Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale

PREMESSA
Il presente volume contiene i due vademecum curati dagli Avv.ti Maela Coccato (Vicepresidente MF
Venezia), Edoardo Ferraro (Presidente MF Padova), Daniele Angelo Mario Trento (Presidente MF Vicenza-
Bassano), Antonio Zago (componente del Direttivo MF Padova) e Giovanni Calabrese (avvocato del foro di
Padova - Studio Legale Trabucchi).
Il lavoro è frutto dello studio e delle relazioni svolte in questi mesi in numerosi convegni nel Veneto e in
Italia sul tema della privacy e GDPR (entrato in vigore il 25 maggio 2016, ma con termine per l’adeguamento
fino al 25 maggio 2018).
Sperando di aver fatto cosa utile che, comunque, non esonera tutti i colleghi dal valutare in modo
approfondito le norme.
I modelli per la documentazione che troverete all'interno del presente volume sono opera dell'Avv. Giovanni
Calabrese, cui va il ringraziamento del Movimento Forense per la collaborazione fornita in questi giorni.
M o v i m e n t o F o r e n s e
2
avv. maela coccato - avv. giovanni calabrese - avv. edoardo ferraro
avv. daniele a. m. trento - avv. antonio zago

VOLUME 1 - INTRODUZIONE
Il regolamento comunitario n. 679 del 2016, entrato in vigore il 25 maggio 2016 ma con termine per
l’adeguamento fino al 25 maggio 2018, coinvolge anche gli studi professionali ed in particolare, gli studi
legali.
Il regolamento, comunemente abbreviato con l’acronimo GDPR (General Data Protection Regulation) si
occupa della protezione dei dati personali e di tutelare la libera circolazione dei dati e prevede significative
novità rispetto al Codice c.d. Privacy portato dal d.lgs. 196/2003, passando da una tutela spesso rimasta
solo formale, a una tutela sostanziale del dato.
In tal senso il GDPR si fonda sul principio della c.d. Accountability o responsabilizzazione del titolare del
dato, non imponendo prescrizioni di dettaglio, ma chiedendo nella sostanza che il dato venga tutelato e che
il titolare possa dimostrare di aver attuato azioni positive per la tutela.
L’attuale assetto degli studi legali, molto diverso da quello che si presentava nel 2003 e la necessità di una
tutela sostanziale dei dati (che dipende dalla struttura e dall’organizzazione dello studio oltreché dalle
soluzioni tecniche adottate) rende difficile individuare soluzioni omogenee o standard in grado di rendere
tutti egualmente compliant.
Ad oggi la realtà degli studi legali vede convivere: studi formati da un unico professionista; studi associati;
studi che usano spazi e servizi (es. la segreteria) condivisi; studi con sede in varie regioni se non in vari stati;
STP e finanche studi con soci di capitale.
Ancora, volendo esemplificare, molti studi legali hanno un sito internet “vetrina”, ma alcuni prevedono
anche interazioni dirette con il cliente tramite applicazioni o l’invio di newsletters, etc etc.
È chiaro che, quando si parla di tutela del dato, ad ogni realtà corrisponde un diverso grado di rischio e,
conseguentemente, saranno diverse le attività da svolgere (c.d. principio della Compliance).
Il presente vademecum, pertanto, con tutte le limitazioni derivanti da quanto sopra indicato (necessità di
valutare la compliance sulla base degli assetti organizzativi e tecnici dello studio e dal tipo di trattamenti
effettuati dallo studio) è diretto a dare delle indicazioni di massima di “buone prassi” da seguire per
l’applicazione del Regolamento.
DEFINIZIONI: PROFILO OGGETTIVO
Dati personali: “qualsiasi informazione riguardante una persona fisica identificata o identificabile
(«interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o
indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione,
dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità
fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Trattamento: “qualsiasi operazione o insieme di operazioni [...] e applicate a dati personali o insiemi di dati
personali”.
Dati “particolari”(già detti “sensibili”): “dati personali che rivelino l'origine razziale o etnica, le opinioni
politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici,
dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita
sessuale o all'orientamento sessuale della persona”.
Il divieto di trattamento di tali dati non opera quando “il trattamento è necessario per accertare, esercitare
o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni
giurisdizionali”.
Natura dei dati raccolti:
1) Finalizzati: raccolti e trattati per uno scopo preciso, da indicare.
2) Accurati: verificati e esatti, con eventuale correzione e adeguamento.
3) Limitati: raccolti nei limiti di quanto serve allo scopo.
4) Riservati: custoditi con sistemi di sicurezza.
5) A tempo: trattati e conservati per il tempo strettamente necessario allo scopo.
3
avv. daniele a.m. Trento - avv. antonio zago

DEFINIZIONI: PROFILO SOGGETTIVO
Titolare del Trattamento: persona fisica o giuridica che determina finalità e mezzi di trattamento dei dati
personali.
1) Nel caso di libero professionista che esercita la professione in forma non associata è la persona
fisica in quanto tale.
2) Nel caso di associazioni professionali o società tra professionisti è l’entità nel suo complesso.
3) Nel caso di più avvocati non associati in mandato, si parla di contitolari (due o più titolari che
determinano congiuntamente le finalità e i mezzi di trattamento).
Responsabile del Trattamento: persona fisica o giuridica che tratta dati personali per conto del titolare da
nominare a mezzo contratto o altro atto giuridico.
Si tratta di soggetti terzi rispetto lo studio a cui vengono affidati a mezzo contratto o incarico dati personali
(es. commercialista; consulenti di parte; interpreti; consulente del lavoro; amministratore di sistema;
gestore cloud etc.) su cui il titolare mantiene obbligo di vigilanza e responsabilità a titolo di culpa in
eligendo.
Incaricato (interno) al Trattamento: soggetto interno all’organizzazione aziendale su cui il titolare mantiene
obbligo di vigilanza e responsabilità a titolo di culpa in eligendo.
Va indicato nell'organigramma dell'organizzazione.
DPO - Responsabile Protezione Dati Personali: soggetto designato dal titolare o dal responsabile del
trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative
relativamente all'applicazione del Regolamento medesimo.
Il suo nominativo va comunicato al Garante.
La sua nomina non è obbligatoria in relazione a trattamenti effettuati da liberi professionisti operanti in
forma individuale.
Resta comunque consigliata.
LA BASE GIURIDICA DEL TRATTAMENTO
I dati vanno trattati in virtù di una base giuridica (art. 6) affinché il trattamento possa considerarsi lecito.
Non è necessario ottenere sempre il consenso della persona di cui si trattano i dati.
Va effettuata una valutazione in ragione della finalità del trattamento e della tipologia del dato che viene
trattato.
Tipologie di Basi giuridiche del trattamento:
1) Autorizzazione generale del Garante
2) Consenso del soggetto interessato
3) Necessità di esecuzione di un contratto
4) Adempimento di un obbligo legale
5) Salvaguardia di interessi vitali
6) Necessità di esecuzione di un compito o un interesse pubblico
Esemplificazioni di basi giuridiche del trattamento:
1) per i dati necessari a far valere un diritto in giudizio potrà trovare fondamento nel provvedimento
di autorizzazione generale del Garante;
2) per i dati necessari a far valere un diritto in sede stragiudiziale potrà trovare fondamento nel
contratto di conferimento di incarico (che stabilità anche le finalità del trattamento);
3) per i dati acquisiti a mezzo web per l’invio di newsletter dovrà essere acquisito un consenso
specifico (e dovrà essere fornita apposita informativa);
4) per i dati acquisiti a mezzo web a mezzo di un form «collabora con noi» (es. cv) dovrà essere
acquisito un consenso specifico (e dovrà essere fornita apposita informativa);
5) il sito internet dovrà rispettare la c.d. cookie law in relazione alle eventuali attività di profilazione e
dovrà in ogni caso essere dotato di idonea informativa (è dato personale anche l’identificativo
online).
4

IL CONSENSO
Ove necessario il consenso per il trattamento dei dati personali, questo dovrà essere preceduto dalle
necessarie informazioni relativamente alla finalità ed alle modalità del trattamento dei dati.
Il consenso dovrà riferirsi ad un specifico trattamento e ad una specifica finalità:
1) non può essere generico
2) non può essere estendibile a vari possibili trattamenti
3) va esclusa ogni forma di consenso tacito o mediante opzioni preselezionate.
L'INFORMATIVA
L'informativa (artt. 13 e 14) per la raccolta del consenso non deve essere necessariamente scritta, ma potrà
essere anche orale.
In ogni caso, si raccomanda di utilizzare la forma scritta in quanto il GDPR impone al titolare di dover
eventualmente “dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati
personali”.
Sarà quindi utile far anche sottoscrivere una dichiarazione in tal senso.
L'informativa va raccolta in occasione del primo incontro, al momento in cui viene affidato l'incarico e
quando si acquisiscono i dati personali.
Qualora non sia stata ottenuta presso l’interessato, va fornita entro un termine ragionevole e comunque
entro 30 giorni.
Non è necessario fornire l’informativa:
- se l’interessato dispone già dell’informazione;
- se la registrazione o la comunicazione di dati personali sono necessarie per legge;
- se informare l’interessato si rivela impossibile o richiederebbe uno sforzo sproporzionato.
I contenuti che l'informativa deve avere sono i seguenti:
- l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
- i dati di contatto del responsabile della protezione dei dati, ove applicabile;
- le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal
titolare del trattamento o da terzi;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o
a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della
Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il
riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo
dove sono stati resi disponibili;
- il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per
determinare tale periodo;
- l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali
e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di
opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
- l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del
trattamento basata sul consenso prestato prima della revoca;
- il diritto di proporre reclamo al Garante della Privacy o avanti al Giudice Ordinario;
- se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario
per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le
possibili conseguenze della mancata comunicazione di tali dati;
- l'esistenza di un processo decisionale automatizzato.
ATTENZIONE!!! Il consenso raccolto prima del 25 maggio 2018 resta valido se ha tutti i requisiti indicati nel
GDPR. In caso contrario andrà inviata una nuova informativa per informare dei nuovi diritti del GDPR.
5

LE MISURE A PROTEZIONE DEI DATI PERSONALI: PRIVACY BY DESIGN E PRIVACY BY DEFAULT
Il GDPR (art. 25) introduce i due concetti di:
1) privacy by design: la tutela della privacy come elemento atto a prevenire il danno e non a rimediare
ai problemi, nell'ottica di una tutela sostanziale e non meramente formale dei dati, caratterizzata da
funzionalità e trasparenza.
2) Privacy by default: per impostazione predefinita le imprese dovrebbero trattare solo i dati personali
nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario
a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività
dei dati raccolti.
Tutto ciò è, come già detto, responsabilità (accountability) del titolare del trattamento.
Possono esemplificarsi alcune misure comuni che rispettino i suddetti princìpi:
- definire procedure interne prima di porre in essere nuovi trattamenti;
- introdurre policy vincolanti da applicare ai nuovi trattamenti;
- mappare i processi e gestire l’inventario (registro attività di trattamento);
- designare un DPO se necessario, o funzioni similari;
- attuare programmi di formazione, istruzione, sensibilizzazione del personale;
- definire procedure per la gestione dei diritti dell’interessato;
- istituire un meccanismo interno per la gestione dei reclami;
- definire procedure interne per la notifica delle violazioni della sicurezza (data breach);
- effettuare la valutazione d’impatto per i trattamenti di dati che comportano rischi specifici;
- effettuare procedure di verifica per assicurare che tutte le misure siano applicate ed efficaci.
Non vi sono, comunque, misure organizzative valide per ogni situazione: la valutazione e la scelta delle
misure da implementare dipende dalla modalità di gestione dello studio.
Il GDPR statuisce che si debba tener conto “dello stato dell'arte e dei costi di attuazione, nonché della
natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia
probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile
del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di
sicurezza adeguato al rischio”.
Come esempi di misure tecniche adeguate possono essere riprese le “misure di sicurezza minime” previste
dall’allegato B del Codice della Privacy:
- Autenticazione informatica e gestione delle credenziali di autenticazione:
1) i singoli incaricati devono essere dotati di credenziali di autenticazione (user id e password; otp…);
2) assegnazione di un user ID identifica l’incaricato del trattamento ed è personale;
3) la password deve essere conservata in luogo non accessibile ad alcuno tranne i soggetto ad essa
afferente e deve essere composta da almeno 8 caratteri (maiuscole + minuscole+numeri+segni
speciali) e non deve essere direttamente riferibile al soggetto;
4) deve essere modificata al primo accesso e successivamente ogni 6 mesi o ogni 3 mesi per i dati
particolari;
5) le credenziali non utilizzate per oltre 6 mesi vanno disattivate;
- Aggiornamento periodico dell’ambito di trattamento;
- Protezione degli strumenti elettronici: lo studio deve censire i sistemi hardware e software e valutare la
funzionalità:
1. Software:
✔ lo studio ad esempio deve essere dotato di sistemi operativi aggiornati e suscettibili di ricevere
patch di aggiornamento (es. windows 2000; 2007 e vista non sono a norma);
✔ deve essere presente un antivirus aggiornato e deve essere effettuato con regolarità il backup
almeno settimanalmente;
2. Hardware:
✔ devono essere dotati di un gruppo di continuità (garantire la resilienza) e di sistemi fisici antivirus
(firewall);
6

✔ se i dati vengono mantenuti su un server fisicamente posto in studio verificare conformità dei locali;
✔ se i dati vengono mantenuti su un cloud di un’azienda terza sarà necessario contrattualizzare il terzo
quale responsabile esterno del trattamento e verificare se i server su cui tali dati sono poggiati ha
sede in UE o se l’azienda abbia aderito e attuato i principi di cui al GDPR;
✔ aggiornare il wi-fi di studio se ancora funzionate con tecnologia di accesso WEP (Wired Equivalent
Privacy), protocollo datato e facilmente superabile (individuazione della password) con una minima
conoscenza informatica: è preferibile il WPA2 piuttosto che i più vecchi standard WEP e WPA.
- Custodia di copie di sicurezza e verifica periodica della corrispondenza e della funzionalità delle copie di
backup rispetto ai dati salvati al fine di verificare integrità e disponibilità dei dati;
- Tecniche di cifratura per i dati “sensibili” (sulla salute e la vita sessuale);
- Conservazione documentale informatica:
1) i documenti informatici e gli atti sottoscritti digitalmente, le fatture elettroniche trasmessi a mezzo
PEC e le stesse PEC devono essere sottoposti a procedure di conservazione documentale in quanto,
sia la firma digitale del sottoscrittore che le certificazioni apposte dal gestore PEC, sono soggette a
scadenza;
2) sarà, pertanto, necessario dotarsi di uno spazio di archiviazione presso un soggetto terzo in grado di
certificare la validità delle firme alla data di sottoscrizione;
- Dati trattati senza l’ausilio di strumenti elettronici (es. fascicoli cartacei) sarà necessario:
1) mantenere un archivio situato in locali con accesso riservato (senza accesso diretto dei clienti e dei
terzi) e mantenuti in un armadio chiuso a chiave;
2) evitare che persone non autorizzate possano conoscere nomi di clienti o di terzi che eventualmente
risultino dal contenitore, anonimizzando la copertina;
- Principio di minimizzazione (durata nel tempo della conservazione): i dati vanno conservati solamente
per il tempo necessario, ovvero nel caso degli avvocati i 10 anni previsti per legge dalla cessazione
dell'incarico o dal passaggio in giudicato della causa.
IL REGISTRO DEI TRATTAMENTI
Il GDPR (art. 30) prevede che “ogni titolare del trattamento e, ove applicabile, il suo rappresentante
tengono un registro delle attività di trattamento svolte sotto la propria responsabilità”.
Sebbene tale obbligo non si applichi di regola alle imprese o organizzazioni con meno di 250 dipendenti, il
registro resta necessario ove il trattamento dei dati possa presentare un rischio per i diritti e le libertà
dell'interessato, non sia occasionale o includa il trattamento di categorie particolari di dati (i dati
“sensibili”), o i dati personali relativi a condanne penali e a reati.
Quindi, gli avvocati per la natura dei dati trattati sono tenuti alla redazione e conservazione del Registro.
In ogni caso, il registro dei trattamenti (elettronico o cartaceo) è fondamentale, sia per disporre di un
quadro aggiornato dei trattamenti svolti, ma anche per un eventuale richiesta di supervisione e richiesta di
esibizione dal Garante.
Serve a dimostrare che il Titolare o il Responsabile del trattamento si conforma al GDPR ed ha funzione di:
1) censire le banche dati e i trattamenti in essere;
2) rappresentare l’organizzazione sotto il profilo dell’attività di trattamento ai fini di informazione,
consapevolezza e condivisione interna;
3) Costituisce strumento di pianificazione e controllo dei trattamenti per garantire la loro riservatezza
e disponibilità;
4) Riduce sprechi di tempo, risorse, duplicazioni di informazioni;
5) Riduce i rischi di trattamento illecito.
DATA BREACH E SANZIONI
Il GDPR definisce la violazione dei dati personali come la “violazione di sicurezza che comporta
accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o
l'accesso ai dati personali trasmessi, conservati o comunque trattati”.
7

In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di
controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è
venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio
per i diritti e le libertà delle persone fisiche.
Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del
ritardo.
La notifica deve:
- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero
approssimativo di interessati in questione, nonché le categorie e il numero approssimativo di registrazioni
dei dati personali in questione;
- comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di
contatto presso cui ottenere più informazioni;
- descrivere le probabili conseguenze della violazione dei dati personali;
- descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per
porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti
negativi.
In pratica, in caso di Data Breach il titolare deve:
- compilare il registro delle violazioni;
- valutare l’impatto della violazione: deve notificare l’evento all’Autorità salvo il caso in cui sia improbabile
che la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà degli interessati;
- se è probabile che la violazione costituisca un rischio elevato per i diritti e le libertà degli interessati e il
titolare non aveva adottato misure tecniche e organizzative per proteggere i dati personali oggetto di
violazione; né successivamente ha adottato misure in grado di scongiurare tale pericolo deve comunicare la
violazione all’interessato.
Le sanzioni previste dal GDPR sono particolarmente elevate, ed arrivano a seconda delle violazioni fino a
10.000.000 di euro o fino a 20.000.000 di euro, o per le imprese, fino al 2% o fino al 4 % del fatturato.
In ogni caso, le sanzioni date dal GDPR sono fissate nel massimo edittale lasciando al Garante locale la
determinazione delle misure minime che dovranno essere proporzionate e dissuasive tenuto conto del
contesto di applicazione e dell'impatto delle violazioni contestate.
PROFILI DEONTOLOGICI DEL GDPR
Il GDPR, oltre a contenere sanzioni amministrative proprie, può incidere anche in ambito deontologico e di
responsabilità professionale.
In particolare, l'art. 13 del Codice Deontologico Forense prevede che “l’avvocato è tenuto, nell’interesse del
cliente e della parte assistita, alla rigorosa osservanza del segreto professionale e al massimo riserbo su
fatti e circostanze in qualsiasi modo apprese nell’attività di rappresentanza e assistenza in giudizio, nonché
nello svolgimento dell’attività di consulenza legale e di assistenza stragiudiziale e comunque per ragioni
professionali”.
Analogamente, l'art. 28 dispone come “è dovere, oltre che diritto, primario e fondamentale dell’avvocato
mantenere il segreto e il massimo riserbo sull’attività prestata e su tutte le informazioni che gli siano
fornite dal cliente e dalla parte assistita, nonché su quelle delle quali sia venuto a conoscenza in dipendenza
del mandato”.
Appare evidente come, per rispettare tali norme deontologiche, l'avvocato oggi debba rispettare la
normativa prevista dal GDPR.
8

9

VOLUME II - INTRODUZIONE
Abbiamo visto col primo volume di questo vademecum il richiamo alle norme del GDPR e dei suoi principi di
base. Gli autori hanno cercato di fornire ai colleghi un inquadramento, il più chiaro possibile, delle norme e
delle problematiche sottese all'applicazione del nuove Regolamento UE sulla protezione dei dati personali.
Ora, con questo secondo volume, si cercherà di entrare maggiormente nello specifico, individuando quelle
che si ritengono i punti fondamentali, e fornendo ove possibile una lettura approfondita della normativa.
Verranno inoltre forniti dei modelli di base per la predisposizione della documentazione fondamentale per
ogni studio legale.
GDPR E ADEMPIMENTI DELLO STUDIO LEGALE
Come si diceva nel precedente volume, lo studio legale deve adeguarsi alle nuove normative in tema di
trattamento dei dati personali rispondendo ai due principi di:
1) privacy by design: la tutela della privacy come elemento atto a prevenire il danno e non a rimediare
ai problemi, nell'ottica di una tutela sostanziale e non meramente formale dei dati, caratterizzata
da funzionalità e trasparenza.
2) Privacy by default: per impostazione predefinita i dati personali andrebbero trattati solo nella
misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali
fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei
dati raccolti.
Per comprovare (rispettando il principio di Accountability) l’adempimento alla normativa privacy (art. 5,
par. 2 Reg. UE 2016/679) dobbiamo produrre alcuni documenti, ognuno dei quali è la traduzione per
iscritto di specifichi obblighi imposti dalla normativa privacy.
1) Documenti sicuramente essenziali:
✔ Registro delle attività di trattamento dei dati (anche in versione “essenziale e sintetica”)
✔ Definizione organigramma di studio
✔ Policy utilizzo strumenti informatici e logistica dello studio
✔ Informativa sul trattamento dei dati
✔ Linee guida Data Breach (moduli notifica interessato e Garante e registro delle violazioni)
✔ Documento verifica gestione del rischio
2) Documenti che potrebbero essere essenziali:
✔ Contratto di co-titolarità
✔ Contratto di nomina a responsabile esterno
✔ Kit formazione nuovi dipendenti/collaboratori
✔ Documento per l'esercizio dei diritti dell'interessato
LA VALUTAZIONE DEI TRATTAMENTI E IL REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO
Individuare le attività dello Studio che coinvolgono il trattamento di dati personali per verificare lo “stato di
fatto” e poter apportare gli opportuni adempimenti.
Tale operazione sarà funzionale anche alla creazione del Registro delle attività di trattamento dei dati.
1) Individuare i soggetti interessati dal trattamento, ossia le persone fisiche a cui si riferiscono i dati
personali che normalmente trattiamo nello svolgimento della nostra attività professionale:
✔ dipendenti, collaboratori, stagisti (alternanza scuola-lavoro), ecc.
✔ clienti
2) Individuare le tipologie di trattamento e le loro finalità:
✔ per i dipendenti e collaboratori (ad esempio la segretaria, il praticante o il collega): gestione
anagrafica, gestione retribuzioni e adempimenti fiscali, previdenziali, contributivi, malattia,
eventuale ricorso a legge 104
✔ per gli stagisti (alternanza scuola-lavoro): gestione anagrafica, gestione modulistica di
provenienza dell’Istituto scolastico, gestione di comunicazioni via-email o fax relative allo stagista
10

✔ per i clienti: gestione anagrafica, gestione finalizzata all’adempimento degli incarichi ricevuti,
per l’adempimento di prestazioni professionali legali (stragiudiziali o giudiziali)
3) Individuare le categorie di dati e la base giuridica:
✔ dipendente (segretaria): dati comuni (es. anagrafici); in taluni casi dati appartenenti a particolari
categorie (es. dati relativi alla salute)
➢ Base Giuridica: contratto
✔ stagista (alternanza scuola-lavoro): dati comuni (es. anagrafici); in taluni casi dati appartenenti a
particolari categorie (es. dati relativi alla salute)
➢ Base Giuridica: convenzione / consenso
✔ clienti: dati comuni (es. anagrafici); dati appartenenti a particolari categorie: origine razziale o
etnica, che rivelano opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale,
dati genetici, biometrici, relativi alla salute, alla vita sessuale, relativi a condanne penali e reati
➢ Base Giuridica: contratto / adempimento di legge / consenso
4) Individuare i soggetti che concretamente trattano i dati (titolare, responsabile, incaricato, ecc.):
✔ dipendente (segretaria): dati trattati dal commercialista (Responsabile)
✔ stagista: dati presumibilmente trattati dal personale di segreteria (Incaricato)
✔ clienti:
➢ dati trattatati all'interno dello studio legale da colleghi, collaboratori o dipendenti (Co-
titolare, Incaricato)
➢ dati trattati all'esterno dello studio legale dal commercialista, dal consulente del lavoro, da
consulenti di parte nei processi, da tecnici informatici, ecc. (Co-titolare, Responsabile)
5) Individuare eventuali soggetti esterni cui si comunicano i dati (ad esempio Autorità Pubbliche
come quella giudiziaria, o a soggetti che svolgono particolari pratiche amministrative-legali)
6) Individuare modalità e tempi della conservazione dei dati:
✔ dipendente: ad esempio, modalità cartacea e telematica, conservazione dei dati per tutta la
durata del rapporto di lavoro e per 10 anni successivi (prescrizione dei diritti)
✔ stagista: ad esempio, modalità cartacea e telematica, conservazione dati in forma cartacea per la
durata dello stage e per i successivi 2 anni; poi scansione e in forma telematica per ulteriori 2 anni
✔ clienti: ad esempio, modalità cartacea e telematica, conservazione dei dati per tutta la durata
del rapporto di lavoro e per 10 anni successivi (prescrizione dei diritti)
All'esito di una valutazione come quella che precede, si sarà in grado di creare un registro delle attività di
trattamento dei dati simile a quello qui sotto riprodotto.
11

L'ORGANIGRAMMA DELLO STUDIO LEGALE E LE PRIVACY POLICY
Altro passaggio fondamentale sarà l'individuazione dell'organigramma dello studio legale (da aggiornare ad
ogni modificazione), con indicazione dei ruoli di dipendenti e collaboratori, tipologia dei dati trattati dagli
stessi, ed ogni altra indicazione utile per “censire” la struttura organizzativa.
Unitamente a tale descrizione, potranno aggiungersi la descrizione delle misure tecniche-informatiche
(descrizione della strumentazione hardware, dei software, delle misure di salvaguardia, ecc.), e la
descrizione logistica dello studio (luoghi, archivi, ecc.).
Il tutto andrà a delineare le misure “adeguate” poste in essere dal titolare del trattamento.
****
ORGANIGRAMMA STUDIO LEGALE ___________
Lo studio legale ____________ è composto da [indicare componenti dello studio e il loro ruolo: titolare, co-titolare, incaricato, ecc.]:
1) _______________________________________
2) _______________________________________
3) _______________________________________
4) _______________________________________
5) _______________________________________
6) _______________________________________
Il personale è stato adeguatamente formato e l'Avv. ____________________________________ si assume il compito di aggiornare
costantemente gli altri componenti dello studio legale in caso di modifiche alle normative.
Nomina del Data Protection Officer [indicazione dei dati del DPO o indicazione della decisione di non nominarlo, con motivazione]
__________________________________________________________________________________________________________
__________________________________________________________________________________________________________
__________________________________________________________________________________________________________
Nello svolgimento delle attività dello studio legale vengono trattati i seguenti dati [si potranno riportare sinteticamente i dati e le
categorie del registro delle attività di trattamento]:
__________________________________________________________________________________________________________
__________________________________________________________________________________________________________
__________________________________________________________________________________________________________
__________________________________________________________________________________________________________
__________________________________________________________________________________________________________
__________________________________________________________________________________________________________
Per quanto riguarda il trattamento dei dati con strumenti informatici sono state implementate le seguenti procedure [ad esempio]:
1) Uso di computer con sistema operativo _______________
2) Accesso al computer attraverso autenticazione con ID e Password
3) Le Password vengono cambiate ogni 4 mesi
4) Su ogni computer è installato antivirus _______________
5) Viene effettuato un backup settimanale dei files
6) I dati vengono salvati in un server _________________
7) Per evitare problematiche di sovraccarichi di corrente è stato installato un gruppo di continuità
8) I dati vengono salvati in cloud, i cui server si trovano in ________________
9) Si utilizza una rete WIFI con protocollo di sicurezza _________________
10) PEC e atti sottoscritti digitalmente vengono conservati a norma di legge a mezzo ___________________
11) Le copie di sicurezza ed i backup dei dati vengono controllati e verificati settimanalmente
12) I dati particolari sono cifrati con ___________________
13) I dati potrebbero essere trasferiti all'estero ____________________
Per quanto riguarda il trattamento dei dati con strumenti cartacei sono state implementate le seguenti procedure [ad esempio]:
1) Gli archivi sono tenuti in un locale riservato con accesso chiuso a chiave
2) I fascicoli sono anonimizzati
3) I fascicoli contenenti i dati particolari sono allocati in appositi locali, con accesso proibito ai terzi
I dati personali verranno trattati per un massimo di 10 anni dal passaggio in giudicato della controversia o comunque dalla
cessazione dell'incarico professionale.
Periodicamente viene svolta una verifica delle procedure di trattamento dei dati personali.
Sono stati predisposti:
- Registro del trattamento dei dati (vedi allegato)
- Registro delle violazioni ed apposite procedure per la comunicazione dei Data Breach (vedi allegato)
12

L'INFORMATIVA
Altro documento essenziale per lo studio legale è l'informativa sul trattamento dei dati personali.
Rispetto alla normativa precedente, vi sono alcune indicazioni nuove da inserire:
1) Indicazione dei dati del Co-titolare e/o Responsabile per la protezione dei dati personali (ove
necessaria la nomina)
2) Indicazione delle categorie di destinatari dei dati trattati
3) Indicazione del periodo di conservazione dei dati trattati
****
INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI
Gentile Cliente,
desideriamo informarLa che i Suoi dati personali, necessari per svolgere l’incarico professionale da Lei conferito, verranno trattati
secondo le modalità che di seguito vengono esposte, al fine della raccolta del Suo consenso adeguatamente informato.
TITOLARI DEL TRATTAMENTO:
I Suoi dati verranno trattati dall’avv. Tizio De Legibus e dall’avv. Caio Penalis.
Potrà contattare entrambi i titolari del trattamento attraverso i seguenti recapiti:
Telefono: 049123456
E-mail: tizio.caio@studiolegale.it
TIPOLOGIE DI DATI TRATTATI:
Tratteremo dati quali:
- i Suoi dati anagrafici (nome, cognome, data di nascita) e le informazioni necessarie per contattarLa (ad es., recapito telefonico);
- Categorie particolari di dati personali quali quelli relativi a…. (es. condanne penali o reati, stato di salute, origine razziale o
convinzioni religiose e filosofiche).
FINALITA’ DEL TRATTAMENTO:
I dati saranno trattati per le seguenti finalità:
- per l’esecuzione della prestazione professionale da lei richiesta;
- per le finalità di fatturazione relative agli adempimenti fiscali necessari in virtù delle previsioni normative in vigore;
- per la gestione degli adempimenti amministrativi dello studio.
Si tratta di dati forniti da Lei stesso. Il mancato o parziale conferimento dei dati necessari impedisce la corretta esecuzione
dell’incarico da Lei conferito.
CATEGORIE SOGGETTI CHE TRATTANO I SUOI DATI:
I Suoi dati personali saranno comunicati e trattati in rapporto di contitolarità con l’avv. .
I collaboratori di studio e i dipendenti potranno essere incaricati del trattamento dei Suoi dati, sotto la responsabilità del Titolare.
I Suoi dati potranno essere comunicati, in accordo con il mandato professionale, a periti/consulenti esterni allo Studio per
l’espletamento di particolari indagini/accertamenti tecnici, i quali svolgeranno l’incarico in qualità di Contitolare o Responsabile del
trattamento.
I Suoi dati necessari per l’erogazione delle fatture verranno comunicati alla Società per la contabilità e la consulenza fiscale e
tributaria di cui lo studio legale si serve, ossia……. .
I Suoi dati personali potranno essere comunicati, sotto il controllo del titolare del trattamento Avv. Tizio De Legibus, alle Autorità
Pubbliche (ad es. Cancelleria del Tribunale).
PERIODO DI CONSERVAZIONE DEI DATI:
I Suoi dati verranno conservati in modalità cartacea e telematica per l’intera durata del rapporto professionale e per gli ulteriori 10
anni successivi.
DIRITTI DELL’INTERESSATO:
In qualità di interessato, ha il diritto di richiedere ai Titolari l’accesso ai propri dati, la rettifica, la cancellazione degli stessi o la
limitazione del trattamento che lo riguardano. Ha inoltre il diritto di richiedere la portabilità dei suoi dati.
Tali richieste dovranno essere presentate alla segreteria dello studio legale De Legibus.
Ha infine diritto di proporre reclamo all’Autorità di controllo.
CONSENSO AL TRATTAMENTO DEI DATI PERSONALI
Il/La sottoscritto/a ……………………………………………………………………… dichiara di aver letto ed acquisito le informazioni sopra riportate e
presta il proprio consenso al trattamento dei propri dati personali per le finalità indicate nella predetta informativa.
Padova, …. / …./ ……
Sottoscrizione dell’Interessato
……………………………………………………
CONSENSO AL TRATTAMENTO DEI DATI PERSONALI RELATIVI A … (ES. STATO DI SALUTE)
Il/La sottoscritto/a ……………………………………………………………………… dichiara di aver letto ed acquisito le informazioni sopra riportate e
presta il proprio consenso al trattamento dei propri dati personali relativi al proprio stato di salute per le finalità indicate nella
predetta informativa.
Padova, …. / …./ ……
Sottoscrizione dell’Interessato
……………………………………………………
13

ESERCIZIO DEI DIRITTI DA PARTE DELL'INTERESSATO
Potrebbe essere opportuno predisporre un modello di documento da consegnare all'interessato che volesse
esercitare i propri diritti nei confronti del titolare del trattamento.
Il modello potrebbe essere analogo a quello qui di seguito.
****
Spett.le
XXXXX XXXXX
Via XXXXXX, n. X
35100 Padova (PD)
OGGETTO: ESERCIZIO DI DIRITTI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
Il/La sottoscritto/a ___________________________________________________________________
nato/a in_______________________________ il __________________________________________
esercita con la presente richiesta i suoi diritti di cui all’articolo 13, paragrafo 2, lett. b) del Regolamento (UE) 2016/679 in materia di
protezione dei dati personali.
(Barrare solo la casella che interessa)
 Accesso ai dati personali
Il sottoscritto intende accedere ai dati che lo riguardano e precisamente chiede di confermargli l’esistenza o meno di tali dati, anche
se non ancora registrati.
 Rettifica ai dati personali
Il sottoscritto chiede di:
(Barrare solo la casella che interessa)
 Correggere i propri dati personali, e nello specifico:
________________________________________________________________________________________________________
________________________________________________________________________________________________________
________________________________________________________________________________________________________
 Integrare i propri dati personali incompleti, e nello specifico:
________________________________________________________________________________________________________
________________________________________________________________________________________________________
________________________________________________________________________________________________________
 Cancellazione dei dati personali
Il sottoscritto chiede la cancellazione dei propri dati personali, e nello specifico perché
__________________________________________________________________________________________________________
__________________________________________________________________________________________________________
__________________________________________________________________________________________________________
 Limitazione al trattamento dei dati personali
Il sottoscritto chiede la limitazione al trattamento dei propri dati personali, e nello specifico
perché____________________________________________________________________________________________________
__________________________________________________________________________________________________________
__________________________________________________________________________________________________________
 Opposizione al trattamento dei dati personali
Il sottoscritto si oppone al trattamento dei propri dati per motivi connessi alla sua situazione particolare, nello specifico perché
__________________________________________________________________________________________________________
__________________________________________________________________________________________________________
__________________________________________________________________________________________________________
 Portabilità dei dati personali
Il sottoscritto chiede che gli vengano consegnati e/ o trasmessi in formato strutturato, di uso comune e leggibile da dispositivo
automatico i dati personali che lo riguardano.
Recapito per la risposta:
1.Indirizzo postale:
Via/Piazza __________________________________, Comune ____________________________, Provincia ____, CAP _____
2. E-mail: ___________________________________
3. PEC: ___________________________________
4. Fax: ___________________________________
Luogo e data
_________, ___/___/_____
Firma dell’Interessato
_____________________
14

ACCORDO INTERNO DI CONTITOLARITÀ
All'interno dello studio legale può succedere che più colleghi seguano e gestiscano medesime posizioni o
gli stessi clienti: il caso del mandato congiunto è sicuramente il più comune.
Tale situazione comporta il dover determinare modalità e finalità del trattamento attraverso un accordo
interno in cui i professionisti disciplinano anche le proprie responsabilità e obblighi.
Il GDPR richiede nel contratto che andrà firmato tra i co-titolari, alcuni elementi specifici:
- Definizione dei ruoli dei contitolari per quanto riguarda il trattamento dei dati;
- Regolamentazione funzioni di comunicazione delle informative;
- Definizione responsabilità in merito all’esercizio dei diritti da parte degli interessati;
- Definizione delle ulteriori responsabilità derivanti dal GDPR;
- Individuazione di un punto di contatto tra gli interessati.
****
ACCORDO INTERNO DI CONTITOLARITÁ
(art. 26 Regolamento (Ue) 2016/679)
Tra le sottoscritte parti
Avv. Tizio De Legibus, nato in Padova (PD) il GG.MM.AAAA, c.f. ABC DEF AAMGG X012Z, titolare dell’omonimo Studio Legale con sede
in 35100 - Padova (PD), via XXXX, n. XXX,
Avv. Caio Penalis, nato in Padova (PD) il GG.MM.AAAA, c.f. ABC DEF AAMGG X012G.
PREMESSO CHE
a) l’Avv. Tizio De Legibus è titolare dello Studio Legale De Legibus con sede in 35100 - Padova (PD), via XXXX, n. XXX. Per mezzo dei
propri dipendenti di segretaria l’Avv. Tizio De Legibus svolge anche attività di gestione amministrativa dello Studio stesso per
l’effettuazione delle prestazioni professionali ivi svolte;
b) l’Avv. Caio Penalis svolge la propria professione in qualità di libero professionista ed in quanto tale determina autonomamente la
modalità con cui tratta i dati personali rilevanti ai fini della prestazione professionale eroganda;
c) ai sensi dell’art. 26, paragrafo 1, del Regolamento (Ue) 2016/679 sulla protezione dei dati (privacy), “Quando due o più titolari del
trattamento stabiliscono congiuntamente le finalità e i mezzi del trattamento, devono determinare in modo trasparente, mediante
un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dalla normativa in vigore in materia di
trattamento dei dati personali, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di
comunicazione delle schede informative”;
d) ai sensi dell’art. 26, paragrafo 2, del Regolamento (Ue) 2016/679 sulla protezione dei dati (privacy), “L’accordo in questione riflette
adeguatamente i rispettivi ruoli delle parti contraenti ed i rapporti di questi con i soggetti interessati dal trattamento”.
SI CONVIENE E STIPULA
Articolo 1.
1.1. Le premesse sono parte integrante e sostanziale del presente accordo.
Articolo 2.
2.1. L’Avv. Tizio De Legibus è il titolare del trattamento per quanto attiene agli adempimenti amministrativi e contabili-fiscali
necessari all’erogazione della prestazione professionale.
Articolo 3.
3.1. Con il presente accordo l’Avv. Caio Penalis assume la qualità di contitolare del trattamento congiuntamente all’Avv. Tizio De
Legibus per quanto attiene al trattamento dei dati personali necessari per la prestazione professionale eroganda, a partire dalla
prima consulenza.
Articolo 4.
4.1. L’Avv. Tizio De Legibus si assume l’onere, per il mezzo del personale addetto alla segreteria, di distribuire agli assistititi dell’Avv.
Caio Penalis la propria informativa privacy, al fine di acquisire il consenso al trattamento dei dati personali.
4.2. L’Avv. Tizio De Legibus è il destinatario delle richieste relative all’esercizio da parte degli interessati dei diritti previsti in loro
favore dalle norme vigenti in materia di trattamento dei dati, come indicati nelle informative sottoscritte dagli stessi.
Articolo 5.
5.1. L’Avv. Caio Penalis risponde personalmente della modalità di conservazione dei dati particolari dei propri assistiti.
5.2. L’Avv. Caio Penalis si impegna a rispettare quanto stabilito dal Modello Organizzativo Privacy dell’Avv. Tizio De Legibus, con
particolare riguardo alle disposizioni inerenti agli incidenti di sicurezza. Si impegna ed obbliga inoltre a mantenere condotte
adeguate rispetto alla gestione dei fascicoli dei propri assistiti.
5.3. L’Avv. Caio Penalis osserva le disposizioni adottate dall’Avv. Tizio De Legibus di cui alle “Linee guida in caso di data breach” e alla
“Policy per l’utilizzo degli strumenti informatici”.
Articolo 6.
6.1. Le parti convengo che il punto di contatto tra gli interessati e i contitolari è la struttura dello Studio Legale dell’Avv. Tizio De
Legibus per il mezzo dei presenti contatti:
- telefono: (+39) 049123456
- e-mail: tizio.caio@studiolegale.it
Padova, 25 maggio 2018
Avv. Tizio De Legibus Avv. Caio Penalis
15

IL RESPONSABILE DEL TRATTAMENTO DEI DATI E LA SUA NOMINA
Oltre ai soggetti appartenenti allo studio legale, vi sono altri soggetti “esterni” che sono sicuramente
coinvolti nel trattamento dei dati.
Tra questi i principali sono:
- Commercialisti
- Responsabili IT
- Periti / consulenti esterni (laddove non siano Co-titolari)
Tali soggetti devono impegnarsi a rispettare quanto stabilito dal Titolare del trattamento quanto mezzi e
finalità per le quali i dati sono conferiti, nonché garantire l’adozione di misure adeguate per la sicurezza del
trattamento.
Il GDPR prevede che i trattamenti da parte dei Responsabili del trattamento siano disciplinati da un
contratto od altro atto giuridico a norma del diritto comunitario o degli stati membri.
Il contenuto del contratto si può esemplificare nei seguenti punti:
- Qualificazione delle parti
- Oggetto del contratto
- Finalità perseguite e servizi resi dal Responsabile
- Tipi di dati personali e categorie di interessati coinvolti
- Obblighi e diritti del Responsabile
- Autorizzazione alla nomina di un Sub-Responsabile
- Obblighi e diritti del Titolare del trattamento
- Compenso
- Durata e termine del trattamento
****
CONTRATTO PER LA NOMINA DEL RESPONSABILE DEL TRATTAMENTO DEI DATI
(Art. 28 del Regolamento (Ue) 2016/679)
Tra le sottoscritte parti
Avv. Tizio De Legibus, nato in Padova (PD) il GG.MM.AAAA, c.f. ABC DEF AAMGG X012Z, titolare dell’omonimo Studio Legale con sede
in 35100 - Padova (PD), via XXXX, n. XXX;
Mevio De Conti Studio Commercialista S.n.c., con sede legale in 35100 - Padova (PD), via XXXX, n. XXX, c.f. 123456799, in persona del
rappresentante legale Mevio De Conti nato in Urbe il GG.MM.AAAA, c.f. ABC DEF AAMGG X012G.
PREMESSO CHE
a) l’Avv. Tizio De Legibus è titolare dello Studio Legale De Legibus con sede in 35100 - Padova (PD), via XXXX, n. XXX. Per mezzo dei
propri dipendenti di segretaria l’Avv. Tizio De Legibus svolge anche attività di gestione amministrativa dello Studio stesso per
l’effettuazione delle prestazioni professionali ivi svolte;
b) Mevio De Conti Studio Commercialista S.n.c. (di seguito “il Responsabile del Trattamento” o “il Responsabile”), è lo studio
professionale di riferimento dell’Avv. Tizio De Legibus e si occupa della tenuta contabile, delle dichiarazioni dei redditi, dell’attività di
fatturazione, ecc. di quest’ultimo;
c) ai sensi del Regolamento (Ue) 2016/679 sulla protezione dei dati (privacy):
- “titolare del trattamento” è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o
insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art. 4, par. 1, n. 7);
- “responsabile del trattamento” è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati
personali per conto del titolare del trattamento (art. 4, par. 1, n. 8),
- “il responsabile del trattamento” effettua il trattamento secondo le istruzioni impartite dal “titolare del trattamento”, assicurando
l’adozione di misure tecniche e organizzative adeguate al fine di assicurare che il trattamento soddisfi i requisiti delle normative
vigenti in materia di trattamento dei dati personali e garantisca la tutela dei diritti dell’interessato. (art. 28, par. 1)
- “il responsabile del trattamento” è vincolato al “titolare del trattamento” mediante contratto o altro atto giuridico, con il quale è
disciplinata la materia e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di
interessati, gli obblighi e i diritti del titolare del trattamento e gli obblighi e i diritti del responsabile del trattamento (art. 28, par. 3);
SI CONVIENE E STIPULA
Articolo 1. Le premesse.
1.1. Le premesse vengono confermate e costituiscono parte integrante e sostanziale del presente contratto.
16

Articolo 2. Qualificazione delle parti.
2.1. L’ Avv. Tizio De Legibus è il Titolare del trattamento dei dati di cui viene a conoscenza nell’esercizio della propria attività.
Pertanto, è legittimato ad assumere ogni e qualsiasi decisione in ordine alle finalità ed alle modalità del trattamento dei dati
personali, di cui al proprio Modello Organizzativo Privacy.
2.2. In tale ambito, l’Avv. Tizio De Legibus designa quale Responsabile del trattamento dei dati personali Mevio De Conti Studio
Commercialista S.n.c.
2.3. Tale qualifica vale per i trattamenti effettuati in relazione alle prestazioni, di cui al successivo art. 4, che il Responsabile esegue a
favore dell’Avv. Tizio De Legibus.
Articolo 3. Oggetto del contratto.
3.1. Il presente contratto ha ad oggetto la definizione delle modalità attraverso le quali il Responsabile si impegna ad effettuare per
conto del Titolare le operazioni di trattamento dei dati personali che di seguito sono definite, nel rispetto della regolamentazione in
vigore concernente il trattamento dei dati a carattere personale e, in particolare, il Regolamento Europeo (Ue) 2016/679.
Articolo 4. Finalità perseguite e servizi resi dal Responsabile.
4.1. Il Responsabile del trattamento è autorizzato a trattare per conto del Titolare i dati a carattere personale esclusivamente al fine
di fornire i seguenti servizi:
a) contabilità, fatturazione e predisposizione buste paga;
b) fornitura e manutenzione del programma gestionale “Software”;
4.2. Il Titolare si impegna a comunicare al Responsabile qualsiasi variazione si dovesse rendere necessaria nelle operazioni di
trattamento dei dati.
Articolo 5. Tipi di dati personali e categorie di interessati coinvolti.
5.1. I dati trattati dal Responsabile per conto dell’Avv. Tizio De Legibus quali, a titolo esemplificativo, il nome, il cognome, il codice
fiscale, la residenza, l’età, il genere, i dati di pagamento, sono dati personali.
5.2. Le categorie di persone interessate sono i clienti e i dipendenti dell’Avv. Tizio De Legibus.
Articolo 6. Obblighi e diritti del Responsabile.
6.1. Il Responsabile del trattamento si impegna ed obbliga a trattare i dati di cui al precedente articolo solo per le finalità e per
l’esecuzione dei servizi sopra specificati.
6.2. Il Responsabile si impegna ed obbliga a porre in atto nella propria struttura le misure di sicurezza necessarie in base alla
normativa in vigore per il trattamento dei dati personali ed a svolgere le proprie prestazioni nel rispetto delle istruzioni ricevute dal
Titolare, nonché del presente contratto.
6.3. Qualora il Responsabile ritenga che un’istruzione fornita dal Titolare integri una violazione delle normative in materia di
trattamento dei dati personali, ed in particolare il Regolamento europeo (Ue) 2016/679, deve informare immediatamente il Titolare
del trattamento.
6.4. Il Responsabile si impegna ed obbliga a mettere a disposizione del Titolare del trattamento la documentazione necessaria a
comprovare il rispetto degli obblighi di cui alla normativa in vigente in materia di trattamento dei dati personali ed in particolare il
Regolamento europeo (Ue) 2016/679, nonché il presente contratto.
6.5. Il Responsabile collabora con il Titolare del trattamento per la realizzazione di revisioni, comprese le ispezioni, da parte del
Titolare o di un soggetto dallo stesso incaricato.
6.6. Il Responsabile è tenuto a comunicare al Titolare senza ritardo, comunque entro 24 ore, le istanze degli interessati,
contestazioni, ispezioni o richieste dell’Autorità di Controllo e delle Autorità Giudiziarie, ed ogni altra notizia rilevante in relazione al
trattamento dei dati personali.
6.7. Il Responsabile si impegna inoltre a:
a) garantire la riservatezza dei dati trattati;
b) individuare nell’ambito della propria struttura le persone fisiche autorizzate al trattamento;
c) sottoporre le persone agenti sotto la sua autorità ad un obbligo legale di segretezza;
d) controllare che le persone agenti sotto la sua autorità ricevano la formazione necessaria in materia di protezione dei dati a
carattere personale e rispettino la riservatezza delle informazioni trattate.
6.8. Il Responsabile prende visione e si impegna a rispettare quanto previsto dal Modello Organizzativo Privacy del Titolare sia per
quanto riguarda gli aspetti rilevanti ai fini delle prestazioni che gli competono, sia con riferimento alle disposizioni in ordine agli
incidenti di sicurezza.
Articolo 7. Autorizzazione alla nomina di un Sub-Responsabile.
7.1. Il Responsabile può ricorrere ad un altro Responsabile del trattamento (di seguito “Sub-Responsabile”) per delegare lo
svolgimento di attività specifiche riguardanti la supervisione/gestione/manutenzione del sistema informatico proprio o del Titolare
del trattamento, in relazione alle quali il Sub-Responsabile potrebbe venire a conoscenza dei dati personali ivi contenuti.
7.2. Il Responsabile si impegna ed obbliga a garantire l’idoneità professionale del Sub-Responsabile scelto e che il medesimo sia
munito delle sue stesse garanzie, di cui al presente contratto, in riferimento alle misure tecniche ed organizzative da adottare per il
trattamento dei dati.
7.3. Il Responsabile s’impegna ed obbliga a stipulare con il Sub-Responsabile specifici contratti e/o altri atti giuridici al fine di:
- descrivere analiticamente i compiti affidati al medesimo;
- imporre allo stesso il rispetto di ogni e qualsiasi obbligo a lui imposto dal Titolare del trattamento.
7.4. In caso di nomina di un Sub-Responsabile, il Responsabile ne informa tempestivamente e per iscritto il Titolare, attraverso un
documento indicante almeno:
a) l’identità, i recapiti e gli indirizzi del Sub-Responsabile;
b) le attività di trattamento delegate;
c) i dati del contratto di esternalizzazione.
7.5. Se il Sub-Responsabile non adempie alle proprie obbligazioni in materia di protezione dei dati, il Responsabile iniziale ne è
interamente responsabile nei confronti del Titolare.
17

Articolo 8. Esercizio dei diritti da parte degli interessati.
8.1. Il Responsabile del trattamento, per quanto possibile, assiste il Titolare nell’espletamento degli obblighi discendenti dalle
domande di esercizio dei diritti delle persone interessate: diritto di accesso, rettifica, cancellazione, opposizione, diritto alla
limitazione del trattamento, diritto a trasportare i dati, diritto di non essere oggetto di una decisione individuale automatizzata.
Articolo 9. Obblighi e diritti del Titolare del trattamento.
9.1. Il Titolare del trattamento:
a) fornisce al Responsabile i dati di cui al presente contratto;
b) documenta per iscritto le eventuali ulteriori istruzioni impartite al Responsabile riguardanti il trattamento dei dati;
c) vigila sul rispetto da parte del Responsabile del trattamento degli obblighi previsti dal presente contratto e dalla normativa in
vigore.
Articolo 10. Compenso.
10.1. Il presente contratto non comporta alcun diritto del Responsabile ad uno specifico compenso/indennità/rimborso derivante
dall’esecuzione del medesimo.
Articolo 11. Durata e termine del trattamento.
11.1. Il presente contratto entra in vigore a far data dal giorno della sottoscrizione per una durata di X anni.
11.2. Il contratto si intende tacitamente rinnovato annualmente alla scadenza, fatto salvo il diritto per ciascuna parte di recere dallo
stesso con un preavviso di almeno Y mesi.
11.3. Al termine delle operazioni di trattamento ovvero qualora il presente contratto non venga rinnovato, nonché alla cessazione
per qualsiasi causa del trattamento da parte del Responsabile, il Responsabile sarà tenuto a:
a) restituire al Titolare i dati personali oggetti del trattamento,
b) provvedere, alternativamente a quanto sopra e su richiesta del Titolare, alla loro integrale distruzione, salvi i casi in cui la
conservazione sia stabilita da norme di diritto.
11.4. Il Responsabile provvederà, se del caso, a rilasciare al Titolare una dichiarazione scritta contenente l’attestazione che presso il
medesimo non è presente alcuna copia dei dati personali e delle informazioni di titolarità del Titolare.
11.5. Il Titolare si riserva il diritto di effettuare controlli e verifiche per controllare la veridicità della dichiarazione del Responsabile.
Padova, 25 maggio 2018
Il Titolare del trattamento Il Responsabile del trattamento
Avv. Tizio De Legibus Mevio De Conti Studio Commercialista S.n.c.
in persona del legale rappresentante
DATA BREACH E REGISTRO DELLE VIOLAZIONE
Come già riportato nel precedente vademecum, in caso di Data Breach (“violazione di sicurezza che
comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non
autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”), il titolare del
trattamento notifica all'autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro
72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati
personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del
ritardo.
La valutazione sul rischio per i diritti e le libertà delle persone fisiche della violazione sarà onere del titolare
del trattamento (Accountability).
Buona prassi sarà predisporre un registro delle violazioni (che potrà essere un foglio excel o una tabella
word) da tenere sempre aggiornato con tutte le violazioni, pur minime.
Per ogni violazione andrà valutato l’impatto della violazione.
La notifica all'Autorità dovrà essere effettuata salvo il caso in cui sia improbabile che la violazione sia
suscettibile di presentare un rischio elevato per i diritti e le libertà degli interessati.
La notifica deve:
- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero
approssimativo di interessati in questione, nonché le categorie e il numero approssimativo di
registrazioni dei dati personali in questione;
- comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di
contatto presso cui ottenere più informazioni;
18

- descrivere le probabili conseguenze della violazione dei dati personali;
- descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per
porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti
negativi.
VERIFICA DI VALUTAZIONE DEL RISCHIO
L’art. 35 par 1 GDPR prevede che “Quando un tipo di trattamento, allorché prevede in particolare l'uso di
nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare
un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di
procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati
personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi
elevati analoghi. […]”.
La valutazione d'impatto sulla protezione dei dati è richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un
trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti
giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo
1, o di dati relativi a condanne penali e a reati di cui all'articolo 10;
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Appare evidente che, pure nel caso di specie, sarà il titolare a dover decidere motivatamente se effettuare
o meno la verifica di valutazione del rischio, tenendo conto della situazione specifica dello studio legale e
dei dati trattati.
19

Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale

Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale

Recommended

Recommended

More Related Content

What's hot

What's hot (18)

Similar to Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale

Similar to Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale (20)

More from Edoardo Ferraro

More from Edoardo Ferraro (20)

Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale