Studio Legale Associato LCG ha implementato un sistema di gestione della privacy adeguandosi alle previsioni di cui al Regolamento 2016/679, nonché al contenuto del D.Lgs. 196/2003, così come modificato dal D.Lgs. 101/2018.
LCG ha definito quindi un Organigramma Privacy individuando i soggetti interni che hanno compiti e responsabilità in materia di protezione dei dati personali. Tali misure garantiscono che l’accesso ai dati personali sia consentito alle sole persone autorizzate dal Titolare, nonché a soggetti terzi comunque nominati Responsabili del trattamento, sui quali LCG ha svolto le verifiche in merito all’adeguamento alla vigente normativa in materia di privacy.
In aggiunta, LCG impartisce ai propri dipendenti e collaboratori specifiche istruzioni affinché il trattamento dei dati da loro svolti sia conforme alla normativa applicabile, nonché a quanto prescritto all’interno del Modello Organizzativo Privacy.
Analogamente, LCG promuove l’organizzazione di corsi di formazione in materia di privacy e cybersecurity volti a formare ed informare il personale.
In particolare, quale Titolare del trattamento, LCG gestisce i dati personali di tutti i soggetti Interessati che interagiscono con lo Studio (Dipendenti, Collaboratori, Candidati, Clienti, Fornitori etc.) fin dal primo contatto nel rispetto dei principi di liceità, correttezza e trasparenza di cui all’art. 5 del Regolamento e opera sempre in modo tale da garantire la riservatezza e la sicurezza delle informazioni.
A tal fine lo Studio LCG ha adottato un Modello Organizzativo Privacy, contenente delle istruzioni pratiche su come gestire i dati personali, le richieste degli interessati, la valutazione dei rischi connessi al trattamento e gli eventi di potenziali Data Breach.
LCG ha implementato volontariamente un Registro delle attività di trattamento che svolge in qualità di Titolare del Trattamento e di Responsabile del trattamento.
Lo Studio LCG ha, poi, creato per ogni categoria di soggetto Interessato delle Informative specifiche all’interno delle quali sono state individuate nel dettaglio le tipologie di dati, le finalità e soprattutto le basi giuridiche del trattamento. Lo Studio ha infine attivato un canale diretto con gli Interessati, che possono formulare richieste di approfondimento, nonché esercitare i propri diritti di cui agli artt. 15 e ss. del Regolamento.
LCG ha definito quindi un Organigramma Privacy individuando i soggetti interni che hanno compiti e responsabilità in materia di protezione dei dati personali. Tali misure garantiscono che l’accesso ai dati personali sia consentito alle sole persone autorizzate dal Titolare, nonché a soggetti terzi comunque nominati Responsabili del trattamento, sui quali LCG ha svolto le verifiche in merito all’adeguamento alla vigente normativa in materia di privacy.
In aggiunta, LCG impartisce ai propri dipendenti e collaboratori specifiche istruzioni affinché il trattamento dei dati da loro svolti sia conforme alla normativa applicabile, nonché a quanto prescritto all’interno del Modello Organizzativo Privacy.
Analogamente, LCG promuove l’organizzazione di corsi di formazione in materia di privacy e cybersecurity volti a formare ed informare il personale.
In particolare, quale Titolare del trattamento, LCG gestisce i dati personali di tutti i soggetti Interessati che interagiscono con lo Studio (Dipendenti, Collaboratori, Candidati, Clienti, Fornitori etc.) fin dal primo contatto nel rispetto dei principi di liceità, correttezza e trasparenza di cui all’art. 5 del Regolamento e opera sempre in modo tale da garantire la riservatezza e la sicurezza delle informazioni.
A tal fine lo Studio LCG ha adottato un Modello Organizzativo Privacy, contenente delle istruzioni pratiche su come gestire i dati personali, le richieste degli interessati, la valutazione dei rischi connessi al trattamento e gli eventi di potenziali Data Breach.
LCG ha implementato volontariamente un Registro delle attività di trattamento che svolge in qualità di Titolare del Trattamento e di Responsabile del trattamento.
Lo Studio LCG ha, poi, creato per ogni categoria di soggetto Interessato delle Informative specifiche all’interno delle quali sono state individuate nel dettaglio le tipologie di dati, le finalità e soprattutto le basi giuridiche del trattamento. Lo Studio ha infine attivato un canale diretto con gli Interessati, che possono formulare richieste di approfondimento, nonché esercitare i propri diritti di cui agli artt. 15 e ss. del Regolamento.
Principi che regolano il trattamento dei dati in LCG
Nello svolgimento di ogni attività di trattamento dei dati, LCG opera in conformità ai seguenti principi sanciti dalla normativa nazionale e comunitaria.
- Liceità, correttezza e trasparenza
Articolo 5, par. 1, lett. a) Reg. UE/679/2016
Cfr. Considerando 39, 40, 44 Reg. UE/679/2016
“I dati personali sono … trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”.
LCG si impegna ad eseguire esclusivamente trattamenti leciti ai sensi della normativa nazionale ed europea. Pertanto, LCG tratta dati personali esclusivamente previa raccolta del consenso da parte dell’Interessato del trattamento o, in alternativa, a seconda dei casi, in forza delle diverse basi giuridiche previste dall’art. 6 GDPR.
LCG assicura, inoltre, la trasparenza dei trattamenti eseguiti, con particolare riferimento alle finalità e modalità del trattamento, attraverso la diffusione di informative facilmente accessibili, comprensibili e redatte con linguaggio chiaro e semplice.
Cfr. Considerando 39, 40, 44 Reg. UE/679/2016
“I dati personali sono … trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”.
LCG si impegna ad eseguire esclusivamente trattamenti leciti ai sensi della normativa nazionale ed europea. Pertanto, LCG tratta dati personali esclusivamente previa raccolta del consenso da parte dell’Interessato del trattamento o, in alternativa, a seconda dei casi, in forza delle diverse basi giuridiche previste dall’art. 6 GDPR.
LCG assicura, inoltre, la trasparenza dei trattamenti eseguiti, con particolare riferimento alle finalità e modalità del trattamento, attraverso la diffusione di informative facilmente accessibili, comprensibili e redatte con linguaggio chiaro e semplice.
- Limitazione della finalità
Articolo 5, paragrafo 1, lett. b), Reg. UE/679/2016
Cfr. Considerando 28, 50 e articolo 6, par. 1, lett. b) Reg. UE/679/2016
“I dati personali sono … raccolti per finalità determinate, esplicite e legittime,
e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali”.
LCG pre-definisce le finalità di ogni trattamento eseguito e raccoglie dati personali solo se strettamente necessari al perseguimento di tali finalità.
Cfr. Considerando 28, 50 e articolo 6, par. 1, lett. b) Reg. UE/679/2016
“I dati personali sono … raccolti per finalità determinate, esplicite e legittime,
e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali”.
LCG pre-definisce le finalità di ogni trattamento eseguito e raccoglie dati personali solo se strettamente necessari al perseguimento di tali finalità.
- Minimizzazione dei dati
Articolo 5, paragrafo 1, lett. c), Reg. UE/679/2016
Cfr. articolo 25, paragrafo 2, Reg. UE/679/2016
“I dati personali sono … adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
LCG raccoglie i dati funzionali ed essenziali al perseguimento delle finalità per cui il dato è trattato. Il trattamento non è eseguito in tutti i casi in cui le medesime finalità sono realizzabili mediante dati anonimi o altre modalità che rendano non determinabile l’identità dell’Interessato.
Inoltre, LCG ha definito e formalizzato diversi livelli autorizzativi per ogni funzione aziendale. Pertanto, ogni soggetto autorizzato al trattamento dei dati può accedere esclusivamente alle categorie di dati essenziali per lo svolgimento della propria mansione lavorativa.
Cfr. articolo 25, paragrafo 2, Reg. UE/679/2016
“I dati personali sono … adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
LCG raccoglie i dati funzionali ed essenziali al perseguimento delle finalità per cui il dato è trattato. Il trattamento non è eseguito in tutti i casi in cui le medesime finalità sono realizzabili mediante dati anonimi o altre modalità che rendano non determinabile l’identità dell’Interessato.
Inoltre, LCG ha definito e formalizzato diversi livelli autorizzativi per ogni funzione aziendale. Pertanto, ogni soggetto autorizzato al trattamento dei dati può accedere esclusivamente alle categorie di dati essenziali per lo svolgimento della propria mansione lavorativa.
- Esattezza dei dati
Articolo 5, paragrafo 1, lett. d), Reg. UE/679/2016
“I dati personali sono … esatti e, se necessario, aggiornati; devono essere
adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati”.
LCG effettua specifiche verifiche atte ad accertare l’esattezza dei dati dalla raccolta del dato fin alla sua cancellazione. A tal fine, durante il periodo di trattamento dei dati, LCG effettua verifiche periodiche atte ad accertare la correttezza dei dati originariamente raccolti.
“I dati personali sono … esatti e, se necessario, aggiornati; devono essere
adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati”.
LCG effettua specifiche verifiche atte ad accertare l’esattezza dei dati dalla raccolta del dato fin alla sua cancellazione. A tal fine, durante il periodo di trattamento dei dati, LCG effettua verifiche periodiche atte ad accertare la correttezza dei dati originariamente raccolti.
- Limitazione della conservazione
Articolo 5, paragrafo 1, lett. e), Reg. UE/679/2016
Cfr. Considerando 39 e articolo 89 Reg. UE/679/2016
“I dati personali sono … conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato”.
LCG ha definito i tempi di conservazione di ogni tipologia di dato personale trattato nel Modello Organizzativo Privacy. I tempi di conservazione sono stati definiti in base alla finalità per cui il dato è trattato, nonché in attuazione a quanto previsto negli obblighi contrattuali e normativi.
Cfr. Considerando 39 e articolo 89 Reg. UE/679/2016
“I dati personali sono … conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato”.
LCG ha definito i tempi di conservazione di ogni tipologia di dato personale trattato nel Modello Organizzativo Privacy. I tempi di conservazione sono stati definiti in base alla finalità per cui il dato è trattato, nonché in attuazione a quanto previsto negli obblighi contrattuali e normativi.
- Integrità e riservatezza
Articolo 5, paragrafo 1, lett. f), Reg. UE/679/2016
Cfr. Considerando 39 Reg. UE/679/2016
“I dati personali sono … trattati in maniera da garantire un'adeguata sicurezza
dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.
LCG ha adottato tutte le misure, tecniche e organizzative, ritenute idonee a salvaguardare la correttezza del processo di raccolta e gestione dei dati, la loro sicurezza e protezione in caso di intrusioni e alterazioni non autorizzate.
Cfr. Considerando 39 Reg. UE/679/2016
“I dati personali sono … trattati in maniera da garantire un'adeguata sicurezza
dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.
LCG ha adottato tutte le misure, tecniche e organizzative, ritenute idonee a salvaguardare la correttezza del processo di raccolta e gestione dei dati, la loro sicurezza e protezione in caso di intrusioni e alterazioni non autorizzate.
- Principio di Accountability
Articolo 24, Reg. UE/679/2016
Cfr. Considerando 74 Reg. UE/679/2016
“Il Titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento al Regolamento, compresa l’efficacia delle misure”.
LCG ha implementato un sistema di gestione del rischio privacy, individuando i rischi connessi al trattamento, valutando tali rischi in termini di origine, natura, probabilità e gravità, nonché individuando le migliori prassi per attenuare il rischio.
Cfr. Considerando 74 Reg. UE/679/2016
“Il Titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento al Regolamento, compresa l’efficacia delle misure”.
LCG ha implementato un sistema di gestione del rischio privacy, individuando i rischi connessi al trattamento, valutando tali rischi in termini di origine, natura, probabilità e gravità, nonché individuando le migliori prassi per attenuare il rischio.
- Privacy by design e by default
Articolo 25, Reg. UE/679/2016
Cfr. Considerando 78 Reg. UE/679/2016
“Il Titolare del trattamento, al fine di dimostrare la conformità con il presente regolamento, dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default”.
LCG ha adottato una procedura in base alla quale i referenti privacy debbano essere coinvolti ogniqualvolta si renda necessario adottare un nuovo processo organizzativo o nuovo sistema informatico o in caso di utilizzo di nuove tecnologie, in modo che possano valutare fin dalla fase di progettazione l’impatto privacy del nuovo processo, individuare eventuali misure adeguate al contenimento del rischio ed aggiornare il Registro dei trattamenti.
Cfr. Considerando 78 Reg. UE/679/2016
“Il Titolare del trattamento, al fine di dimostrare la conformità con il presente regolamento, dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default”.
LCG ha adottato una procedura in base alla quale i referenti privacy debbano essere coinvolti ogniqualvolta si renda necessario adottare un nuovo processo organizzativo o nuovo sistema informatico o in caso di utilizzo di nuove tecnologie, in modo che possano valutare fin dalla fase di progettazione l’impatto privacy del nuovo processo, individuare eventuali misure adeguate al contenimento del rischio ed aggiornare il Registro dei trattamenti.