ACCORDO INTERNO

IN OTTEMPERANZA AL GDPR SULLA PRIVACY

1. MAPPATURA DEI TRATTAMENTI

I dati personali da trattare per ogni singola attività saranno soltanto quelli necessari per il raggiungimento dello scopo.

Pertanto, al fine di conformarsi al principio di minimizzazione, i titolari ed i responsabili dovranno trattare, per quanto possibile, solo i dati essenziali, necessari e pertinenti per compiere la prestazione richiesta dal cliente.

L’avvocato e la segretaria dello studio tratteranno i seguenti dati:

– i dati relativi al personale dipendente ed ai collaboratori;

– i dati relativi ai clienti;

– i dati raccolti attraverso il sito internet.

Nell’ambito dei rapporti di collaborazione o di lavoro (ad esempio con una segretaria o il tecnico del computer) della gestione del libro paga e la gestione amministrativa del personale, l’avvocato – anche in qualità di datore di lavoro -, effettuerà un trattamento di dati.

2. INDIVIDUAZIONE DEI RUOLI, DELLE RESPONSABILITA’ E DEI COMPITI

Titolari del trattamento saranno gli avvocati Marco Caradonna e Graziella Iellamo, quali associati dello studio, ai quali verranno affidati i rispettivi mandati, anche congiunti.

Responsabili saranno, invece l’avvocato Giulia Gagliardi, a cui verranno affidate in gestione pratiche da parte del/i titolare/i, per studio, redazione di atti ed eventuali sostituzioni in udienza.

Responsabili saranno inoltre la segretaria dello studio, Donatella Bernini, e la ragioniera dello studio, Simona Menicucci.

Responsabile sarà, infine, ogni avvocato che effettuerà una pratica in qualità di domiciliatario, ai sensi dell’art. 4, par. 8 del GDPR; a tal fine, in caso di domiciliazione sul foro di Livorno, si pretenderà la designazione a responsabile dal dominus; in caso di domiciliazione fuori dal foro di Livorno, si invierà al domiciliatario la designazione a responsabile del trattamento. Si rammenta, inoltre, che il domiciliatario non potrà ricorrere ad altri responsabili, senza previa autorizzazione scritta da parte del titolare.

In conformità con i requisiti dell’Articolo 13 del GDPR, i dipendenti e i collaboratori dello studio legale sono stati informati in merito a:

• l’identità e i dettagli di contatto del titolare del trattamento;

• i dettagli di contatto del responsabile della protezione dei dati, scelto nella persona dell’avvocato Marco Caradonna;

• l’obiettivo perseguito (gestione amministrativa del personale e assunzioni);

• la base legale del trattamento;

• l’interesse legittimo del titolare, se costituisce la base giuridica del trattamento ex art. 6. comma 1 lettera f;

• i destinatari dei dati (chi tiene i libri paga, ecc.);

• i flussi transfrontalieri dei dati su cui vengono tenuti i files informatici di studio;

• la durata di conservazione;

• le condizioni di esercizio dei loro diritti di opposizione, accesso, rettifica e limitazione, ecc.;

• il diritto di revocare il consenso se è la base giuridica del trattamento;

• il diritto di presentare un reclamo all’autorità di controllo;

• le informazioni sulla natura normativa o contrattuale del trattamento quando si tratta della base giuridica del trattamento.

3. DEFINIZIONE E ATTUAZIONE DEGLI ADEMPIMENTI PER PRIORITA’ D’AZIONE

Poichè lo studio utilizza un sito web per promuovere la propria attività, presentare i componenti dello studio, o pubblicare articoli e anche consentire la raccolta di dati personali con diverse modalità, prevedendo un modulo di contatto e l’utilizzo di cookies, si dà atto di aver pubblicato su una apposita pagina web l’informativa, redatta ai sensi degli articoli 13 e 14 del GDPR, nonché di aver pubblicato il presente accordo interno.

Qualora l’avvocato riceva una proposta di incarico tramite il sito web, sussiste l’obbligo di formalizzare il mandato accertando l’identità del cliente.

4. DEFINIZIONE DELLE MISURE DI SICUREZZA ADEGUATE

Lo studio è dotato di sistemi di sicurezza sia fisici, che informatici,  a salvaguardia dei dati conservati negli archivi. Le stanze dello studio dotate di chiave e archivi richiudibili. Porta dello studio blindata. Password di accesso ai dati informatici e sistemi antivirus e anti-malaware installati sui computer di studio.

Titolari e responsabili di studio sono inoltre stati adeguatamente formati dal DPO, avvocato Marco Caradonna, in ordine alle misure di sicurezza informatiche da adottare nel gestione e nel trattamento dei dati.

5. DEFINIRE POLICY E PROCEDURE ORGANIZZATIVE

Ogni titolare del trattamento dovrà far sottoscrivere al cliente l’informativa elaborata ai sensi dell’art. 13 del Regolamento europeo 679/2016, avendo cura di farsi rilasciare il consenso, così come elaborata dal CNF.

6. DEFINIZIONE DELLA PROCEDURA DI DATA BREACH

Con il termine data breach si intende un incidente di sicurezza in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato. Solitamente il data breach si realizza con una divulgazione di dati riservati o confidenziali all’interno di un ambiente privo di misure di sicurezze (da esempio, su web) in maniera involontaria o volontaria.

Tale divulgazione può avvenire in seguito a:

• perdita accidentale: ad esempio, data breach causato da smarrimento di una chiavetta USB contenente dati riservati

• furto: ad esempio, data breach causato da furto di un notebook contenente dati confidenziali

• infedeltà aziendale: ad esempio, data breach causato da una persona interna che avendo autorizzazione ad accedere ai dati ne produce una copia distribuita in ambiente pubblico

• accesso abusivo: ad esempio, data breach causato da un accesso non autorizzato ai sistemi informatici con successiva divulgazione delle informazioni acquisite.

In tali evenienze, pertanto, ogni titolare/resposnabile dovrà comunicare la violazione al Garante, anche attraverso il DPO, in tempi molto rapidi avendo cura, nei casi più gravi di violazioni, di informare ciascun cliente coinvolto.

Si allega il modello da utilizzare, in caso perdita accidentale dei dati, furto, infedeltà aziendale o accesso abusivo, ritenendosi tale elenco non esaustivo, per segnalare al Garante eventuali violazioni (doc. 1), nonché il modello di segnalazione da inviare all’interessato (doc. 2).

7. DOCUMENTAZIONE DELLA CONFORMITA’

Lo studio dovrà tenere un registro dei trattamenti, per elencare le informazioni sulle caratteristiche dei trattamenti effettuati dal titolare del trattamento.

Ogni titolare del trattamento di dati dovrà compilare il registro delle categorie di trattamento dei dati personali implementati sotto la sua responsabilità, in quanto il trattamento si riferisce in particolare a dati sensibili e a dati concernenti condanne e reati.

Si stabilisce che lo studio associato tenga un unico registro, collocato presso la segreteria.

Tale registro, in conformità con l’articolo 30 del GDPR, deve includere le seguenti informazioni:

• il nome e i dettagli di contatto del titolare, del contitolare, del responsabile e del responsabile della protezione dei dati;

• gli scopi del trattamento;

• una descrizione delle categorie di dati trattati, nonché delle categorie di persone coinvolte nel trattamento;

• categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari dei paesi parti terze o organizzazioni internazionali;

• ove applicabile, i trasferimenti di dati personali verso un paese terza parte o un’organizzazione internazionale, compresa l’identificazione di paese terzo o di tale organizzazione internazionale e i documenti che certificano l’esistenza di garanzie adeguate;

. ove possibile, il termine ultimo previsto per la cancellazione dei dati;

. ove possibile, una descrizione generale delle misure di sicurezza tecniche ed organizzative.

I sottoscritti, Marco Caradonna, Graziella Iellamo, Giulia Gagliardi e Donatella Bernini, nella loro qualità di titolari e\o responsabili del trattamento dei dati personali, sottoscrivono il presente accordo in ottemperanza al GDPR sulla privacy.

Livorno, 11/5/2018