GARANTE PER LA PROTEZIONE DEI DATI PERSONALI DELIBERA 19 dicembre 2018 Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria. (Delibera n. 512/2018). (19A00179) (GU n.12 del 15-1-2019)

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERA 19 dicembre 2018
Regole  deontologiche  relative  ai  trattamenti  di  dati  personali
effettuati per svolgere investigazioni difensive o per fare valere  o
difendere un diritto in sede  giudiziaria.  (Delibera  n.  512/2018).
(19A00179)
(GU n.12 del 15-1-2019)


                    IL GARANTE PER LA PROTEZIONE
                         DEI DATI PERSONALI

  Nella riunione odierna,  in  presenza  del  dott.  Antonello  Soro,
presidente, della dott.ssa  Augusta  Iannini,  vicepresidente,  della
dott.ssa Giovanna Bianchi Clerici e della  prof.ssa  Licia  Califano,
componenti, e del dott. Giuseppe Busia, segretario generale;
  Visto il regolamento (UE) 2016/679 del  Parlamento  europeo  e  del
Consiglio del 27 aprile 2016 relativo alla protezione  delle  persone
fisiche con riguardo al trattamento dei dati personali, nonche'  alla
libera circolazione di tali dati che abroga la direttiva 95/46/CE (di
seguito, «Regolamento»);
  Visto il Codice  in  materia  di  protezione  dei  dati  personali,
recante disposizioni per l'adeguamento dell'ordinamento nazionale  al
regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del
27 aprile 2016, relativo alla protezione delle  persone  fisiche  con
riguardo al trattamento  dei  dati  personali,  nonche'  alla  libera
circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto
legislativo 30 giugno 2003,  n.  196,  come  modificato  dal  decreto
legislativo 10 agosto 2018, n. 101, di seguito «Codice»);
  Visto l'art. 20, comma 4, del decreto legislativo n.  101/2018  che
demanda al Garante il compito di effettuare, nel termine  di  novanta
giorni dall'entrata in vigore del decreto stesso, una verifica  della
conformita' al Regolamento delle  disposizioni  contenute  in  alcuni
codici deontologici ivi indicati, tra i quali  quelle  contenute  nel
«Codice di deontologia e di buona condotta per i trattamenti di  dati
personali effettuati per svolgere investigazioni difensive», adottato
il 6 novembre 2008, attualmente inserito nel  Codice  in  materia  di
protezione come allegato A.6 ed  applicabile  sino  al  completamento
della menzionata procedura;
  Rilevato che, sempre secondo quanto previsto dal  citato  art.  20,
comma 4, del  decreto  legislativo  n.  101/2018,  al  termine  della
suddetta   procedura   di   verifica,   le   «disposizioni   ritenute
compatibili, ridenominate regole deontologiche, sono pubblicate nella
Gazzetta Ufficiale della  Repubblica  italiana  e,  con  decreto  del
Ministro   della   giustizia,    sono    successivamente    riportate
nell'allegato A del Codice»;
  Ritenuto che la valutazione di compatibilita' di dette disposizioni
con il regolamento non possa prescindere  da  una  loro  lettura  che
tenga integralmente conto del mutato quadro normativo di riferimento;
  Ritenuto, per tale ragione, che:
    i richiami al decreto legislativo n. 196/2003 contenuti in alcune
disposizioni  del  codice  deontologico,  nonche'   la   terminologia
utilizzata, sono  stati  opportunamente  aggiornati  ai  sensi  delle
corrispondenti disposizioni del Regolamento e  del  medesimo  decreto
legislativo n. 196/2003, come modificato dal decreto  legislativo  n.
101/2018;
    e' opportuno espungere il preambolo del  codice  di  deontologia,
dovendosi, in base al richiamato  art.  20  del  decreto  legislativo
101/2018,  ridenominare  solo  le  disposizioni  dello   stesso;   il
preambolo, invece, nel sintetizzare le  condizioni  di  liceita'  del
trattamento,   evidenziava,    altresi',    i    presupposti    della
sottoscrizione del codice di deontologia, nel rispetto del  principio
di rappresentativita', che, comunque, rimane alla base delle presenti
regole;
    e' stata eliminata  la  previsione  riguardante  il  monitoraggio
periodico del codice di deontologia e di buona condotta;
  Ritenuto  che  tali  elementi,  relativi  all'aggiornamento   della
disciplina  in  materia,  debbano  essere  recepiti   nelle   «Regole
deontologiche relative ai trattamenti di  dati  personali  effettuati
per svolgere investigazioni difensive» in ragione di quanto  disposto
dall'art. 20, comma 4, del decreto legislativo n. 101/2018;
  Ritenuto, all'esito della verifica della conformita' al regolamento
delle disposizioni previste nel «Codice di  deontologia  e  di  buona
condotta  per  il  trattamento  dei  dati  personali  effettuato  per
svolgere investigazioni difensive o per fare valere  o  difendere  un
diritto  in   sede   giudiziaria»,   che   le   medesime,   riportate
nell'allegato 1 al  presente  provvedimento  e  che  ne  forma  parte
integrante, debbano essere pubblicate ai sensi dell'art. 20, comma 4,
del  decreto  legislativo  n.  101/2018  come  «Regole  deontologiche
relative ai trattamenti di dati  personali  effettuati  per  svolgere
investigazioni difensive o per fare valere o difendere un diritto  in
sede giudiziaria»;
  Considerato che le predette «Regole  deontologiche»  sono  volte  a
disciplinare i trattamenti in questione in attesa di  un  auspicabile
aggiornamento delle stesse  ai  sensi  degli  articoli  2-quater  del
Codice;
  Vista la documentazione in atti;
  Viste le osservazioni formulate dal segretario  generale  ai  sensi
dell'art. 15 del regolamento del Garante n. 1/2000;
  Relatore il dott. Antonello Soro;

                         Tutto cio' premesso
                             il Garante:

  Ai  sensi  dell'art.  20,  comma  4,  del  decreto  legislativo  n.
101/2018, verificata la conformita' al regolamento delle disposizioni
del «Codice di deontologia e di buona condotta per il trattamento dei
dati personali effettuato per svolgere investigazioni difensive o per
fare valere o difendere un diritto in sede giudiziaria», dispone  che
le medesime, riportate nell'allegato 1 al  presente  provvedimento  e
che ne forma parte integrante, siano  pubblicate  come  «relative  ai
trattamenti di dati personali effettuati per svolgere  investigazioni
difensive  o  per  fare  valere  o  difendere  un  diritto  in   sede
giudiziaria» e ne  dispone,  altresi',  la  trasmissione  all´Ufficio
pubblicazione leggi e decreti del Ministero della  giustizia  per  la
sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana,
nonche'  al  Ministero   della   giustizia   per   essere   riportato
nell´Allegato A) al Codice.
    Roma, 19 dicembre 2018

                         Il presidente: Soro

                          Il relatore: Soro

                    Il segretario generale: Busia

                                                           Allegato 1
    Regole deontologiche relative ai trattamenti  di  dati  personali
effettuati per svolgere investigazioni difensive o per fare valere  o
difendere un diritto in sede giudiziaria

                               Capo I

                          Principi generali

                               Art. 1.

                       Ambito di applicazione

    1. Le presenti regole deontologiche devono essere rispettate  nel
trattamento di dati personali per svolgere investigazioni difensive o
per far valere o difendere un diritto in sede  giudiziaria,  sia  nel
corso di un procedimento, anche in sede amministrativa, di  arbitrato
o di conciliazione, sia nella fase propedeutica all'instaurazione  di
un  eventuale  giudizio,  sia  nella   fase   successiva   alla   sua
definizione, da parte di:
      a) avvocati o praticanti avvocati iscritti ad albi territoriali
o ai relativi  registri,  sezioni  ed  elenchi,  i  quali  esercitino
l'attivita' in forma individuale, associata o  societaria  svolgendo,
anche  su  mandato,  un'attivita'  in  sede  giurisdizionale   o   di
consulenza o  di  assistenza  stragiudiziale,  anche  avvalendosi  di
collaboratori, dipendenti o ausiliari, nonche' da avvocati  stranieri
esercenti legalmente la professione sul territorio dello Stato;
      b) soggetti che, sulla base di uno specifico incarico anche  da
parte di un difensore, svolgano in conformita' alla  legge  attivita'
di investigazione privata (art. 134 regio decreto 18 giugno 1931,  n.
773; art. 222 norme di coordinamento del c.p.p.).
    2. Le presenti regole deontologiche  si  applicano,  altresi',  a
chiunque tratti dati personali per le finalita' di cui al comma 1, in
particolare  a  altri  liberi  professionisti  o  soggetti   che   in
conformita' alla legge prestino, su mandato, attivita' di  assistenza
o consulenza per le medesime finalita'.

                               Capo II

                  Trattamenti da parte di avvocati

                               Art. 2.

                      Modalita' di trattamento

    1. L'avvocato organizza il trattamento  anche  non  automatizzato
dei dati personali secondo le modalita' che risultino piu'  adeguate,
caso per caso,  a  favorire  in  concreto  l'effettivo  rispetto  dei
diritti,  delle  liberta'  e  della   dignita'   degli   interessati,
applicando i principi di finalita', proporzionalita' e minimizzazione
dei dati sulla base  di  un'attenta  valutazione  sostanziale  e  non
formalistica delle garanzie previste,  nonche'  di  un'analisi  della
quantita' e qualita' delle informazioni che utilizza e dei  possibili
rischi.
    2. Le decisioni relativamente a quanto previsto dal comma 1  sono
adottate dal titolare del trattamento il quale resta  individuato,  a
seconda dei casi, in:
      a) un singolo professionista;
      b) una pluralita' di professionisti, codifensori della medesima
parte assistita o che, anche al di fuori del mandato di difesa, siano
stati comunque interessati a concorrere all'opera professionale quali
consulenti o domiciliatari;
      c)  un'associazione  tra  professionisti  o  una  societa'   di
professionisti.
    3. Nel quadro delle adeguate istruzioni da impartire per iscritto
alle persone autorizzate ad al trattamento dei dati,  sono  formulate
concrete indicazioni in  ordine  alle  modalita'  che  tali  soggetti
devono osservare, a seconda del loro ruolo di sostituto  processuale,
di praticante avvocato con o senza  abilitazione  al  patrocinio,  di
consulente tecnico di parte, perito, investigatore  privato  o  altro
ausiliario che non rivesta  la  qualita'  di  autonomo  titolare  del
trattamento, nonche' di tirocinante, stagista o di persona addetta  a
compiti di collaborazione amministrativa.
    4.  Specifica  attenzione  e'  prestata  all'adozione  di  idonee
cautele per  prevenire  l'ingiustificata  raccolta,  utilizzazione  o
conoscenza di dati in caso di:
      a) acquisizione anche informale di notizie,  dati  e  documenti
connotati  da  un  alto  grado  di  confidenzialita'  o  che  possono
comportare, comunque, rischi specifici per gli interessati;
      b) scambio di corrispondenza, specie per via telematica;
      c) esercizio contiguo di attivita' autonome all'interno di  uno
studio;
      d) utilizzo di dati di cui e' dubbio  l'impiego  lecito,  anche
per effetto del ricorso a tecniche invasive;
      e) utilizzo e distruzione  di  dati  riportati  su  particolari
dispositivi   o   supporti,   specie   elettronici   (ivi    comprese
registrazioni  audio/video),  o   documenti   (tabulati   di   flussi
telefonici e informatici, consulenze tecniche  e  perizie,  relazioni
redatte da investigatori privati);
      f) custodia di materiale documentato, ma non utilizzato  in  un
procedimento e ricerche su banche  dati  a  uso  interno,  specie  se
consultabili anche telematicamente da uffici  dello  stesso  titolare
del trattamento situati altrove;
      g) acquisizione di dati e documenti da terzi,  verificando  che
si abbia titolo per ottenerli;
      h) conservazione di atti relativi ad affari definiti.
    5. Se i dati sono trattati per esercitare il diritto di difesa in
sede giurisdizionale, cio' puo' avvenire anche prima  della  pendenza
di un procedimento, sempreche' i dati medesimi risultino strettamente
funzionali all'esercizio del diritto di  difesa,  in  conformita'  ai
principi di liceita',  proporzionalita'  e  minimizzazione  dei  dati
rispetto  alle  finalita'  difensive  (art.  5  del  regolamento   UE
2016/679).
    6. Sono utilizzati lecitamente e secondo  correttezza  secondo  i
medesimi principi di cui all'art. 5 del regolamento (UE) 2016/679:
      a) i dati personali contenuti in  pubblici  registri,  elenchi,
albi, atti o documenti conoscibili da chiunque, nonche' in banche  di
dati, archivi ed elenchi, ivi compresi gli atti dello  stato  civile,
dai quali possono essere estratte lecitamente informazioni  personali
riportate  in  certificazioni  e  attestazioni  utilizzabili  a  fini
difensivi;
      b) atti, annotazioni, dichiarazioni  e  informazioni  acquisite
nell'ambito di indagini difensive,  in  particolare  ai  sensi  degli
articoli 391-bis,  391-ter  e  391-quater  del  codice  di  procedura
penale, evitando l'ingiustificato  rilascio  di  copie  eventualmente
richieste. Se per effetto di un conferimento  accidentale,  anche  in
sede di acquisizione di dichiarazioni e  informazioni  ai  sensi  dei
medesimi articoli 391-bis, 391-ter e 391-quater, sono  raccolti  dati
eccedenti e non pertinenti rispetto alle  finalita'  difensive,  tali
dati, qualora non possano essere estrapolati o distrutti, formano  un
unico contesto, unitariamente agli altri dati raccolti.

                               Art. 3.

                          Informativa unica

    1. L'avvocato puo' fornire in un unico contesto,  anche  mediante
affissione nei locali dello Studio e, se  ne  dispone,  pubblicazione
sul proprio sito Internet, anche  utilizzando  formule  sintetiche  e
colloquiali, l'informativa sul trattamento dei dati  personali  (art.
13 del Regolamento) e le notizie che deve  indicare  ai  sensi  della
disciplina sulle indagini difensive.

                               Art. 4.

               Conservazione e cancellazione dei dati

    1. Fermo restando quanto previsto dall'art. 5,  par.  1,  lettera
e), del regolamento (UE) 2016/679, la  definizione  di  un  grado  di
giudizio o  la  cessazione  dello  svolgimento  di  un  incarico  non
comportano un'automatica dismissione dei dati. Una volta  estinto  il
procedimento o il relativo rapporto  di  mandato,  atti  e  documenti
attinenti all'oggetto della difesa o delle  investigazioni  difensive
possono essere conservati, in originale o in copia e anche in formato
elettronico, qualora risulti necessario in relazione  a  ipotizzabili
altre esigenze difensive della parte assistita  o  del  titolare  del
trattamento, ferma restando la loro utilizzazione  in  forma  anonima
per finalita' scientifiche.  La  valutazione  e'  effettuata  tenendo
conto della tipologia dei dati. Se e' prevista una conservazione  per
adempiere a un obbligo normativo,  anche  in  materia  fiscale  e  di
contrasto della criminalita', sono custoditi i  soli  dati  personali
effettivamente necessari per adempiere al medesimo obbligo.
    2. Fermo restando quanto previsto dal codice deontologico forense
in ordine alla restituzione al cliente dell'originale degli  atti  da
questi ricevuti, e salvo quanto diversamente stabilito  dalla  legge,
e'   consentito,   previa   comunicazione   alla   parte   assistita,
distruggere, cancellare o consegnare all'avente  diritto  o  ai  suoi
eredi o aventi causa la documentazione integrale dei fascicoli  degli
affari trattati e le relative copie.
    3. In caso di revoca o di rinuncia al mandato  fiduciario  o  del
patrocinio, la documentazione acquisita e' rimessa, in originale  ove
detenuta in tale forma, al difensore che subentra  formalmente  nella
difesa.
    4. La titolarita' del trattamento non cessa  per  il  solo  fatto
della sospensione o cessazione dell'esercizio della  professione.  In
caso di cessazione  anche  per  sopravvenuta  incapacita'  e  qualora
manchi un altro difensore anche succeduto nella difesa o  nella  cura
dell'affare, la documentazione dei fascicoli degli  affari  trattati,
decorso un congruo  termine  dalla  comunicazione  all'assistito,  e'
consegnata al Consiglio dell'ordine di  appartenenza  ai  fini  della
conservazione per finalita' difensive.

                               Art. 5.

                 Comunicazione e diffusione di dati

    1. Nei rapporti con i  terzi  e  con  la  stampa  possono  essere
rilasciate informazioni non coperte da segreto qualora sia necessario
per finalita' di tutela dell'assistito, ancorche' non concordato  con
l'assistito  medesimo,  nel  rispetto  dei  principi   di   liceita',
trasparenza,  correttezza,  e  minimizzazione  dei  dati  di  cui  al
Regolamento (UE) 2016/679 (art.  5),  nonche'  dei  diritti  e  della
dignita' dell'interessato e di terzi, di eventuali divieti di legge e
del codice deontologico forense.

                               Art. 6.

   Accertamenti riguardanti documentazione detenuta dal difensore

    1. In occasione  di  accertamenti  ispettivi  che  lo  riguardano
l'avvocato ha diritto ai sensi dell'art. 159, comma  3,  del  decreto
legislativo n. 196/2003 che vi assista il presidente  del  competente
Consiglio dell'ordine forense o un consigliere  da  questo  delegato.
Allo stesso, se interviene e ne fa richiesta, e' consegnata copia del
provvedimento.
    2. In sede di istanza di accesso o richiesta di comunicazione dei
dati di traffico relativi a comunicazioni telefoniche in entrata,  si
applica  quanto  previsto  dall'art.  132,  comma  3,   del   decreto
legislativo n. 196/2003.

                              Capo III

Trattamenti da parte  di  altri  liberi  professionisti  e  ulteriori
                              soggetti

                               Art. 7.

        Applicazione di disposizioni riguardanti gli avvocati

    1. Le disposizioni di cui agli articoli 2 e 5 si applicano, salvo
quanto applicabile per legge unicamente all'avvocato:
      a)  a  liberi  professionisti  che  prestino   o   su   mandato
dell'avvocato o unitamente a esso  o,  comunque,  nei  casi  e  nella
misura consentita dalla legge, attivita' di consulenza  e  assistenza
per far valere o difendere un diritto in sede giudiziaria  o  per  lo
svolgimento delle investigazioni difensive;
      b) agli altri soggetti, di  cui  all'art.  1,  comma  2,  salvo
quanto risulti obiettivamente incompatibile in relazione alla  figura
soggettiva o alla funzione svolta.

                               Capo IV

            Trattamenti da parte di investigatori privati

                               Art. 8.

                      Modalita' di trattamento

    1. L'investigatore privato organizza  il  trattamento  anche  non
automatizzato dei dati personali secondo le modalita' di cui all'art.
2, comma 1.
    2. L'investigatore privato  non  puo'  intraprendere  di  propria
iniziativa investigazioni, ricerche o altre  forme  di  raccolta  dei
dati. Tali attivita' possono  essere  eseguite  esclusivamente  sulla
base di apposito incarico  conferito  per  iscritto  e  solo  per  le
finalita' di cui alle presenti regole.
    3. L'atto d'incarico deve  menzionare  in  maniera  specifica  il
diritto che si intende esercitare  in  sede  giudiziaria,  ovvero  il
procedimento penale al quale l'investigazione e' collegata, nonche' i
principali elementi di fatto che giustificano l'investigazione  e  il
termine ragionevole entro cui questa deve essere conclusa.
    4. L'investigatore privato deve eseguire personalmente l'incarico
ricevuto  e  puo'  avvalersi  solo  di  altri  investigatori  privati
indicati nominativamente  all'atto  del  conferimento  dell'incarico,
oppure successivamente in calce a esso qualora tale possibilita'  sia
stata prevista nell'atto di incarico. Restano ferme  le  prescrizioni
predisposte ai sensi dell'art. 2-septies del decreto  legislativo  n.
196/2003 e art. 21 del decreto legislativo n.  101/2018  relative  al
trattamento delle particolari categorie  di  dati  personali  di  cui
all'art. 9, par. 1, del Regolamento (UE) 2016/679.
    5.  Nel  caso  in  cui  si  avvalga  di  persone  autorizzate  al
trattamento dei dati per suo  conto,  l'investigatore  privato  rende
specifiche istruzioni in ordine alle modalita' da osservare e vigila,
con cadenza almeno settimanale, sulla puntuale osservanza delle norme
di legge e delle istruzioni impartite. Tali  soggetti  possono  avere
accesso ai soli dati strettamente pertinenti  alla  collaborazione  a
essi richiesta.
    6. Il difensore o il soggetto che ha conferito l'incarico  devono
essere informati periodicamente  dell'andamento  dell'investigazione,
anche al fine di permettere loro una valutazione tempestiva circa  le
determinazioni da adottare riguardo all'esercizio del diritto in sede
giudiziaria o al diritto alla prova.

                               Art. 9.

                    Altre regole di comportamento

    1. L'investigatore privato si astiene dal porre in essere  prassi
elusive di obblighi e di limiti di legge e, in particolare,  conforma
ai principi di liceita', trasparenza e  correttezza  del  trattamento
sanciti dal Regolamento (UE) 2016/679 e dal  decreto  legislativo  n.
196/2003:
      a) l'acquisizione di dati personali presso altri  titolari  del
trattamento, anche mediante mera consultazione,  verificando  che  si
abbia titolo per ottenerli;
      b) il ricorso ad attivita'  lecite  di  rilevamento,  specie  a
distanza, e di audio/videoripresa;
      c) la raccolta di dati biometrici.
    2. L'investigatore privato rispetta nel trattamento dei  dati  le
disposizioni di cui all'art. 2, commi 4, 5 e 6 delle presenti regole.

                              Art. 10.

               Conservazione e cancellazione dei dati

    1. Nel rispetto dell'art. 5 del regolamento (UE) 2016/679, i dati
personali  trattati   dall'investigatore   privato   possono   essere
conservati  per  un  periodo  non  superiore  a  quello  strettamente
necessario per eseguire l'incarico ricevuto. A tal fine  deve  essere
verificata costantemente,  anche  mediante  controlli  periodici,  la
stretta  pertinenza,  non  eccedenza  e  indispensabilita'  dei  dati
rispetto alle finalita' perseguite e all'incarico conferito.
    2. Una volta conclusa la specifica  attivita'  investigativa,  il
trattamento deve cessare in  ogni  sua  forma,  fatta  eccezione  per
l'immediata comunicazione al difensore o al soggetto che ha conferito
l'incarico, i quali possono consentire, anche  in  sede  di  mandato,
l'eventuale  conservazione  temporanea  di   materiale   strettamente
personale dei soggetti che hanno curato l'attivita' svolta, a i  soli
fini  dell'eventuale  dimostrazione  della  liceita',  trasparenza  e
correttezza  del  proprio  operato.  Se  e'   stato   contestato   il
trattamento il difensore o il soggetto che  ha  conferito  l'incarico
possono anche fornire all'investigatore il materiale  necessario  per
dimostrare  la  liceita',  trasparenza  e  correttezza  del   proprio
operato, per il tempo a cio' strettamente necessario.
    3. La sola pendenza del procedimento al quale l'investigazione e'
collegata, ovvero il passaggio ad altre fasi di  giudizio  in  attesa
della formazione del giudicato, non costituiscono, di per se  stessi,
una giustificazione valida per la conservazione  dei  dati  da  parte
dell'investigatore privato.

                              Art. 11.

                             Informativa

    1. L'investigatore privato puo' fornire l'informativa in un unico
contesto ai sensi dell'art.  3  delle  presenti  regole,  ponendo  in
particolare  evidenza  l'identita'  e   la   qualita'   professionale
dell'investigatore, nonche' la natura  facoltativa  del  conferimento
dei  dati,  fermo  restando  quanto   disposto   dall'art.   14   del
regolamento, nel caso  in  cui  i  dati  personali  non  siano  stati
ottenuti presso l'interessato.