Il Regolamento UE 2016/679 (cosiddetto GDPR) in materia di protezione dati personali, entrato in vigore nel Maggio 2016 ed immediatamente applicabile in tutti gli Stati membri, è divenuto pienamente efficace a partire dal 25 Maggio 2018 (proprio per lo strumento normativo scelto, quello appunto regolamentare). In estrema sintesi e semplificando molto il concetto, possiamo dire che il mancato adeguamento alla nuova normativa comporta sanzioni a più livelli, di natura amministrativa e cautelare, salva l’ipotesi che vengano ravvisati reati.

Il GDPR è una normativa che vede, come propri destinatari, tutti coloro che trattano in ogni forma dati personali: chiunque, azienda, libero professionista, ente pubblico, che venga nella disponibilità (attenzione, non in possesso, ma, dobbiamo ribadire, nella disponibilità) di dati personali altrui, svolge automaticamente una forma di trattamento degli stessi e, pertanto, deve adeguarsi agli obblighi previsti dalla normativa europea per proteggerli e garantire agli interessati, titolari dei dati, i diritti che vengono loro concessi e che non erano contemplati dalla ormai profondamente modificata L. 196/2003.

Chi non è soggetto al GDPR?

• Chiunque tratti o disponga dati personali solo per un uso esclusivamente domestico o personale.

Di conseguenza, ogni altro soggetto dovrà essere compliant alla nuova disciplina che, di fatto, pur con i dovuti distinguo e differenti modalità di applicazione, pone Google e Facebook sullo stesso piano di un piccolo commerciante e di un libero professionista. 

L’avvocato è ricompreso nel novero di chi non può pertanto esimersi.
I dati con cui un avvocato viene in contatto nell’esercizio della professione sono, per natura, particolarmente sensibili. Oltre ai semplici dati anagrafici, un legale viene immediatamente a conoscenza dei dati giudiziari dei propri assistiti, oltre a quelli che possono rivelare l’orientamento religioso o politico (si pensi all’appartenenza ad una sigla sindacale, riconosciuto dato sensibile dallo stesso Garante), ma anche il quadro completo del contesto familiare, compresi i dati di minori, oltre a quelli di tutte le controparti e di coloro con cui si può venire in contatto quotidianamente. Si pensi non solo a testimoni o consulenti, ma anche carabinieri o agenti di PS con i loro gradi e mansioni ovvero, in procedimenti penali con pluralità di imputati, i dati personali di tutti questi. Una mole di dati su cui, purtroppo, spesso non si riflette.

È ovvio che, con il conferimento del mandato, l’avvocato entra nella disponibilità dei dati personali del proprio cliente, che vengono comunicati ai fini dell’espletamento dell’incarico; ma proprio ai fini dell’esecuzione di un’obbligazione di natura contrattuale, il legale verrà in possesso, in quanto disciplinato da obblighi di legge, di dati sensibili di una pluralità di soggetti. Ecco che, di conseguenza, l’obbligo di protezione si estende a tutta questa massa di dati il cui trattamento travalica i doveri deontologici, in primis il segreto professionale, che permangono e restano alla base della professione.

A fini di chiarezza è opportuno precisare che il diffondere, anche in maniera accidentale o per sbadataggine, fatti, circostanze, avvenimenti o quanto appreso dai propri assistiti è violazione del segreto professionale e ciò prevede sanzioni disciplinari. La perdita di dati personali ovvero il furto degli stessi, invece, configura violazione del GDPR ed è fattispecie soggetta ad altra tipologia di sanzioni, che vengono emesse da altro organismo.

La protezione dei dati personali del cliente, oltre ad essere essenziale per garantire il segreto professionale, diventa un’obbligazione ulteriore ed accessoria nel rapporto professionista-cliente che non può e non deve essere sostituita dal primo. Non solo quindi i doveri canonici di riservatezza, ma anche particolare attenzione agli accorgimenti tecnologici che, oggi, non si concretizzeranno più nella sola attuazione del processo telematico, ma anche nella predisposizione di misure volte a proteggere archivi cartacei e informatici, ma anche e principalmente predisporre informative corrette ed esaustive che rendano edotti non solo i propri clienti in relazione al trattamento dati, ma anche che cautelino e proteggano da possibili rimostranze da parte di terzi e controparti. Un avvocato può correre il rischio di vedersi restituita, ad esempio, una lettera di messa in mora, magari con l’indicazione che non era stato autorizzato al trattamento dei dati personali della controparte. Pertanto, se è pur vero che il GDPR può aprire sbocchi a nuove opportunità professionali, è allo stesso modo possibile che possa creare non poche difficoltà nella sua applicazione.