_____________________

AVVOCATI E PRIVACY, LE NUOVE MISURE DI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI

Stiamo assistendo negli ultimi tempi ad una serie di interventi che interessano la professione di avvocato; dopo tante modifiche solo ideologiche, ecco arrivarne alcune meramente pratiche: tutti gli avvocati sono obbligati ad adottare le misure di sicurezza dei dati di cui all'articolo 15 della Legge 675/1996 e le relative misure di attuazione (DPR 318/1999).
Dunque, I dati personali oggetto di trattamento dovranno, d'ora in poi, essere custoditi, al fine di ridurre al minimo rischi di distruzione o perdita (anche se accidentale) e controllati, per evitare un accesso non autorizzato dei dati stessi o un trattamento non consentito o non conforme alle finalità della raccolta.
Ma quali sono realmente gli adempimenti da porre in essere per l'adeguamento alla legge di tutela dei dati personali (sia comuni che sensibili) gestiti dall'avvocato nella sua professione e in relazione all'organizzazione del proprio studio?
L'elenco ce lo fornisce un comunicato O.U.A. inviato a tutti i Consigli dell'Ordine degli Avvocati del Territorio il 20.12.2000 (prot. 329/00) e prevede:
1. Nomina, da parte del titolare, di "eventuali" responsabili degli incaricati del trattamento dei dati personali, per iscritto, con indicazione delle attività di trattamento dei dati che gli stessi possono compiere.
2. Accesso ai dati: a) nel caso in cui si utilizzino elaboratori non accessibili da altri elaboratori o terminali, deve essere prevista una parola chiave che sarà fornita agli incaricati del trattamento e potrà essere autonomamente sostituita, ove lo consentano le caratteristiche tecniche dell'elaboratore; b)in caso di più incaricati e più parole chiave, sarà necessario individuare per iscritto i soggetti preposti alla loro custodia. A tali soggetti dovranno essere comunicate, in busta chiusa, le sostituzioni della parola chiave.
3. Antivirus e protezione da programmi pericolosi: mediante idonei programmi, la cui efficacia ed aggiornamento sono verificati con cadenza almeno semestrale. Qualora si utilizzino elaboratori accessibili mediante una rete di telecomunicazione disponibile al pubblico, oltre a quanto previsto sopra dovrà essere attribuito, a ciascun utente o incaricato del trattamento, un codice identificativo personale per l'utilizzazione dell'elaboratore.
4. Tali codici identificativi personali devono essere assegnati e gestiti in modo che ne sia prevista la disattivazione in caso di perdita della qualità che consenta l'accesso all'elaboratore o di mancato utilizzo degli stessi per un periodo superiore a sei mesi. E' altresì necessaria l'autorizzazione all'accesso rilasciata singolarmente o per gruppi di lavoro agli incaricati dal titolare o, se designato, dal responsabile.
Tale autorizzazione è limitata ai soli dati la cui conoscenza è necessaria e sufficiente per lo svolgimento delle operazioni di trattamento o di manutenzione.
Qualora gli elaboratori sono accessibili mediante una rete di telecomunicazione disponibile al pubblico e il trattamento riguardi dati particolari di cui agli artt. 22 e 24 della Legge 675/96 l'autorizzazione deve riguardare anche gli strumenti che possono essere utilizzati per l'interconnessione. In tal caso è inoltre necessario predisporre il documento programmatico della sicurezza. Tale documento, che deve essere aggiornato con cadenza annuale, è una sorta di check - up dei rischi che la banca dati corre e delle contromisure per evitarli.
5. Trattamenti cartacei dei dati personali: il titolare o, se designato, il responsabile devono prescrivere che gli incaricati abbiano accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati. Gli atti e i documenti contenenti i dati personali devono essere conservati in archivi ad accesso selezionato e, se affidati agli incaricati del trattamento, questi sono tenuti a conservarli ed a restituirli al termine delle operazioni loro affidate. Se si tratta di dati particolari, gli incaricati del trattamento sono tenuti a conservare gli atti e documenti che li contengono, sino alla restituzione, in contenitori muniti di serratura.
Tali misure devono essere adottate anche in riferimento alla conservazione e custodia dei supporti non informatici contenenti la riproduzione di informazioni relative al trattamento dei dati particolari.
6. Identificazione e registrazione dei soggetti ammessi agli archivi dopo l'orario di chiusura .
Si può pertanto concludere che la legge richiede due comportamenti: uno indicato dalle norme che stabiliscono il livello minimo di sicurezza al di sotto del quale è illegittimo trattare i dati personali; l'altro demandato a ciascun titolare del trattamento al fine di valutare in autonomia le misure più ampie, diverse da quelle minime, da porre in essere a tutela dei dati personali trattati.
Solo per completezza dell'indagine si ricorda che in caso di inadempienza, l'art.36 L.675/96 punisce con la reclusione sino ad un anno "chiunque essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 15 (il primo di detti regolamenti è rappresentato appunto dal DPR 318/99).
E' indubbio che il principale obiettivo della L. 675/96 è garantire che il trattamento dei dati personali si svolga sempre nel rispetto dei diritti , delle libertà fondamentali e della dignità dei soggetti; è anche vero che la complessa evoluzione tecnologica delle reti telematiche e di internet espone oggi -permettendo la trasmissione delle informazioni a distanza e in tempo reale- sempre più il singolo al rischio di violazioni del privato da parte di terzi col rischio che questi possano poi determinare una errata rappresentazione della propria immagine e personalità nella società; ma è altrettanto vero che la tutela della privacy dei singoli era dagli avvocati già rispettata in ossequio alle norme del Codice Deontologico, di cui la Classe forense si era autodotata per regolamentarsi.
E che dire poi della considerazione che sino ad oggi un avvocato, il quale nello svolgimento della propria attività era sottoposto solo a norme provenienti da organi forensi - a cominciare dal C.N.F. per finire al Consiglio dell'Ordine di appartenenza-, oggi, con l'introduzione di questi ulteriori adempimenti, si vede costretto quantomeno a rivolgere la sua attenzione anche all'Autorità Garante (che spesso non è immune da venti politici !?): infatti, se è vero che l'art.7 comma 5 ter, lettera f) della L.675/96 prevede l'esonero della notifica al Garante del trattamento dei dati effettuato da liberi professionisti iscritti in albi o elenchi professionali, purchè finalizzato all'adempimento di specifiche prestazioni e fermo restando il segreto professionale, restano inalterati gli altri obblighi previsti dalla legge a carico dei titolari del trattamento i quali sono sempre tenuti a comunicare a qualunque interessato ne faccia richiesta le notizie che dovrebbero essere inserite nella notifica al Garante, ossia: ogni spiegazione circa tipologia di dati, ambito di comunicazione e diffusione, modalità e finalità del trattamento, sicurezza dei dati..
E mentre sta per scadere il termine (31.12.2000) entro il quale ciascuno deve predisporre il documento di adeguamento alla tutela della privacy, che -ricordiamo- deve essere redatto con data certa (autentica notaio o timbro postale) e tenuto dallo stesso professionista nel proprio studio, una riflessione sorge spontanea: non c'è dubbio che le misure attuative della L.675/96 - le quali tutte non tengono conto né della peculiarità della professione di avvocato né delle certezze già in essere- renderanno più gravoso l'esercizio dell'attività dell'avvocato, ma non contribuiranno a dare professionalità al singolo professionista, di sicuro non a chi da sempre ha operato attenendosi al codice Deontologico di cui l'intera classe si era previamente munito.

(Avv. Antonella Addeo, già in "Impegno Forense", periodico a cura dell'Ordine degli Avvocati di Nola, n.2/3, luglio-dicembre 2000)

.

.