Il notaio è un pubblico ufficiale al quale lo Stato affida il potere di attribuire pubblica fede, cioè il valore di prova legale, agli atti che stipula. Assicura nel contempo il controllo di legalità degli atti ed una qualificata assistenza giuridica, diretta a far sì che gli atti stipulati realizzino per quanto consentito il risultato voluto dalle Parti. Risulta evidente che nella sua attività, sia che coinvolga i privati, sia che coinvolga figure giuridiche attraverso i suoi rappresentanti, viene a contatto ed utilizza dati personali sia delle Parti che di eventuali terzi, e di conseguenza è particolarmente importante che sia conforme alla normativa sui dati personali.

Attività accessorie

Come ogni professionista, il notaio necessita di una struttura che comprenda in generale le attività contabili e fiscali, la gestione del personale (tipicamente di segreteria), e gli strumenti comunicativi come siti web e posta elettronica/PEC (o altri canali). Per tutte queste attività, si hanno associati i consueti trattamenti di dati personali, come le altrettanto consuete necessità derivanti dalla normativa: nomine (addetti e responsabili esterni), informative, registro dei trattamenti, etc.

Tra i responsabili esterni è probabile ci debba essere un fornitore di applicativi “gestionali” per notai, per i quali dovrebbero essere disponibili inclusi o allegati ai termini di servizio la nomina a responsabile del trattamento, a seconda del tipo di servizio prestato (applicativo in cloud, o assistenza se installato in locale). Per questi strumenti la valutazione deve comprendere la verifica che siano disponibili le misure di sicurezza che vanno identificate preventivamente (principio di privacy by design) sulla base delle proprie necessità (vedere in seguito i suggerimenti).

I servizi notarili

Vediamo quali sono le peculiarità delle attività di notariato nei confronti dei dati personali:

  • uso promiscuo di strumenti digitali e tradizionali (cartacei)
  • trasferimenti di dati da e verso numerosi enti pubblici
  • raccolta e utilizzo di dati personali molto eterogenei (sia in termini di categorie di dati, che di categorie di interessati)

In virtù di queste particolarità, è necessario che sia i notai che il personale di supporto abbiano una comprensione profonda della normativa sui dati personali e della sua specifica applicazione nel loro campo, per cui l’attività formativa dedicata è, se possibile, più importante che in altri ambiti professionali.

Le basi giuridiche principali per i trattamenti relativi ai servizi notarili sono: l’obbligo di legge (per tutto ciò che attiene ai rapporti tra privati) e l’interesse pubblico (per i trasferimenti da/verso gli enti pubblici); accompagnati dall’adempimento contrattuale (relativo solo a quanto necessario a rispondere alle richieste della clientela ed all’erogazione dei servizi). Questo non vuol dire che in casi particolari non siano possibili anche le altre basi giuridiche (incluso il consenso, per esempio per eventuali attività promozionali proprie o di terzi).

L’individuazione dei tempi di conservazione è principalmente dettata dalle normative applicabili, che possono essere molto variegate; per i pochi dati non soggetti a questi obblighi, vale l’applicazione del principio di limitazione della conservazione. In questo senso, il Registro dei Trattamenti costituisce uno strumento di lavoro importantissimo, ben al di là dell’obbligo normativo: se nella compilazione si suddividono i trattamenti e/o i dati in modo opportuno, sarà possibile registrare in modo molto preciso i tempi di conservazione, e si potranno di conseguenza, per quanto possibile, organizzare gli archivi e le base dati in modo da corrispondere ai trattamenti/insiemi di dati, facilitando le operazioni (siano esse automatiche o manuali) di cancellazione allo scadere del periodo stabilito.

In questo senso, và segnalato che in questo ambito esistono di fatto diverse limitazioni ai diritti previsti dalla normativa: i diritti di cancellazione e rettifica possono essere esercitati solo in fase di preparazione dell’atto, o in seguito solo su dati accessori; inoltre vanno tenute in conto tutte le normative a cui sono sottoposti gli atti in questione.

Ferma restando l’esenzione indicata dal Comitato Europeo riguardo i singoli professionisti, la designazione di un Data Protection Officer per uno studio notarile è opportuna, e probabilmente obbligatoria in molti casi; l’importante è che sia individuata una persona con adeguate competenze nel mondo del notariato, proprio per la necessità di conoscere tutte le normative applicabili. Non si ritiene, invece, obbligatoria una Valutazione di Impatto per questo tipo di trattamento, nei casi più comuni; ma rimane valido il consiglio di effettuarla comunque.

L’ultima annotazione riguarda la figura del notaio nei confronti delle aziende per le quali si trova ad operare: si può in generale affermare che il notaio nell’espletamento delle sue funzioni è titolare del trattamento, tuttavia non si può escludere che per altri trattamenti, per esempio relativi a consulenze, esso possa essere configurato come Responsabile del Trattamento e di conseguenza debba esserci l’accordo per il trattamento dei dati personali (la nomina”).

Misure di sicurezza

Le misure fisiche individuabili e consigliabili sono abbastanza ordinarie. Per tutta la parte di conservazione delle copie cartacee, gli archivi non devono essere accessibili se non dai notai e dai loro aiutanti, quindi locali dedicati o presidiati, chiusure sicure con chiavi o altri mezzi, mezzi di contrasto agli eventi distruttivi (estintori, attenzione ai possibili sovraccarichi elettrici, all’impianto idraulico o al rischio alluvionale, etc). Particolarmente consigliati gli impianti di allarme e videosorveglianza; per quest’ultimo è possibile evitare complicazioni se si fà in modo che venga attivato fuori dagli orari di frequentazione dello studio, o dall’allarme.

Per i dati digitali: anche in questo caso non devono aversi accessi non autorizzati (quindi autenticazioni personali, password complesse, livelli di privilegio diversi, blocco del desktop, etc), oltre ai consueti strumenti di difesa informatica (firewall, antivirus, backup, accessi wireless controllati o meglio vietati, crittografia almeno per i dati particolari/giudiziari). Da notare che è difficile pensare ad un uso della misura della pseudonimizzazione per tutto ciò che riguarda gli atti ed il loro contenuto. Qualora si effettuino trasferimenti di dati attraverso internet, sarebbe opportuno che almeno quelli contenenti dati particolari o giudiziari avvenissero su canali cifrati (in questo senso sarebbe meglio evitare la posta elettronica ed usare invece strumenti di file su cloud, ovviamente ben scelti e configurati). Data la criticità dei sistemi, risulta d’obbligo avvalersi di tecnici informatici ben preparati, interni o esterni che siano (nel primo caso, ricordiamo la nomina ad amministratore di sistema e relativi adempimenti; nel secondo, la designazione a Responsabile del Trattamento).

Da non dimenticare anche di proteggere opportunamente dai furti i timbri e i dispositivi di firma digitale eventualmente necessari all’autenticazione degli atti.

Per quanto riguarda le misure organizzative, oltre a quanto già ricordato riguarda ai bisogni formativi, si sottolinea la particolare necessità di verifica certa dell’identità e degli interessi dei richiedenti, soprattutto per quanto riguarda le copie degli atti a distanza di tempo dalla stipula, onde evitare violazioni del tipo accesso non autorizzato. In questo senso, l’eventuale conservazione di copie dei documenti di identità và limitata al massimo (e comunque và protetta opportunamente) e sostituita, quando possibile, da altre modalità di verifica.

Un discorso particolare merita l’informativa per la clientela (con ciò si intendono tutte le parti coinvolte nell’atto, e di cui si trattano i dati): poiché in questo caso è facile che i dati vengano raccolti e utilizzati ben prima dell’incontro di persona che, di fatto, spesso conclude il servizio, è bene prevedere delle modalità che permettano di sottoporre l’informativa agli interessati in anticipo rispetto all’incontro finale, entro tempi ragionevoli (non oltre quelli previsti dal GDPR) dalla raccolta.

Leggi anche: La digitalizzazione degli studi notarili

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.