Indice dei Contenuti
In questo articolo cercheremo di approfondire l'impatto del nuovo Regolamento Europeo per la Protezione dei Dati (2016/679, GDPR) sugli oneri in carico a un avvocato che richieda l'accesso a dati di traffico in entrata relativi all'utenza di un suo assistito al gestore di servizi telefonici e/o dati.
Accesso ai Dati
La richiesta di accesso ai dati di traffico di una determinata utenza può essere fatta in tutti i casi in cui sussiste un procedimento per il quale sia previsto il ricorso alle investigazioni difensive (ex art. 391bis CPP e segg.).
Nel chiedere a un Gestore di telefonia e/o di servizi di comunicazione elettronica i dati di traffico in entrata relativi all'utenza di un suo assistito, l'avvocato deve fare richiesta al fornitore di servizi di comunicazione elettronica attraverso una istanza motivata, corredata dal pregiudizio effettivo e concreto che deriverebbe per lo svolgimento delle investigazioni difensive dalla mancata disponibilità dei dati. All'interno di tale comunicazione non è necessario menzionare il numero di repertorio del procedimento penale.
Questa procedura, ovviamente, si applica soltanto nel caso in cui si renda necessaria una trattabilità di dati che non sono (o non sono più) in possesso dell'assistito, e per i quali sussiste quindi la necessità di richiederli al provider: viceversa, in tutti i casi in cui l'assistito abbia diretta disponibilità dei suddetti dati, l'avvocato potrà farne uso liberamente: al tempo stesso, i tabulati estratti da dispositivi appartenenti all'assistito (ad es. il registro chiamate di uno smartphone o la history di un browser web) potrebbero avere un limitato valore probatorio in quanto provenienti dai sistemi di una delle parti in causa.
Dal testo del summenzionato art. 391bis del CPC si evince chiaramente come il legislatore abbia voluto tutelare la sicurezza dei dati quando questi non sono in possesso dell'assistito: è bene precisare che i soggetti tutelati da questa formulazione sono molteplici: un tabulato contenente dati di traffico telefonico, ad esempio, conterrà inevitabilmente riferimenti a una pluralità di utenze "chiamate" e "chiamanti".
Titolari e Responsabili
L'avvocato che nell'assistere il cliente acquisisce i suddetti tabulati e di conseguenza si trova a trattare dati personali di terzi si comporta, giuridicamente e in virtù del suo ruolo, come un Titolare autonomo; viceversa, nella relazione con un cliente in una consulenza stragiudiziale che preveda il trattamento di dati di terzi (es. dipendenti o collaboratori) deve invece essere nominato Responsabile esterno al trattamento. Anche tutti i consulenti tecnici di cui la difesa può avvalersi, ivi inclusi gli investigatori addetti alle investigazioni difensive, devono essere parimenti nominati Responsabili esterni.
L'archivio dell'investigatore
Il caso dell'investigatore presenta inoltre una fattispecie ulteriore, in quanto quest'ultimo deve essere necessariamente inquadrato in un incarico ad-hoc e non può avere margine di manovra diverso da quanto previsto dagli accordi presi con l'interessato o con il suo legale. Non potrà dunque costruire, alimentare o mantenere un archivio o un dossier sui dati raccolti al termine del rapporto di collaborazione.
Tale rapporto, secondo quanto stabilito dal Garante, decade in conseguenza del pagamento dell'ultima fattura emessa, così da consentire all'investigatore di poter comprovare - in caso di mancato pagamento - l'avvenuto e corretto svolgimento del proprio lavoro.
Conclusioni
Nell'ambito di una richiesta di accesso ai dati di traffico in entrata, il Titolare del trattamento è colui che decide i fini e le modalità di trattamento. Viceversa, chi eroga servizi ovvero funge da "braccio operativo" del Titolare (es. l'investigatore privato addetto alle indagini difensive) deve essere nominato Responsabile.
Anche in presenza di tale nomina, in virtù di quanto previsto dal GDPR (art. 24, 28 e 29), gli adempimenti e le responsabilità inerenti alla privacy della persona indagata e degli eventuali altri interessati rimangono comunque a carico del Titolare, in qualità di Data Controller; fra questi adempimenti vi è l'indicazione obbligatoria, nell'informativa da consegnare alla persona indagata (cfr. art. 14 del GDPR), del coinvolgimento di un investigatore privato in qualità di Responsabile.
Hai bisogno di organizzare un corso per te o per la tua azienda? Consulta il programma del nostro Corso di Formazione su GDPR e Privacy e/o chiedici un preventivo senza impegno!