fbpx

Riportiamo un modello di Registro di attività di trattamento, adeguato alle prescrizioni del Regolamento Ue 679/2016. Lo stesso va adattato alla situazione effettiva del proprio studio e deve essergli conferita data certa entro le ore 24,00 del 24 maggio 2018. E’ per esempio possibile sottoscrivere il relativo file con firma digitale e conservarne copia nel computer e nel supporto esterno di backup.

Registro di attività di trattamento

(art. 30 e 32 del Regolamento UE n.679/2016)

Studio legale: Avv. … del Foro di …. C.F. … , via …. 

1.

IL NOME E I DATI DI CONTATTO DEL TITOLARE DEL TRATTAMENTO

Avv. … C.F. ….   , Tel. …. mail …    p.e.c.  ….  fax  … 

2.

LE FINALITÀ DEL TRATTAMENTO

I trattamenti di dati personali effettuati dallo Studio hanno le seguenti basi giuridiche

– consenso espresso dall’interessato al trattamento dei propri dati personali per una o più specifiche finalità, in genere nella fase precedente al conferimento di un incarico

– necessità di eseguire un contratto di cui l’interessato è parte o di eseguire misure precontrattuali adottate su richiesta (anche implicita) dello stesso

– necessità di adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento

– necessità per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento

– legittimo interesse del titolare del trattamento o di terzi, nei casi in cui non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali

3.

UNA DESCRIZIONE DELLE CATEGORIE DI INTERESSATI E DELLE CATEGORIE DI DATI PERSONALI

– dati personali dei clienti, dei fornitori o di terzi ricavati da albi, elenchi pubblici, visure camerali, banche dati accessibili al pubblico;

– dati personali del personale dipendente funzionali al rapporto di lavoro, alla reperibilità alla corrispondenza con gli stessi o richiesti a fini fiscali e previdenziali.

– dati personali dei clienti dagli stessi comunicati per l’espletamento dell’incarico professionale, compresi dati sul patrimonio e sulla situazione economica, o necessari a fini fiscali o attinenti alla reperibilità e alla corrispondenza con gli stessi.

– dati personali di terzi forniti dai clienti per l’espletamento degli incarichi compresi i dati sul patrimonio o sulla situazione economica, o necessari a fini fiscali o attinenti alla reperibilità o alla corrispondenza con gli stessi, o per atti giudiziari.

– dati personali dei fornitori forniti dagli stessi e relativi alla reperibilità o alla corrispondenza con gli stessi nonché inerenti a fini fiscali o di natura bancaria.

– dati personali di altri Avvocati o professionisti ai quali lo studio affida incarichi o si rivolge per consulenze attinenti alla loro reperibilità alla corrispondenza nonché inerenti a finalità fiscali o di natura bancaria.

– dati sensibili del personale dipendente conseguenti al rapporto di lavoro, ovvero inerenti i rapporti con gli enti previdenziali ed assicurativi e assistenziali, o dati giudiziari del personale  dipendente o l’adesione ad organizzazioni sindacali.

– dati giudiziari dei clienti idonei a rivelare i provvedimenti di cui all’art.3 Dpr n.313/02 o idonei a rivelare la qualità di indagato o imputato.

– dati giudiziari di terzi idonei a rivelare i provvedimenti di cui all’art 3 Dpr.n.313/02 o idonei a rivelare la qualità di indagato o imputato

– dati sensibili dei clienti dagli stessi forniti per l’espletamento degli incarichi affidati allo studio idonei a rivelare l’origine razziale ed etnica le convinzioni o l’adesione ad organizzazioni a carattere religioso politico, sindacale, filosofico

– dati sensibili dei clienti dagli stessi forniti o acquisiti per l’espletamento dell’incarico affidato allo studio idonei a rivelare lo stato di salute.

– dati sensibili di terzi forniti dai clienti o acquisiti per l’espletamento degli incarichi idonei a rivelare lo stato di salute.

4.

LE CATEGORIE DI DESTINATARI A CUI I DATI PERSONALI SONO STATI O SARANNO COMUNICATI, COMPRESI I DESTINATARI DI PAESI TERZI OD ORGANIZZAZIONI INTERNAZIONALI

I dati personali potranno essere comunicati al Giudice competente, all’avvocato di controparte, ad una Pubblica Amministrazione, ad un terzo, ma sempre e solo laddove tale comunicazione sia pertinente e necessaria per eseguire l’incarico affidato dal cliente

Ai sensi dell’art. 14 c. 5 del Regolamento, lo Studio (qualora i dati non siano stati ottenuti presso l’interessato) non fornirà agli interessati le relative informazioni nei seguenti casi:

– l’interessato dispone già delle informazioni;

– la comunicazione delle informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato. In tale eventualità, il titolare del trattamento adotterà le misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, rendendo pubbliche le informazioni sul proprio sito internet

– l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato

– qualora i dati personali debbano rimanere riservati conformemente all’obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri, compreso l’obbligo di segretezza professionale previsto per legge.

5.

TRASFERIMENTI DI DATI PERSONALI VERSO UN PAESE TERZO O UN’ORGANIZZAZIONE INTERNAZIONALE

Non ne vengono effettuati

6.

I TERMINI ULTIMI PREVISTI PER LA CANCELLAZIONE DELLE DIVERSE CATEGORIE DI DATI

La cancellazione avviene allo spirare del termine di prescrizione relativo alle azioni che potrebbero sorgere dal contratto di incarico, a decorrere dalla conclusione dell’incarico (di norma, 10 anni). Nel caso di dati personali acquisiti e non seguiti poi da conferimento di incarico, la cancellazione viene effettuata entro due mesi.

7.

UNA DESCRIZIONE GENERALE DELLE MISURE DI SICUREZZA TECNICHE E ORGANIZZATIVE DI CUI ALL’ARTICOLO 32, PARAGRAFO 1 REGOLAMENTO

I dati che non sono pubblici vengono acquisiti previa informativa che viene allegata al presente Registro di attività di trattamento e vengono trattati e conservati secondo due modalità

a) la documentazione cartacea è posta in fascicoli non trasparenti e privi all’esterno di qualunque indicazione sulla persona fisica del soggetto interessato. Detti fascicoli (identificati solo da un numero, ricollegabile alla persona fisica solo attraverso l’esame di una tabella in formato digitale accessibile sul proprio computer tramite password) sono chiusi in armadi, dotati di chiave.

b) la documentazione digitale è custodita in una cartella accessibile solo dall’Amministratore con password. Il computer a sua volta è accessibile solo con password, munito di antivirus professionale costantemente aggiornato. Una volta a settimana viene effettuato il backup completo su disco fisso esterno, poi custodito sotto chiave fuori dallo studio.

Il trattamento dei dati è fatto solo all’interno dello studio, ed esclusivamente dal Titolare dello Studio.

Lo studio ove vengono trattati i dati è sito al primo piano di via Dante 79 a Bagheria, dotato di citofono e portone di ingresso con apertura e chiusura automatica, porta blindata all’accesso, stanza di lavoro con porta chiusa a chiave e (al suo interno) locale archivio con porta chiusa a chiave.

La sala d’attesa per i clienti è in ulteriore locale, separato.

Lo studio è dotato di computers collegati da un sistema di condivisione tramote rete fisica ed è collegato con n. 1 linea telefonica (con connessione internet adsl). Stampante e faxfotocopiatrice sono situate solo all’interno della stanza di lavoro.

La rete informatica è costituita da stazioni di lavoro dotate di sistema operativo Windows 7 e 10, aggiornati. Tutti i programmi utilizzati sono originali.

L’abilitazione alla configurazione dei diritti di accesso è protetta da password.

Le stazioni di lavoro sono dotate di software antivirus Avira con protezione in tempo reale e firewall.

L’accesso al modem wifi è protetto da password.

Tutti i documenti cartacei in entrata sono trasformati (mediante scansione) in file pdf digitale e conservati in un’unica cartella; il loro collegamento alla pratica è possibile solo consultando una tabella, accessibile unicamente al Titolare e munita di password.

Qualunque documento pervenga tramite mail viene scaricato e posizionato all’interno della pertinente cartella.

Ogni mail o pec inviata dallo Studio contiene la specifica informativa aggiornata alla luce del Regolamento Ue 679/2016.

La pec viene gestita direttamente tramite webmail, e mediante il programma ….  una copia della corrispondenza è conservata anche nel computer dello studio. Lo spazio della webmail è monitorato costantemente affinché non si saturi mai.

Qualunque incarico viene formalizzato con contratto scritto, il quale contiene in allegato l’informativa sulla privacy.

Criteri protezione accesso ad Internet: l’accesso ad Internet avviene tramite rete fisica, mediante autenticazione.

L’integrità dei dati viene assicurata in questo modo: procedure di controllo dello stato logico dei dischi e dei database di configurazione in dotazione al sistema; l’utilizzo di System Speedup per la costante eliminazione di criticità; non è previsto alcun reimpiego dei supporti di memorizzazione, che vengono distrutti al cessare della loro funzionalità per obsolescenza; nessuna autorizzazione a terzi per l’accesso.

Lo Studio si avvale di un tecnico informatico (sig. … ) sempre reperibile all’occorrenza.

Il sito internet dello Studio riporta copia del presente documento e di tutti i modelli di informativa previsti dal Regolamento UE 679/2016. Il sito internet non utilizza cookies né conserva dati personali di clienti o terzi. In tal senso, il commento ai relativi articoli è disabilitato e non è possibile abilitarsi come utente. L’indirizzo utilizza il protocollo di sicurezza https.

ANALISI DEI RISCHI

Per quanto concerne i dati personali raccolti relativi ai soggetti specificati nella prima parte del presente documento, il rischio legato alla gestione e al trattamento può definirsi basso.

Per i dati sensibili dei clienti e dei terzi il rischio legato al loro trattamento può definirsi basso, anche perché la maggior parte dei dati trattati non è di natura sensibile; la presenza di dati di questa natura è marginale tenuto conto che lo Studio si occupa quasi esclusivamente di ricorsi amministrativi. I documenti cartacei relativi a dati sensibili sono a loro volta custoditi un apposito e separato armadio metallico, sempre sotto chiave, sito nel locale archivio (a sua volta chiuso a chiave).

I rischi relativi agli strumenti elettronici presenti in studio possono riguardare mal funzionamenti o guasti, eventi naturali legati alla alterazione nella trasmissione. Per ridurre i rischi al minimo sono state adottate oltre alle misure di sicurezza sopra specificate le seguenti misure di sicurezza: password di dodici caratteri sostituita ogni tre mesi scelta dal Titolare; screensaver automatico dopo 30 minuti di non utilizzo del computer; non vengono mai aperte email che appaiono sospette o in lingua diversa dall’italiano.

I rischi relativi ai software possono consistere in errori o virus. Si provvede periodicamente alla pulizia dei file temporanei e del disco rigido e alla deframmentazione.

Il rischio per il trattamento dei dati cartacei può essere considerato basso essendo l’archivio dotato di chiusura a chiave e i fascicoli riposti in armadi chiusi, fatti salvi gli eventi naturali.

I fascicoli contenenti i dati sono sempre riposti negli appositi schedari e prelevati per il solo tempo necessario al trattamento e non vengano lasciati incustoditi sulle scrivanie; il tempo di stazionamento delle comunicazioni ricevute a mezzo posta o fax è molto basso. Terminato l’incarico professionale i fascicoli vengono archiviati in apposito locale chiuso a chiave. Terminato il periodo di conservazione, i relativi file esistenti sul computer vengano cancellati in modo irreversibile. Fuori dell’orario di lavoro non è consentito l’accesso al locale archivio se non previa autorizzazione.

Il materiale cartaceo destinato allo smaltimento viene riposto in un contenitore apposito e (previa distruzione) smaltito una volta alla settimana.

Per quanto riguarda il rischio per il trattamento dei dati elettronici può essere considerato basso essendo adottati tutti i sistemi di sicurezza derivanti dalla gestione dei dati.

Il rischio di perdita dei supporti di memorizzazione è basso in quanto il disco fisso esterno è custodito in luogo separato dallo studio.

Per il ripristino dei dati, ove necessario, ci si avvale del tecnico informatico a disposizione dello Studio.

Non esistono incaricati del trattamento, diversi dal Titolare.

Terzi operatori tecnici interverranno sugli strumenti informatici previa autorizzazione ed invito ad effettuare gli interventi limitatamente alla prestazione da eseguire e alla presenza del titolare o delle persone autorizzate.

Qualunque soggetto esterno che collabori alle attività dello Studio ha sottoscritto un atto contrattuale di impegno sulla riservatezza in ordine alla informazioni che dovesse venire a conoscere.

Il rischio di accesso allo studio può essere considerato basso essendo dotato di porta blindata e di citofono.

Il rischio che terzi estranei accedano agli strumenti elettronici è basso essendo la sala di attesa dei clienti distante dalle postazioni di lavoro, e in ogni caso il lavoro è organizzato in modo da non fare attendere mai i clienti.

Lo studio ha provveduto ad adottare le disposizioni della legge 626/94 e ss. è dotato di salvavita, impianto elettrico a norma, presa di terra, estintore periodicamente controllato. I rischi eventuali sono inerenti ad eventi naturali e accidentali. Il rischio può essere dunque considerato basso.

Infine i dati trattati dallo studio legale non possono essere considerati di interesse per i terzi.

Ogni sera, alla chiusura dell’attività lavorativa, l’impianto elettrico viene disattivato e la porta viene chiusa con doppia mandata.

Il presente Registro viene sottoscritto in data odierna con firma digitale per conferire certezza allo stesso.

Lo stesso sarà periodicamente aggiornato, ove necessario.

Avv. …