Professione e Mercato

Il cliente ha diritto all’accesso ai dati: lo studio deve rispondere in 30 giorni

Anche i professionisti sorvegliati (e sanzionati) dal Garante privacy. Ecco le indicazioni per gestire le istanze di trasmissione delle informazioni: tra gli obblighi, l’identificazione del richiedente, l’uso di password e il pagamento dei soli costi vivi<br/>

di Marisa Marraffino

Per gli studi il tema della privacy non è solo legato alla raccolta e alla conservazione corretta dei dati della clientela. I professionisti hanno anche l’obbligo della trasparenza e di consentire un accesso celere alle informazioni raccolte.

Il diritto di accesso deve essere garantito in tempi certi, al massimo entro un mese dalla richiesta. E se si verificano ritardi, dovuti alla complessità del caso o al numero di istanze ricevute, occorre tenere aggiornato l’interessato. A vigilare sul rispetto della scadenza c’è, anche per i professionisti, il Garante della privacy.  

E infatti il Garante per la protezione dei dati personali con il provvedimento 17 del 27 gennaio 2022 ha ammonito un avvocato che aveva risposto dopo quasi due mesi a una richiesta di accesso agli atti pervenuta a mezzo raccomandata da un cliente.

Per il Garante il regolamento Ue 679/2016 (Gdpr) è chiaro nel fissare tempi certi di risposta a fronte dell’istanza del soggetto interessato. La risposta deve avvenire senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. La scadenza può essere prorogata di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste, ma il titolare del trattamento deve informare l’interessato.

Il quadro normativo

Il diritto di ricevere copia dei propri dati personali è oggi cristallizzato dall’articolo 15 del Gdpr, oltre che dai codici deontologici dei professionisti. Per gli avvocati, l’obbligo si estende a tutta la documentazione giudiziale e stragiudiziale, ad eccezione della corrispondenza riservata tra colleghi. Sulla questione ancor prima dell’entrata in vigore del regolamento Ue 679/2016 (Gdpr), si erano pronunciate le Sezioni Unite della Cassazione precisando che l’avvocato non deve ostacolare il diritto di accesso agli atti del cliente. Mettere a disposizione i documenti presso il proprio studio può non bastare se di fatto il professionista ne ostacola la ricezione da parte del cliente, ad esempio muovendosi nella direzione di evitare la consegna delle copie di una parte degli atti processuali o stragiudiziali (Corte di cassazione a Sezioni Unite, sentenza 24080 del 17 novembre 2022).

La sicurezza

Ma la richiesta di accesso ai dati prevede anche particolari doveri di verifica da parte del professionista che deve evitare accessi non autorizzati e garantire alti standard di sicurezza.

Quando ad esempio le istanze pervengano tramite mail ordinaria è onere del professionista identificare correttamente il cliente ed è dovere di quest’ultimo collaborare per evitare l’invio di dati riservati a soggetti non autorizzati. Lo prevede espressamente l’articolo 12 del Gdpr, che impone sempre come standard minimo l’identificazione del soggetto interessato. E la questione è particolarmente complessa quando il cliente invia la richiesta informalmente, ad esempio tramite una mail ordinaria non direttamente riconducibile a lui.

I dati richiesti nella maggior parte dei casi sono dati “particolari” (ex dati sensibili), e l’invio tramite posta ordinaria richiede l’adozione di precise cautele da parte del professionista.

Ad esempio, il Consiglio dell’Ordine degli avvocati di Firenze, con il parere del 30 dicembre 2019, ha ritenuto che l’avvocato possa consegnare copia dei dati al cliente con ogni mezzo «purché sia assicurata la loro ricezione da parte del cliente». Una mail semplice può non bastare se ad esempio non vi è la certezza che quell’account sia riferibile al cliente.

Occorre poi che il professionista adotti tutte le misure di sicurezza necessarie per l’invio di dati particolari come allegato di una mail. I professionisti per essere compliant al Gdpr dovranno adottare elevate misure di sicurezza tecnologica, come l’utilizzo di standard crittografici, la convalida personale degli indirizzi e-mail, l’ uso di password inviate tramite canale separato per l’ apertura del file, oltre a sottoporre ai clienti una specifica informativa e acquisire un autonomo consenso all’invio degli atti a mezzo e-mail.

Il pagamento

L’articolo 33 del codice deontologico forense impedisce, poi, all’avvocato di subordinare la richiesta di accesso agli atti al pagamento della notula, dovendo il professionista semmai agire dopo per il recupero del credito. Ma se questo è vero, d’altro canto oggi il Gdpr prevede che il responsabile del trattamento possa richiedere il pagamento di «costi ragionevoli» che tengano conto delle spese vive amministrative sostenute per la fornitura delle informazioni.

Spetta quindi al professionista definire le misure più adeguate tra quelle possibili e di garantire la conformità al Regolamento dei trattamenti eseguiti nell’ottica di assicurare i diritti dei clienti, con lo scopo di assicurare la protezione delle persone fisiche nel trattamento dei dati, soprattutto quelli giudiziari e particolari in generale.

Domande e risposte
1. Un cliente invia una richiesta di accesso agli atti a mezzo Pec al professionista. Quali garanzie bisogna rispettare per spedire le informazioni?
La Pec garantisce la consegna e la ricezione dei dati personali e l’identificazione del cliente qualora l’indirizzo sia stato comunicato da quest’ultimo o sia verificabile tramite gli elenchi dei pubblici registri. Il professionista è tenuto però a garantire idonee misure di sicurezza per la trasmissione degli allegati, ad esempio l’apertura tramite password o la condivisione da cloud professionale.

2. Se l’istanza di accesso agli atti arriva durante la chiusura estiva dello studio, è possibile prorogare la data di invio?
Sì, ma occorre informare l’interessato delle ragioni del ritardo. L’articolo 12 del Gdpr prevede che il termine possa essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste.

3. Se la richiesta di accesso agli atti avviene via mail o Pec, si può imporre al cliente di recarsi in studio per ritirare gli atti?
No, perché in base all’articolo 12 del Gdpr le informazioni devono essere fornite, quando è possibile, con lo stesso mezzo elettronico, salvo diversa indicazione dell’interessato. Ma il professionista deve essere certo dell’identità del cliente e garantire la sicurezza dell’invio dei dati.

4. Se la richiesta avviene tramite raccomandata, come può il professionista verificare l’identità del cliente?
Il professionista deve confrontare la firma con quella sulla carta di identità dell’interessato in suo possesso oppure chiederla al cliente prima di inviare i documenti richiesti.

Per saperne di piùRiproduzione riservata ©