In un precedente articolo abbiamo fornito a imprese e pubbliche amministrazioni alcuni suggerimenti operativi su quando e come fornire informazioni personali su richiesta delle Forze di Polizia.
In questo articolo esploreremo, invece, come le aziende e le pubbliche amministrazioni possono rispondere alle diverse richieste di comunicazioni di dati personali da parte di avvocati per varie finalità aventi rilevanza giuridica.
È importante sottolineare che le organizzazioni, sia pubbliche che private, devono prestare particolare attenzione quando ricevono richieste di dati personali da parte di legali, poiché una comunicazione non conforme può comportare gravi conseguenze legali e finanziarie.
Questo articolo offrirà una panoramica dettagliata delle modalità corrette per gestire tali richieste, garantendo il rispetto del GDPR e del Codice della Privacy.
Indice degli argomenti
Il quadro giuridico
Abitualmente i legali pongono ad aziende e a pubbliche amministrazioni richieste di comunicazioni di dati personali. Le aziende e le pubbliche amministrazioni che trattano i dati personali richiesti devono avere la consapevolezza che tali dati sono indicatori qualificati dei diritti fondamentali previsti dagli artt. 7 e 8 della Carta di Nizza. In particolare, l’articolo 7 protegge la sfera privata, la riservatezza delle persone mentre l’articolo 8 garantisce la protezione dei dati personali.
Quindi, nella maggior parte dei casi le richieste dei legali sono strumentali a difendere diritti in giudizio di cui sono portatori i loro clienti.
Queste particolari richieste poste dagli avvocati determinano, così, una frizione fra diritti contrapposti.
In questo scenario si inserisce la disposizione dell’art. 52 della Carta di Nizza che disciplina la portata dei diritti e dei principi in essa fissati, stabilendo che qualsiasi limitazione all’esercizio dei diritti e delle libertà riconosciuti dalla Carta (compresi i diritti alla riservatezza e alla protezione dei dati) deve:
- essere prevista dalla legge;
- rispettare il contenuto essenziale di tali diritti e libertà;
- nel rispetto del principio di proporzionalità, essere necessaria e rispondere effettivamente a obiettivi di interesse generale riconosciuti dall’Unione Europea o alla necessità di proteggere i diritti e le libertà altrui.
Risulta immediatamente evidente che tale norma:
- garantisce che le restrizioni ai diritti fondamentali siano giustificate, proporzionate e strettamente necessarie;
- costituisce il criterio operativo per gestire in modo corretto tutte le richieste di comunicazioni di dati personali poste alle aziende e alle pubbliche amministrazioni per diverse finalità, dagli avvocati.
L’unica base giuridica valida
Ora, poiché la limitazione al diritto alla privacy e alla protezione dei dati deve essere prevista dalla legge, è logico che la comunicazione di dati personali dalle aziende e dalle pubbliche amministrazioni agli avvocati richiedenti potrà realizzarsi solo se la stessa comunicazione è necessaria per adempiere un obbligo legale al quale è soggetta l’azienda o la pubblica amministrazione destinataria della richiesta (art. 6, paragrafo 1, lett. c) del GDPR).
Tale base giuridica – secondo quanto stabilito dall’art. 6, paragrafo 3 del GDPR – deve essere stabilita:
- dal diritto dell’Unione; o
- dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
In combinazione con quest’ultima norma, l’art. 2 ter, comma 1 del Codice Privacy stabilisce che “la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del GDPR è costituita da una norma di legge o di regolamento o da atti amministrativi generali”.
Ne deriva che ogni richiesta di comunicazione di dati personali posta da un avvocato ad un’azienda o ad una pubblica amministrazione che rivesta il ruolo di titolare del trattamento deve necessariamente riportare la norma di legge o di regolamento o l’atto amministrativo generale che autorizza la comunicazione stessa.
Esempi pratici di richieste di dati personali
Affrontiamo ora un paio di casi pratici. In entrambi i casi esaminati un legale, per conto di un privato, si rivolge ad una azienda o ad una pubblica amministrazione per accedere ad alcuni dati personali su richiesta del suo cliente.
Sebbene i casi esplorino situazioni diverse ma verosimili, i criteri con cui formulare la risposta sono i medesimi.
Caso 1: separazione e assegno di mantenimento
Giovanni è in fase di separazione da sua moglie e ha recentemente iniziato una nuova attività lavorativa presso l’azienda Alfa, dove è previsto un sostanzioso bonus annuale al raggiungimento degli obiettivi.
L’avvocato della moglie richiede alla società Alfa di conoscere l’importo della busta paga di Giovanni e l’entità del bonus per valutare l’ammontare dell’assegno di mantenimento.
Caso 2: molestie e richiesta di risarcimento
Simona sostiene di essere stata molestata in presenza di testimoni, in un ristorante. Non è in grado di fornire le generalità del suo molestatore, ma lo ha visto salire su un’autovettura recante impresse le pubblicità dell’azienda Beta ed ha rilevato il modello ed il numero di targa.
Ha reso inoltre disponibili alcune registrazioni che comprovano la molestia.
L’avvocato di Simona contatta l’azienda Beta chiedendo di avere informazioni sulla persona alla quale era stata affidata l’autovettura.
Simona non vorrebbe procedere con la querela ma vuole limitarsi alla richiesta, per via extragiudiziale, di un risarcimento per danni morali da parte del molestatore o presunto tale.
Procedura da seguire
In entrambi i contesti descritti, l’azienda può comunicare i dati richiesti solo se nella richiesta presentata dall’avvocato sia stata indicata una norma di legge, di regolamento o l’atto amministrativo generale che pone l’obbligo legale di eseguire la comunicazione.
Ricevuta la richiesta, l’azienda dovrebbe verificare:
- i contenuti della richiesta stessa, assicurandosi che siano chiari e dettagliati;
- la base giuridica, cioè la specifica norma di legge, di regolamento o atto amministrativo generale che autorizzi la comunicazione;
- la minimizzazione dei dati, comunicando solo i dati strettamente necessari per lo scopo specifico.
È chiaro che, qualora non sussista una norma giuridica suffragante, la comunicazione di dati personali non potrà essere eseguita.
Approcci legali alternativi
Analizzando i due esempi pratici descritti, si potrebbe essere portati a pensare che, in assenza di una norma giuridica specifica che autorizzi la comunicazione, i diritti dei clienti degli avvocati richiedenti non possano essere esercitati in modo adeguato, generando una sensazione di ingiustizia.
Tuttavia, nei casi prospettati, i clienti ed i loro avvocati potrebbero non aver utilizzato gli strumenti appropriati per far valere i propri diritti.
Infatti, nel caso n. 2, Simona, vittima di molestie, ben potrebbe presentare una querela presso qualsiasi comando o ufficio di una forza di polizia, attivando così le conseguenti indagini di polizia giudiziaria.
Nel caso n. 1, invece, l’avvocato della moglie di Giovanni potrebbe rivolgersi a un investigatore privato per ottenere le informazioni necessarie a gestire la causa di divorzio.
Questa circostanza apre nuovi scenari e considerazioni importanti in materia di protezione dei dati personali, meritevoli di una autonoma riflessione che sarà oggetto di un prossimo articolo.
Conclusioni
Si cercato di evidenziare come le richieste di dati personali da parte di legali pongano sfide significative per le aziende e per le pubbliche amministrazioni in termini di conformità al GDPR e al Codice della Privacy.
È fondamentale che le organizzazioni sia private che pubbliche adottino un approccio prudente, valutando attentamente ogni richiesta e assicurandosi di avere una base giuridica valida per qualsiasi comunicazione.
In questo modo, le stesse organizzazioni possono proteggere i diritti degli individui ed evitare sanzioni per violazioni della privacy.