Rapporti di lavoro

Risposte in 30 giorni senza oneri extra, così lo studio garantisce l’accesso ai dati

Dopo l’ammonimento del Garante Privacy al professionista che ha tardato a soddisfare la richiesta, ecco le indicazioni sulle istanze per la trasmissione delle informazioni: tra gli obblighi identificazione del richiedente e pagamento solo dei costi vivi

di Marisa Marraffino

Per gli studi il tema della privacy non è solo legato alla raccolta e alla conservazione corretta dei dati della clientela. I professionisti hanno anche l’obbligo della trasparenza e di consentire un accesso celere alle informazioni raccolte.

Il diritto di accesso deve essere garantito in tempi certi, al massimo entro un mese dalla richiesta. E se si verificano ritardi, dovuti alla complessità del caso o al numero di istanze ricevute, occorre tenere aggiornato l’interessato. A vigilare sul rispetto della scadenza c’è, anche per i professionisti, il Garante della privacy.  

E infatti il Garante per la protezione dei dati personali con il provvedimento 17 dello scorso 27 gennaio ha ammonito un avvocato che aveva risposto dopo quasi due mesi a una richiesta di accesso agli atti pervenuta a mezzo raccomandata da un cliente.

Per il Garante il regolamento Ue 679/2016 (Gdpr) è chiaro nel fissare tempi certi di risposta a fronte dell’istanza del soggetto interessato. La risposta deve avvenire senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. La scadenza può essere prorogata di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste, ma il titolare del trattamento deve informare l’interessato.

Il quadro normativo

Il diritto di ricevere copia dei propri dati personali è oggi cristallizzato dall’articolo 15 del Gdpr, oltre che dai codici deontologici dei professionisti. Per gli avvocati, l’obbligo si estende a tutta la documentazione giudiziale e stragiudiziale, ad eccezione della corrispondenza riservata tra colleghi. Sulla questione ancor prima dell’entrata in vigore del regolamento Ue 679/2016 (Gdpr), si erano pronunciate le Sezioni Unite della Cassazione precisando che l’avvocato non deve ostacolare il diritto di accesso agli atti del cliente. Mettere a disposizione i documenti presso il proprio studio può non bastare se di fatto il professionista ne ostacola la ricezione da parte del cliente, ad esempio muovendosi nella direzione di evitare la consegna delle copie di una parte degli atti processuali o stragiudiziali (Corte di cassazione a Sezioni Unite, sentenza 24080 del 17 novembre 2022).

La sicurezza

Ma la richiesta di accesso ai dati prevede anche particolari doveri di verifica da parte del professionista che deve evitare accessi non autorizzati e garantire alti standard di sicurezza.

Quando ad esempio le istanze pervengano tramite mail ordinaria è onere del professionista identificare correttamente il cliente ed è dovere di quest’ultimo collaborare per evitare l’invio di dati riservati a soggetti non autorizzati. Lo prevede espressamente l’articolo 12 del Gdpr, che impone sempre come standard minimo l’identificazione del soggetto interessato. E la questione è particolarmente complessa quando il cliente invia la richiesta informalmente, ad esempio tramite una mail ordinaria non direttamente riconducibile a lui.

I dati richiesti nella maggior parte dei casi sono dati “particolari” (ex dati sensibili), e l’invio tramite posta ordinaria richiede l’adozione di precise cautele da parte del professionista.

Ad esempio, il Consiglio dell’Ordine degli avvocati di Firenze, con il parere del 30 dicembre 2019, ha ritenuto che l’avvocato possa consegnare copia dei dati al cliente con ogni mezzo «purché sia assicurata la loro ricezione da parte del cliente». Una mail semplice può non bastare se ad esempio non vi è la certezza che quell’account sia riferibile al cliente.

Occorre poi che il professionista adotti tutte le misure di sicurezza necessarie per l’invio di dati particolari come allegato di una mail. I professionisti per essere compliant al Gdpr dovranno adottare elevate misure di sicurezza tecnologica, come l’utilizzo di standard crittografici, la convalida personale degli indirizzi e-mail, l’ uso di password inviate tramite canale separato per l’ apertura del file, oltre a sottoporre ai clienti una specifica informativa e acquisire un autonomo consenso all’invio degli atti a mezzo e-mail.

Il pagamento

L’articolo 33 del codice deontologico forense impedisce, poi, all’avvocato di subordinare la richiesta di accesso agli atti al pagamento della notula, dovendo il professionista semmai agire dopo per il recupero del credito. Ma se questo è vero, d’altro canto oggi il Gdpr prevede che il responsabile del trattamento possa richiedere il pagamento di «costi ragionevoli» che tengano conto delle spese vive amministrative sostenute per la fornitura delle informazioni.

Spetta quindi al professionista definire le misure più adeguate tra quelle possibili e di garantire la conformità al Regolamento dei trattamenti eseguiti nell’ottica di assicurare i diritti dei clienti, con lo scopo di assicurare la protezione delle persone fisiche nel trattamento dei dati, soprattutto quelli giudiziari e particolari in generale.

Per saperne di piùRiproduzione riservata ©