Logo Veronese & Partners - Studio tra avvocati

Informativa privacy

Informativa Privacy ai sensi dell’art. 13 del Regolamento (UE) 2016/679 (GDPR)

1. Introduzione

Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (di seguito “GDPR”), l’avv. Simone Veronese, in qualità di Titolare del trattamento, fornisce la presente informativa in conformità al principio di trasparenza dei trattamenti. Questo documento descrive le finalità e le modalità del trattamento dei dati personali degli interessati da parte del Titolare, indicando le relative basi giuridiche e gli ulteriori dettagli previsti dalla normativa, nonché i diritti riconosciuti agli interessati. Scopo dell’informativa è mettere gli interessati nella condizione di comprendere come e perché i propri dati vengono utilizzati e di esercitare consapevolmente i propri diritti, incluso quello di esprimere un consenso informato ove necessario.

2. Identità e dati di contatto del Titolare del trattamento

Avv. Simone Veronese, con studio in Schio (VI), via Lago Trasimeno n. 23, P. IVA 04611290240, C.F. VRNSMN70R17L157Q, è il Titolare del trattamento dei dati personali. Per qualsiasi informazione o richiesta inerente al trattamento dei dati personali, è possibile contattare il Titolare al numero 0445-1428085 oppure all’indirizzo veronese@vsta.it

3. Responsabile della Protezione dei Dati (DPO)

Se designato: il Titolare ha nominato un Responsabile della Protezione dei Dati (Data Protection Officer, DPO), contattabile per qualunque questione relativa al trattamento dei dati personali all’indirizzo fornito dal Titolare. L’interessato può rivolgersi al DPO per ottenere chiarimenti, porre domande sul trattamento dei propri dati o esercitare i diritti descritti di seguito.

4. Finalità del trattamento e basi giuridiche

I dati personali raccolti vengono trattati per scopi specifici, espliciti e legittimi, nel rispetto della normativa applicabile.

Di seguito sono elencate le possibili finalità del trattamento e, per ciascuna di esse, la relativa base giuridica ai sensi dell’art. 6 GDPR (e dell’art. 9 GDPR per eventuali categorie particolari di dati):

  1. gestione di rapporti contrattuali con clienti e fornitori: trattamento necessario per predisporre offerte, eseguire misure precontrattuali, instaurare e gestire rapporti contrattuali per la fornitura di beni e servizi, curare la fatturazione, i pagamenti e ogni adempimento connesso. Base giuridica: esecuzione di un contratto e di misure precontrattuali richieste dall’interessato (art. 6, par.1, lett. b GDPR); adempimento di obblighi legali cui è soggetto il Titolare (art. 6, par.1, lett. c GDPR);
  2. amministrazione del personale dipendente e dei collaboratori: trattamento dei dati per gestire il rapporto di lavoro (dalla selezione del personale, all’assunzione, gestione amministrativa, paghe e contributi, formazione, sicurezza sul lavoro, ecc.) e per adempiere agli obblighi di legge in materia di diritto del lavoro, previdenza, assistenza, fiscalità, ecc. Base giuridica: esecuzione di un contratto di lavoro di cui l’interessato è parte (art. 6, par.1, lett. b); adempimento di obblighi legali (art. 6, par.1, lett. c), inclusi gli obblighi previsti da leggi e contratti collettivi in materia di lavoro;
  3. invio di newsletter e comunicazioni di marketing: utilizzo dei dati di contatto (es. e-mail) per inviare comunicazioni commerciali, newsletter, aggiornamenti su prodotti o servizi, promozioni ed eventi del Titolare. Base giuridica: consenso esplicito dell’interessato (art. 6, par.1, lett. a GDPR). In alcuni casi limitati, per clienti già acquisiti, il Titolare potrà inviare comunicazioni commerciali relative a prodotti o servizi analoghi a quelli già forniti basandosi sul proprio legittimo interesse (soft spam, art. 6, par.1, lett. f), fermo restando il diritto dell’interessato di opporsi in ogni momento;
  4. gestione di richieste degli utenti e dei visitatori del sito web: risposta a richieste di informazioni, assistenza o supporto inviate dagli utenti (ad esempio tramite form di contatto sul sito, e-mail o telefono), nonché garanzia della navigazione sul sito e della sicurezza informatica (log di accesso, prevenzione di usi illeciti). Base giuridica: esecuzione di un servizio o di misure precontrattuali su richiesta dell’interessato (art. 6, par.1, lett. b); legittimo interesse del Titolare a garantire funzionalità, sicurezza e integrità dei sistemi informatici e dei servizi online offerti (art. 6, par.1, lett. f);
  5. tutela dei diritti in sede giudiziaria e gestione di eventuali contenziosi: trattamento necessario allo scopo di accertare, esercitare o difendere un diritto del Titolare in sede giudiziaria o nelle fasi propedeutiche a un eventuale contenzioso, nonché per gestire reclami o contestazioni. Base giuridica: legittimo interesse del Titolare alla tutela dei propri diritti e interessi (art. 6, par.1, lett. f); in alternativa, quando applicabile, adempimento di obblighi di legge (ad esempio obblighi di collaborazione con l’autorità giudiziaria, art. 6, par.1, lett. c).

Nota: Il Titolare non utilizzerà i dati personali per finalità ulteriori, incompatibili con quelle sopra descritte, senza aver informato preventivamente l’interessato ed aver raccolto il suo eventuale consenso (ove necessario).

5. Destinatari o categorie di destinatari dei dati

I dati personali saranno trattati dal personale interno del Titolare appositamente autorizzato e istruito, nell’ambito delle rispettive mansioni. Inoltre, ove necessario per perseguire le finalità descritte, i dati potranno essere comunicati a soggetti esterni appartenenti alle seguenti categorie: fornitori di servizi informatici e di manutenzione (es. servizi di hosting, cloud, gestione database); consulenti e professionisti (es. consulente legale, fiscale, del lavoro, società di revisione); istituti bancari e assicurativi; società di logistica e spedizione; agenti e distributori; società di recupero crediti o factoring; studi professionali; enti ed autorità pubbliche ove previsto da obblighi di legge; altre società o partner commerciali nei casi in cui la comunicazione sia necessaria per l’esecuzione dei servizi o delle forniture richieste.

Gli enti e fornitori esterni sopra indicati tratteranno i dati, a seconda dei casi, in qualità di Titolari autonomi oppure in qualità di Responsabili del trattamento nominati ai sensi dell’art. 28 GDPR. In quest’ultimo caso, il Titolare si assicura che tali soggetti offrano garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a tutelare i dati.

L’elenco completo e aggiornato dei Responsabili del trattamento eventualmente designati può essere richiesto in qualsiasi momento al Titolare tramite i canali di contatto forniti. Si precisa che ogni comunicazione di dati personali a terzi avverrà nel rispetto delle finalità sopra descritte e nei limiti di quanto previsto dalla normativa privacy.

Il Titolare evita di comunicare informazioni eccedenti o non pertinenti e adotta misure idonee a garantire che i destinatari limitino l’utilizzo dei dati a quanto necessario. Nessun dato personale verrà diffuso (ovvero portato a conoscenza di soggetti indeterminati). In ogni caso, l’indicazione dei soggetti terzi avverrà in modo puntuale e non saranno effettuate comunicazioni generiche a categorie indefinite di destinatari.

6. Eventuale trasferimento di dati verso Paesi terzi

I dati personali sono conservati su server situati all’interno dello Spazio Economico Europeo. Di regola, il Titolare non trasferisce i dati personali in Paesi che si trovano al di fuori dell’Unione Europea o dello Spazio Economico Europeo. Qualora in futuro si rendesse necessario trasferire alcuni dati verso Paesi terzi (ad esempio perché il Titolare si avvale di fornitori di servizi cloud con server extra-UE), tale trasferimento avverrà nel rispetto di quanto previsto dal Capo V del GDPR. In particolare, il Titolare effettuerà trasferimenti di dati fuori dall’UE solo in presenza di una decisione di adeguatezza della Commissione Europea (art. 45 GDPR) oppure, in mancanza di tale decisione, adottando appropriate garanzie contrattuali o normative che assicurino la protezione dei dati (ad esempio attraverso la sottoscrizione delle Clausole Contrattuali Standard approvate dalla Commissione Europea ai sensi dell’art. 46 GDPR, eventualmente integrate da misure supplementari di sicurezza).

Su richiesta, l’interessato potrà ottenere dal Titolare informazioni sulle specifiche garanzie applicate per il trasferimento dei dati verso Paesi terzi e, se del caso, copia di tali garanzie.

7. Periodo di conservazione dei dati

I dati personali vengono conservati in forma identificabile per un periodo di tempo non eccedente il conseguimento delle finalità per le quali sono raccolti e trattati. I tempi di conservazione possono variare in base alla tipologia di dato e alla specifica finalità del trattamento.

Di seguito alcune fondamentali indicazioni sui criteri di conservazione adottati dal Titolare:

  • dati trattati per finalità contrattuali (clienti e fornitori): conservati per l’intera durata del rapporto contrattuale e successivamente per il tempo strettamente necessario ad adempiere agli obblighi di legge (ad esempio obblighi contabili e fiscali). In genere, una volta concluso il rapporto, i documenti e i dati amministrativi pertinenti vengono conservati per 10 anni in ottemperanza ai termini di legge civilistici e fiscali;
  • dati dei dipendenti e collaboratori: conservati per tutta la durata del rapporto di lavoro e, dopo la cessazione, per il periodo richiesto dalla normativa (ad esempio, molti documenti lavoristici vanno conservati per 5 o 10 anni dalla cessazione del rapporto, in base alle prescrizioni di legge). Eventuali ulteriori dati (es. riferiti a provvedimenti disciplinari) saranno conservati per tempi compatibili con le finalità per cui sono raccolti e nel rispetto delle prescrizioni del Garante o della contrattazione collettiva;
  • dati trattati per finalità di marketing (invio newsletter, promozioni): conservati fino a che l’interessato non richieda la cessazione del trattamento – in particolare, i dati raccolti con il consenso per invio di comunicazioni commerciali saranno trattati fino a quando l’interessato revochi il consenso prestato. In ogni caso, il Titolare adotta misure per porre fine all’invio di comunicazioni dopo un certo periodo di inattività dell’utente, limitando la conservazione dei dati di contatto a un termine congruo (ad esempio 24 mesi dall’ultima interazione significativa con il destinatario);
  • dati di navigazione web e log di sistema: conservati per tempi brevi, di norma non oltre 12 mesi, salve eventuali esigenze di accertamento di reati da parte dell’Autorità giudiziaria;
  • dati per selezione del personale (curricula): in caso di candidature spontanee o CV ricevuti dal Titolare, i dati saranno conservati per un periodo massimo di 12 mesi dal loro ricevimento (salvo diverso consenso dell’interessato per una conservazione più lunga, oppure salvo l’instaurazione del rapporto di lavoro);
  • dati trattati per la tutela dei diritti in sede di eventuale contenzioso: conservati per tutta la durata del contenzioso e per il tempo necessario a far valere i diritti del Titolare. In caso di archiviazione della pratica, i dati connessi a possibili azioni legali sono normalmente conservati per un periodo compatibile con i termini di prescrizione applicabili (ad esempio fino a 10 anni dall’evento che ha originato il diritto, in linea generale).

Al termine del periodo di conservazione stabilito, o in caso di revoca del consenso (per i dati trattati sulla base di esso), i dati personali saranno definitivamente cancellati oppure anonimizzati in modo irreversibile. Qualora alcuni dati ulteriori dovessero essere conservati per periodi più lunghi (ad esempio per obblighi di legge residuali o per ordine dell’Autorità), il Titolare ne assicurerà il trattamento nel rispetto dei principi di necessità e minimizzazione.

8. Diritti degli interessati

Il GDPR garantisce a ogni interessato (ossia la persona fisica cui si riferiscono i dati) una serie di diritti relativi ai propri dati personali. In particolare, l’interessato ha il diritto di:

  1. accedere ai propri dati (diritto di accesso): ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di averne accesso. Ciò, consente di ricevere una copia dei dati personali raccolti e trattati, nonché di essere informato su aspetti fondamentali del trattamento (finalità, categorie di dati, destinatari o categorie di destinatari, periodo di conservazione previsto, esistenza dei diritti di rettifica, cancellazione, limitazione, opposizione, reclamo, ecc.);
  2. richiedere la rettifica dei dati personali inesatti o l’aggiornamento/integrazione dei dati incompleti (diritto di rettifica);
  3. ottenere la cancellazione dei dati personali (diritto all’oblio): l’interessato può chiedere che i propri dati vengano cancellati se sussistono i presupposti previsti dall’art. 17 GDPR – ad esempio se i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti, se revoca il consenso (quando il trattamento era basato su di esso) e non sussiste altro fondamento giuridico, se i dati sono trattati illecitamente, o se sussiste un obbligo legale di cancellazione. Il Titolare potrà non procedere alla cancellazione (o comunque ritardarla) solo nella misura in cui il trattamento sia ancora necessario, ad esempio per adempiere un obbligo legale o per accertare, esercitare o difendere un diritto in sede giudiziaria;
  4. ottenere la limitazione del trattamento: l’interessato ha diritto che i propri dati vengano temporaneamente “congelati” (cioè, non siano più oggetto di operazioni di trattamento normali ma solo conservati) in presenza di specifiche condizioni previste dall’art. 18 GDPR. Ciò è possibile, ad esempio, se l’interessato contesti l’esattezza dei dati (limitazione per il tempo necessario al Titolare per verificarne l’accuratezza); oppure se il trattamento è illecito si oppone alla cancellazione chiedendo invece una limitazione; o ancora se, benché il Titolare non ne abbia più bisogno, i dati sono necessari per accertare, esercitare o difendere un diritto in sede giudiziaria; infine, se l’interessato si oppone al trattamento ai sensi dell’art. 21 GDPR, in attesa della verifica sull’eventuale prevalenza dei motivi legittimi del Titolare. Quando il trattamento è limitato, i dati sono conservati con particolari cautele e potranno essere trattati, salvo che per la sola conservazione, solo con il consenso dell’interessato oppure per specifici motivi (es. per tutelare i diritti di un terzo);
  5. opporsi al trattamento dei dati personali: l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla propria situazione particolare, al trattamento dei dati che lo riguardano quando esso avviene sulla base giuridica del legittimo interesse del Titolare (art. 6, par.1, lett. f GDPR). In tal caso, il Titolare si asterrà dal trattare ulteriormente i dati, salvo dimostrare l’esistenza di motivi legittimi cogenti che prevalgono sugli interessi, diritti e libertà, oppure salvo sia necessario proseguire il trattamento per accertare, esercitare o difendere un diritto in sede giudiziaria. In ogni caso, qualora i dati siano trattati per finalità di marketing diretto (come indicato sopra), l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei propri dati per tali finalità, incluse eventuali attività di profilazione ad esse correlate. In caso di opposizione al marketing diretto, i dati non saranno più utilizzati per tale scopo;
  6. portabilità dei dati: qualora il trattamento dei dati personali si basi sul consenso o su un contratto ed è effettuato con mezzi automatizzati, l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che ha fornito. Potrà inoltre chiedere, se tecnicamente fattibile, di trasmettere tali dati direttamente ad un altro titolare indicato, se ciò non lede i diritti e le libertà altrui (art. 20 GDPR). Questo diritto alla portabilità consente quindi di spostare, copiare o trasferire facilmente i dati personali tra i sistemi dell’azienda e quelli di terzi senza impedimenti;
  7. revocare il consenso in qualsiasi momento, qualora il trattamento dei dati personali si basi sul consenso dell’interessato (ad esempio, per finalità di marketing). La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prestato prima della revoca. Dopo la revoca, i dati non saranno più trattati per le finalità basate sul consenso (ad esempio, non riceverà più la newsletter), salvo eventuale successiva diversa manifestazione di volontà dell’interessato;
  8. proporre reclamo a un’Autorità di controllo: fatto salvo ogni altro ricorso amministrativo o giurisdizionale, se l’interessato ritiene che il trattamento dei dati che lo riguarda violi il GDPR, ha il diritto di presentare un reclamo al Garante per la Protezione dei Dati Personali (Autorità garante italiana con sede in Piazza Venezia n. 11 – 00187, Roma, www.garanteprivacy.it) o all’altra Autorità competente in base alla residenza o luogo di lavoro. Il reclamo potrà essere presentato secondo le modalità indicate dall’Autorità stessa. Inoltre, qualora il trattamento abbia causato un danno, potrà agire in sede civile per ottenere il relativo risarcimento.
9. Modalità di esercizio dei diritti

L’esercizio dei diritti dell’interessato è gratuito e garantito senza ritardi ingiustificati. Per esercitare i diritti sopra elencati potrà contattare il Titolare inviando una richiesta attraverso i recapiti indicati nella presente informativa (ad esempio via e-mail all’indirizzo del Titolare o tramite posta tradizionale).

A tal fine può utilizzare liberamente il modulo o la formula che ritiene più opportuni; l’importante è che la richiesta contenga elementi sufficienti per permettere all’azienda di comprendere a quale diritto intende dare corso e per verificare l’identità dell’interessato, al fine di evitare accessi non autorizzati ai dati.

Il Titolare si impegna a fornire un riscontro entro 1 mese dal ricevimento della richiesta, estendibili fino a 3 mesi in caso di richieste particolarmente complesse o numerose (in tal caso, l’azienda fornirà una comunicazione provvisoria entro 1 mese).

In caso di eventuale impossibilità a soddisfare le richieste dell’interessato, l’azienda fornirà adeguata motivazione. Si ricordi che, se le richieste dell’interessato dovessero risultare manifestamente infondate o eccessive (in particolare per il loro carattere ripetitivo), il Titolare potrà addebitare un contributo spese ragionevole, alla luce dei costi amministrativi sostenuti, o rifiutare di soddisfare la richiesta (come consentito dall’art. 12, par.5 GDPR).

 Qualora il Titolare abbia nominato un DPO (come indicato al punto 3), l’interessato può a sua volta scegliere di rivolgersi al DPO per tutte le questioni relative al trattamento dei dati personali e all’esercizio dei diritti. Il DPO funge da punto di contatto indipendente e le richieste verranno gestite in coordinamento con il Titolare. Nota: per garantire la sicurezza dei dati, il Titolare o il DPO potrebbero necessitare di ulteriori informazioni per verificare l’identità del richiedente, prima di poter dare seguito a una richiesta di esercizio dei diritti. Questa misura ha lo scopo di evitare che dati personali vengano indebitamente divulgati a soggetti non autorizzati.

10. Natura del conferimento dei dati (obbligatorio o facoltativo)

Il conferimento dei dati personali dell’interessato può essere obbligatorio oppure facoltativo, a seconda del tipo di dato e di trattamento considerato.

  1. dati il cui conferimento è obbligatorio: in molti casi la comunicazione di determinati dati personali è un requisito legale o contrattuale. Ad esempio, è obbligatorio fornire i dati anagrafici e fiscali per stipulare un contratto o emettere una fattura, così come alcuni dati possono essere richiesti dalla legge (es. adempimenti in materia di sicurezza sul lavoro, normativa antiriciclaggio, etc.). In queste circostanze, il mancato conferimento dei dati richiesti comporta l’impossibilità per il Titolare di instaurare o dare esecuzione al rapporto contrattuale, ovvero di adempiere agli obblighi specifici connessi;
  2. dati il cui conferimento è facoltativo: quando il conferimento dei dati non è obbligatorio per legge o per contratto, l’interessato è libero di scegliere se fornire o meno tali informazioni. In particolare, il conferimento di dati per finalità facoltative – ad esempio per attività di marketing, iscrizione a servizi newsletter, partecipazione a sondaggi, o comunicazione di dati ulteriori non strettamente necessari – è del tutto volontario. L’eventuale rifiuto di fornire questi dati non pregiudica in alcun modo il rapporto principale con il Titolare né la fruizione dei servizi essenziali richiesti; comporterà unicamente l’impossibilità di perseguire le finalità aggiuntive corrispondenti.

Il Titolare si impegna a indicare chiaramente, all’atto della raccolta, quali informazioni sono obbligatorie e quali facoltative (ad esempio tramite apposite note o contrassegni su moduli e form online), specificando per i dati facoltativi che il mancato conferimento non comporterà conseguenze negative per l’interessato se non la mancata fruizione del servizio opzionale collegato.

11. Processi decisionali automatizzati e profilazione

Nel trattamento dei dati personali, non vengono effettuati processi decisionali interamente automatizzati (inclusa la profilazione) che producano effetti giuridici sull’interessato o che incidano in modo analogo significativamente su di lui. Tutte le decisioni riguardanti gli aspetti definitivi del rapporto con l’interessato vengono adottate da persone fisiche, e non esclusivamente da algoritmi. Eventuali strumenti di analisi automatica (es. analisi statistiche, sistemi informatici di scoring o categorizzazione) sono utilizzati principalmente per migliorare i servizi offerti e, in ogni caso, non hanno un impatto decisivo sui singoli interessati senza un intervento umano. Qualora in futuro il Titolare intendesse implementare processi decisionali automatizzati – ad esempio sistemi che valutino automaticamente alcuni aspetti personali dell’interessato, come preferenze, interessi o comportamento – ne verrà data informazione preventiva agli interessati. In tal caso, in ottemperanza all’art. 13, par.2, lett. f) GDPR, il Titolare fornirà una specifica informativa che descriverà la logica utilizzata da tali sistemi, l’importanza e le conseguenze previste di tali trattamenti automatizzati, e garantirà il diritto dell’interessato di ottenere l’intervento umano, di esprimere la propria opinione e di contestare la decisione automatizzata. (La presente informativa potrebbe subire modifiche nel tempo, ad esempio in caso di aggiornamenti normativi o cambiamenti nei trattamenti effettuati. In caso di variazioni sostanziali, l’avv. Simone Veronese provvederà a darne adeguata evidenza, mediante pubblicazione sul sito web o altri canali di comunicazione, al fine di mantenere gli interessati costantemente informati).