Al mondo forense non è ancora del tutto chiara l’importanza del rispetto della privacy, sia a tutela dei diritti del proprio assistito, sia a difesa del portafoglio dell’avvocato. Quando chiedo ad un legale se si è allineato alla normativa privacy, la risposta che più frequentemente ricevo è “la legge sulla privacy non mi riguarda, perché tratto dati personali per ragioni di giustizia”. La conseguenza di questo approccio alla norma è duplice, con effetti non alternativi tra loro bensì cumulativi:
- sanzione economica (a titolo esemplificativo e non esaustivo, cfr. provvedimento Garante n. 6461068 con 8 mila euro di sanzione, ma anche provvedimento Garante n. 9745860)
- inutilizzabilità processuale dei dati acquisiti in violazione della norma (a titolo esemplificativo e non esaustivo, cfr. Cassazione 28378/2023 e Tribunale di Roma, sezione lavoro, giudizio 7571/2023, sentenza 14/2/2024)
La suddetta risposta è ancor più assurda se si pensa che quando indossa la toga l’avvocato è soggetto attivo rispetto alla privacy, ma quando la sveste è soggetto passivo. Gli avvocati sono innanzitutto persone, i cui dati personali sono trattati da banche, compagnie telefoniche ed assicurative, supermercati, palestre, medici, social network, scuole (!!!! – e con loro quelli dei figli), e chi più ne ha più ne metta. Siete ancora convinti che la privacy non vi riguardi?
Ma riavvolgiamo il nastro e soffermiamoci sulla privacy nel lavoro.
In capo ad ogni soggetto sussiste un obbligo di carattere generale di acquisire preventivamente dall’interessato il consenso al trattamento dei suoi dati personali (cfr. ex articolo 23 del d. lgs. 196/03 e Considerando 47 GDPR). A tale onere si può derogare allorquando il trattamento sia necessario per varie finalità, tra cui quella di “far valere o difendere un diritto in sede giudiziaria” (cfr. ex articolo 24 del d. lgs. 196/03, comma 1, lettera f e Considerando 52 GDPR). Tale esimente prevede però l’obbligo di trattare i dati esclusivamente per il tempo necessario alla tutela del diritto, e con l’ulteriore doveroso adempimento di eliminare tutte quelle informazioni eccedenti e non pertinenti rispetto alla finalità.
I dati personali raccolti e trattati, ovvero le informazioni e prove reperite in violazione dei suddetti dettami, sono inutilizzabili ai sensi dell’articolo 11, comma 2, d. lgs. 196/2003, così come sostituito dall’articolo 2-decies d. lgs. 101/2018 contenente identica formulazione, con l’unica aggiunta della salvezza di quanto previsto dall’art. 160bis d. lgs, n. 196/03. “Ne consegue che sul piano processuale tale norma preclude non solo alle parti di avvalersi dei predetti dati come mezzo di prova, ma pure al giudice di fondare il proprio convincimento su fatti dimostrati dal dato acquisito in modo non rispettoso delle regole dettate dal legislatore e dai codici deontologici” (cfr. Cassazione 28378/2023). D’altronde, questa assolutezza si spiega in chiave funzionale: la ratio della norma è quella di scoraggiare la ricerca, l’acquisizione e più in generale il trattamento abusivo di dati personali e, per realizzare questa funzione, il rimedio previsto dal legislatore è quello di impedirne la realizzazione dello scopo.
Ma vi è di più. È vero che la norma dota l’avvocato di un’esimente rispetto all’obbligo di acquisire preventivamente dall’interessato il consenso al trattamento dei suoi dati personali, allorquando la finalità è di tutelare un diritto in sede giudiziaria. È altrettanto vero, però, che in nessun passaggio della legge l’avvocato è sollevato da tutti gli altri adempimenti. Troppo spesso il professionista forense ritiene quell’esimente estendibile a tutti gli obblighi di specie. Ed invece egli ha sempre e comunque il dovere di istituire un registro dei trattamenti (cfr. articolo 30 GDPR); redigere una valutazione d’impatto (cfr. articolo 35 GDPR); nominare i responsabili esterni del trattamento (cfr. articolo 28 GDPR); rispondere ad eventuali richieste degli interessati (cfr. comma 3, articolo 12 GDPR); attuare misure di sicurezza adeguate (cfr. articolo 32 GDPR); garantire istruzione e formazione dei propri collaboratori (cfr. articolo 29 GDPR) …e così via.
Rispondere “la privacy non mi riguarda”, non è soltanto un mettere la testa sotto la sabbia per sfuggire ad un adempimento che a volte può risultare “rognoso”. È anche un limitare le proprie possibilità di vittoria ma, soprattutto, i diritti dei propri assistiti. Se è vero che le prove acquisite in violazione del GDPR sono inutilizzabili, per quale ragione non debbo adoperarmi in tal senso nell’interesse del mio assistito? La violazione frequentissima della norma da parte degli avvocati non è ancora sufficientemente rilevata da controparti, giudici, Garante. I primi, perché fanno “para e patta” con i colleghi; i secondi hanno iniziato a prenderla in considerazione, ma troppo spesso solo se “stimolati”; l’Autorità garante, per varie ragioni, si adopera prevalentemente su segnalazione di chi ne ha interesse. Il mondo forense dovrebbe acquisire la maturità e la sensibilità necessarie a comprendere sia l’obbligo di adeguarsi, sia la potenzialità della norma a difesa dei diritti degli assistiti, ottenendo l’inutilizzabilità dei dati e delle prove acquisite e trattate in violazione del GDPR…e, magari, il che non guasta, risparmiando i soldi delle sanzioni.
TERZULTIMA FERMATA 