Standard globali in materia di protezione dei dati

View in English.

Premesse

Il presente documento stabilisce gli standard che si applicano al trattamento dei Dati Personali Europei (come di seguito definiti) in Latham & Watkins (gli “Standard”). Latham & Watkins è uno studio legale internazionale con uffici in 15 paesi in tutto il mondo. Lo studio opera senza confini interni e, data la natura internazionale delle attività condotte da Latham & Watkins, è fondamentale che i dati personali possano essere trasferiti da un ufficio all’altro.

Latham & Watkins, per mezzo del proprio Executive Committee, si è impegnato a tutelare i dati personali trattati dallo studio. In particolare, i presenti Standard sono stati predisposti per facilitare il trasferimento di Dati Personali Europei tra uffici Latham & Watkins, in conformità con il Regolamento (UE) 2016/679.

Definizioni

“Autorità di Protezione dei Dati” o “APD” indica l’autorità di vigilanza responsabile di monitorare e far rispettare le leggi in materia di protezione dei dati in un dato paese.

“BCR Agreement” indica l’accordo che impegna tutte le Entità L&W che trattano Dati Personali Europei ad agire in conformità con gli Standard.

“categorie particolari di dati” indica i Dati Personali Europei riguardanti l’origine razziale o etnica di una persona, le sue opinioni politiche, credenze religiose o convinzioni personali, la sua appartenenza sindacale, eventuali reati commessi o condanne penali inflitte, il suo stato di salute, il suo orientamento o la sua vita sessuale, i dati genetici o biometrici che la riguardano e qualsiasi altra categoria particolare di dati di cui alle Leggi UE sulla Privacy.

“Clausole Tipo” indica le clausole contrattuali tipo per il trasferimento di dati personali verso responsabili del trattamento o titolari del trattamento con sede in paesi terzi come di volta in volta pubblicate e approvate dalla Commissione europea.

“DPIA” indica la valutazione d’impatto sulla protezione dei dati prevista dall’art. 35 del GDPR.

“Dati Personali Europei” indica i dati personali di (i) staff, avvocati, partner, consulenti, terzi e potenziali candidati raccolti e trattati a fini di recruiting e amministrazione delle risorse umane; (ii) clienti, potenziali clienti e alumni trattati per la fornitura di servizi legali e/o per finalità di marketing e comunicazione; e (iii) prestatori d’opera, fornitori, committenti e consulenti trattati nell’ambito delle relazioni esistenti tra le predette entità e Latham & Watkins (per maggiori informazioni si rimanda alla policy Dichiarazione di trattamento equo dei dati del personale (All Personnel Fair Data Processing Statement), Informativa sul trattamento dei dati personali dei candidati (Recruitment Privacy Policy), Informativa sulla privacy per Alumni (Alumni Privacy Policy) oppure all’Informativa sulla privacy per clienti e terzi (Client and Third Party Privacy Notice)), da parte di qualsiasi Entità L&W in qualità di titolare del trattamento, soggetti alle applicabili Leggi UE sulla Privacy.

“dati personali” indica qualsiasi informazione riguardante una persona fisica identificata o identificabile (il “soggetto interessato” o l’“interessato”); per persone identificabili si intendono coloro che possono essere identificati, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online, o a uno o più elementi caratteristici della loro identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Il termine “dati personali” si intende riferibile anche a qualsiasi dato riguardante persone giuridiche nei casi in cui ciò sia previsto dalle Leggi UE sulla Privacy.

“Entità L&W” indica ciascuna delle limited liability partnership, partnership e limited company che compongono lo studio.

“GDPR” indica il Regolamento (UE) 2016/679.

“Latham & Watkins” e “lo studio” indica Latham & Watkins, uno studio che opera in tutto il mondo sotto forma di partnership a responsabilità limitata organizzata secondo le leggi dello stato del Delaware (Stati Uniti) (“Delaware LLP”), con partnership affiliate a responsabilità limitata in Francia, Italia, Hong Kong, Singapore, Regno dell’Arabia Saudita e Regno Unito e con una partnership affiliata in Giappone. Latham & Watkins opera in Corea del Sud come Foreign Legal Consultant Office. Oltre a quanto sopra, lo studio include anche tutte le entità interamente controllate dalla Delaware LLP. 

“Legge Applicabile” indica le leggi della giurisdizione in cui una data Entità L&W ha sede e qualsiasi altra legge alla quale la medesima Entità L&W è soggetta.

“Leggi Locali” indica le leggi e/o i regolamenti, diversi dalle Leggi UE sulla Privacy, di qualsiasi paese a cui una data Entità L&W è soggetta o qualsiasi obbligo legale imposto da tali leggi o regolamenti.

“Leggi UE sulla Privacy” indica le leggi nazionali nel SEE in attuazione del Regolamento (UE) 2016/679, della Direttiva 2002/58 (e di qualsiasi legge modificativa o sostitutiva della stessa) e le relative leggi europee in materia di privacy.

“L&W Germania” indica l’ufficio di Francoforte di Latham & Watkins.

“personale” indica i partner, gli avvocati e lo staff di Latham & Watkins, sia temporanei, sia permanenti.

“SEE” indica lo Spazio economico europeo.

“violazione della sicurezza” indica una violazione della sicurezza che comporti la distruzione, perdita, alterazione, divulgazione non autorizzata o accesso accidentale o illecito ai Dati Personali Europei trattati da un’Entità L&W.

I termini “trattamento”, “titolare del trattamento” e “responsabile del trattamento”  devono essere intesi così come definiti nel GDPR.

Ambito di applicazione

Latham & Watkins opera attualmente nei seguenti paesi (i paesi membri del SEE sono indicati in grigio):

Tali Standard si applicano al trattamento dei Dati Personali Europei da parte delle Entità L&W soggette alle Leggi UE sulla Privacy applicabili.

In particolare, tali Standard si applicano al trasferimento di dati personali di dipendenti, candidati, clienti e terzi.

I dati personali dei dipendenti includono, a titolo esemplificativo:

• dati identificativi (es. nome, informazioni di contatto, contatti di emergenza, foto, documenti comprovanti l’idoneità al lavoro e numeri identificativi);
• dati personali e familiari (es. luogo di nascita, stato civile, nazionalità, cittadinanza, composizione familiare, passaporto e dati sui visti);
• informazioni sanitarie (es. disabilità, registro delle assenze per malattia, relazioni d’infortunio, informazioni su esami medici, informazioni sulla salute sul lavoro, preferenze e allergie alimentari);
• dati relativi alla gestione e allo sviluppo della carriera (es. categoria professionale, orario part-time o full-time, istruzione e qualifiche, conoscenze linguistiche, referenze, precedenti personali, esperienza professionale);
• dati riguardanti la stipula e la cessazione del contratto di lavoro o di incarico (es. data di assunzione, ID dipendente, registrazione delle ore di lavoro e dei permessi, valutazioni sulla performance, formazione, procedimenti disciplinari e vertenze di lavoro, colloquio di uscita);
• dati finanziari (es. remunerazione, compenso, stipendio, benefit, dettagli del conto corrente bancario, codice fiscale, numero di previdenza sociale);
• registrazioni audio e video (es. registrazioni TVCC, riunioni e webinar on line, eventi e pubblicazioni);
• dati relativi all’utilizzo dei sistemi di controllo degli accessi agli uffici e all’accesso e utilizzo degli strumenti e delle risorse dell’ufficio;
• dati relativi agli spostamenti per le finalità del rapporto di lavoro o come parte dei programmi di benefit per i dipendenti.

I dati personali dei candidati includono, a titolo esemplificativo:

• informazioni incluse nella candidatura (es. nome, informazioni di contatto, esperienze e qualifiche professionali e formative, documenti comprovanti l’idoneità al lavoro e ulteriori informazioni presenti sul CV);
• informazioni sensibili (es. origine razziale o etnica, disabilità);
• informazioni raccolte durante colloqui e valutazioni (es. appunti di colloqui, riscontri, informazioni raccolte durante le valutazioni e colloqui video);
• informazioni sull’utilizzo del portale e sul sito web di assunzione (es. informazioni sull’indirizzo IP raccolte attraverso i cookies);
• informazioni ricevute da terzi, come referenti e selezionatori;
• informazioni richieste per lo svolgimento di controlli pre-assunzione (es. controlli dei precedenti penali, verifica delle qualifiche e controlli professionali);
• informazioni sugli accessi agli uffici, riprese delle telecamere di sicurezza.

Le informazioni relative ai clienti e a terzi includono, a titolo esemplificativo:

• identificativi (es. nome, informazioni di contatto e numeri identificativi);
• informazioni biometriche (es. fotografie);
• informazioni commerciali;
• informazioni professionali e relative al lavoro;
• social media e informazioni disponibili al pubblico;
• informazioni relative a dati di natura protetta (es. nazionalità, affiliazione politica, cittadinanza); e
• registrazioni audio e video (es. registrazioni TVCC, riunioni e webinar on line).

Il trattamento dei Dati Personali Europei è fondato su, a seconda dei casi,

• il consenso, art. 6, comma 1, lett. a) e art. 9, comma 2, lett. a) GDPR,
• esecuzione di un contratto, art. 6, comma 1, lett. b) GDPR,
• adempimento di un obbligo legale, art. 6, comma 1, lett. c) GDPR,
• legittimo interesse, art. 6, comma 1, lett. f) GDPR,
• assolvimento di obblighi ed esercizio di diritti specifici in materia di diritto del lavoro, art. 9, comma 2, lett. b) GDPR,
• accertamento, esercizio o difesa di un diritto in sede giudiziaria, art. 9, comma 2, lett. f) GDPR.

I Dati Personali Europei sono trasferibili in tutta la rete dello studio presso le sedi descritte nella tabella indicata sopra.

Gli Standard si applicano inoltre all’esportazione di Dati Personali Europei al di fuori dello SEE da parte di un’entità L&W e al trattamento di tali dati esportati da parte di un’entità L&W (nella sua funzione di titolare del trattamento o di responsabile del trattamento) situate al di fuori dello SEE e trasferimenti successivi di Dati Personali Europei a Entità L&W al di fuori dello SEE.

Ai fini di tali Standard, si dà atto che il Regno Unito (UK), ai sensi del GDPR, è considerato un paese terzo. Di conseguenza, Latham & Watkins (London) LLP (L&W London) implementerà Standard globali in materia di protezione dei dati separati che coprono il trasferimento dei dati del Regno Unito all’interno dello studio. Per quanto riguarda i rispettivi trasferimenti di dati, a L&W London compete la responsabilità esclusiva di intraprendere azioni per rimediare agli atti e alle omissioni di altre entità L&W al di fuori dello SEE in violazione degli Standard del Regno Unito e per quanto riguarda il pagamento di risarcimenti per eventuali danni derivanti da tale violazione degli Standard del Regno Unito da parte delle entità L&W situate al di fuori dello SEE. Pertanto, i soggetti interessati che desiderano presentare un reclamo riguardo al trattamento dei dati del Regno Unito devono contattare L&W London. Per ulteriori dettagli, si prega di fare riferimento ai Standard globali in materia di protezione dei dati del Regno Unito, disponibili su https://www.lw.com/Privacy. 

Regole e principi

1. Principi di gestione dei dati

In qualità di titolare del trattamento, ciascuna Entità L&W che tratti Dati Personali Europei in conformità con le policy Dichiarazione di trattamento equo dei dati del personale (All Personnel Fair Data Processing Statement), Informativa sul trattamento dei dati personali dei candidati (Recruitment Privacy Policy) , Informativa sulla privacy per Alumni (Alumni Privacy Policy) , oppure con l’Informativa sulla privacy per clienti e terzi (Client and Third Party Privacy Notice) (a seconda dei casi) aderirà ai seguenti principi:

1.1 I Dati Personali Europei saranno trattati in maniera trasparente, equa e legittima: i soggetti interessati saranno informati — nella misura in cui non ne siano già al corrente o non abbiano già ricevuto informazioni in merito — dell’identità del/dei titolare/i del trattamento, delle finalità per le quali i loro dati personali possono essere utilizzati (fermo restando qualsiasi limitazione autorizzata riguardo alla comunicazione di tali informazioni, per esempio in relazione alla prevenzione di crimini, procedimenti giuridici o fiscali, ovvero nei casi in cui le Leggi Applicabili lo vietano), la base giuridica applicabile al trattamento e qualsiasi altra informazione rilevante richiesta ai sensi delle Leggi UE sulla Privacy. Le predette informazioni dovranno inoltre indicare quali siano i diritti di cui godono gli interessati ai sensi delle Leggi UE sulla Privacy.

1.2 I Dati Personali Europei saranno raccolti per finalità di business specifiche, esplicite e legittime e, eccetto ove consentito dalle Leggi UE sulla Privacy, non faranno l’oggetto di alcun ulteriore trattamento che possa essere incompatibile con le predette finalità.

1.3 I dati rientranti nelle categorie particolari di dati saranno trattati solamente nella misura in cui ciò sia strettamente necessario per le legittime finalità di business dello studio e nel rispetto delle tutele richieste ai sensi delle Leggi UE sulla Privacy.

1.4 Verranno prese misure atte a garantire che i Dati Personali Europei raccolti e trattati siano adeguati ma non eccessivi, e che siano rilevanti, accurati e (se necessario) tenuti aggiornati. Verrà inoltre presa qualsiasi altra misura necessaria per correggere o cancellare con prontezza qualsiasi dato personale che risulti essere inesatto.

1.5 I Dati Personali Europei saranno conservati per il periodo di tempo strettamente necessario al raggiungimento delle finalità per cui sono stati trattati e, in ogni caso, la conservazione di tali dati avverrà nel rispetto delle policy di conservazione dei dati adottate dallo studio (fatto salvo qualsiasi requisito normativo o altro requisito ai sensi delle applicabili Leggi UE sulla Privacy).

2. Sicurezza dei dati

2.1 Nella pratica e per quanto attiene ai costi di realizzazione, ciascuna Entità L&W prenderà tutte le misure tecniche e organizzative necessarie a proteggere i Dati Personali Europei da e contro la distruzione accidentale o illecita ovvero la perdita accidentale, l’alterazione, il danno, la diffusione o l’accesso non autorizzati, in particolare nei casi in cui il trattamento preveda la trasmissione di dati attraverso una rete, nonché da e contro qualsiasi altra forma illecita di trattamento. Le misure adottate dovranno garantire un livello di sicurezza adeguato ai rischi potenzialmente derivanti dal trattamento e dalla natura dei Dati Personali Europei da proteggere, affinché le categorie particolari di dati e altre informazioni di carattere strettamente riservato siano ulteriormente protette. Tali misure comprenderanno, ove necessario:

(a) la pseudonimizzazione;

(b) la cifratura;

(c) la riservatezza, integrità, disponibilità e flessibilità di sistemi e servizi;

(d) dispositivi di back-up e ripristino in caso di disastro; e

(e) processi di test, stima e valutazione dell’efficacia delle misure di sicurezza.

2.2 Ciascuna Entità L&W sarà tenuta a notificare prontamente al Global Data Privacy Office all’indirizzo GlobalDPO@lw.com qualsiasi violazione di sicurezza che possa dare origine alla distruzione accidentale o illecita, perdita, alterazione, diffusione o accesso non autorizzati dei Dati Personali Europei trattati dalla medesima Entità L&W (una “violazione della sicurezza”). Il Global Data Privacy Office terrà registri idonei a documentare le violazioni della sicurezza, qualsiasi eventuale impatto sui soggetti interessati e le eventuali azioni correttive messe in atto. Il Global Privacy Office dovrà inoltre assicurarsi che le competenti Autorità di Protezione dei Dati e i soggetti interessati ricevano tutte le adeguate notifiche in conformità con i requisiti previsti dalle Leggi UE sulla Privacy. Il Global Data Privacy Office condividerà i registri delle violazioni della sicurezza relative a Dati Personali Europei trattati da un’Entità L&W in qualità di titolare del trattamento nel SEE con l’APD competente nel relativo paese o nella relativa giurisdizione qualora la medesima APD lo richieda.

2.3 Ciascuna Entità L&W prenderà ogni misura necessaria a garantire l’affidabilità del personale che ha accesso o è responsabile dei Dati Personali Europei, ivi compreso il trattamento dei Dati Personali Europei secondo le istruzioni dello studio.

2.4 La sezione 8 illustra le policy sulla sicurezza delle informazioni e la funzione privacy dello studio. Il Security Committee, descritto nella sezione 8.3, è responsabile di tutte le policy e gli standard di sicurezza delle informazioni all’interno dello studio. Le policy e le procedure dello studio, come modificate di volta in volta, stabiliscono gli standard dettagliati sulla sicurezza delle informazioni a cui è necessario conformarsi.

3. Responsabili del trattamento

3.1 Nei casi in cui un’Entità L&W affidi a un’altra Entità L&W, in qualità di responsabile del trattamento, il trattamento di Dati Personali Europei per conto suo, il responsabile del trattamento dovrà conformarsi ai requisiti di cui ai presenti Standard. Se necessario, le parti predisporranno e agiranno in conformità con i termini di qualsiasi ulteriore accordo eventualmente richiesti ai sensi delle applicabili Leggi UE sulla Privacy.

3.2 Qualora un’Entità L&W si avvalga dei servizi di una terza parte, in qualità di responsabile del trattamento, per il trattamento di Dati Personali Europei, la relativa Entità L&W selezionerà un responsabile del trattamento che fornisca garanzie appropriate al livello di sicurezza applicato ai Dati Personali Europei da trattare. L’Entità L&W dovrà assicurarsi che venga sottoscritto un contratto con il terzo responsabile del trattamento contenente i requisiti di cui alle applicabili Leggi UE sulla Privacy.

3.3 Se un’Entità L&W con sede nel SEE affida l’incarico a un terzo responsabile del trattamento con sede extra-SEE di procedere al trattamento dei Dati Personali Europei per conto suo, l’Entità L&W dovrà:

(a) assicurarsi che sia stato sottoscritto un contratto con il responsabile del trattamento sostanzialmente nella forma o contenente i termini delle Clausole Tipo applicabili ai responsabili del trattamento (fermo restando qualsiasi modifica eventualmente consentita ai sensi delle applicabili Leggi UE sulla Privacy); ovvero

(b) assicurarsi che altre misure di protezione adeguate siano state adottate, in conformità con quanto disposto dalle applicabili Leggi UE sulla Privacy, allo scopo di proteggere i Dati Personali Europei.

Gli stessi standard si applicano ai responsabili del trattamento terzi con sede nel Regno Unito una volta scaduto il periodo di transizione come indicato nell’articolo FINPROV.10A paragrafo 1, 4 dell’Accordo sugli Scambi Commerciali e la Cooperazione tra l’Unione europea e il Regno Unito del 24 dicembre 2020. Dopo la scadenza del periodo di transizione, le Entità L&W trasferiranno i Dati Personali Europei nel Regno Unito solo sulla base di adeguate garanzie legali ai sensi dell’art. 45 e seguenti del GDPR. Le rispettive garanzie possono includere, tra le altre cose, Clausole Tipo o una decisione di adeguatezza della Commissione Europea che determini che il Regno Unito può garantire un livello di protezione dei dati comparabile a quello dell’UE.

3.4 Nel caso in cui un’Entità L&W (in qualità di titolare del trattamento) trasferisca Dati Personali Europei a un titolare del trattamento terzo esterno allo studio, la predetta Entità L&W dovrà garantire che tali trasferimenti avvengano in conformità con i requisiti delle applicabili Leggi UE sulla Privacy. Se richiesto dalle applicabili Leggi UE sulla Privacy, ovvero nei casi in cui sia in altro modo consentito dalle applicabili Leggi UE sulla Privacy e considerato appropriato, l’Entità L&W metterà in atto qualsiasi misura di protezione atta a tutelare i Dati Personali Europei e i diritti delle persone fisiche. Tali misure di protezione potranno assumere la forma di un contratto, sotto forma di Clausole Tipo affinché il titolare del trattamento possa controllare i trasferimenti o in qualsiasi altra forma che sia atta a garantire un livello di protezione adeguato.

4. Formazione del personale

4.1 Latham & Watkins ha predisposto un programma di sensibilizzazione sulla privacy e la sicurezza con l’obiettivo di informare lo staff, gli avvocati e tutti gli altri collaboratori circa le policy di studio e le best practice applicabili in materia di privacy e sicurezza. Tutto il personale è tenuto a completare un modulo di e-learning obbligatorio sulla privacy dei dati al momento dell’ingresso nello studio e successivamente ogni due anni. Lo studio monitora le percentuali di completamento del modulo. Inoltre, viene fornita una formazione personalizzata sulla protezione dei dati al personale con responsabilità specifiche per i dati personali, in base alle necessità.

4.2 La diffusione di informazioni di sensibilizzazione sul tema della privacy e della sicurezza avverrà attraverso diversi canali di comunicazione. Vari tip sheet e guide contenenti best practice e informazioni di sensibilizzazione sulla privacy e la sicurezza sono disponibili a tutto il personale nelle sezioni dedicate “Privacy” e “Security” della intranet.

4.3 Ciascuna Entità L&W sarà inoltre responsabile di garantire che tutto il personale che abbia accesso o sia responsabile della gestione di dati personali riceva tutta la formazione e le istruzioni appropriate.

5. Conflitti con le Leggi Locali applicabili

5.1 Se un’Entità L&W ha motivo di ritenere che le Leggi Locali, i regolamenti o altri obblighi legali impediscano all’Entità L&W di rispettare gli Standard e che ciò possa avere un effetto negativo sostanziale sulle garanzie fornite dagli Standard, tale Entità L&W informerà tempestivamente il Privacy Committee (come di seguito definito) (ad eccezione dei casi in cui ciò sia vietato dalla legge o da un’autorità preposta all’applicazione della legge, ad esempio per preservare la riservatezza di un’indagine di polizia) e sospenderà il trasferimento dei Dati Personali Europei previsto. Il Privacy Committee terrà traccia di tutte queste notifiche e delle azioni intraprese in relazione ad esse.

5.2 Il Privacy Committee prenderà tutte le decisioni necessarie in merito a qualsiasi azione richiesta a seguito di tale notifica da parte di un’Entità L&W e l’Entità L&W si conformerà a qualsiasi istruzione impartita dal Privacy Committee. Il Privacy Committee riconosce che nessun trasferimento di Dati Personali Europei dovrebbe essere effettuato da un’entità L&W a qualsiasi autorità pubblica in modo massiccio, sproporzionato o indiscriminato, al di là di quanto necessario in una società democratica. Il Privacy Committee può consultare la APD competente in qualsiasi momento, anche per risolvere un conflitto tra le Leggi Locali e gli Standard.

5.3 Il Privacy Committee informerà la APD competente qualora abbia stabilito che le Leggi Locali potrebbero avere un effetto negativo sostanziale sulle garanzie fornite dagli Standard, tranne nei casi in cui ciò sia vietato dalla legge o da un’autorità preposta all’applicazione della legge, ad esempio al fine di preservare la riservatezza di un’indagine di polizia. Se è in vigore un divieto di questo tipo, il Privacy Committee ordinerà all’Entità L&W interessata di fare del suo meglio per ottenere una deroga alla restrizione, al fine di consentire la divulgazione del maggior numero di informazioni alla APD competente nel più breve tempo possibile, e di conservare traccia dei suoi sforzi in tal senso. Qualsiasi controversia con la APD relativa all’esercizio della vigilanza sull’osservanza dei presenti Standard sarà sottoposta a un tribunale situato all'interno dello Spazio economico europeo.

5.4 Il Privacy Committee terrà traccia di tutte le divulgazioni di Dati Personali Europei che lo studio è tenuta a fare e che potrebbero avere un effetto negativo sostanziale sulle garanzie fornite dai presenti Standard, e fornirà un riepilogo delle divulgazioni alla APD competente su base annuale (tenendo conto di eventuali restrizioni imposte dalla legge o da un’autorità predisposta all’applicazione della legge).

5.5 Nei casi in cui le Leggi Locali richiedano l’adozione di livelli di protezione dei Dati Personali Europei più elevati rispetto a quelli stabiliti nei presenti Standard, le disposizioni contenute nelle Leggi Locali prevarranno.

6. Assistenza reciproca e collaborazione con le Autorità di Protezione dei Dati

6.1 Ciascuna Entità L&W sarà tenuta ad agire in conformità con le istruzioni emesse dalla competente APD nel rispettivo paese o la rispettiva giurisdizione, nella misura in cui siano pertinenti ai fini dei presenti Standard o del trattamento di Dati Personali Europei in generale, e prenderà in considerazione qualsiasi raccomandazione formulata dalla predetta APD per quanto attiene all’interpretazione dei presenti Standard.

6.2 Le Entità L&W si assisteranno reciprocamente nel rispondere a qualsiasi inchiesta o indagine da parte di una APD in riferimento ai presenti Standard, fornendo all’ADP pertinente le informazioni ragionevolmente richieste in relazione al trattamento dei Dati Personali Europei.

6.3 Le Entità L&W si forniranno assistenza reciproca qualora siano chiamate a rispondere ad eventuali indagini o reclami da parte di un soggetto interessato riguardo ai presenti Standard o al trattamento di Dati Personali Europei.

7. Trasferimento dei dati

7.1 Le Entità L&W trasferiranno i Dati Personali Europei ai Responsabili del Trattamento dei dati e a terze parti in conformità con gli articoli dal 44 al 46 del GDPR o in base a quanto previsto dalle deroghe previste dall’articolo 49 del GDPR.

7.2 Il Global Data Privacy Office, per conto delle Entità L&W, preparerà e documenterà una valutazione dell’impatto del trasferimento prima di impegnarsi in un trasferimento di Dati Personali Europei, tenendo conto dei seguenti elementi:

7.2.1 le circostanze specifiche del trasferimento, inclusa la lunghezza della catena di trattamento, il numero di parti coinvolte e i canali di trasmissione utilizzati; i trasferimenti successivi previsti, il tipo di destinatario, lo scopo del trattamento, le categorie e il formato dei dati personali trasferiti, il settore economico in cui avviene il trasferimento, la posizione di archiviazione dei dati trasferiti;

7.2.2 le leggi e le prassi del paese terzo di destinazione – comprese quelle che richiedono la divulgazione dei dati alle autorità pubbliche o che autorizzano l’accesso da parte di tali autorità – rilevanti alla luce delle circostanze specifiche del trasferimento, e le limitazioni e le garanzie applicabili;

7.2.3 qualsiasi garanzia contrattuale, tecnica o organizzativa rilevante messa in atto al fine di integrare le garanzie previste dalle presenti Clausole, compresse le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.

7.3 Le Entità L&W informeranno il Global Data Privacy Office e il Privacy Committee nella misura in cui sia necessario mettere in atto misure di sicurezza aggiuntive prima del trasferimento dei Dati Personali Europei.

7.4 Nel caso in cui l’Entità L&W che agisce come importatore di dati ritenga che, a causa delle leggi o delle pratiche del paese di destinazione, non possa adempiere agli obblighi previsti dai presenti Standard, l’Entità L&W che agisce come importatore di dati ne darà comunicazione all’Entità L&W che agisce come esportatore di dati e al Privacy Committee e individuerà misure supplementari per garantire la sicurezza e la riservatezza dei Dati Personali Europei. Nella misura in cui le Entità L&W e il Data Privacy Committee stabiliscono che le misure supplementari identificate non sono in grado di garantire la conformità ai presenti Standard, le Entità L&W sospenderanno il trasferimento previsto dei Dati Personali Europei.

7.5 Le Entità L&W rivedranno regolarmente le valutazioni d’impatto del trasferimento e le condivideranno con le altre Entità L&W.

8. Policy, responsabilità e funzione privacy di Latham & Watkins

8.1 Policy e linee guida

Lo studio ha implementato policy, standard, procedure e linee guida dettagliati approvati dal Privacy Committee e dal Security Committee, aggiornati e modificati di volta in volta, al fine di descrivere in modo più dettagliato le regole e i processi che devono essere seguiti per ottenere la conformità ai presenti Standard, e in particolare i principi di trattamento dei dati di cui alla sezione 1 e gli obblighi di sicurezza delle informazioni di cui alla sezione. I dipendenti possono trovare ulteriori dettagli sulle policy in materia nella sezione dedicata all’interno dell’intranet dello studio.

8.2 Responsabilità

Lo studio conserverà i registri delle proprie attività relative al trattamento dei Dati Personali Europei, come richiesto dalle Leggi UE sulla Privacy. In particolare, lo studio manterrà in forma elettronica i registri delle attività di trattamento richiesti dall'articolo 30.1 del GDPR. Tali registri saranno messi a disposizione, su richiesta, delle APD nei paesi dello SEE in cui lo studio opera.

8.3 Privacy e Security Committee

(a) Il Privacy Committee e il Security Committee di Latham & Watkins sono comitati distinti ma strettamente collegati, presieduti da soci dello studio e che riferiscono all’Executive Committee dello studio. Mentre il Privacy Committee (attraverso il Global Data Privacy Office) si concentra principalmente sulla sensibilizzazione e sull’applicazione della conformità alle leggi sulla privacy e agli Standard (e alle relative policy), il Security Comitato si concentra sullo sviluppo e sull’applicazione della policy e degli standard di sicurezza delle informazioni dello studio e dell’Incident Response Plan dello studio. Il Security Committee è responsabile delle policy, degli standard, delle linee guida e delle pratiche di sicurezza dello studio, compresa l’adesione alla Acceptable Use of Communication Systems Policy, mentre il Privacy Committee (attraverso il Global Data Privacy Office) supervisiona le questioni interne relative alla privacy, come gli accordi di trasferimento dei dati, gli accordi di trattamento dei dati con i fornitori, la conformità ai requisiti normativi locali, gli aggiornamenti interni sulla privacy (compresi quelli della Acceptable Use of Communication Systems Policy), la formazione e le linee guida e le richieste di informazioni sulla privacy da parte degli uffici locali. Il Privacy Committee (insieme al Global Data Privacy Office) è responsabile dell’applicazione dei presenti Standard.

(b) Il Privacy Committee (attraverso il Global Data Privacy Office) e il Security Committee sono congiuntamente responsabili di garantire che l’approccio dello studio in materia di privacy sia proattivo, incorporando i principi della privacy by design e by default, e non sia solo una reazione alle violazioni dei dati o ad altri errori. Questo approccio comprenderà l’uso di tecniche (come la minimizzazione dei dati) volte a limitare il trattamento a quanto necessario per le finalità in questione e a proteggere i diritti degli interessati.

(c) Il Privacy Committee (attraverso il Global Data Privacy Office) è responsabile dell’esecuzione delle DPIA come richiesto dalle Leggi UE sulla Privacy. Se una DPIA indica che il trattamento può comportare un rischio elevato per i diritti e le libertà degli individui che sono oggetto di Dati Personali Europei, in assenza di misure adottate per ridurre il rischio, il Privacy Committee la APD competente in conformità con le Leggi UE sulla Privacy.

8.4 In conformità con le Leggi UE sulla Privacy, L&W Germania ha nominato un Responsabile della Protezione dei Dati (DPO). I contatti del DPO saranno pubblicati nelle policy sulla privacy di Latham & Watkins.

8.5 Personale addetto alla privacy

8.5.1 Il Global Data Privacy Office di Latham & Watkins è la funzione amministrativa del Privacy Committee dello studio ed è responsabile della promozione della conformità alla privacy e delle best practice in tutto lo studio. Il Global Data Privacy Office lavora a stretto contatto con il Privacy Committee e il Security Committee e con gli avvocati che si occupano di privacy nelle varie sedi dello studio per sviluppare, interpretare e monitorare le pratiche, le policy e le procedure dello studio in materia di privacy. Inoltre, contribuisce alla pianificazione strategica e all’implementazione di obiettivi e traguardi relativi alla conformità alla privacy e alle best practice in tutte le varie sedi di Latham & Watkins. Il Global Data Privacy Office fornisce indicazioni e consulenza a partner, manager, supervisori, avvocati e personale in merito alle best practice in materia di privacy. In caso di violazione o potenziale violazione degli Standard, il Global Data Privacy Office segnalerà tale violazione o potenziale violazione al Privacy Committee, che potrà decidere se è necessario adottare misure di applicazione o altre azioni.

8.5.2 Il Chief Information Officer di Latham & Watkins è membro del Security Committee dello studio e supervisiona le responsabilità del responsabile del mantenimento del programma di gestione della sicurezza delle informazioni di Latham & Watkins. Ciò include l’istituzione di processi per la supervisione, l’applicazione e il monitoraggio della conformità alle policy e agli standard di sicurezza delle informazioni dello studio.

8.5.3 Ogni sistema o applicazione a supporto di una pratica o di una funzione dello studio ha un Proprietario delle Informazioni. Il Proprietario delle Informazioni è un rappresentante della direzione dello studio ed è responsabile della protezione del sistema o dell’applicazione. Inoltre, gli Office Technology Manager e Lead sono responsabili del supporto e dell’amministrazione delle policy e degli standard di sicurezza delle informazioni dello studio nella loro specifica sede.

8.5.4 L’Office Administrator di ciascuna sede collabora con il Managing Partner dell’ufficio e con il Chief Operating Officer per sviluppare, interpretare e monitorare le prassi, le policy e le procedure dello studio ai fini dell’implementazione, e contribuisce alla pianificazione strategica e all’implementazione di obiettivi e finalità nell’ufficio Latham & Watkins di competenza. L’Office Administrator fornisce indicazioni e consigli a tutti i manager, supervisori, avvocati e personale in merito alle operazioni aziendali generali dello studio, ed è anche responsabile della gestione delle richieste e dei problemi aziendali di livello superiore.

9. Responsabilità in materia di compliance

9.1 Tutto il personale Latham & Watkins è tenuto ad agire in conformità con i presenti Standard e (ad eccezione dell’ufficio di Parigi) a dichiarare la propria accettazione dei medesimi Standard, nonché della versione più aggiornata della Acceptable Use of Communication Systems Policy, al momento dell’ingresso nello studio e successivamente su base annua. Il personale della sede di Parigi di Latham & Watkins sarà informato degli Standard attraverso il regolamento interno dell’ufficio (“règlement intérieur”), che può essere visualizzato e consultato tramite il sito intranet dell’ufficio o tramite avviso fisico in ufficio. Inoltre, il regolamento interno viene inviato a tutto il personale via e-mail su base annuale per garantire che tutto il personale sia a conoscenza delle regole e del loro contenuto. Secondo la legge francese, tutto il personale della sede di Parigi è tenuto a rispettare le disposizioni del règlement intérieur. Il mancato rispetto degli Standard (o del règlement intérieur nel caso dell’ufficio di Parigi) costituisce un’infrazione disciplinare, che potrebbe portare a provvedimenti disciplinari fino al licenziamento o alla rimozione dalla partnership. A Parigi, l’azione disciplinare sarà quella applicabile a ciascuna categoria di personale: per il personale, la sanzione disciplinare è prevista dal Codice del Lavoro francese (che può andare dall’ammonimento al licenziamento per colpa grave); per gli avvocati, le sanzioni possono essere pronunciate dall’organo disciplinare del Consiglio dell’Ordine degli Avvocati e/o dallo studio (fino alla risoluzione del contratto di collaborazione autonoma o alla rimozione dalla partnership).

9.2 Lo studio ha sottoscritto il BCR Agreement e L&W Germania è stata designata quale Entità L&W responsabile della protezione dei dati nello SEE. L&W Germania prenderà ogni misura necessaria per rimediare a qualsiasi violazione degli Standard, che potrà far applicare contrattualmente per mezzo del BCR Agreement.

9.3 L’ufficio L&W di Londra ha accettato la responsabilità di prendere le misure necessarie per porre rimedio alle azioni e omissioni di altre Entità L&W extra-SEE in violazione dei presenti Standard e di risarcire qualsiasi danno possa derivare da tale eventuale violazione degli Standard da parte di un’Entità L&W extra-SEE. Pertanto, qualsiasi reclamo nei confronti di uffici Latham & Watkins extra-SEE dovrà essere formulato nei confronti di L&W Germania (fatti salvi i reclami relativi al Regno Unito, che dovranno essere portati avanti nei confronti di Latham & Watkins (London) LLP). Qualsiasi reclamo nei confronti di un ufficio Latham & Watkins situato all’interno del SEE dovrà essere formulato nei confronti di tale eventuale ufficio Latham & Watkins.

9.4 Al fine di esonerarsi dalla responsabilità per eventuali reclami da parte di un soggetto interessato, L&W Germania deve dimostrare che non si è verificata alcuna violazione o che qualsiasi Entità L&W situata al di fuori dello SEE non è responsabile di una violazione degli Standard che ha causato i danni o altri rimedi richiesti dall’interessato.

9.5 Le Entità L&W trasferiranno i Dati Personali Europei soggetti ai presenti Standard solo alle Entità L&W che sono effettivamente vincolate dai presenti Standard.

10. Programma di audit per la verifica della compliance

Latham & Watkins si impegna a implementare le seguenti misure al fine di valutare e verificare la conformità con i presenti Standard e con le leggi applicabili in materia di protezione dei dati.

10.1 Audit interno – gli audit sono condotti dal team di audit interno dello studio con il support dei membri del Privacy Committee e/o del Global Data Privacy Office su base continuativa, valutando la conformità con i presenti Standard, come il controllo delle applicazioni, dei sistemi IT e dei database che elaborano Dati Personali Europei, i trasferimenti di Dati Personali Europei, l’analisi delle leggi dei paesi destinatari, il controllo dei contratti con i fornitori. L’ambito di applicazione appropriato dell’audit sarà determinato caso per caso. I presenti Standard saranno verificati regolarmente, come ragionevolmente richiesto dall’approccio di revisione basato sul rischio dello studio. I risultati dell’audit saranno comunicati, a seconda dei casi, al Global Data Privacy Office dello studio, alla direzione di L&W Germany e al senior management dello studio. Qualsiasi azione correttiva identificata da tali audit come necessaria per la conformità ai presenti Standard sarà implementata e monitorata dall’Audit Committee.

10.2 Audit esterno – gli audit che verificano la sicurezza dei sistemi dello studio sono effettuati annualmente dai revisori esterni dello studio. Ulteriori audit esterni possono essere organizzati ad hoc da qualsiasi Entità L&W. I risultati dell’audit saranno comunicati, a seconda dei casi, dal Privacy Committee e/o dal Security Committee dello studio, nella misura in cui riguardano la privacy o la sicurezza delle informazioni.

10.3 Oltre agli audit descritti negli articoli 10.1 e 10.2, l’Executive Committee, l’Audit Committee, il DPO, il Privacy Committee o il Security Committee possono richiedere ulteriori audit.

10.4 Fornire i risultati degli audit alle Autorità di Protezione dei Dati (APD) all’interno dello SEE — nella misura in cui si riferiscono alla conformità ai presenti Standard, un’Entità L&W nello SEE condividerà i risultati di tali audit interni o esterni con l’APD competente nel loro paese o giurisdizione se richiesto da tale APD.

10.5 Sottoporsi agli audit dell’APD — ogni Entità L&W consentirà all’APD del paese dello SEE in cui opera di effettuare audit sulle sue operazioni in tale paese dello SEE al fine di verificare la conformità con i presenti Standard e con le leggi sulla privacy dell’UE applicabili.

11. Richieste di Accesso da parte di autorità governative

11.1 Nel caso in cui un’Entità L&W riceva una richiesta di fornire, conservare, divulgare, concedere l’accesso o trattare in altro modo i Dati Personali Europei da parte di terzi, compresi, senza limitazioni, le forze dell’ordine o un’autorità governativa (“Richiesta di Terzi”), l’Entità L&W dovrà:

11.1.1 notificare tempestivamente le altre Entità L&W interessate e il Privacy Committee della richiesta o dell’ordine, compiere ogni ragionevole sforzo per assistere l’Entità L&W che agisce come esportatore di dati nei suoi sforzi per opporti alla richiesta o all’ordine;

11.1.2  nel caso le leggi applicabili non consentano di notificare la richiesta o l’ordine alle altre Entità L&W interessate e al Privacy Committee, compiere ogni ragionevole sforzo per contrastare tale richiesta o ordine in un tribunale competente e chiedere l’autorizzazione per consentire alle altre Entità L&W interessate di intervenire nel procedimento; e

11.1.3  nel caso in cui tale richiesta o qualsiasi divulgazione successiva o altra azione da parte dell’Entità L&W che ha ricevuto la Richiesta di Terzi impedisca o possa impedire all’Entità L&W interessata di osservare i presenti Standard, l’Entità L&W interessata si impegna a informare tempestivamente le altre Entità L&W interessate e il Privacy Committee della propria incapacità di conformarsi.

11.2 Le Entità L&W documenteranno la loro valutazione legale relativa alla Richiesta di Terzi e conserveranno le informazioni per la durata dei presenti Standard. La valutazione sarà messa a disposizione dell’APD su richiesta.

11.3 Fatta salva la sezione 11.1, le Entità L&W forniranno a terzi solo i Dati Personali Europei ragionevolmente necessari per soddisfare la Richiesta di Terzi e tale trasferimento non sarà massiccio, sproporzionato e indiscriminato, in modo da andare oltre quanto necessario in una società democratica.

12. Aggiornamenti

12.1 Il Privacy Committee di cui alla sezione 8.3 revisionerà periodicamente i presenti Standard, garantirà il loro regolare aggiornamento e comunicherà qualsiasi aggiornamento rilevante alle Entità L&W. Il Privacy Committee farà sì che qualsiasi cambiamento alla struttura dello studio si rifletta nei presenti Standard e che qualsiasi nuova Entità L&W sia tenuta ad accettare e adempiere ai termini dei presenti Standard. Inoltre, il Privacy Committee informerà le Entità L&W riguardo a qualsiasi cambiamento ai presenti Standard.

12.2 Il Privacy Committee terrà informato il Security Committee e le Entità L&W di tutti gli aggiornamenti e segnalerà tempestivamente gli aggiornamenti alle APD competenti, a seconda dei casi.

12.3 Le disposizioni non riservate dei presenti Standard (ivi compreso il contenuto dell’Allegato 1 (Procedura per reclami in materia di privacy dei dati)) saranno pubblicate sul sito internet esterno di Latham & Watkins e sul sito intranet di Latham & Watkins e ogni aggiornamento degli Standard sarà immediatamente pubblicato. Il testo per esteso dei presenti Standard sarà reso disponibile su richiesta (fatta salva la sottoscrizione di un accordo di riservatezza) a qualsiasi soggetto interessato che voglia esercitare i propri diritti di ricorso di cui alla Procedura per reclami in materia di privacy dei dati sub Allegato 1.

13. Diritto di accesso, correzione e opposizione (anche a fini di marketing e profiling)

Ciascuna Entità L&W prende atto del fatto che i soggetti interessati, in qualità di terzi beneficiari, godono dei diritti elencati qui di seguito in riferimento all’Entità L&W che agisce quale titolare del trattamento di Dati Personali Europei:

13.1 il diritto di ricevere informazioni in merito al modo in cui i loro dati personali vengono trattati dalla rispettiva Entità L&W quale titolare del trattamento di Dati Personali Europei, inclusa una copia dei presenti Standard e della Procedura per reclami in materia di privacy dei dati;

13.2 il diritto di ricevere una copia dei Dati Personali Europei che li riguardano (incluse le relative finalità e modalità di trattamento) tenute dall’Entità L&W entro i termini e agli intervalli di tempo indicati nelle applicabili Leggi UE sulla Privacy, fatta salva l’applicazione di qualsiasi eventuale costo da parte dell’Entità L&W ai sensi delle Leggi UE sulla Privacy, e fermo restando il diritto di rifiutare tale eventuale richiesta, in tutto o in parte, eventualmente previsto in favore dell’Entità L&W ai sensi delle Leggi UE sulla Privacy;

13.3 il diritto di aggiornare, correggere o completare i propri Dati Personali Europei, in particolare nei casi in cui gli stessi risultino incompleti o inesatti, fatte salve le disposizioni delle applicabili Leggi UE sulla Privacy;

13.4 il diritto di richiedere la cancellazione dei propri Dati Personali Europei, fatte salve le disposizioni delle applicabili Leggi UE sulla Privacy;

13.5 il diritto di limitare il trattamento dei propri Dati Personali Europei, fatte salve le disposizioni delle applicabili Leggi UE sulla Privacy;

13.6 il diritto di ricevere i Dati Personali Europei che li riguardano, che ciascun soggetto interessato ha fornito alla relativa Entità L&W in qualità di titolare del trattamento di Dati Personali Europei, in un formato strutturato, di uso comune e leggibile da dispositive automatico, e il diritto di trasmettere tali dati personale ad altro titolare del trattamento, fatte salve le disposizioni delle applicabili Leggi UE sulla Privacy;

13.7 ove prescritto dalle disposizioni delle applicabili Leggi UE sulla Privacy, il diritto di non ricevere materiali di marketing diretto senza previo consenso e, in ogni caso, il diritto di opporsi in qualsiasi momento al trattamento dei propri dati personali (profiling incluso) per finalità di marketing diretto;

13.8 il diritto di opporsi in qualsiasi momento al trattamento dei propri Dati Personali Europei, fatte salve le disposizioni delle applicabili Leggi UE sulla Privacy; e

13.9 il diritto di opporsi alle decisioni riguardanti i propri Dati Personali Europei prese con il solo ausilio di sistemi di trattamento automatizzato, profiling incluso, nella misura in cui tali decisioni prevedano una valutazione delle caratteristiche personali o dei comportamenti di ognuno e producano effetti giuridici che li riguardano o abbiano un impatto significativo su di loro (eccetto ove consentito da e soggetto alle misure di protezione contenute nelle applicabili Leggi UE sulla Privacy).

14. Violazione dei presenti Standard

Latham & Watkins riconosce il diritto di ciascun soggetto interessato a far applicare i seguenti diritti nei confronti dello studio in riferimento ai Dati Personali Europei in qualità di terzi beneficiari:

14.1 il diritto di richiedere e ricevere copia dei presenti Standard (fermo restando qualsiasi eventuale impegno di riservatezza ragionevolmente richiesto dallo studio o dalla relativa Entità L&W);

14.2 il diritto di ricevere risposa a qualsiasi richiesta relativa al trattamento dei Dati Personali Europei di ciascun interessato al di fuori del SEE entro tempi ragionevoli e comunque non oltre 1 mese dopo che sia stata presentata la richiesta (o non oltre 3 mesi dopo in caso di richiesta complessa);

14.3 il diritto di presentare reclamo e di ottenere adeguata riparazione (ivi compreso, se del caso, un risarcimento del danno subito) in conseguenza della violazione dei presenti Standard da parte di qualsiasi Entità L&W (ad eccezione di qualsiasi violazione delle disposizioni relative alla formazione del personale, alle policy e alla funzione privacy di Latham & Watkins, ai programmi di audit e all’aggiornamento dei presenti Standard);

14.4 il diritto di presentare reclamo all’Autorità di Protezione dei Dati dello Spazio economico europeo avente competenza nel luogo di residenza o di lavoro dell’interessato, o nel posto in cui è avvenuta la presunta violazione dei presenti Standard; e

14.5 il diritto di presentare ricorso giudiziario dinanzi al tribunale di competenza nello Spazio economico europeo, che potrà essere quello della giurisdizione in cui l’Entità L&W ha sede oppure quella in cui il soggetto interessato risiede abitualmente.

15. Applicazione dei diritti dei soggetti interessati

15.1 La procedura per l’esercizio dei diritti descritta nella sezione 14 dei presenti Standard è illustrata nel dettaglio nella Procedura Latham & Watkins per reclami in materia di privacy dei dati sub Allegato 1 dei presenti Standard.

15.2 Qualsiasi soggetto interessato che voglia far applicare i propri diritti può depositare un reclamo presso il Global Data Privacy Office inviando una e-mail a GlobalDPO@lw.com ovvero presso l’APD o i tribunali competenti nel territorio in cui l’Entità L&W rilevante ha sede.

15.3 A qualsiasi soggetto interessato che voglia far applicare i propri diritti ai sensi dei presenti Standard spetterà l’onere della prova prima facie dell’effettiva violazione.

15.4 Le Entità L&W prendono atto che il soggetto interessato potrebbe essere rappresentato da un ente, organizzazione o associazione senza scopo di lucro in conformità con le Leggi UE sulla Privacy e previa apposita procura.

16. Risoluzione

16.1 Alla risoluzione dei presenti Standard o alla sospensione del trasferimento, le Entità L&W interessate possono conservare, restituire o eliminare i Dati Personali Europei e le relative copie in base alla scelta dell’esportatore dei dati.

16.2     Nella misura in cui l’esportatore di dati accetta che l’Entità L&W interessata possa conservare i dati personali, l’importatore di dati deve garantire che la protezione dei Dati Personali Europei sia mantenuta in conformità con le disposizioni sul trasferimento dei dati del GDPR.

16.3 Nella misura in cui le Leggi Locali vietano all’Entità L&W che agisce come importatore di dati di restituire o eliminare i Dati Personali Europei, l’importatore dei dati deve garantire che la protezione dei Dati Personali Europei sia mantenuta in conformità con i presenti Standard.

Data di entrata in vigore degli Standard: settembre 2016.

Aggiornato ad aprile 2024

Allegato 1

Procedura Latham & Watkins per reclami in materia di privacy dei dati