Informativa Privacy

INFORMATIVA TRATTAMENTO DATI

ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679

L’Ordine degli Avvocati di Milano, in virtù del contratto di cessione, manutenzione e gestione dei servizi relativi alla piattaforma software PCT Namirial stipulato dall’Unione Lombarda degli Ordini Forensi, alla quale il presente Ordine appartiene, procede al trattamento dei dati personali nel rispetto delle disposizioni di cui al Regolamento UE 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e del D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018, per quanto applicabile.

Ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679, di seguito sono fornite le informazioni riguardanti il trattamento dei dati personali effettuato nell’ambito dei contratti e dei servizi erogati tramite la piattaforma software PCT Namirial e le relative funzionalità, inclusa la funzionalità di Agenda Legale.

1. TITOLARE DEL TRATTAMENTO

Titolare del trattamento dei dati è l’Ordine degli Avvocati di Milano, nella persona del Presidente e legale rappresentante pro tempore, domiciliato per la carica in Milano, Via Freguglia n. 1.

Con riferimento ai trattamenti effettuati tramite la piattaforma PCT Namirial per finalità connesse al Processo Civile Telematico, inclusa la gestione dei contenuti, dei fascicoli, dei dati di calendario e delle funzionalità collegate, il Titolare del trattamento è l’Ordine o, nei casi in cui l’utente utilizzi la piattaforma per trattamenti di dati personali riferiti ai propri clienti o assistiti, l’utente stesso, secondo il ruolo privacy concretamente assunto.

L’Ordine ha nominato Namirial S.p.A., con sede legale in Senigallia (AN), CAP 60019, Via Caduti sul Lavoro n. 4, quale Responsabile esterno del trattamento ai sensi dell’art. 28 del Regolamento UE 2016/679, per la gestione dei dati personali degli utenti con riferimento al servizio PCT Namirial, sulla base di specifiche istruzioni impartite dal Titolare.

L’utente che utilizza la piattaforma per il trattamento di dati personali di propri clienti, assistiti o terzi interessati si impegna ad assicurare la sussistenza di un’idonea base giuridica per tali trattamenti e a rendere, ove necessario, le pertinenti informazioni agli interessati, in particolare con riferimento alle finalità difensive, professionali e processuali, ivi compreso l’utilizzo di piattaforme e software per il Processo Civile Telematico.

2. RESPONSABILE DELLA PROTEZIONE DEI DATI

Il Responsabile della protezione dei dati dell’Ordine degli Avvocati di Milano è l’Avv. Alice Pisapia del Foro di Milano, con sede in Milano, Via Domenichino n. 16.

3. TIPOLOGIA DI DATI TRATTATI

Nell’ambito dei servizi erogati tramite la piattaforma PCT Namirial, potranno essere trattate le seguenti categorie di dati personali:

• dati anagrafici, quali nome, cognome, codice fiscale, sesso, data e luogo di nascita, nazionalità;
• dati di indirizzo;
• dati di contatto, quali recapito telefonico e indirizzo e-mail;
• dati relativi all’account, al profilo utente e all’utilizzo della piattaforma;
• dati relativi ai servizi richiesti e alle attività effettuate tramite la piattaforma;
• dati contenuti nei fascicoli, negli atti, nei documenti, nelle comunicazioni e nei dati di calendario trattati nell’ambito delle finalità connesse al Processo Civile Telematico;
• dati tecnici, log di servizio, dati di accesso e dati necessari alla sicurezza, alla manutenzione e al corretto funzionamento della piattaforma.

L’Ordine e Namirial, quest’ultima quale Responsabile del trattamento, potranno trattare anche dati appartenenti a categorie particolari ai sensi dell’art. 9 del Regolamento UE 2016/679, qualora tali dati siano contenuti negli atti, nei fascicoli, nei documenti, nei calendari o nelle informazioni inserite dagli utenti nell’ambito dell’utilizzo della piattaforma. In tali casi, Namirial tratta tali dati esclusivamente in qualità di Responsabile del trattamento, su istruzione del Titolare, adottando idonee misure tecniche e organizzative.

Namirial non effettua, in qualità di autonomo Titolare del trattamento, trattamenti di categorie particolari di dati personali per le finalità proprie del servizio descritte nella presente informativa.

4. FINALITÀ E BASI GIURIDICHE DEL TRATTAMENTO

I dati personali sono trattati per le seguenti finalità:

1. creazione del profilo utente e fruizione dei servizi PCT Namirial, inclusa l’attivazione, gestione e manutenzione dell’account e delle funzionalità della piattaforma; base giuridica: esecuzione del contratto o di misure precontrattuali, art. 6, par. 1, lett. b) del Regolamento;
2. gestione e riscontro alle richieste di assistenza tecnica, anche online, nonché manutenzione, aggiornamento e supporto operativo della piattaforma; base giuridica: esecuzione del contratto, art. 6, par. 1, lett. b) del Regolamento;
3. adempimento di obblighi di legge, regolamentari, nazionali o dell’Unione Europea, incluse le norme istitutive e applicative del Processo Civile Telematico e gli obblighi di conservazione eventualmente applicabili; base giuridica: obbligo di legge, art. 6, par. 1, lett. c) del Regolamento;
4. invio di comunicazioni a contenuto informativo relative al servizio, alla piattaforma, agli aggiornamenti, alla sicurezza o alle funzionalità disponibili; base giuridica: legittimo interesse del Titolare, art. 6, par. 1, lett. f) del Regolamento;
5. analisi statistiche, di business e di mercato, realizzate in forma anonima e aggregata, nonché verifica degli standard di qualità dei servizi di assistenza, manutenzione e funzionamento della piattaforma; base giuridica: legittimo interesse del Titolare, art. 6, par. 1, lett. f) del Regolamento;
6. tutela giurisdizionale dei diritti dell’Ordine, degli utenti o di Namirial, ove necessario in relazione alla gestione dei servizi e degli eventuali contenziosi; base giuridica: legittimo interesse del Titolare, art. 6, par. 1, lett. f) del Regolamento;
7. gestione della funzionalità Agenda Legale e sincronizzazione con calendari esterni, quali Google Calendar o “Calendario” di Apple, ove attivata dall’utente; base giuridica: esecuzione del contratto o funzionalità richiesta dall’utente, art. 6, par. 1, lett. b) del Regolamento; per i dati trattati nell’ambito dei contenuti calendariali dell’utente, Namirial opera quale Responsabile del trattamento su istruzione del Titolare/utente.

L’attivazione della funzionalità di Agenda Legale avviene esclusivamente previa autorizzazione esplicita dell’utente tramite il flusso di consenso o autorizzazione previsto dal provider del calendario esterno utilizzato.

5. CONFERIMENTO DEI DATI

Il conferimento dei dati necessari alla creazione del profilo utente, alla fruizione del servizio, all’adempimento degli obblighi di legge e alla tutela dei diritti è obbligatorio. Il mancato conferimento di tali dati può impedire la conclusione del contratto, l’attivazione dell’account o l’erogazione delle prestazioni e dei servizi richiesti.

Il conferimento dei dati per finalità ulteriori, ove non strettamente necessario all’erogazione del servizio, è facoltativo. L’interessato potrà chiedere in qualsiasi momento l’interruzione delle relative attività di trattamento, nei limiti consentiti dalla normativa applicabile e senza pregiudicare la fruizione dei servizi essenziali.

L’attivazione della funzionalità di sincronizzazione con calendari esterni è facoltativa. In caso di mancata autorizzazione o revoca dell’accesso al calendario esterno, la funzionalità di Agenda Legale potrà non essere disponibile, in tutto o in parte.

6. MODALITÀ DEL TRATTAMENTO E ACCESSO AI DATI

Il trattamento dei dati personali avviene nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza previsti dal Regolamento UE 2016/679.

I dati possono essere trattati sia in forma cartacea sia mediante strumenti informatici e telematici, anche tramite sistemi informativi di natura gestionale. I dati raccolti mediante form online sono trattati in forma elettronica e possono essere oggetto di trattamento automatizzato per finalità strettamente connesse alla gestione del servizio.

I dati potranno essere elaborati in forma aggregata e anonima per finalità statistiche, di verifica degli standard di qualità dei servizi di assistenza e manutenzione e di miglioramento della piattaforma, con esclusione del trattamento di dati identificativi.

L’accesso ai dati è consentito esclusivamente a soggetti autorizzati, adeguatamente istruiti e formati, che operano per conto del Titolare o di Namirial, quest’ultima in qualità di Responsabile del trattamento. Tali soggetti sono destinatari di specifiche istruzioni in merito alle attività consentite sui dati trattati.

Il trattamento viene effettuato adottando misure tecniche e organizzative adeguate al rischio, tra cui, ove applicabile:

• controllo degli accessi e sistemi di autenticazione;
• limitazione degli accessi secondo il principio del “need to know”;
• cifratura dei dati e delle credenziali tecniche ove necessario;
• misure di sicurezza per la protezione delle comunicazioni in transito;
• logging e auditing degli accessi;
• separazione degli ambienti di sviluppo, test e produzione;
• attività periodiche di vulnerability assessment e penetration test;
• procedure di backup, continuità operativa e gestione degli incidenti.

7. AMBITO DI COMUNICAZIONE ED EVENTUALE DIFFUSIONE

I dati personali potranno essere comunicati, nei limiti strettamente necessari al perseguimento delle finalità sopra indicate, a:

• soggetti terzi nominati responsabili esterni o sub-responsabili del trattamento;
• consulenti commerciali, amministrativi, fiscali e contabili;
• consulenti legali per l’eventuale gestione di contenziosi;
• fornitori di servizi tecnici, infrastrutturali, di gestione, manutenzione, assistenza e archiviazione;
• soggetti che operano, ove applicabile, in qualità di Local Registration Authority, Registration Authority Operator o con funzioni analoghe;
• organi di polizia, autorità giudiziaria o altre autorità competenti, ove necessario per finalità di accertamento, prevenzione o repressione di reati o per l’adempimento di obblighi di legge.

I dati non saranno oggetto di diffusione, salvo nei casi espressamente previsti dalla legge.

Tutti i soggetti terzi coinvolti nel servizio sono vincolati da idonei accordi contrattuali e, ove trattino dati personali per conto del Titolare o di Namirial, sono nominati responsabili o sub-responsabili del trattamento ai sensi dell’art. 28 del Regolamento UE 2016/679.

Con specifico riferimento alla sincronizzazione con calendari esterni, i fornitori dei servizi di calendario, quali Google o Apple, operano quali autonomi titolari del trattamento per le attività svolte nell’ambito dei rispettivi servizi, secondo le rispettive politiche privacy, condizioni e procedure.

8. INTEGRAZIONE CON CALENDARI ESTERNI: GOOGLE CALENDAR E CALENDARIO APPLE

La funzionalità di Agenda Legale consente la sincronizzazione degli eventi tra il calendario esterno dell’utente e la piattaforma PCT Namirial. La finalità del trattamento è la gestione, visualizzazione e, se abilitata, creazione o modifica di eventi necessari all’erogazione del servizio.

Namirial agisce come Responsabile del trattamento per i dati sincronizzati dai calendari esterni e tratta tali dati esclusivamente su istruzione del Titolare/utente che utilizza la piattaforma.

Nell’ambito dell’integrazione con calendari esterni, possono essere trattate le seguenti categorie di dati:

• identificativo dell’evento;
• titolo dell’evento;
• data e ora di inizio e fine;
• descrizione dell’evento;
• partecipanti, ove presenti, inclusi nome e indirizzo e-mail;
• luogo;
• ricorrenze;
• metadati tecnici necessari alla sincronizzazione.

L’accesso al calendario avviene:

• per Google Calendar, tramite flusso di autorizzazione OAuth 2.0 di Google;
• per Calendario Apple, tramite autorizzazione dell’utente e meccanismi di accesso previsti dall’ecosistema Apple, ad esempio integrazione tramite account iCloud, CalDAV, API o servizi resi disponibili dal dispositivo o dal provider, in base alla configurazione scelta dall’utente e alle funzionalità rese disponibili dal relativo provider.

I token OAuth, le credenziali o le chiavi di collegamento equivalenti necessari alla sincronizzazione sono memorizzati cifrati a riposo e sono accessibili solo a componenti autorizzati.

I dati degli eventi sincronizzati sono trattati per il tempo strettamente necessario alla visualizzazione e/o sincronizzazione delle funzionalità di Agenda Legale.

In caso di revoca dell’accesso da parte dell’utente o di disconnessione della funzionalità, i token e le credenziali di collegamento vengono invalidati o eliminati.

L’utente può revocare l’accesso in qualsiasi momento tramite:

• le impostazioni del proprio account presso il provider del calendario esterno utilizzato;
• la funzione di disconnessione disponibile nell’interfaccia di PCT Namirial, ove prevista.

9. CONSERVAZIONE E CANCELLAZIONE DEI DATI PERSONALI

I dati personali saranno conservati in una forma che consenta l’identificazione degli interessati per un periodo non superiore al conseguimento delle finalità per le quali sono stati raccolti o successivamente trattati.

In ogni caso, il profilo utente sarà disattivato e i dati personali collegati saranno cancellati in caso di mancato utilizzo dei servizi offerti per un periodo di 18 mesi, salvo che la conservazione sia necessaria per obblighi di legge, esigenze di sicurezza, esercizio o difesa di diritti o ulteriori obblighi applicabili.

I dati strettamente necessari per gli adempimenti fiscali e contabili, venuta meno la finalità per la quale erano stati raccolti, saranno conservati per un periodo di 10 anni, come richiesto dalla normativa applicabile.

I log tecnici e di servizio saranno conservati per il periodo strettamente necessario a garantire sicurezza, tracciabilità, corretto funzionamento dei servizi e individuazione dei flussi, nel rispetto delle politiche di conservazione applicabili e dei principi di proporzionalità e minimizzazione.

Decorso il periodo di conservazione applicabile, i dati personali saranno cancellati o resi anonimi, salvo ulteriore conservazione richiesta dalla legge o necessaria per la tutela dei diritti.

10. DIRITTI DELL’INTERESSATO

L’interessato potrà esercitare, nei limiti e alle condizioni previste dal Regolamento UE 2016/679, i seguenti diritti:

• diritto di accesso, ai sensi dell’art. 15;
• diritto di rettifica, ai sensi dell’art. 16;
• diritto alla cancellazione, ai sensi dell’art. 17;
• diritto di limitazione del trattamento, ai sensi dell’art. 18;
• diritto alla notifica nei casi di rettifica o cancellazione dei dati personali o limitazione del trattamento, ai sensi dell’art. 19;
• diritto alla portabilità dei dati, ai sensi dell’art. 20;
• diritto di opposizione, ai sensi dell’art. 21;
• diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, ai sensi dell’art. 22.

Per esercitare i diritti previsti dagli artt. da 15 a 22 del Regolamento UE 2016/679, l’interessato potrà rivolgere apposita richiesta scritta al Titolare del trattamento presso il seguente indirizzo:

Ordine degli Avvocati di Milano
Via Freguglia n. 1
20122 Milano
E-mail: segreteria@ordineavvocatimilano.it

Per le attività svolte da Namirial S.p.A. in qualità di Responsabile del trattamento o per richieste relative alla piattaforma PCT Namirial, l’interessato potrà altresì contattare:

Namirial S.p.A.
Via Caduti sul Lavoro n. 4
60019 Senigallia (AN)
E-mail: dpo@namirial.com
PEC: dpo.namirial@sicurezzapostale.it

L’interessato ha altresì diritto di proporre reclamo al Garante per la protezione dei dati personali, secondo le modalità previste dalla normativa vigente.

Informativa privacy ordini: