03 (“operazioni… concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati”) riguardano espressamente anche i trattamenti effettuati senza l’ausilio di strumenti elettronici.

Oggetto di trattamento sono i dati personali, cioè qualsiasi informazione su un soggetto (persona fisica o giuridica, anche non residenti). Ad esempio, sono dati personali i numeri di telefono abbinati al nominativo dell’intestatario, gli indirizzi e-mail se permettono di risalire al titolare.

Nell’ambito dei dati personali distinguiamo:  dati sensibili, dati giudiziari e dati comuni.

Sono dati sensibili  quelli che rivelano direttamente o che sono idonei a rivelare una informazione di tipo “sensibile” (tassativamente elencata nell’art. 4 lett. d) D.Lgs. n. 196/03).

 Sono  dati giudiziari  quelli idonei a rivelare l’esistenza di provvedimenti tassativamente indicati nell’art. 3, comma 1, DPR n. 313/02 ovvero la qualità di imputato o di indagato.

Sono dati comuni i dati personali residuali, che non rientrano nei dati sensibili o giudiziari.

Le informazioni che integrano i dati personali possono essere veicolate non solo tramite la scrittura  ma anche tramite le immagini (ad es. fotografie o riprese) od i suoni (ad es. la voce registrata nel corso di una telefonata).

Dati sensibili possono pertanto essere contenuti in documenti cartacei quali, ad esempio, le lettere, le cartelle cliniche ma anche nelle fotografie o nelle radiografie.

Le operazioni di trattamento, dettagliatamente descritte nell’art. 4 sopra riportato, si possono suddividere in tre categorie:

 a) operazioni di raccolta dei dati (direttamente dall’interessato o da terzi);

 b) operazioni di trattamento all’interno della struttura, per organizzare e rendere i dati agevolmente usufruibili (ad es. annotazione manuale in una rubrica di nomi, indirizzi e numeri di telefono; raccolta e conservazione dei dati nei  fascicoli di studio, archiviazione dei fascicoli ovvero cancellazione o distruzione dei dati ad es. cestinando gli stessi);

c)      uso dei dati nei rapporti con l’esterno:

-         direttamente con il soggetto cui si riferiscono i dati raccolti;

-         mettendo a disposizione di terzi i dati raccolti (comunicazione, diffusione) .

Oltre all’art. 4 cit., anche l’art. 11 D. Lgs. n. 196/03 detta regole valide anche per il trattamento dei dati senza l’ausilio di strumenti elettronici.

I dati vanno trattati:

-         in modo lecito: cioè conformemente alle disposizioni del codice della privacy, nonché alle disposizioni del codice civile (il trattamento non deve pertanto essere contrario a norme imperative, all’ordine pubblico ed al buon costume);

-         secondo correttezza: principio fondamentale che deve ispirare chi tratta qualcosa che appartiene alla sfera altrui;

-         per scopi determinati (non è consentita la raccolta di dati come attività fine a se stessa), espliciti (il soggetto interessato va informato sulle finalità del trattamento), legittimi, compatibili con gli scopi per i quali sono raccolti (specialmente  nella comunicazione e diffusione degli stessi);

-         esatti (cioè precisi e rispondenti al vero) e, se necessario, aggiornati;

-         pertinenti (in relazione all’attività che viene svolta), completi (non nel senso di raccogliere il maggior numero di informazioni possibili ma bensì di contemplare anche il rovescio della medaglia dei dati raccolti, con riferimento al concreto interesse e diritto del soggetto interessato), non eccedenti in senso quantitativo (onde evitare una sorta di  “schedatura” del soggetto interessato);

-         conservati limitatamente al periodo necessario in relazione agli scopi per i quali sono raccolti. Trascorso detto periodo  i dati vanno resi anonimi o cancellati e la loro comunicazione e diffusione non è più consentita (art. 25 D. Lgs. n. 196/03). Va tuttavia precisato che la norma deve essere coordinata con altre norme imperative: ad es. l’art. 2220 c.c. (che prevede che le fatture e la corrispondenza ricevuta nonché copia delle fatture e della corrispondenza spedita siano conservate per 10 anni),  nonché l’art. 2961 c.c. (per cui ad es. gli avvocati sono esonerati dal rendere conto degli incartamenti relativi alle liti dopo tre anni da che queste sono state decise o sono altrimenti terminate e, trattandosi di prescrizione presuntiva, è altresì consigliabile conservare gli incartamenti, come è prassi, per dieci anni).

Se il trattamento di dati è effettuato in violazione di quanto disposto dal codice della privacy è necessario provvedere al “blocco” dei dati (sospensione temporanea di ogni operazione di trattamento) fino alla regolarizzazione del trattamento (ad es. fornendo l’informativa omessa o raccogliendo il consenso non dato) ovvero alla cancellazione dei dati se non è possibile regolarizzare. Per la violazione delle disposizioni in materia di trattamento sono previste sanzioni penali (art. 167, 2° comma).

L’art. 31 D.Lgs. n. 196/03 dispone che “ i dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato  o di trattamento non consentito o non conforme alle finalità della raccolta”.

Sono le c.d. misure idonee di sicurezza. Si tratta di accorgimenti che il soggetto che tratta i dati deve adottare per ridurre i rischi di:

-         distruzione o perdita dei dati: ad es. a seguito di incendio;

-         acceso non autorizzato ai dati: ad es.  estranei che si  introducano nei locali per rubare dati o farne copia ovvero dipendenti che accedano ai dati senza autorizzazione;

-         trattamento non consentito o non conforme alle finalità della raccolta.

La norma non individua in concreto le misure minime che devono essere pertanto determinate dal titolare o dal responsabile.

Inoltre, la norma non parla di eliminazione totale dei rischi ma di riduzione degli stessi.

E’ importante, pertanto, che se gli eventi negativi dovessero verificarsi (nonostante l’adozione delle misure) le conseguenze siano contenute grazie all’adozione di adeguati accorgimenti. Se ad es. estranei o ladri dovessero introdursi nei locali ove sono custoditi i dati (nonostante la presenza di un porta blindata) la conservazione dei dati sensibili in fascicoli inseriti in schedari chiusi (con la chiave non a portata) riduce il rischio di accesso a detti dati.

Le misure devono essere commisurate alla natura dei dati ed assicurare ad es. una maggiore protezione dei dati sensibili rispetto a quelli comuni.

Peraltro, se i dati sensibili e comuni sono trattati insieme e non è possibile separarli, sarà necessaria l’adozione delle misure di protezione più ampie.

Dette misure vanno poi aggiornate in relazione al progresso tecnico.

Il trattamento di dati effettuato “manualmente”, cioè senza l’ausilio di strumenti elettronici, è disciplinato espressamente dall’art. 35 D.Lgs. n. 196/03 e dall’allegato B (disciplinate tecnico).

Possiamo individuare tre ordini di misure:

1) Redazione ed aggiornamento periodico del “mansionario privacy”:

art. 35 lettera a): aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative

allegato B punto 27: Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

E’ pertanto necessario:

-         almeno una volta all’anno, aggiornare il documento (c.d. mansionario privacy) contenente la definizione dei dati che gli incaricati sono autorizzati a trattare e la tipologia dei trattamenti consentiti. Il documento non va redatto personalmente per ogni incaricato ma si può redigere per classi omogenee di incarico, indicando altresì i nominativi degli incaricati che confluiscono nella medesima classe;

-         vanno impartite istruzioni scritte agli incaricati per il controllo e la custodia degli atti e documenti durante tutto il ciclo delle operazioni di trattamento dei dati personali.

2) custodia di atti e documenti

art. 35 lettera b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti

allegato B punto 28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

Collegando il disposto delle norme sopra indicate con l’art. 35 lett a) ed il punto 27 dell’allegato B) si deduce  che gli atti e i documenti, contenenti dati personali, non devono essere lasciati  vagare senza controllo ed a tempo indefinito per gli uffici, ma occorre che gli incaricati, cui essi sono affidati per lo svolgimento delle loro mansioni, provvedano in qualche modo a controllarli e custodirli, per poi restituirli al termine delle operazioni loro affidate. Questa è una prescrizione di carattere generale, da ritenersi valida anche per gli atti ed i documenti contenenti solo dati di natura comune.

L’allegato B  per gli atti e documenti contenenti dati sensibili e giudiziari prevede espressamente che gli incaricati provvedano a custodirli per tutto il tempo del trattamento ed a restituirli al termine delle operazioni di trattamento. Durante il trattamento atti e documenti non dovranno essere lasciati incustoditi ed è pertanto opportuno che gli incaricati siano dotati di cassetti con serratura ove riporre gli stessi se si allontanano anche temporaneamente ovvero al termine della giornata, qualora il trattamento non fosse terminato. Finito il trattamento i documenti dovranno essere restituiti  ovvero ricollocati nel posto in cui sono stati prelevati (ad es. archivio o schedario delle pratiche in corso). Non è pertanto necessario che il titolare o responsabile provveda a prelevare personalmente atti e documenti ed a consegnare gli stessi agli incaricati. E’ sufficiente indicare all’incaricato quali atti e documenti trattare, lasciando a quest’ultimo il compito di prelevarli e riporli.

In definitiva, va prestata attenzione a che atti e documenti cartacei (anche lettere o comunicazioni pervenute tramite la posta o  a mezzo telefax) od i fascicoli delle pratiche non si trovino sparsi sulle scrivanie (specie quando si ricevono clienti) o appoggiati su ripiani o in luoghi in cui siano visibili a terzi non autorizzati, che possono venirne a conoscenza e divulgarli. E’ importante pertanto provvedere allo smistamento e consegna tempestiva al destinatario della posta e delle comunicazioni trasmesse a mezzo telefax, onde evitare che le comunicazioni rimangano incustodite e visibili a terzi. E’ bene inoltre che i fascicoli siano custoditi negli appositi schedari (chiusi a chiave se nei fascicoli sono contenuti anche dati sensibili e giudiziari) e prelevati per il tempo necessario al trattamento. Sarebbe consigliabile quindi arrivare ad abituarsi a lavorare un fascicolo alla volta.

3) Archiviazione di atti e documenti

art. 35 lettera c): previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati

allegato B punto 29: L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.

Si precisa infine che il titolare, anche qualora vengano trattati dati sensibili (ad es. relativi La norma non detta più alcuna regola per l’archiviazione di atti e documenti contenenti solo dati di natura comune.

Per atti e documenti contenenti dati sensibili e giudiziari è invece implicitamente prescritta la conservazione in locali specifici a ciò destinati, che consentano il controllo nell’accesso.

E’ prescritta l’adozione delle misure sotto indicate:

a)     l’accesso agli archivi va controllato mediante uno dei seguenti accorgimenti:

-         strumenti elettronici (ad es. tesserino magnetico distribuito agli incaricati);

-         incaricando alcune persone della vigilanza degli archivi;

-         autorizzando preventivamente chi accede agli archivi (è consigliabile  in tal caso tenere i locali destinati ad archivio chiusi a chiave e consegnare la chiave alla persona autorizzata con istruzioni di richiudere a chiave e restituire la chiave al termine delle operazioni);

b)     dopo l’orario di chiusura, le persone che accedono agli archivi vanno identificate e registrate;

Le misure minime indicate nel disciplinare tecnico saranno aggiornate periodicamente in relazione all’evoluzione tecnica ed all’esperienza maturata (art. 36).alla salute dei dipendenti) solo su supporto cartaceo, è comunque tenuto ad accertarsi che il soggetto esterno cui sono trasmessi detti dati  (ad es. chi è incaricato di elaborare le buste paga dei dipendenti) abbia adottato le misure minime previste a protezione.

Si allega un fac-simile di lettera di incarico al trattamento dei dati a personale dello studio e di lettera di incarico a terzi (ditta che effettua le pulizie dello studio).

E’ opportuno segnalare che la normativa sulla privacy è entrata in vigore l’8.5.1997, il regime transitorio è oggi regolato dall’art. 180 e dall’art. 181 del Decreto L.gs. 30.6.2003 nr. 196.

Un ultima annotazione per i Notai, essi sono soggetti a precise regole di conservazione degli atti stabilite dalla Legge Notarile; valga per loro – come per tutti- il principio che se altre disposizioni stabiliscono regole, anche  più rigide, per la conservazione ed il trattamento dei dati, in ogni  caso sempre andranno salvaguardate ed assicurate le misura minime ed idonee introdotte con la col Dlgs 30.6.2003 nr. 196.

BOZZA DI LETTERA DI INCARICO AL TRATTAMENTO DEI DATI

Il sottoscritto ………in qualità di Titolare/Responsabile del trattamento dei dati dello Studio Legale………sito in……..

Incarica il Dr./sig./la sig.ra……….nato/a a………il…….al trattamento dei dati personali nell’ambito delle funzioni di ….(ad es. segretaria)che è chiamato/a a svolgere.

A tal fine vengono fornite informazioni ed istruzioni per l’assolvimento del compito assegnato.

Premesso che:

-         il trattamento dei dati deve essere effettuato in modo lecito e corretto;

-         i dati personali devono essere raccolti e registrati unicamente per finalità inerenti l’attività svolta;

-         è necessaria la verifica costante dei dati ed il loro aggiornamento;

-         è necessari ala verifica costante della completezza e pertinenza dei dati trattati;

-         devono essere rispettate le misure di sicurezza predisposte dal Titolare/Responsabile e di cui al documento programmatico sulla sicurezza;

-          in ogni operazione del trattamento  deve essere garantita la massima riservatezza ed in particolare:

a)       divieto di comunicazione e/o diffusione dei dati senza la preventiva autorizzazione del Titolare/Responsabile;

b)      l’accesso ai dati dovrà essere limitato all’espletamento delle proprie mansioni ed esclusivamente negli orari di lavoro;

c)       la fase di raccolta del consenso dovrà essere preceduta dalla informativa ed il consenso degli interessati rilasciato in forma scritta;

-         in caso di interruzione, anche temporanea, del lavoro verificare che i dati trattati non siano accessibili a terzi non autorizzati;

-         le proprie credenziali di autenticazione devono essere riservate.

Gli obblighi relativi alla riservatezza, alla comunicazione ed alla diffusione dovranno essere osservati anche in seguito a modifica dell’incarico e/o cessazione del rapporto di lavoro.

Ciò premesso, nell’ambito della qualifica di……Le viene conferito l’incarico di compiere le operazioni di trattamento sotto elencate, con l’avvertimento che  dovrà operare osservando le direttive del Titolare /Responsabile  e nel rispetto dei principi di cui in premessa:

a) raccogliere, registrare e conservare i dati presenti negli atti e documenti contenuti nei fascicoli di studio      e nei supporti informatici avendo cura che l’accesso ad essi sia possibile solo ai soggetti autorizzati;

b) eseguire qualsiasi altra  operazione di trattamento nei limiti delle proprie mansioni e nel rispetto delle norme di legge.

Pertanto potrà avere accesso a

Tutti i dati comuni, sensibili e giudiziari

Ovvero

Esclusivamente ai seguenti dati…….

Qualsiasi altra informazione può esserLe fornita dal Titolare che provvede anche alla formazione.

Per ogni altra misura ed istruzione qui non prevista ci si richiama al D.P.S., che viene allegato alla presente.

Verona, lì….                                            Il Titolare del trattamento

Per conoscenza ed accettazione

Avv. Giulia Ferrarese

Verona, via Rosa 8

Tel. 0458002239

Email rosa-ferrarese@iol.it

Bibliografia: “il nuovo codice privacy: che fare?” di M. Bernasconi e dr. M. L. Riva Diamind.com s.r.l.(scaricabile anche via internet) ed al quale ho fatto riferimento per le note di cui sopra.; “Guida pratica alle nuove misure di sicurezza per la privacy” F. Berghella . Maggioli Editore; Riem “Privacy e sicurezza”, Edizione Simone.