INFORMATIVA PRIVACY

La presente informativa è stata redatta dall’Avv. Federico Vincenzi e non potrà esser utilizzata se non previo consenso scritto da parte dello stesso.  Per chiarimenti particolari, laddove l’utente non capisca o non ritenga sufficiente quanto inserito nell’informativa, si invita a scrivere al seguente indirizzo: federico@studiolegalevincenzi.eu.

In primo luogo, al fine di consentire una consapevole lettura della informativa, serve qualche chiarimento:

Cosa intendiamo per dati personali? Nome, cognome ecc sono semplicemente i dati identificativi, ma non sono gli unici dati personali. Ci sono dati molto più importanti, ossia quelli che si possono ricavare da ciò che si scrive nella comunicazione. Per esempio scrivere sono stato condannato a due anni per ricettazione significa comunicare un dato personale di notevole importanza, un dato giudiziario.

Dati personali sono quindi tutte le informazioni relative ad una persona fisica. Non solo quindi, come è stato detto, nome, cognome, indirizzo, email ecc, ma anche – appunto – le informazioni che vengono incluse nel testo della comunicazione. E qui è opportuno un altro chiarimento: prima di tutto sappia l’utente che quanto più si espone tanto più abbondanti, precisi e profondi saranno i suoi dati che consegna al sistema. Si raccomanda quindi prudenza, almeno nel primo contatto, nella comunicazione dei dati.

Chi tratta i dati?

Titolare del trattamento è il soggetto che assume le decisioni su come trattare i dati, quindi – tra l’altro – su quali precauzioni prendere per proteggerli, su dove alloggiarli (se in server o cloud), su quali dati chiedere all’utente, su quali elaborare e per quale scopo, su quali cedere e a chi cederli, come gestire i rapporti e i diritti degli utenti, su chi scegliere come collaboratore, responsabile o semplice incaricato o autorizzato per trattare i dati, su quali istruzioni impartire ai collaboratori ecc…

Titolare del trattamento dei dati è l’Avvocato Federico Vincenzi, del foro di Brescia (federico@studiolegalevincenzi.eu), con studio in Brescia, Via San Zeno n. 42 (tel. 030.2808285).

I responsabili: Per meglio trattare i dati sono responsabili i seguenti soggetti per le seguenti categorie:

  • Gestore tecnico del sito web: quale responsabile per la gestione tecnica del servizio e per la conservazione – senza accesso – dei dati  (quindi hosting su server allocati in Francia – server in housing assegnato al responsabile – sistemi di protezione come indicati al titolare, mantenimento attivo del servizio, backup, sistema di disaster recovery,  ecc);

Autorizzati: sono incaricati per il trattamento dei dati contenuti nelle comunicazioni i collaboratori dello studio, praticanti, avvocati residenti nello studio, eventuali avvocati o terzi cui ci si rivolga per domiciliazioni, consulenze in materie che esulano dalla competenza degli avvocati dello studio.

I terzi: dati dell’utente possono esser anche trattati da soggetti diversi dal personale dello studio legale solo se necessario per adempiere alla richiesta del cliente/utente e nei limiti di quanto necessario a tal fine (per esempio, laddove la risposta alla richiesta dell’utente implichi verifiche o pareri di terzi). In ogni caso, I dati verranno comunicati a terzi con precisazione della finalità e  previa autorizzazione del cliente utente.

In particolare, laddove la prestazione richiesta nella comunicazione non rientri nelle competenze del Titolare Avv. Federico Vincenzi (ossia penale, information tecnology e diritto della proprietà industriale, diritto d’autore, privacy), il Titolare potrà mettere in contatto l’utente che ha scritto allo studio legale tramite il sito con uno degli avvocati, individuato per competenze, residenti nello studio o con uno dei collaboratori esterni. Prima di metter in comunicazione l’utente con il collaboratore o collega l’avvocato Vincenzi informa l’utente, che potrà autorizzare o meno l’avvocato Vincenzi a comunicare il contatto al collega. L’avvocato terzo (rispetto all’Avv. Vincenzi) che gestirà la comunicazione successiva con il cliente e l’eventuale mandato lo farà come titolare autonomo del trattamento, secondo policy propria e distinta dalla presente. Parimenti, sarà retta da policy autonoma e sarà titolare l’avvocato o il collaboratore che compare sul sito web nel caso in cui l’utente scriva direttamente allo stesso copiando i dati di contatto presenti nella pagina del professionista sul sito.

Quali dati vengono trattati?

Bisogna fare alcune classificazioni:

In base alla qualità significativa o alla provenienza dei dati possiamo individuare:

  1. Dati identificativi e di contatto: sono nome, cognome, data di nascita, codice fiscale, eventualmente recapiti come email e telefono ecc.. dell’utente. Il professionista li raccoglie per identificare l’utente stesso (nel form è sufficiente nome e indirizzo email).
  2. Dati di contenuto: quando l’utente formula una richiesta, che sia di preventivo o di parere, descrive una situazione che lo riguarda. In questo modo, come già spiegato, rende note informazioni sulla sua (e non solo sua) persona. Ebbene, tali informazioni sono dati personali. Il professionista li tratta in quanto necessari per adempiere alla richiesta dell’utente. Ovviamente, laddove dalla prima comunicazione nasca un rapporto professionale, verranno trattati – sulla base di apposita e distinta informativa (la presente si riferisce solo al trattamento dei dati che viene fatto tramite il presente sito web) – i dati necessari per lo svolgimento del mandato professionale.

Chi e come conferisce i dati: Tutti i dati sono conferiti dall’utente. Nome, cognome e contenuti sono infatti quelli caricati dallo stesso nella compilazione del form to mail. Alcuni dati sono infatti richiesti in sede di formazione della comunicazione. Innanzitutto si ricorda che l’utente deve fornire dati veritieri. Oltre ai dati conferiti dall’utente in sede di compilazione ci sono i dati ricavabili dalle comunicazioni, conferiti dall’utente in modo forse poco consapevole: come già più volte sottolineato si ricavano informazioni da quanto l’utente scrive nel form to mail e nelle email successive.

Quali dati sono obbligatori e quali facoltativi: sono obbligatori – per le comunicazioni che avvengono tramite  il presente sito – i soli dati relativi all’identificazione dell’utente, ossia nome, cognome (che servono per identificarlo)  e in ogni caso i dati di contatto. Non conferire tali ultimi dati comporta l’impossibilità di adempiere alla richiesta dallo stesso fatta al professionista.

Inoltre sono dati facoltativi, ma essenzialmente  fisiologici, quelli che si formano nella redazione della comunicazione. Quanto a questi ultimi, non è possibile discriminare tra obbligatori e facoltativi, in quanto si formano come conseguenza naturale della redazione della comunicazione.

Come vengono trattati:

I dati vengono raccolti e trattati con strumenti elettronici.
Sono ospitati su server proprietario di OVH ubicato in Francia.
Potranno accedere e trattare i dati, nell’ambito dell’incarico ricevuto, solo persone debitamente autorizzate e munite di credenziali di autenticazione singole.

Per quanto vengono trattati:

I dati vengono trattati finchè servono allo scopo per il quale vengono conferiti.

Se quindi vengono conferiti per la sola formulazione del preventivo, saranno conservati fino a che il preventivo stesso non sarà eventualmente rifiutato dall’utente. Laddove invece il preventivo si consolidi in mandato, saranno trattati nell’ambito dell’espletamento del mandato stesso da parte del legale.

Se invece vengono conferiti per la redazione di un parere, saranno trattati e conservati quale materiale costituente fascicolo per la redazione del parere e per la successiva fatturazione (dieci anni dalla conclusione del mandato).

Eventuali comunicazioni aventi finalità diverse saranno conservate a seconda della funzione, in ossequio al principio di necessità secondo il quale i dati devono esser conservati solo per le funzioni e i tempi strettamente necessari allo scopo per cui vengono conferiti.

Si rappresenta in ogni caso che, trattandosi di corrispondenza, devono esser rispettati dal professionista i termini legali di conservazione della corrispondenza coi clienti.

Base giuridica del trattamento

Come già più volte accennato, la base giuridica del trattamento, a seconda dei dati, giace nel rispetto della legge, nell’esecuzione della prestazione da parte del professionista. Trattare un dato per rispondere ad una richiesta di contatto rientra nella esecuzione della prestazione dallo stesso richiesta.

Finalità del trattamento: i dati sono trattati per eseguire la prestazione richiesta dall’utente. Se viene richiesto un preventivo quindi sono trattati per rilasciare lo stesso preventivo, e assegnarlo ad un possibile (se accetta il preventivo) cliente. Se sono conferiti per un contatto, per la richiesta di un parere, sono trattati per evadere tale richiesta. NON sono creati dal Titolare tramite il sito database clienti per fini di marketing, di statistica o per finalità diverse dalla risposta al messaggio inoltrato tramite il form o per l’evasione della richiesta di prestazione o preventivo inseriti dall’utente nella comunicazione.

I diritti degli utenti

Gli utenti sono beneficiari di una serie di diritti che cercheremo di dividere, per comodità di lettura, in categorie.

Innanzitutto l’utente ha diritto di esser informato circa:

  1. Categorie di dati che vengono trattati;
  2. Origine dei dati;
  3. Finalità del trattamento dei dati;
  4. Modalità di trattamento dei dati;
  5. Estremi del titolare e di eventuali responsabili;
  6. Soggetti cui vengono eventualmente comunicati i dati;
  7. Tempo e logiche di conservazione e trattamento dei dati;
  8. Diritto di esperire reclamo innanzi al garante privacyhttp://www.garanteprivacy.it/home/diritti/come-agire-per-tutelare-i-nostri-dati-personali;
  9. Base giuridica del trattamento;
  10. Interessi perseguiti dal titolare mediante il trattamento;

Poi ci sono diritti non di semplice informazione ma operativi. In particolare:  

L’interessato ha diritto di sapere se i suoi dati sono trattati dal titolare. Ha diritto di sapere quali dati sono trattati, per quali scopi, per quanto tempo, se sono comunicati a terzi e dove si trovano tali destinatari.

L’interessato ha anche diritto di aver copia dei dati che ha fornito.

Se i dati sono stati trattati con metodo automatizzati e sulla base del suo consenso o di un contratto, può chiedere – se tecnicamente possibile – che i dati siano trasmessi allo stesso interessato o anche ad un eventuale nuovo titolare ( si veda il diritto alla portabilità), sempre che questa operazione non leda i diritti (e i dati) di altre persone. In tal caso può chiedere anche la cancellazione dei dati (salvo che la legge non imponga la conservazione al Titolare).

Se i dati personali sono inesatti o incompleti l’interessato può chiedere di rettificarli o completarli, fornendo indicazioni in tal senso. Se il Titolare deve verificare l’esattezza dei dati contestati dall’interessato, questi può nel mentre ottenere la limitazione dei dati contestati ( si veda il diritto alla limitazione significa che i dati vengono soltanto conservati e non ne viene fatto alcun altro trattamento se non con uno specifico consenso dell’interessato o se servono per esercitare o difendere un diritto in sede giudiziaria).

Se i dati personali non sono più necessari per gli scopi per i quali sono stati raccolti o altrimenti trattati l’interessato ne può chiedere la cancellazione. Se però i dati servono all’interessato per esercitare un proprio diritto in sede giudiziaria, ne può chiedere la limitazione.

Se non sussiste il consenso, o se il consenso è stato revocato (e non vi sono altre ragioni che legittimano il trattamento dei dati) l’interessato può chiedere la cancellazione.

Se i dati riguardano soggetti minori di sedici anni, se sono trattati nell’ambito di servizi della società dell’informazione e non è stato dato il consenso o autorizzato il trattamento da parte dei soggetti esercenti la potestà genitoriale, l’interessato ha diritto alla cancellazione dei dati.

Se il trattamento è illecito perchè i dati sono trattati in assenza di consenso, interesse legittimo da parte del Titolare, contratto per l’esecuzione del quale il trattamento stesso è necessario, obbligo legale di trattamento da parte del Titolare, l’interessato può chiederne la cancellazione o la limitazione.

Per una più dettagliata esposizione dei diritti si veda quanto segue:

Diritto di accesso: L’utente ha diritto di ottenere dal titolare del trattamento la conferma del fatto che sia in corso (o meno) un trattamento dei dati personali che lo riguardano, delle finalità (ossia degli scopi) per cui i suoi dati personali sono trattati, quali dati personali sono trattati (e, come detto, per quali fini), a chi i dati vengono eventualmente comunicati o ceduti (e dove), il tempo di conservazione e trattamento dei dati stessi, l’eventuale esistenza di un processo di profilazione (ossia di analisi dei dati con relativa valutazione dei comportamenti, gusti, ubicazione ecc. dell’interessato).

Se i dati sono stati raccolti da soggetto diverso dal titolare rientra nel diritto di accesso anche la facoltà di chiedere da chi il Titolare stesso ha ricevuto i dati.

Infine, l’interessato ha diritto di chiedere copia dei propri dati: se non direttamente scaricabile dal suo account personale, la copia sarà fornita in formato informatico, a meno che l’interessato non la chieda in formato diverso (si veda art. 15 GDPR).

Diritto di rettifica: L’interessato ha diritto di ottenere la rettifica, ossia la correzione, qualora i suoi dati personali siano inesatti (in caso di dubbio sulla correttezza si veda anche quanto viene detto in tema di diritto di limitazione: in tal caso infatti i dati verranno conservati, non trattati per i fini per cui vengono normalmente trattati, finchè il titolare non abbia verificato o meno l’esattezza degli stessi). Nel caso in cui i dati siano incompleti, e il completamento sia necessario o opportuno per le finalità per le quali sono trattati, l’interessato può ottenere l’integrazione degli stessi, fornendo eventualmente a tal fine egli stesso una dichiarazione integrativa.

Diritto di cancellazione dei dati: l’interessato ha diritto di  ottenere la cancellazione dei dati nei seguenti casi:

  1. i suoi dati non servono più per gli scopi per cui sono stati raccolti o comunque sono trattati;
  2. i dati erano trattati sulla base di un consenso che l’interessato ha revocato (sempre che non permangano, a giustificazione del trattamento, altre ragioni giuridiche, come l’esecuzione di un contratto, l’adempimento di un obbligo imposto dalla legge in capo al titolare);
  3. l’interessato si è opposto al trattamento (si veda la voce opposizione): se si oppone in caso di marketing diretto i dati – se utilizzati solo a tal fine – devono esser cancellati (e comunque non possono esser più trattati per scopo di marketing diretto), mentre negli altri casi (se cioè i dati sono trattati per altri legittimi interessi del Titolare indicati in informativa o per lo svolgimento di un compito di interesse pubblico da parte del Titolare) sono cancellati solo se non sussistono motivi prevalenti (vedi opposizione) che ne impongono la conservazione. Per il tempo necessario a stabilire se sussistano “motivi prevalenti” possono esser limitati;
  4. i dati sono stati trattati illecitamente, quindi senza che il titolare ne avesse diritto (in alternativa alla cancellazione l’interessato ne può chiedere la limitazione, come oltre indicato);
  5. i dati devono esser cancellati per obbligo previsto dalla legge;
  6. i dati riguardano minori di 16 anni, sono stati raccolti nell’ambito di offerta di servizi della società dell’informazione (online) e non è stato prestato il consenso o data autorizzazione al trattamento da parte dei genitori.

La cancellazione non viene eseguita, tuttavia, nei seguenti casi:

  • se i dati sono trattati nell’ambito di un legittimo esercizio della libertà di espressione o informazione (a giudizio del titolare, salva la facoltà dell’interessato di rivolgersi al Garante o al Giudice come sopra indicato);
  • se il trattamento dei dati è necessario per adempiere ad un obbligo legale cui è soggetto il Titolare, o per l’esecuzione di un compito svolto nel pubblico interesse dal Titolare;
  • se i dati sono trattati per motivi di ordine pubblico o sanità pubblica;
  • se i dati sono archiviati per pubblico interesse, ricerca scientifica o storica, purchè siano resi anonimi se possibile, o almeno pseudonimizzati (ossia trattati in modo che non sia possibile identificare l’interessato se non per mezzo di informazioni aggiuntive rispetto a quelle immediatamente disponibili), e sia fatto uso dei dati minimi necessari per tali fini.
  • se il trattamento dei dati è necessario per l’esercizio o la difesa di un diritto in sede giudiziaria (penale);

Diritto di limitazione: è il diritto di contrassegnare i dati e di limitarne l’uso alla sola conservazione. In tal caso quindi il Titolare non li cancella, ma li conserva soltanto senza farne alcun’altra forma di trattamento. Il titolare li conserva separatamente dagli altri solo se ne viene fatta richiesta dall’interessato: può darsi infatti che lo stesso abbia interesse a che i dati, seppur solo conservati ai fini della limitazione, restino nella sede originaria.

Il diritto di limitazione sussiste nelle seguenti ipotesi:

  • se l’interessato contesta l’esattezza dei dati, per il periodo necessario per verificare l’esattezza dei dati stessi (si veda quanto detto in tema di diritto di rettifica);
  • se il trattamento è illecito e l’interessato non ne chiede la cancellazione, ma ne chiede appunto la sola limitazione (per poter probabilmente poi esercitare i propri diritti);
  • se il trattamento non è più necessario per i fini per cui i dati sono stati raccolti o trattati, ma i dati sono necessari all’interessato stesso per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria (in tal caso, quindi, pur non dovendo più esser trattati, essi sono conservati in quanto, appunto, necessari in sede giudiziaria per l’interessato);
  • se c’è stata opposizione al trattamento (non nel caso di opposizione al trattamento di dati per marketing diretto), e il titolare deve verificare se sussistano motivi prevalenti che rendano necessario il trattamento (vedi diritto di cancellazione, punto n. 3 e opposizione).

L’interessato viene informato dal titolare in caso di revoca della limitazione. L’informazione darà conto del tempo della revoca, e del trattamento dei dati che verrà effettuato dopo tale revoca.

Diritto alla portabilità: è il diritto di ottenere copia dei propri dati, o meglio dei dati che lo stesso interessato ha fornito (in qualsiasi modo) al titolare, se questi sono trattati con mezzi automatizzati e sono stati trattati sulla base di un consenso prestato dall’interessato o in esecuzione di un contratto di cui l’interessato è parte. La copia deve esser leggibile da dispositivo automatico e il file deve esser di formato comune.
L’interessato ha anche diritto di chiedere che tale copia sia inviata ad altro Titolare, sempre che ciò sia tecnicamente fattibile.
Il diritto alla portabilità non può ledere diritti e libertà altrui: se pertanto i dati personali dell’interessato non sono tecnicamente scindibili dai dati di altre persone, il diritto alla portabilità non può esser esercitato.

Diritto di opposizione: se i dati personali sono trattati per l’esecuzione di un compito di interesse pubblico di cui sia investito il Titolare, o per un suo legittimo interesse, l’interessato vi si può opporre, ossia può dichiarare che i dati non devono esser trattati a tal fine.

Se viene quindi esercitato il diritto di opposizione, il titolare si deve astenere dal trattare ulteriormente i dati (si badi bene: si astiene dal trattarli ulteriormente, ma non deve necessariamente cancellarli, in quanto a tal fine serve una apposita richiesta da parte dell’interessato): se però il Titolare dimostra che vi sono motivi urgenti e legittimi per proseguire il trattamento, e se dimostra che tali motivi prevalgono sugli interessi, i diritti e le libertà dell’interessato, allora proseguirà il trattamento (resta salva la facoltà, per l’interessato, di rivolgersi al Garante, al Giudice o anche di chiedere nel mentre la limitazione del trattamento).

Il trattamento, nonostante l’opposizione, potrà esser proseguito, in ogni caso, per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

In ogni caso, se i dati sono trattati per un legittimo interesse del titolare che consista nell’esecuzione di attività di marketing diretto, se l’interessato si oppone i dati non possono più esser trattati per tali scopi.

Diritto di non esser sottoposto a decisione automatizzata: L’interessato ha il diritto di non esser sottoposto a decisioni automatizzate (come per esempio, ma non solo, la profilazione) che producano effetti giuridici nei suoi confronti o che incidano sulla sua vita. Tale diritto non sussiste quando la decisione basata solo su mezzi automatizzati sia autorizzata da una specifica legge, o sia stata oggetto di consenso dell’interessato o sia necessaria per l’esecuzione di un contratto di cui tra interessato e Titolare. In ogni caso, se la decisione è autorizzata dal consenso dell’interessato o necessaria per l’esecuzione del contratto, l’interessato ha diritto di ottenere l’intervento umano per la revisione della decisione, esprimere a tal fine la propria opinione ed in ogni caso contestare la decisione.

COME LI PUO’ ESERCITARE

Procedura:  l’interessato potrà esercitare i propri diritti inviando specifica richiesta al seguente indirizzo email: federico@studiolegalevincenzi.eu.

Il Titolare deve rispondere entro trenta giorni. Se il Titolare non è in grado di riscontrare la richiesta entro tale termine, potrà rinviare tale adempimento per un periodo massimo di due mesi, ma dovrà comunque – entro l’originario termine di trenta giorni – avvisare l’interessato sia dell’allungamento dei tempi che dei motivi dello stesso.
Il Titolare può rifiutare, se ne ha motivo, di dar seguito alla richiesta dell’utente. Deve dare in tal caso risposta motivata entro un mese dalla richiesta. In ogni caso l’utente può rivolgersi al Garante o al Giudice.

Il titolare, laddove nutra dubbi circa l’identità della persona che avanza la richiesta o esercita uno dei diritti, può chiedere ulteriori informazioni per confermare l’identità del richiedente.

Il Titolare deve rispondere utilizzando lo stesso canale utilizzato dall’utente per la richiesta, a meno che l’utente stesso non chieda una risposta per via diversa.

Le richieste e le risposte sono gratuite, salvo che siano manifestamente infondate o ripetitive. In tale ultimo caso il Titolare può addebitare i costi vivi che affronta per la risposta (quindi costi di personale, costi materiali, ecc).

QUALI SONO I DOVERI E ONERI DEGLI UTENTI

Poichè come più volte esposto l’invio di una comunicazione contiene (o comunque potrebbe contenere) informazioni personali dell’utente o di terzi, sia nel corpo del testo che in eventuali allegati, e poiché di norma la prima comunicazione inviata tramite il sito non è quella in cui viene conferito nei dettagli il mandato, si invita l’utente a usare attenzione e prudenza nell’inserimento di dati e informazioni in tali comunicazioni, specie se tali informazioni si riferiscono a terzi. Inoltre, l’utente ha l’obbligo di comunicare dati veritieri.

IPOTESI DI DATA BREACH

In caso si dovessero verificare uno o più dei seguenti eventi: accesso, sottrazione, perdita, distruzione, divulgazione, modifica non autorizzati  (c.d. Data breach) il Titolare, ferme restando le misure tecniche urgenti da porre in essere per bloccare (per quanto possibile) l’evento e per ridurne gli effetti dannosi si impegna a:

– ripristinare quanto prima il servizio in modo efficiente, recuperando i dati disponibili dall’ultimo backup utile effettuato;

– informare gli utenti, direttamente se le circostanze lo permettono ovvero genericamente (mediante avviso sull’home del Servizio o mediante comunicazione inviata a tutti gli utenti, compresi quelli per i quali eventualmente non ci sono stati eventi sui dati) del tipo di evento, del tempo in cui si è verificato, delle misure adottate (senza entrare nel dettaglio al fine di non agevolare eventuali nuovi attacchi) per ridurre i danni e per evitar nuovi analoghi eventi, nonché delle misure ed accorgimenti che l’utente dovrebbe – da parte sua – porre in essere per ridurre le probabilità di nuovi eventi e limitare le conseguenze di quelli già verificatisi.

Informativa privacy creata in data 23 gennaio 2019