Global Privacy Standard di Latham & Watkins

View in English.

PREMESSE

Il presente documento stabilisce quali siano gli standard applicabili al trattamento di Dati Personali Europei (come di seguito definiti) in Latham & Watkins (gli “Standard”). Latham & Watkins è uno studio legale internazionale con uffici in 16 paesi in tutto il mondo. Lo studio opera senza frontiere interne e, considerato il carattere internazionale delle attività condotte da Latham & Watkins, è fondamentale che i dati personali possano essere trasferiti da un ufficio all’altro.

Latham & Watkins, per mezzo del proprio Executive Committee, si è impegnato a tutelare i dati personali trattati dallo studio. In particolare, i presenti Standard sono stati predisposti per facilitare il trasferimento di Dati Personali Europei tra uffici Latham & Watkins, in conformità con il Regolamento (UE) 2016/679.

Definizioni

“Autorità di Protezione dei Dati” o “APD” indica l’autorità di vigilanza responsabile di monitorare e far rispettare le leggi in materia di protezione dei dati in un dato paese.

“categorie particolari di dati” indica i Dati Personali Europei riguardanti l’origine razziale o etnica di una persona, le sue opinioni politiche, credenze religiose o convinzioni personali, la sua appartenenza sindacale, eventuali reati commessi o condanne penali inflitte, il suo stato di salute, il suo orientamento o la sua vita sessuale, i dati genetici o biometrici che la riguardano e qualsiasi altra categoria di dati di cui alle Leggi UE sulla Privacy.

“Clausole Tipo” indica le clausole contrattuali tipo per il trasferimento di dati personali verso responsabili del trattamento o titolari del trattamento con sede in paesi terzi come di volta in volta pubblicate e approvate dalla Commissione europea.

“Dati Personali Europei” indica i dati personali di (i) staff, avvocati, partner, consulenti, terzi e potenziali candidati raccolti e trattati a fini di recruiting e amministrazione delle risorse umane; (ii) clienti, potenziali clienti e alumni trattati per la fornitura di servizi legali e/o per finalità di marketing e comunicazione; e (iii) prestatori d’opera, fornitori, committenti e consulenti trattati nell’ambito delle relazioni esistenti tra le predette entità e Latham & Watkins (per maggiori informazioni si rimanda alla policy All Personnel Fair Data Processing Statement oppure all’Informativa sulla privacy per clienti e terzi), da parte di qualsiasi Entità L&W in qualità di titolare del trattamento, soggetti alle applicabili Leggi UE sulla Privacy.

“dati personali” indica qualsiasi informazione riguardante una persona fisica identificata o identificabile (il “soggetto interessato” o l’“interessato”); per “persone identificabili” si intendono coloro che possono essere identificati, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della loro identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Il termine “dati personali” si intende riferibile anche a qualsiasi dato riguardante persone giuridiche nei casi in cui ciò sia previsto dalle Leggi UE sulla Privacy.

“Entità L&W” indica ciascuna delle limited liability partnership, partnership e limited company che compongono lo studio.

“Latham & Watkins” e “lo studio” indica Latham & Watkins, uno studio che opera a livello mondiale sotto forma di limited liability partnership organizzata ai sensi delle leggi dello Stato del Delaware (USA) (la “LLP del Delaware”) con affiliated limited liability partnership che svolgono attività nel Regno Unito, in Francia, Italia e Singapore, affiliated partnership che svolgono attività a Hong Kong e in Giappone e in cooperazione con il Law Office of Salman M. Al-Sudairi in Arabia Saudita. In aggiunta a quanto precede, lo studio è composto da tutte le entità interamente detenute dalla LLP del Delaware.

“Legge Applicabile” indica le leggi della giurisdizione in cui una data Entità L&W ha sede e qualsiasi altra legge alla quale la medesima Entità L&W è soggetta.

“Leggi Locali” indica le leggi e/o i regolamenti, diversi dalle Leggi UE sulla Privacy, di qualsiasi paese a cui una data Entità L&W è soggetta o qualsiasi obbligo legale imposto da tali leggi o regolamenti.

“Leggi UE sulla Privacy” indica le leggi nazionali in attuazione del Regolamento (UE) 2016/679, della Direttiva 2002/58 (e di qualsiasi legge modificativa o sostitutiva della stessa) e le relative leggi europee in materia di privacy.

“personale” indica i partner, gli avvocati e lo staff di Latham & Watkins.

“SEE” indica lo Spazio economico europeo.

I termini “trattamento”, “titolare del trattamento” e “responsabile del trattamento” devono essere intesi così come definiti nel Regolamento (UE) 2016/679.

Latham & Watkins opera attualmente nei seguenti paesi (i paesi membri del SEE sono evidenziati in grigio):

Paese

Uffici

Informazioni di contatto 

Stati Uniti d’America Austin, Boston, Century City, Chicago, Houston, Los Angeles, New York, Orange County, San Diego, San Francisco, Silicon Valley, Washington D.C. 1271 Avenue of the Americas, New York, NY 10020
Regno Unito Londra 99 Bishopsgate, London EC2M 3XF, United Kingdom
Belgio Bruxelles Boulevard du Régent, 43-44, B-1000 Brussels, Belgium
Francia Parigi 45, rue Saint-Dominique, Paris 75007, France
Italia Milano Corso Matteotti, 22, Milano, 20121, Italy 
Paesi Bassi Nessun ufficio 99 Bishopsgate, London EC2M 3XF, United Kingdom 
Germania Francoforte, Monaco, Amburgo, Düsseldorf
 
Reuterweg 20, 60323 Frankfurt am Main, Germany 
Spagna Madrid  Plaza de la Independencia 6, Madrid 28001, Spain 
Arabia Saudita* Riad Al-Tatweer Towers, 7th Floor, Tower 1, King Fahad Highway, PO Box 17411, Riyadh 11484, Saudi Arabia 
Emirati Arabi Uniti Dubai  ICD Brookfield Place, Level 16, Dubai International Financial Centre, PO Box 506698, Dubai, United Arab Emirates 
Corea del Sud   29F One IFC, 10 Gukjegeumyung-ro Yeongdeungpo-gu, Seoul 07326, Korea 
Cina   Unit 2318, China World Trade Office 2, 1 Jian Guo Men Wai Avenue, Beijing 100004, People's Republic of China 
Hong Kong   18th Floor, One Exchange Square, 8 Connaught Place, Central, Hong Kong 
Singapore   9 Raffles Place, #42-02 Republic Plaza, Singapore 048619 
Giappone   Marunouchi Building, 32nd Floor, 2-4-1 Marunouchi, Chiyoda-ku, Tokyo 100-6332, Japan 

* L’ufficio saudita di Latham & Watkins opera in cooperazione con il Law Firm of Salman M. Al-Sudairi, LLC.

REGOLE E PRINCIPI

1. Principi di gestione dei dati

In qualità di titolare del trattamento, ciascuna Entità L&W che tratti dati personali in conformità con la policy All Personnel Fair Data Processing Statement oppure con l’Informativa sulla privacy per clienti e terzi (a seconda dei casi) aderirà ai seguenti principi:

  • I Dati Personali Europei saranno trattati in maniera trasparente, equa e legittima: i soggetti interessati saranno informati — nella misura in cui non ne siano già al corrente o non abbiano già ricevuto informazioni in merito — dell’identità del/dei titolare/i del trattamento, delle finalità per le quali i loro dati personali possono essere utilizzati (fermo restando qualsiasi limitazione autorizzata riguardo alla comunicazione di tali informazioni, per esempio in relazione alla prevenzione di crimini, procedimenti giuridici o fiscali, ovvero nei casi in cui le Leggi Applicabili lo vietano), la base giuridica applicabile al trattamento e qualsiasi altra informazione rilevante richiesta ai sensi delle Leggi UE sulla Privacy. Le predette informazioni dovranno inoltre indicare quali siano i diritti di cui godono gli interessati ai sensi delle Leggi UE sulla Privacy.
  • I Dati Personali Europei saranno raccolti per finalità di business specifiche, esplicite e legittime e, eccetto ove consentito dalle Leggi UE sulla Privacy, non faranno l’oggetto di alcun ulteriore trattamento che possa essere incompatibile con le predette finalità.
  • I dati rientranti nelle categorie particolari di dati saranno trattati solamente nella misura in cui ciò sia strettamente necessario per le legittime finalità di business dello studio e nel rispetto delle tutele richieste ai sensi delle Leggi UE sulla Privacy.
  • Verranno prese misure atte a garantire che i Dati Personali Europei raccolti e trattati siano adeguati ma non eccessivi, e che siano rilevanti, accurati e (se necessario) tenuti aggiornati. Verrà inoltre presa qualsiasi altra misura necessaria per correggere o cancellare con prontezza qualsiasi dato personale che risulti essere inesatto.
  • I Dati Personali Europei saranno conservati per il periodo di tempo strettamente necessario al raggiungimento delle finalità per cui sono stati trattati e, in ogni caso, la conservazione di tali dati avverrà nel rispetto delle policy di conservazione dei dati adottate dallo studio (fatto salvo qualsiasi requisito normativo o altro requisito ai sensi delle applicabili Leggi UE sulla Privacy).
2. Sicurezza dei dati

Nella pratica e per quanto attiene ai costi di realizzazione, ciascuna Entità L&W prenderà tutte le misure tecniche e organizzative necessarie a proteggere i Dati Personali Europei da e contro la distruzione accidentale o illecita ovvero la perdita accidentale, l’alterazione, il danno, la diffusione o l’accesso non autorizzati, in particolare nei casi in cui il trattamento preveda la trasmissione di dati attraverso una rete, nonché da e contro qualsiasi altra forma illecita di trattamento. Le misure adottate dovranno garantire un livello di sicurezza adeguato ai rischi potenzialmente derivanti dal trattamento e dalla natura dei Dati Personali Europei da proteggere, affinché le categorie particolari di dati e altre informazioni di carattere strettamente riservato siano ulteriormente protette. Tali misure comprenderanno, ove necessario:

  • la pseudonimizzazione;
  • la cifratura;
  • la riservatezza, integrità, disponibilità e flessibilità di sistemi e servizi;
  • dispositivi di back-up e ripristino in caso di disastro; e
  • processi di test, stima e valutazione dell’efficacia delle misure di sicurezza.

Ciascuna Entità L&W sarà tenuta a notificare prontamente al Global Data Privacy Office all’indirizzo GlobalDPO@lw.com qualsiasi violazione di sicurezza che possa dare origine alla distruzione accidentale o illecita, perdita, alterazione, diffusione o accesso non autorizzati dei Dati Personali Europei trattati dalla medesima Entità L&W (una “violazione della sicurezza”). Il Global Data Privacy Office terrà registri idonei a documentare le violazioni della sicurezza, qualsiasi eventuale impatto sui soggetti interessati e le eventuali azioni correttive messe in atto. Il Global Privacy Office dovrà inoltre assicurarsi che le competenti Autorità di Protezione dei Dati e i soggetti interessati ricevano tutte le adeguate notifiche in conformità con i requisiti previsti dalle Leggi UE sulla Privacy. Il Global Data Privacy Office condividerà i registri delle violazioni della sicurezza relative a Dati Personali Europei trattati da un’Entità L&W in qualità di titolare del trattamento nel SEE con l’APD competente nel relativo paese o nella relativa giurisdizione qualora la medesima APD lo richieda.

Ciascuna Entità L&W prenderà ogni misura necessaria a garantire l’affidabilità del personale che ha accesso o è responsabile dei Dati Personali Europei, ivi compreso il trattamento dei Dati Personali Europei secondo le istruzioni dello studio.

Il paragrafo 7 fornisce una descrizione delle policy in materia di sicurezza dell’informazione e illustra le attività a carico della funzione privacy. Il Security Committee di cui al paragrafo 7 che segue è responsabile di tutte le policy e degli standard dello studio che abbiano per oggetto la sicurezza dell’informazione. Le policy e procedure di studio, come di volta in volta modificate, stabiliscono nel dettaglio quali siano gli standard da rispettare in materia di sicurezza dell’informazione.

3. Responsabili del trattamento

Nei casi in cui un’Entità L&W affidi a un’altra Entità L&W, in qualità di responsabile del trattamento, il trattamento di Dati Personali Europei per conto suo, il responsabile del trattamento dovrà conformarsi ai requisiti di cui ai presenti Standard. Se necessario, le parti predisporranno e agiranno in conformità con i termini di qualsiasi ulteriore accordo eventualmente richiesti ai sensi delle applicabili Leggi UE sulla Privacy.

Qualora un’Entità L&W si avvalga dei servizi di una terza parte, in qualità di responsabile del trattamento, per il trattamento di Dati Personali Europei, la relativa Entità L&W selezionerà un responsabile del trattamento che fornisca garanzie appropriate al livello di sicurezza applicato ai Dati Personali Europei da trattare. L’Entità L&W dovrà assicurarsi che venga sottoscritto un contratto con il terzo responsabile del trattamento contenente i requisiti di cui alle applicabili Leggi UE sulla Privacy.

Se un’Entità L&W con sede nel SEE affida l’incarico a un terzo responsabile del trattamento con sede extra-SEE di procedere al trattamento dei Dati Personali Europei per conto suo, l’Entità L&W dovrà:

  • assicurarsi che sia stato sottoscritto un contratto con il responsabile del trattamento sostanzialmente nella forma o contenente i termini delle Clausole Tipo applicabili ai responsabili del trattamento (fermo restando qualsiasi modifica eventualmente consentita ai sensi delle applicabili Leggi UE sulla Privacy); ovvero
  • assicurarsi che altre misure di protezione adeguate siano state adottate, in conformità con quanto disposto dalla applicabili Leggi UE sulla Privacy, allo scopo di proteggere i Dati Personali Europei.

Nelle predette circostanze, ciascuna Entità L&W con sede nel SEE tenuta a decidere se sia necessario o meno sottoscrivere un contratto contenente le Clausole Tipo dovrà seguire gli step illustrati nell’Allegato 2.

Nel caso in cui un’Entità L&W (in qualità di titolare del trattamento) trasferisca Dati Personali Europei a un titolare del trattamento terzo esterno allo studio, la predetta Entità L&W dovrà garantire che tali trasferimenti avvengano in conformità con i requisiti delle applicabili Leggi UE sulla Privacy.

Se richiesto dalle applicabili Leggi UE sulla Privacy, ovvero nei casi in cui sia in altro modo consentito dalle applicabili Leggi UE sulla Privacy e considerato appropriato, l’Entità L&W metterà in atto qualsiasi misura di protezione atta a tutelare i Dati Personali Europei e i diritti delle persone fisiche. Tali misure di protezione potranno assumere la forma di un contratto, sotto forma di Clausole Tipo affinché il titolare del trattamento possa controllare i trasferimenti o in qualsiasi altra forma che sia atta a garantire un livello di protezione adeguato.

4. Formazione del personale

Latham & Watkins ha predisposto un programma di sensibilizzazione sulla privacy e la sicurezza con l’obiettivo di informare lo staff, gli avvocati e tutti gli altri collaboratori circa le policy di studio e best practice applicabili in materia di privacy e sicurezza. La diffusione di informazioni di sensibilizzazione sul tema della privacy e della sicurezza avverrà attraverso diversi canali di comunicazione. Vari tip sheet e guide contenenti best practice e informazioni di sensibilizzazione sulla privacy e la sicurezza sono disponibili a tutto il personale nelle sezioni dedicate “Privacy” e “Security” della intranet.

Ciascuna Entità L&W sarà inoltre responsabile di garantire che tutto il personale che abbia accesso o sia responsabile della gestione di dati personali riceva tutta la formazione e le istruzioni appropriate.

5. Conflitti con le Leggi Locali applicabili

Qualora un’Entità L&W abbia motivo di ritenere che delle Leggi Locali, regolamentazioni o altri obblighi impediscano di ottemperare ai presenti Standard e che ciò possa avere un impatto negativo significativo sulle garanzie fornite dai medesimi Standard, l’Entità L&W stessa sarà tenuta a informarne tempestivamente il Privacy Committee (come di seguito definito) (fatti salvi i casi in cui le leggi o forze dell’ordine lo vietino, ad esempio qualora sia necessario tutelare la riservatezza di un’indagine). Il Privacy Committee terrà un registro di tali notifiche e delle azioni prese in merito alle medesime.

Il Privacy Committee prenderà inoltre tutte le decisioni relative a qualsiasi azione debba essere eseguita in conseguenza di tali notifiche da parte di un’Entità L&W. Quest’ultima sarà tenuta ad agire in conformità con qualsiasi istruzione ricevuta dal Privacy Committee. Il Privacy Committee riconosce che nessuna Entità L&W trasferirà Dati Personali Europei ad alcuna autorità pubblica che siano eccessivamente voluminosi, sproporzionati o indiscriminati rispetto a quanto considerato necessario in una società democratica. Il Privacy Committee potrà consultare la competente APD per ricevere consulenza in qualsiasi momento, anche in merito alla risoluzione di eventuali incompatibilità tra le Leggi Locali e gli Standard.

Il Privacy Committee informerà la l’APD competente qualora lo stesso ritenga che le Leggi Locali possano avere un impatto negativo sostanziale sulle garanzie fornite dagli Standard, fatti salvi i casi in cui le leggi o forze dell’ordine lo vietino, ad esempio qualora sia necessario tutelare la riservatezza di un’indagine. Ove esista un tale divieto, il Privacy Committee darà istruzioni alla relativa Entità L&W di fare ogni ragionevole sforzo al fine di ottenere la rinuncia a tali limitazioni, in modo da consentire la trasmissione di quante più informazioni possibili alla competente APD nel minor tempo possibile, e di tenere traccia degli sforzi fatti in tal senso.

Il Privacy Committee dovrà tenere traccia di qualsiasi trasmissione di Dati Personali Europei che lo studio sia obbligato a fare e che possa avere un impatto negativo sostanziale sulle garanzie fornite dagli Standard. Con cadenza annuale, il predetto comitato fornirà inoltre all’APD competente un riepilogo delle trasmissioni avvenute (tenuto conto di qualsiasi eventuale restrizione imposta dalla legge o dalle forze dell’ordine).

Nei casi in cui le Leggi Locali richiedano l’adozione di livelli di protezione dei Dati Personali Europei più elevati rispetto a quelli stabiliti nei presenti Standard, le disposizioni contenute nelle Leggi Locali prevarranno.

6. Assistenza reciproca e collaborazione con le Autorità di Protezione dei Dati

Ciascuna Entità L&W sarà tenuta ad agire in conformità con le istruzioni emesse dalla competente APD nel rispettivo paese o la rispettiva giurisdizione, nella misura in cui siano pertinenti ai fini dei presenti Standard o del trattamento di Dati Personali Europei in generale, e prenderà in considerazione qualsiasi raccomandazione formulata dalla predetta APD per quanto attiene all’interpretazione dei presenti Standard.

Le Entità L&W si assisteranno a vicenda ove sia necessario rispondere a qualsiasi inchiesta o indagine da parte di una APD in riferimento ai presenti Standard.

Le Entità L&W si forniranno assistenza reciproca qualora siano chiamate a rispondere ad eventuali indagini o reclami da parte di un soggetto interessato riguardo ai presenti Standard o al trattamento di Dati Personali Europei.

NORME APPLICABILI E ADEMPIMENTI

7. Policy, responsabilità e funzione privacy di Latham & Watkins

7.1 Policy e linee guida

Lo studio ha predisposto policy, standard, procedure e linee guida dettagliate, approvate dal Privacy Committee e dal Security Committee (come di volta in volta modificate e integrate), che descrivono nel dettaglio le regole e i processi da seguire per rispettare i presenti Standard, per quanto riguarda in particolare i principi di trattamento dei dati esposti nel paragrafo 1 e gli obblighi in materia di sicurezza dell’informazione di cui al paragrafo 2. Per maggiori dettagli sulle relative policy si rimanda alla sezione “Policies” della intranet di studio.

7.2 Responsabilità

Lo studio terrà un registro di tutte le attività di trattamento di Dati Personali Europei, in linea con quanto richiesto dalle Leggi UE sulla Privacy. Tale registro sarà reso disponibile su richiesta delle Autorità di Protezione dei Dati nei paesi SEE in cui lo studio opera.

7.3 Privacy Committee e Security Committee

Il Privacy Committee e il Security Committee di Latham & Watkins sono comitati distinti ma strettamente legati l’uno all’altro. Sono entrambi presieduti da partner dello studio e riportano all’Executive Committee. Mentre l’obiettivo del Privacy Committee consiste principalmente nel sensibilizzare e far applicare le leggi sulla privacy e i presenti Standard (nonché tutte le policy collegate ai medesimi), il Security Committee ha per compito principale lo sviluppo e l’applicazione delle policy e degli standard di studio in materia di sicurezza dell’informazione nonché del c.d. “Incident Response Plan”. Il Security Committee è responsabile delle policy, standard, linee guida e norme pratiche dello studio, ivi compresa l’accettazione annuale della Acceptable Use of Communication Systems Policy. Il Privacy Committee, dal canto suo, supervisiona le questioni legate alla privacy interna, quali gli accordi per il trasferimento dei dati, gli accordi con i fornitori per il trattamento dei dati, il rispetto dei requisiti normativi locali, gli aggiornamenti in tema di privacy interna (inclusa la Acceptable Use of Communication Systems Policy), la formazione e le note di orientamento e le domande in tema di privacy da parte di ciascun ufficio locale. Il Privacy Committee ha il compito di far applicare i presenti Standard.

Il Privacy Committee e il Security Committee sono responsabili in via congiunta di garantire che l’approccio dello studio al tema della privacy sia proattivo, incorpori i principi di privacy fin dalla progettazione (by design) e per impostazione predefinita (by default) e non sia una mera reazione a un evento di violazione dei dati o altre mancanze. Tale approccio dovrà comprendere il ricorso a tecniche (es. minimizzazione dei dati) che consentano di limitare l’ambito del trattamento dei dati a quanto di volta in volta strettamente necessario e di proteggere i diritti degli interessati.

Il Privacy Committee è tenuto a svolgere la valutazione d’impatto sulla protezione dei dati (il c.d. Data Protection Impact Assessment o DPIA) come richiesta ai sensi delle Leggi UE sulla Privacy. Qualora un DPIA evidenzi che il trattamento sia suscettibile di presentare un rischio elevato per i diritti e le libertà personali delle persone fisiche cui fanno riferimento i Dati Personali Europei, qualora non siano prese misure atte ad attenuare tale rischio, il Privacy Committee sarà tenuto a consultare l’APD competente in conformità con le Leggi UE sulla Privacy.

7.4 Personale della funzione privacy

Il Global Data Privacy Office di Latham & Watkins lavora a stretto contatto sia con il Privacy Committee e il Security Committee sia con gli avvocati specializzati in materia di data privacy nei vari uffici dello studio con l’obiettivo di sviluppare, interpretare e monitorare norme di riferimento, policy e procedure di studio in materia di data privacy. Contribuisce inoltre alla pianificazione strategica e alla definizione di obiettivi rilevanti ai fini della compliance in materia di data privacy e di best practice adottate nei vari uffici Latham & Watkins. Il Global Data Privacy Office fornisce inoltre linee guida e consigli a tutti i manager, supervisor, avvocati e membri dello staff riguardo alle best practice applicabili in tema di privacy. In caso di violazione o possibile violazione degli Standard, il Global Data Privacy Office riferirà tale violazione o possibile violazione al Privacy Committee, che deciderà se sia necessario far applicare gli Standard o prendere altre misure.

Il Chief Information Officer di Latham & Watkins è membro del Security Committee dello studio ed è incaricato di supervisionare le responsabilità in materia di sicurezza in capo all’Information Security Officer. L’Information Security Officer, a sua volta, è responsabile del c.d. “information security management program” di Latham & Watkins. Le sue mansioni comprendono la definizione di processi atti a supervisionare, far applicare e monitorare il rispetto delle policy e degli standard di studio sulla sicurezza dell’informazione.

Ogni sistema o applicazione che supporti una practice o funzione di business all’interno dello studio ha un Information Owner. L’Information Owner è un rappresentante del management dello studio ed è responsabile della protezione del sistema o dell’applicazione. Inoltre, gli Office Technology Manager e Office Technology Lead hanno il compito di supportare e gestire le policy e gli standard di studio in materia di sicurezza dell’informazioni nei rispettivi uffici.

L’Office Administrator di ciascun ufficio lavora con il proprio Office Managing Partner e il Chief Operating Officer per sviluppare, interpretare e monitorare le norme di riferimento, policy e procedure di studio relative all’esecuzione e contribuisce alla pianificazione strategica e alla definizione di obiettivi nel proprio ufficio Latham & Watkins. L’Office Administrator fornisce linee guida e consigli a tutti i manager, supervisor, avvocati e membri dello staff riguardo ad attività generali di business dello studio e gestisce le procedure di escalation relative a richieste e questioni di business.

8. Responsabilità in materia di compliance

Tutto il personale Latham & Watkins è tenuto ad agire in conformità con i presenti Standard. Su base annua, fatta eccezione per l’ufficio di Parigi, deve inoltre dichiarare la propria accettazione dei medesimi Standard, nonché della versione più aggiornata della Acceptable Use of Communication Systems Policy. Il personale dell’ufficio Latham & Watkins di Parigi viene messo a conoscenza degli Standard attraverso il regolamento interno dell’ufficio (il c.d. règlement intérieur), a cui il personale può accedere tramite il sito intranet dello studio oppure con comunicazioni scritte affisse in mensa. Ai sensi delle leggi della Francia, tutto il personale dell’ufficio francese è tenuto ad agire in conformità con il règlement intérieur. Il mancato rispetto degli Standard (o del c.d. règlement intérieur nel caso dell’ufficio di Parigi) costituisce illecito disciplinare per il quale sono previste azioni disciplinari che possono comportare fino alla risoluzione del rapporto di lavoro o di collaborazione o l’esclusione dalla partnership.

Lo studio ha sottoscritto un accordo secondo cui tutte le Entità L&W che trattano Dati Personali Europei debbano agire in conformità con i presenti Standard (il “BCR Agreement”). Latham & Watkins (London) LLP (l’“ufficio L&W di Londra”) è stato designato quale Entità L&W responsabile della protezione dei dati nel SEE. Il Global Privacy Office, che può essere contattato all’indirizzo GlobalDPO@lw.com, è il punto di contatto per qualsiasi indagine o reclamo relativo all’ottemperanza ai presenti Standard.

L’ufficio L&W di Londra prenderà ogni misura necessaria per rimediare a qualsiasi violazione degli Standard, che potrà far applicare contrattualmente per mezzo del BCR Agreement.

L’ufficio L&W di Londra ha accettato la responsabilità di prendere le misure necessarie per porre rimedio alle azioni e omissioni di altre Entità L&W extra-SEE in violazione dei presenti Standard e di risarcire qualsiasi danno possa derivare dalla tale eventuale violazione degli Standard da parte di un’Entità L&W extra-SEE. Pertanto, qualsiasi reclamo nei confronti di uffici Latham & Watkins extra-SEE dovrà essere formulato nei confronti dell’ufficio Latham & Watkins di Londra. Qualsiasi reclamo nei confronti di un ufficio Latham & Watkins situato all’interno del SEE dovrà essere formulato nei confronti di tale eventuale ufficio Latham & Watkins.

Allo scopo di esonerare se stesso da qualsiasi responsabilità derivante da un eventuale reclamo, l’ufficio L&W di Londra dovrà dimostrare che la violazione in questione non sia mai avvenuta ovvero che l’Entità L&W extra-SEE non sia responsabile della violazione degli Standard che ha causato il danno o qualsiasi altro rimedio eventualmente invocato dal soggetto interessato.

9. Programma di audit per la verifica della compliance

Latham & Watkins si impegna a prendere le seguenti misure al fine di valutare e verificare la compliance con i presenti Standard e con le leggi applicabili in materia di protezione dei dati:

• Audit interno – il team di audit interno, i membri del Privacy Committee e/o il Global Data Privacy Office conducono audit su base continuativa per valutare gli aspetti di sicurezza dell’informazione e di compliance all’interno dello studio. Ciascuna Entità L&W sarà sottoposta ad audit con cadenza periodica, come ragionevolmente richiesto dalle procedure di audit dello studio basate sul rischio. L’ambito di tali audit è stato ampliato in modo da comprendere la verifica del rispetto da parte dello studio dei presenti Standard. Gli esiti degli audit saranno riferiti all’Audit Committee dello studio nella misura in cui siano inerenti alla privacy o alla sicurezza dell’informazione. I risultati chiave saranno riferiti all’Executive Committee. Ciascuna Entità L&W dovrà implementare qualsiasi azione correttiva identificata in fase di audit, una condizione necessaria ai fini della compliance con i presenti Standard, che sarà monitorata dall’Audit Committee.
• Audit esterno – gli auditor indipendenti dello studio conducono su base annua degli audit di verifica della sicurezza dei sistemi di business dello studio. Ulteriori audit esterni ad hoc possono essere previsti da parte di qualsiasi Entità L&W. Gli esiti degli audit saranno riferiti al Privacy Committee nella misura in cui siano inerenti alla privacy o alla sicurezza dell’informazione.
• Trasmissione degli esiti degli audit alle APD nel SEE – nella misura in cui siano collegati al rispetto dei presenti Standard, la relativa Entità L&W nel SEE condividerà gli esiti degli audit interni o esterni con l’APD del proprio paese o della propria giurisdizione se l’APD stessa lo richiede.
• Audit da parte delle APD – ciascuna Entità L&W autorizzerà l’APD della giurisdizione SEE in cui conduce le proprie attività a condurre un audit sulle attività svolte da tale entità nel relativo paese o giurisdizione SEE per verificare la conformità con i presenti Standard e con le leggi applicabili in materia di protezione dei dati.

10. Aggiornamenti

Il Privacy Committee di cui al paragrafo 7.3 che precede revisionerà periodicamente i presenti Standard, garantirà il loro regolare aggiornamento e comunicherà qualsiasi aggiornamento rilevante alle Entità L&W. Il Privacy Committee farà sì che qualsiasi cambiamento alla struttura dello studio si rifletta nei presenti Standard e che qualsiasi nuova Entità L&W sia tenuta ad accettare e adempiere ai termini di presenti Standard.

Il Privacy Committee informerà il Security Committee riguardo a tutti gli aggiornamenti e riferirà tali aggiornamenti alle competenti APD a seconda delle esigenze.

Le disposizioni non riservate dei presenti Standard (ivi compreso il contenuto dell’Allegato 1 (Procedura per reclami in materia di privacy dei dati)) saranno pubblicate sul sito internet esterno di Latham & Watkins e sul sito intranet di Latham & Watkins. Il testo per esteso dei presenti Standard sarà reso disponibile su richiesta (fatta salva la sottoscrizione di un accordo di riservatezza) a qualsiasi soggetto interessato che voglia esercitare i propri diritti di ricorso di cui alla Procedura per reclami in materia di privacy dei dati sub Allegato 1.

DIRITTI DEI SOGGETTI INTERESSATI

11. Diritto di accesso, correzione e opposizione (anche a fini di marketing e profiling)

Ciascuna Entità L&W prende atto del fatto che i soggetti interessati, in qualità di terzi beneficiari, godono dei diritti elencati qui di seguito in riferimento all’Entità L&W che agisce quale titolare del trattamento di Dati Personali Europei:

  • il diritto di ricevere informazioni in merito al modo in cui i loro dati personali vengono trattati dalla rispettiva Entità L&W quale titolare del trattamento di Dati Personali Europei, inclusa una copia dei presenti Standard e della Procedura per reclami in materia di privacy dei dati;
  • il diritto di ricevere una copia dei Dati Personali Europei che li riguardano (incluse le relative finalità e modalità di trattamento) tenute dall’Entità L&W entro i termini e agli intervalli di tempo indicati nelle applicabili Leggi UE sulla Privacy, fatta salva l’applicazione di qualsiasi eventuale costo da parte dell’Entità L&W ai sensi delle Leggi UE sulla Privacy, e fermo restando il diritto di rifiutare tale eventuale richiesta, in tutto o in parte, eventualmente previsto in favore dell’Entità L&W ai sensi delle Leggi UE sulla Privacy;
  • il diritto di aggiornare, correggere o completare i propri Dati Personali Europei, in particolare nei casi in cui gli stessi risultino incompleti o inesatti, fatte salve le disposizioni delle applicabili Leggi UE sulla Privacy;
  • il diritto di richiedere la cancellazione dei propri Dati Personali Europei, fatte salve le disposizioni delle applicabili Leggi UE sulla Privacy;
  • il diritto di limitare il trattamento dei propri Dati Personali Europei, fatte salve le disposizioni delle applicabili Leggi UE sulla Privacy;
  • il diritto di ricevere i Dati Personali Europei che li riguardano, che ciascun soggetto interessato ha fornito alla relativa Entità L&W in qualità di titolare del trattamento di Dati Personali Europei, in un formato strutturato, di uso comune e leggibile da dispositive automatico, e il diritto di trasmettere tali dati personale ad altro titolare del trattamento, fatte salve le disposizioni delle applicabili Leggi UE sulla Privacy;
  • ove prescritto dalle disposizioni delle applicabili Leggi UE sulla Privacy, il diritto di non ricevere materiali di marketing diretto senza previo consenso e, in ogni caso, il diritto di opporsi in qualsiasi momento al trattamento dei propri dati personali (profiling incluso) per finalità di marketing diretto;
  • il diritto di opporsi in qualsiasi momento al trattamento dei propri Dati Personali Europei, fatte salve le disposizioni delle applicabili Leggi UE sulla Privacy; e
  • il diritto di opporsi alle decisioni riguardanti i propri Dati Personali Europei prese con il solo ausilio di sistemi di trattamento automatizzato, profiling incluso, nella misura in cui tali decisioni prevedano una valutazione delle caratteristiche personali o dei comportamenti di ognuno e producano effetti giuridici che li riguardano o abbiano un impatto significativo su di loro (eccetto ove consentito da e soggetto alle misure di protezione contenute nelle applicabili Leggi UE sulla Privacy).
12. Violazione dei presenti Standard

Latham & Watkins riconosce il diritto di ciascun soggetto interessato a far applicare i seguenti diritti nei confronti dello studio in riferimento ai Dati Personali Europei in qualità di terzi beneficiari:

  • il diritto di essere informato (salvo qualsiasi eventuale eccezione o esenzione di cui alle applicabili Leggi UE sulla Privacy) nei casi in cui dati rientranti nelle categorie particolari di dati siano trasferiti in un paese extra-SEE che non preveda livelli di protezione adeguati per i dati;
  • il diritto di richiedere e ricevere copia dei presenti Standard (fermo restando qualsiasi eventuale impegno di riservatezza ragionevolmente richiesto dallo studio o dalla relativa Entità L&W);
  • il diritto di ricevere risposa a qualsiasi richiesta relativa al trattamento dei Dati Personali Europei di ciascun interessato al di fuori del SEE entro tempi ragionevoli e comunque non oltre 1 mese dopo che sia stata presentata la richiesta;
  • il diritto di presentare reclamo e di ottenere adeguata riparazione (ivi compreso, se del caso, un risarcimento del danno subito) in conseguenza della violazione dei presenti Standard da parte di qualsiasi Entità L&W (ad eccezione di qualsiasi violazione delle disposizioni relative alla formazione del personale, alle policy e alla funzione privacy di Latham & Watkins, ai programmi di audit e all’aggiornamento dei presenti Standard);
  • il diritto di presentare reclamo all’Autorità di Protezione dei Dati dello Spazio economico europeo avente competenza nel luogo di residenza o di lavoro dell’interessato, o nel posto in cui è avvenuta la presunta violazione dei presenti Standard; e
  • il diritto di presentare ricorso giudiziario dinanzi al tribunale di competenza nello Spazio economico europeo, che potrà essere quello della giurisdizione in cui l’Entità L&W ha sede oppure quella in cui il soggetto interessato risiede abitualmente.
13. Applicazione dei diritti dei soggetti interessati

La procedura per l’esercizio dei diritti descritta nella sezione 12 dei presenti Standard è illustrata nel dettaglio nella Procedura Latham & Watkins per reclami in materia di privacy dei dati sub Allegato 1 dei presenti Standard.

Qualsiasi soggetto interessato che voglia far applicare i propri diritti può depositare un reclamo presso il Global Data Privacy Office inviando una email a GlobalDPO@lw.com ovvero presso l’APD o i tribunali competenti nel territorio in cui l’Entità L&W rilevante ha sede.

A qualsiasi soggetto interessato che voglia far applicare i propri diritti ai sensi dei presenti Standard spetterà l’onere della prova prima facie dell’effettiva violazione.

Standard in vigore da settembre 2016

Ultimo aggiornamento luglio 2020

Allegato 1 Procedura Latham & Watkins per reclami in materia di privacy dei dati