INFORMATIVA TRATTAMENTO DEI DATI PERSONALI
(ART. 13 e14 REG. UE 2016/679)
Lo Studio Legale Federici, con sede in Roma, Viale Giuseppe Mazzini 9, CAP 00195, è impegnato nella tutela e nella protezione dei dati personali, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, ai sensi del D. Lgs. 196/2003 e del Regolamento UE 679/2016.
Nel rispetto degli obblighi di legge rilascia la seguente informativa.
- FINALITÀ DEL TRATTAMENTO. Il trattamento è finalizzato unicamente alla corretta e completa esecuzione dell’incarico professionale ricevuto sia in ambito giudiziale che extragiudiziale.
- MODALITÀ DEL TRATTAMENTO DEI DATI PERSONALI. Il trattamento è realizzato attraverso operazioni, effettuate con o senza l’ausilio di strumenti elettronici e consiste nella raccolta, registrazione, organizzazione conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto utilizzo interconnessione, blocco, comunicazione cancellazione e distruzione dei dati. Il trattamento è svolto dal titolare e dagli incaricati espressamente autorizzati dal titolare.
- CONFERIMENTO DEI DATI E RIFIUTO. Il conferimento dei dati personali comuni, sensibili e giudiziari è necessario ai fini dello svolgimento delle attività di cui al punto a) e il rifiuto da parte dell’interessato di conferire i dati personali comporta l’impossibilità di adempiere all’attività di cui al punto a).
- COMUNICAZIONE DEI DATI. I dati personali possono venire a conoscenza esclusivamente dagli incaricati del trattamento e possono essere comunicati per le finalità di cui al punto a) a collaboratori esterni, domiciliatari, controparti e loro difensori, ad eventuali arbitri e in generale a tutti i soggetti i quali la comunicazione è necessaria per il corretto espletamento dell’incarico professionale e per le finalità di cui al punto a). I dati personali non sono soggetti a diffusione
- TRASFERIMENTO DEI DATI ALL’ESTERO. I dati personali possono essere trasferiti verso paesi dell’unione europea o verso paesi terzi rispetto a quelli dell’unione europea o ad un’organizzazione internazionale, nell’ambito delle finalità di cui al punto a). Sarà comunicato all’interessato se esista o meno una decisione de adeguatezza della Commissione Ue.
- CONSERVAZIONE DEI DATI. I dati sono conservati per il periodo necessario all’espletamento dell’attività e comunque non superiore a dieci anni.
- TITOLARE DEL TRATTAMENTO. Il titolare del trattamento è l’ Avv. Pierluigi Federici.
- DIRITTI DELL’INTERESSATO. L’interessato ha diritto:
– all’ accesso, rettifica, cancellazione, limitazione e opposizione al trattamento dei dati;
– ad ottenere senza impedimenti dal titolare del trattamento i dati in un formato strutturato di uso comune e leggibile da dispositivo automatico per trasmetterli ad un altro titolare del trattamento;
– a revocare il consenso al trattamento, senza pregiudizio per la liceità del trattamento basata sul consenso acquisito prima della revoca;
– proporre reclamo all’Autorità Garante per la Protezione dei dati personali.
L’esercizio dei premessi diritti può essere esercitato mediante comunicazione scritta da inviare a mezzo pec all’indirizzo pierluigifederici@ordineavvocatiroma.org lettera raccomandata a/r all’indirizzo Viale Giuseppe Mazzini 9- 00195 Roma.
Registro di attività di trattamento
(art. 30 32 del Regolamento UE n.679/2016)
Ai sensi degli artt. 30-32 del Regolamento UE 679/2016) lo Studio legale Pierluigi Federici, con sede in Roma, Viale Giuseppe Mazzini 9, 00195 Roma rilascia il seguente registro delle attività di trattamento.
Tipologia dei dati trattati
Nello svolgimento delle proprie attività lo Studio legale Federici tratta le seguenti tipologie di dati.
Dati comuni:
- dati comuni dei clienti, dei fornitori o di terzi ricavati da albi, elenchi pubblici, visure camerali, banche accessibili al pubblico;
- dati comuni del personale dipendente funzionali al rapporto di lavoro, alla reperibilità alla corrispondenza con gli stessi o richiesti a fini fiscali e previdenziali;
- dati comuni dei clienti dagli stessi comunicati per l’espletamento dell’incarico professionale, compresi dati sul patrimonio e sulla situazione economica, o necessari a fini fiscali o attinenti alla reperibilità e alla corrispondenza con gli stessi;
- dati comuni di terzi forniti dai clienti per l’espletamento degli incarichi compresi i dati sul patrimonio o sulla situazione economica, o necessari a fini fiscali o attinenti alla reperibilità o alla corrispondenza con gli stessi, o per atti giudiziari;
- dati comuni dei fornitori forniti dagli stessi e relativi alla reperibilità o alla corrispondenza con gli stessi nonché inerenti a fini fiscali o di natura bancaria;
- dati comuni di altri Avvocati o professionisti ai quali lo studio affida incarichi o si rivolge per consulenze attinenti alla loro reperibilità alla corrispondenza nonché inerenti a finalità fiscali o di natura bancaria.
Dati sensibili e giudiziari:
dati sensibili del personale dipendente conseguenti al rapporto di lavoro, ovvero inerenti i rapporti con gli enti previdenziali ed assicurativi e assistenziali, o dati giudiziari del personale dipendente o l’adesione ad organizzazioni sindacali;
- dati giudiziari dei clienti idonei a rivelare i provvedimenti di cui all’art.3 Dpr n.313/02 o idonei a rivelare la qualità di indagato o imputato;
- dati giudiziari di terzi idonei a rivelare i provvedimenti di cui all’art 3 Dpr.n.313/02 o idonei a rivelare la qualità di indagato o imputato;
- dati sensibili dei clienti dagli stessi forniti per l’espletamento degli incarichi affidati allo studio idonei a rivelare l’origine razziale ed etnica le convinzioni o l’adesione ad organizzazioni a carattere religioso politico, sindacale, filosofico;
- dati sensibili dei clienti dagli stessi forniti o acquisiti per l’espletamento dell’incarico affidato allo studio idonei a rivelare lo stato di salute;
- dati sensibili di terzi forniti dai clienti o acquisiti per l’espletamento degli incarichi idonei a rivelare lo stato di salute;
- dati sensibili di clienti e di terzi afferenti la vita sessuale;
- dati genetici di clienti e terzi
Trattamento e conservazione dei dati
I dati che non sono pubblici vengono acquisiti previa informativa allegata al presente Registro di attività di trattamento (art. 30) e vengono trattati e conservati in (i) fascicoli non trasparenti riposti in schedari dotati di chiusura e posti in locali protetti e (ii) fascicolo informatico tramite programma gestionale accessibile soltanto dai collaboratori in possesso delle credenziali assegnate dal responsabile del sistema informatico.
Al termine dell’incarico i dati sono archiviati e conservati sia su server fisico collocato all’interno dei locali dello studio sia su server cloud accessibile via web.
Il trattamento dei dati avviene prevalentemente all’interno dello studio ed è effettuato soltanto dai collaboratori autorizzati e dal personale di segreteria per:
- l’attività preparatoria a quella difensiva;
- le attività giudiziale, stragiudiziale e di consulenza di cui lo studio viene incaricato;
- le attività contabili e amministrative dello studio.
I locali dove avviene il trattamento dei dati è sito al sesto piano e dotato di porta di ingresso con apertura e chiusura automatica / con porta blindata.
Nel locale segreteria è ubicata la stampante –fax-fotocopiatrice.
Descrizione dei sistemi informatici e policy di sicurezza informatica
Lo studio è dotato di rete informatica collegata all’esterno tramite due linee telefoniche. La rete locale è basata su un’architettura LAN che prevede la presenza di un server centrale per il funzionamento dei software gestionali per il trattamento e per l’archiviazione dei dati.
Il server è collocato in un locale chiuso accessibile solo tramite codice numerico. Un firewall fisico installato presso i locali dello studio gestisce gli accessi al server da e verso l’esterno, proteggendolo da eventuali attacchi.
Inoltre, lo studio dispone di un sistema NAS per il back-up giornaliero dei dati su supporto fisico. È altresì previsto un back-up settimanale dei dati su server cloud accessibile via web.
Le credenziali di accesso (username e password) ai sistemi di back-up, sia fisici che virtuali, sono conservate dal responsabile dei sistemi informatici.
Ogni postazione di lavoro è dotata di sistema operativo, di antivirus e di firewall costantemente aggiornati.
L’accesso ai sistemi informativi per il trattamento dei dati è protetto da password ed è possibile soltanto ai dipendenti e ai collaboratori autorizzati per specifiche esigenze operative. Al fine di limitare l’accesso ai soli dati necessari per lo svolgimento delle proprie mansioni è stato predisposto un sistema di autorizzazione per profili omogenei.
Ogni utente è istruito per modificare periodicamente e in modo autonomo la propria password di accesso in modo da mantenerla segreta.
Criteri per assicurare l’integrità dei dati
L’integrità dei dati è assicurata primariamente dalle attività di monitoraggio dello stato logico dei dischi (server e NAS) e dei database ad opera del responsabile del sistema informatico.
Le password di accesso ai software gestionali per il trattamento dei dati sono protette da crittografia Triple DES.
Non è previsto alcun reimpiego dei supporti di memorizzazione, che verranno distrutti al cessare della loro funzionalità per obsolescenza.
Incaricati del trattamento
I dati comuni dei clienti, fornitori dei terzi, di altri professionisti domiciliatari, i dati giudiziari dei clienti e di terzi, i dati sensibili dei clienti e dei terzi sono trattati oltre che dal titolare da tutti gli incaricati.
Analisi dei rischi
Per quanto concerne i dati comuni raccolti relativi ai soggetti specificati nella prima parte del presente documento il rischi legato alla gestione e al trattamento può definirsi basso.
Per i dati sensibili dei clienti e dei terzi i rischi legati al loro trattamento possono definirsi bassi.
Per i dati sensibili riguardanti lo stato di salute, o idonei a rivelare la vita sessuale, per le pratiche riguardanti la sfera personale e familiare (separazioni, divorzi, disconoscimenti di paternità) il rischio può definirsi basso.
I rischi relativi agli strumenti elettronici presenti in studio possono riguardare mal funzionamenti o guasti, eventi naturali alterazioni nella trasmissione. Per ridurre i rischi al minimo sono state adottate oltre alle misure di sicurezza sopra specificate le seguenti misure di sicurezza: password di otto caratteri sostituita ogni tre mesi scelta dall’incaricato e dallo stesso, disposizione a tutti gli utilizzatori di non lasciare incustoditi gli strumenti elettronici e che verifichino la provenienza delle e- mail. Si è data disposizione di considerare internet e posta elettronica quali strumenti di lavoro e si è pertanto vietata la navigazione in internet su siti poco attendibili o non ufficiali e si è data disposizione di non aprire e-mail provenienti da soggetti non conosciuti e di non inviare e-mail non autorizzate dal titolare.
I rischi relativi ai software possono consistere in errori o virus. Si è data disposizione di provvedere periodicamente alla pulizia dei file temporanei e del disco rigido, alla deframmentazione.
Il rischio per il trattamento dei dati cartacei può essere considerato basso essendo l’archivio dotato di chiusura a chiave e i fascicoli riposti in armadi chiusi, fatti salvi gli eventi naturali.
È stata data disposizione che i fascicoli contenenti i dati siano sempre riposti negli appositi schedari e prelevati per il tempo necessario al trattamento e che non vengano lasciati incustoditi sulle scrivanie, che le comunicazioni a mezzo posta o fax debbano essere smistate immediatamente ai destinatari. Terminato l’incarico professionale si è data istruzione che i fascicoli siano archiviati in apposito locale chiuso a chiave e i relativi file esistenti sul computer vengano cancellati. Fuori dell’orario di lavoro non ne è consentito l’accesso al locale archivio se non previa autorizzazione. All’archivio elettronico possono accedere solo le persone di studio con apposita password.
È stata data disposizione che il materiale cartaceo destinato allo smaltimento sia riposto in sacchi di plastica non trasparenti o contenitori chiusi al fine di evitarne la fuoriuscita e smaltiti una volta alla settimana.
Per quanto riguarda il rischio per il trattamento dei dati elettronici può essere considerato basso essendo adottati tutti i sistemi di sicurezza derivanti dalla gestione dei dati.
Il rischio di perdita dei supporti di memorizzazione è basso in quanto esiste un duplice sistema di backup, ivi incluso un sistema effettuato da soggetto specializzato.
Per il ripristino dei dati si è data istruzione che venga richiesto l’intervento dell’installatore e in ogni caso è dato incarico di provvedere al ripristino entro 24 ore.
Gli incaricati del trattamento sono affidabili e riservati quindi i rischi connessi ad incuria, distrazione sono bassi.
Gli utenti autorizzati del sistema vengono formati, rispettivamente per i loro ruoli all’atto dell’ingresso nella struttura dello studio e dell’installazione di nuovi sistemi dai tecnici venditori dei sistemi e per quanto concerne le procedure per garantire le misure di sicurezza dal titolare del trattamento.
Gli incaricati dovranno comunicare immediatamente al titolare disfunzioni dei sistemi operativi e sono autorizzati a richiedere l’intervento del tecnico incaricato in caso di interruzioni e disfunzioni.
Terzi operatori tecnici interverranno sugli strumenti informatici previa autorizzazione ed invito ad effettuare gli interventi limitatamente alla prestazione da eseguire e alla presenza del titolare o delle persone autorizzate.
Il rischio di accesso allo studio può essere considerato basso essendo dotato di porta blindata e di citofono sistema o di sicurezza antiintrusione, così come l’accesso di terzi estranei allo studio del professionista essendo dotato di porta con chiusura ed essendo l’accesso previamente controllato dalla segretaria.
Il rischio che terzi estranei accedano agli strumenti elettronici è basso essendo la sala di attesa dei clienti distante dalle postazioni di lavoro ed essendo i clienti controllati dalla segretaria.
Lo studio ha provveduto ad adottare le disposizioni del D. Lgs. 81/2008 e ss. è dotato di salvavita e estintore periodicamente controllato. I rischi eventuali sono inerenti ad eventi naturali e accidentali. Il rischio può essere considerato basso.
Infine, i dati trattati dallo studio legale non possono essere considerati di interesse per i terzi.