Global Privacy Standard di Latham & Watkins
View in English.
Premesse
Il presente documento stabilisce quali siano gli standard applicabili al trattamento di Dati Personali Europei (come di seguito definiti) in Latham & Watkins (gli “Standard”). Latham & Watkins è uno studio legale internazionale con uffici in 156 paesi in tutto il mondo. Lo studio opera senza frontiere interne e, considerato il carattere internazionale delle attività condotte da Latham & Watkins, è fondamentale che i dati personali possano essere trasferiti da un ufficio all’altro.
Latham & Watkins, per mezzo del proprio Executive Committee, si è impegnato a tutelare i dati personali trattati dallo studio. In particolare, i presenti Standard sono stati predisposti per facilitare il trasferimento di Dati Personali Europei tra uffici Latham & Watkins, in conformità con il Regolamento (UE) 2016/679.
Definizioni
“Autorità di Protezione dei Dati” o “APD” indica l’autorità di vigilanza responsabile di monitorare e far rispettare le leggi in materia di protezione dei dati in un dato paese.
“BCR Agreement” indica l’accordo che impegna tutte le Entità L&W che trattano Dati Personali Europei ad agire in conformità con gli Standard.
“Categorie particolari di dati” indica i Dati Personali Europei riguardanti l’origine razziale o etnica di una persona, le sue opinioni politiche, credenze religiose o convinzioni personali, la sua appartenenza sindacale, eventuali reati commessi o condanne penali inflitte, il suo stato di salute, il suo orientamento o la sua vita sessuale, i dati genetici o biometrici che la riguardano e qualsiasi altra categoria particolare di dati di cui alle Leggi UE sulla Privacy.
“Clausole Tipo” indica le clausole contrattuali tipo per il trasferimento di dati personali verso responsabili del trattamento o titolari del trattamento con sede in paesi terzi come di volta in volta pubblicate e approvate dalla Commissione europea.
“DPIA” indica la valutazione d’impatto sulla protezione dei dati prevista dall’art. 35 del GDPR.
“Dati Personali Europei” indica i dati personali di (i) staff, avvocati, partner, consulenti, terzi e potenziali candidati raccolti e trattati a fini di recruiting e amministrazione delle risorse umane; (ii) clienti, potenziali clienti e alumni trattati per la fornitura di servizi legali e/o per finalità di marketing e comunicazione; e (iii) prestatori d’opera, fornitori, committenti e consulenti trattati nell’ambito delle relazioni esistenti tra le predette entità e Latham & Watkins (per maggiori informazioni si rimanda alla policy All Personnel Fair Data Processing Statement, Recruitment Privacy Policy, Alumni Privacy Policy oppure all’Informativa sulla privacy per clienti e terzi), da parte di qualsiasi Entità L&W in qualità di titolare del trattamento, soggetti alle applicabili Leggi UE sulla Privacy.
“Dati personali” indica qualsiasi informazione riguardante una persona fisica identificata o identificabile (il “soggetto interessato” o l’“interessato”); per persone identificabili si intendono coloro che possono essere identificati, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online, o a uno o più elementi caratteristici della loro identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Il termine “dati personali” si intende riferibile anche a qualsiasi dato riguardante persone giuridiche nei casi in cui ciò sia previsto dalle Leggi UE sulla Privacy.
“Entità L&W” indica ciascuna delle limited liability partnership, partnership e limited company che compongono lo studio.
“GDPR” indica il Regolamento (UE) 2016/679.
“Latham & Watkins” e “lo studio” indica Latham & Watkins, uno studio che opera in tutto il mondo sotto forma di partnership a responsabilità limitata organizzata secondo le leggi dello stato del Delaware (Stati Uniti) (“Delaware LLP”), con partnership affiliate a responsabilità limitata in Francia, Italia, a Hong Kong, a Singapore, nel Regno dell'Arabia Saudita e nel Regno Unito e con una partnership affiliata in Giappone. Latham & Watkins opera in Corea del Sud come Foreign Legal Consultant Office e comprende tutte le entità completamente controllate da Delaware LLP.
“Legge Applicabile” indica le leggi della giurisdizione in cui una data Entità L&W ha sede e qualsiasi altra legge alla quale la medesima Entità L&W è soggetta.
“Leggi Locali” indica le leggi e/o i regolamenti, diversi dalle Leggi UE sulla Privacy, di qualsiasi paese a cui una data Entità L&W è soggetta o qualsiasi obbligo legale imposto da tali leggi o regolamenti.
“Leggi UE sulla Privacy” indica le leggi nazionali nel SEE in attuazione del Regolamento (UE) 2016/679, della Direttiva 2002/58 (e di qualsiasi legge modificativa o sostitutiva della stessa) e le relative leggi europee in materia di privacy.
“L&W Germania” indica l’ufficio di Francoforte di Latham & Watkins.
“Personale” iindica i partner, gli avvocati e lo staff di Latham & Watkins, sia temporanei, sia permanenti.
“SEE” indica lo Spazio economico europeo.
“Violazione della Sicurezza” indica una violazione della sicurezza che comporti la distruzione, perdita, alterazione, divulgazione non autorizzata o accesso accidentale o illecito ai Dati Personali Europei trattati da un’Entità L&W.
I termini “trattamento”, “titolare del trattamento” e “responsabile del trattamento” devono essere intesi così come definiti nel GDPR.
Ambito di applicazione
Latham & Watkins opera attualmente nei seguenti paesi (i paesi membri del SEE sono indicati in grassetto):
Paese |
Uffici |
Informazioni di contatto |
Stati Uniti d’America | Austin, Boston, Century City, Chicago, Houston, Los Angeles, Los Angeles GSO, New York, Orange County, San Diego, San Francisco, Silicon Valley, Washington D.C. | 1271 Avenue of the Americas, New York, NY 10020 |
Regno Unito | Londra, Manchester (no practice office) | 99 Bishopsgate, London EC2M 3XF, United Kingdom |
Belgio | Bruxelles | Boulevard du Régent, 43-44, B-1000 Brussels, Belgium |
Francia | Parigi | 45, rue Saint-Dominique, Paris 75007, France |
Italia | Milano | Corso Matteotti, 22, Milano, 20121, Italy |
Germania | Francoforte, Monaco, Amburgo, Düsseldorf |
Reuterweg 20, 60323 Frankfurt am Main, Germany |
Spagna | Madrid | Plaza de la Independencia 6, Madrid 28001, Spain |
Arabia Saudita | Riad | Al-Tatweer Towers, 7th Floor, Tower 1, King Fahad Highway, PO Box 17411, Riyadh 11484, Saudi Arabia |
Emirati Arabi Uniti | Dubai | ICD Brookfield Place, Level 16, Dubai International Financial Centre, PO Box 506698, Dubai, United Arab Emirates |
Corea del Sud | Seoul | 29F One IFC, 10 Gukjegeumyung-ro Yeongdeungpo-gu, Seoul 07326, Korea |
Cina | Pechino | Unit 2318, China World Trade Office 2, 1 Jian Guo Men Wai Avenue, Beijing 100004, People's Republic of China |
Hong Kong | 18th Floor, One Exchange Square, 8 Connaught Place, Central, Hong Kong | |
Singapore | 9 Raffles Place, #42-02 Republic Plaza, Singapore 048619 | |
Giappone | Tokyo | Marunouchi Building, 32nd Floor, 2-4-1 Marunouchi, Chiyoda-ku, Tokyo 100-6332, Japan |
Israele | Tel Aviv | 28 HaArba’a Street, North Tower, 34th floor, Tel Aviv, 6473925, Israel |
Tali Standard si applicano al trattamento dei Dati Personali Europei da parte delle Entità L&W soggette alle Leggi UE sulla Privacy applicabili.
In particolare, tali Standard si applicano al trasferimento di dati personali di dipendenti, candidati, clienti e terzi.
I dati personali dei dipendenti includono, a titolo esemplificativo:
- dati identificativi (es. nome, informazioni di contatto, contatti di emergenza, foto, documenti comprovanti l’idoneità al lavoro e numeri identificativi);
- dati personali e familiari (es. luogo di nascita, stato civile, nazionalità, cittadinanza, composizione familiare, passaporto e dati sui visti);
- informazioni sanitarie (es. disabilità, registro delle assenze per malattia, relazioni d’infortunio, informazioni su esami medici, informazioni sulla salute sul lavoro, preferenze e allergie alimentari);
- dati relativi alla gestione e allo sviluppo della carriera (es. categoria professionale, orario part-time o full-time, istruzione e qualifiche, conoscenze linguistiche, referenze, precedenti personali, esperienza professionale);
- dati riguardanti la stipula e la cessazione del contratto di lavoro o di incarico (es. data di assunzione, ID dipendente, registrazione delle ore di lavoro e dei permessi, valutazioni sulla performance, formazione, procedimenti disciplinari e vertenze di lavoro, colloquio di uscita);
- dati finanziari (es. remunerazione, compenso, stipendio, benefit, dettagli del conto corrente bancario, codice fiscale, numero di previdenza sociale);
- registrazioni audio e video (es. registrazioni TVCC, riunioni e webinar on line, eventi e pubblicazioni);
- dati relativi all’utilizzo dei sistemi di controllo degli accessi agli uffici e all’accesso e utilizzo degli strumenti e delle risorse dell’ufficio;
- dati relativi agli spostamenti per le finalità del rapporto di lavoro o come parte dei programmi di benefit per i dipendenti.
I dati personali dei candidati includono, a titolo esemplificativo:
- informazioni incluse nella candidatura (es. nome, informazioni di contatto, esperienze e qualifiche professionali e formative, documenti comprovanti l’idoneità al lavoro e ulteriori informazioni presenti sul CV);
- informazioni sensibili (es. origine razziale o etnica, disabilità);
- informazioni raccolte durante colloqui e valutazioni (es. appunti di colloqui, riscontri, informazioni raccolte durante le valutazioni e colloqui video);
- informazioni sull’utilizzo del portale e sul sito web di assunzione (es. informazioni sull’indirizzo IP raccolte attraverso i cookies);
- informazioni ricevute da terzi, come referenti e selezionatori;
- informazioni richieste per lo svolgimento di controlli pre-assunzione (es. controlli dei precedenti penali, verifica delle qualifiche e controlli professionali);
- informazioni sugli accessi agli uffici, riprese delle telecamere di sicurezza).
Le informazioni relative ai clienti e a terzi includono, a titolo esemplificativo:
- identificativi (es. nome, informazioni di contatto e numeri identificativi);
- informazioni biometriche (es. fotografie);
- informazioni commerciali;
- informazioni professionali e relative al lavoro;
- social media e informazioni disponibili al pubblico;
- informazioni relative a dati di natura protetta (es. nazionalità, affiliazione politica, cittadinanza); e
- registrazioni audio e video (es. registrazioni TVCC, riunioni e webinar on line).
Il trattamento dei Dati Personali Europei è fondato su, a seconda dei casi,
- il consenso, art. 6, comma 1, lett. a) e art. 9, comma 2, lett. a) GDPR,
- esecuzione di un contratto, art. 6, comma 1, lett. b) GDPR,
- adempimento di un obbligo legale, art. 6, comma 1, lett. c) GDPR,
- legittimo interesse, art. 6, comma 1, lett. f) GDPR,
- assolvimento di obblighi ed esercizio di diritti specifici in materia di diritto del lavoro, art. 9, comma 2, lett. b) GDPR,
- accertamento, esercizio o difesa di un diritto in sede giudiziaria, art. 9, comma 2, lett. f) GDPR.
I Dati Personali Europei sono trasferibili in tutta la rete dello studio presso le sedi descritte nella tabella indicata sopra.
Gli Standard si applicano inoltre all’esportazione di Dati Personali Europei al di fuori dello SEE da parte di un’entità L&W e al trattamento di tali dati esportati da parte di un’entità L&W (nella sua funzione di titolare del trattamento o di responsabile del trattamento) situate al di fuori dello SEE e trasferimenti successivi di Dati Personali Europei a Entità L&W al di fuori dello SEE.
Ai fini di tali Standard, si dà atto che il Regno Unito (UK), ai sensi del GDPR, è considerato un paese terzo. Di conseguenza, Latham & Watkins (London) LLP (L&W London) implementerà Global Data Privacy Standards separati che coprono il trasferimento dei dati del Regno Unito all’interno dello studio. Per quanto riguarda i rispettivi trasferimenti di dati, a L&W London compete la responsabilità esclusiva di intraprendere azioni per rimediare agli atti e alle omissioni di altre entità L&W al di fuori dello SEE in violazione degli Standard del Regno Unito e per quanto riguarda il pagamento di risarcimenti per eventuali danni derivanti da tale violazione degli Standard del Regno Unito da parte delle entità L&W situate al di fuori dello SEE. Pertanto, i soggetti interessati che desiderano presentare un reclamo riguardo al trattamento dei dati del Regno Unito devono contattare L&W London.
Regole e principi
1. Principi di gestione dei dati
In qualità di titolare del trattamento, ciascuna Entità L&W che tratti Dati Personali Europei in conformità con le policy All Personnel Fair Data Processing Statement, Recruitment Privacy Policy, Alumni Privacy Policy, oppure con l’Informativa sulla privacy per clienti e terzi (a seconda dei casi) aderirà ai seguenti principi:
1.1 I Dati Personali Europei saranno trattati in maniera trasparente, equa e legittima: i soggetti interessati saranno informati — nella misura in cui non ne siano già al corrente o non abbiano già ricevuto informazioni in merito — dell’identità del/dei titolare/i del trattamento, delle finalità per le quali i loro dati personali possono essere utilizzati (fermo restando qualsiasi limitazione autorizzata riguardo alla comunicazione di tali informazioni, per esempio in relazione alla prevenzione di crimini, procedimenti giuridici o fiscali, ovvero nei casi in cui le Leggi Applicabili lo vietano), la base giuridica applicabile al trattamento e qualsiasi altra informazione rilevante richiesta ai sensi delle Leggi UE sulla Privacy. Le predette informazioni dovranno inoltre indicare quali siano i diritti di cui godono gli interessati ai sensi delle Leggi UE sulla Privacy.
1.2 I Dati Personali Europei saranno raccolti per finalità di business specifiche, esplicite e legittime e, eccetto ove consentito dalle Leggi UE sulla Privacy, non faranno l’oggetto di alcun ulteriore trattamento che possa essere incompatibile con le predette finalità.
1.3 I dati rientranti nelle Categorie particolari di dati saranno trattati solamente nella misura in cui ciò sia strettamente necessario per le legittime finalità di business dello studio e nel rispetto delle tutele richieste ai sensi delle Leggi UE sulla Privacy.
1.4 Verranno prese misure atte a garantire che i Dati Personali Europei raccolti e trattati siano adeguati ma non eccessivi, e che siano rilevanti, accurati e (se necessario) tenuti aggiornati. Verrà inoltre presa qualsiasi altra misura necessaria per correggere o cancellare con prontezza qualsiasi dato personale che risulti essere inesatto.
1.5 I Dati Personali Europei saranno conservati per il periodo di tempo strettamente necessario al raggiungimento delle finalità per cui sono stati trattati e, in ogni caso, la conservazione di tali dati avverrà nel rispetto delle policy di conservazione dei dati adottate dallo studio (fatto salvo qualsiasi requisito normativo o altro requisito ai sensi delle applicabili Leggi UE sulla Privacy).
2. Sicurezza dei dati
2.1 Nella pratica e per quanto attiene ai costi di realizzazione, ciascuna Entità L&W prenderà tutte le misure tecniche e organizzative necessarie a proteggere i Dati Personali Europei da e contro la distruzione accidentale o illecita ovvero la perdita accidentale, l’alterazione, il danno, la diffusione o l’accesso non autorizzati, in particolare nei casi in cui il trattamento preveda la trasmissione di dati attraverso una rete, nonché da e contro qualsiasi altra forma illecita di trattamento. Le misure adottate dovranno garantire un livello di sicurezza adeguato ai rischi potenzialmente derivanti dal trattamento e dalla natura dei Dati Personali Europei da proteggere, affinché le Categorie particolari di dati e altre informazioni di carattere strettamente riservato siano ulteriormente protette. Tali misure comprenderanno, ove necessario:
a) la pseudonimizzazione;
b) la cifratura;
c) la riservatezza, integrità, disponibilità e flessibilità di sistemi e servizi;
d) dispositivi di back-up e ripristino in caso di disastro; e
e) processi di test, stima e valutazione dell’efficacia delle misure di sicurezza.
2.2 Ciascuna Entità L&W sarà tenuta a notificare prontamente al Global Data Privacy Office all’indirizzo GlobalDPO@lw.com qualsiasi violazione di sicurezza che possa dare origine alla distruzione accidentale o illecita, perdita, alterazione, diffusione o accesso non autorizzati dei Dati Personali Europei trattati dalla medesima Entità L&W (una “violazione della sicurezza”). Il Global Data Privacy Office terrà registri idonei a documentare le violazioni della sicurezza, qualsiasi eventuale impatto sui soggetti interessati e le eventuali azioni correttive messe in atto. Il Global Privacy Office dovrà inoltre assicurarsi che le competenti Autorità di Protezione dei Dati e i soggetti interessati ricevano tutte le adeguate notifiche in conformità con i requisiti previsti dalle Leggi UE sulla Privacy. Il Global Data Privacy Office condividerà i registri delle violazioni della sicurezza relative a Dati Personali Europei trattati da un’Entità L&W in qualità di titolare del trattamento nel SEE con l’APD competente nel relativo paese o nella relativa giurisdizione qualora la medesima APD lo richieda.
2.3 Ciascuna Entità L&W prenderà ogni misura necessaria a garantire l’affidabilità del personale che ha accesso o è responsabile dei Dati Personali Europei, ivi compreso il trattamento dei Dati Personali Europei secondo le istruzioni dello studio.
3. Responsabili del trattamento
3.1 Nei casi in cui un’Entità L&W affidi a un’altra Entità L&W, in qualità di responsabile del trattamento, il trattamento di Dati Personali Europei per conto suo, il responsabile del trattamento dovrà conformarsi ai requisiti di cui ai presenti Standard. Se necessario, le parti predisporranno e agiranno in conformità con i termini di qualsiasi ulteriore accordo eventualmente richiesti ai sensi delle applicabili Leggi UE sulla Privacy.
3.2 Qualora un’Entità L&W si avvalga dei servizi di una terza parte, in qualità di responsabile del trattamento, per il trattamento di Dati Personali Europei, la relativa Entità L&W selezionerà un responsabile del trattamento che fornisca garanzie appropriate al livello di sicurezza applicato ai Dati Personali Europei da trattare. L’Entità L&W dovrà assicurarsi che venga sottoscritto un contratto con il terzo responsabile del trattamento contenente i requisiti di cui alle applicabili Leggi UE sulla Privacy.
3.3 Se un’Entità L&W con sede nel SEE affida l’incarico a un terzo responsabile del trattamento con sede extra-SEE di procedere al trattamento dei Dati Personali Europei per conto suo, l’Entità L&W dovrà:
a) assicurarsi che sia stato sottoscritto un contratto con il responsabile del trattamento sostanzialmente nella forma o contenente i termini delle Clausole Tipo applicabili ai responsabili del trattamento (fermo restando qualsiasi modifica eventualmente consentita ai sensi delle applicabili Leggi UE sulla Privacy); ovvero
b) assicurarsi che altre misure di protezione adeguate siano state adottate, in conformità con quanto disposto dalla applicabili Leggi UE sulla Privacy, allo scopo di proteggere i Dati Personali Europei.
Gli stessi standard si applicano ai responsabili del trattamento terzi con sede nel Regno Unito una volta scaduto il periodo di transizione come indicato nell’articolo FINPROV.10A paragrafo 1, 4 dell’Accordo sugli Scambi Commerciali e la Cooperazione tra l’Unione europea e il Regno Unito del 24 dicembre 2020. Dopo la scadenza del periodo di transizione, le Entità L&W trasferiranno i Dati Personali Europei nel Regno Unito solo sulla base di adeguate garanzie legali ai sensi dell'art. 45 e seguenti del GDPR. Le rispettive garanzie possono includere, tra le altre cose, Clausole Tipo o una decisione di adeguatezza della Commissione Europea che determini che il Regno Unito può garantire un livello di protezione dei dati comparabile a quello dell'UE.
3.4 Nel caso in cui un’Entità L&W (in qualità di titolare del trattamento) trasferisca Dati Personali Europei a un titolare del trattamento terzo esterno allo studio, la predetta Entità L&W dovrà garantire che tali trasferimenti avvengano in conformità con i requisiti delle applicabili Leggi UE sulla Privacy. Se richiesto dalle applicabili Leggi UE sulla Privacy, ovvero nei casi in cui sia in altro modo consentito dalle applicabili Leggi UE sulla Privacy e considerato appropriato, l’Entità L&W metterà in atto qualsiasi misura di protezione atta a tutelare i Dati Personali Europei e i diritti delle persone fisiche. Tali misure di protezione potranno assumere la forma di un contratto, sotto forma di Clausole Tipo affinché il titolare del trattamento possa controllare i trasferimenti o in qualsiasi altra forma che sia atta a garantire un livello di protezione adeguato.
4. Formazione del personale
4.1 Latham & Watkins ha predisposto un programma di sensibilizzazione sulla privacy e la sicurezza con l’obiettivo di informare lo staff, gli avvocati e tutti gli altri collaboratori circa le policy di studio e best practice applicabili in materia di privacy e sicurezza.
4.2 La diffusione di informazioni di sensibilizzazione sul tema della privacy e della sicurezza avverrà attraverso diversi canali di comunicazione. Vari tip sheet e guide contenenti best practice e informazioni di sensibilizzazione sulla privacy e la sicurezza sono disponibili a tutto il personale nelle sezioni dedicate “Privacy” e “Security” della intranet.
4.3 Ciascuna Entità L&W sarà inoltre responsabile di garantire che tutto il personale che abbia accesso o sia responsabile della gestione di dati personali riceva tutta la formazione e le istruzioni appropriate.
5. Conflitti con le Leggi Locali applicabili
5.1 Nei casi in cui le Leggi Locali richiedano l’adozione di livelli di protezione dei Dati Personali Europei più elevati rispetto a quelli stabiliti nei presenti Standard, le disposizioni contenute nelle Leggi Locali prevarranno.
6. Assistenza reciproca e collaborazione con le Autorità di Protezione dei Dati
6.1 Ciascuna Entità L&W sarà tenuta ad agire in conformità con le istruzioni emesse dalla competente APD nel rispettivo paese o la rispettiva giurisdizione, nella misura in cui siano pertinenti ai fini dei presenti Standard o del trattamento di Dati Personali Europei in generale, e prenderà in considerazione qualsiasi raccomandazione formulata dalla predetta APD per quanto attiene all’interpretazione dei presenti Standard.
6.2 Le Entità L&W si assisteranno reciprocamente nel rispondere a qualsiasi inchiesta o indagine da parte di una APD in riferimento ai presenti Standard, fornendo alla ADP pertinente le informazioni ragionevolmente richieste in relazione al trattamento dei Dati Personali Europei.
6.3 Le Entità L&W si forniranno assistenza reciproca qualora siano chiamate a rispondere ad eventuali indagini o reclami da parte di un soggetto interessato riguardo ai presenti Standard o al trattamento di Dati Personali Europei.
7. Trasferimento dei dati
7.1 Le Entità L&W trasferiranno i Dati Personali Europei ai Responsabili del Trattamento dei dati e a terze parti in conformità con gli articoli dal 44 al 46 del GDPR o in base a quanto previsto dalle deroghe previste dall’articolo 49 del GDPR.
7.2 Il Global Data Privacy Office, per conto delle Entità L&W, preparerà e documenterà una valutazione dell’impatto del trasferimento prima di impegnarsi in un trasferimento di Dati Personali Europei, tenendo conto dei seguenti elementi:
7.2.1 le circostanze specifiche del trasferimento, inclusa la lunghezza della catena di trattamento, il numero di parti coinvolte e i canali di trasmissione utilizzati; i trasferimenti successivi previsti, il tipo di destinatario, lo scopo del trattamento, le categorie e il formato dei dati personali trasferiti, il settore economico in cui avviene il trasferimento, la posizione di archiviazione dei dati trasferiti;
7.2.2 le leggi e le prassi del paese terzo di destinazione – comprese quelle che richiedono la divulgazione dei dati alle autorità pubbliche o che autorizzano l’accesso da parte di tali autorità – rilevanti alla luce delle circostanze specifiche del trasferimento, e le limitazioni e le garanzie applicabili;
7.2.3 qualsiasi garanzia contrattuale, tecnica o organizzativa rilevante messa in atto al fine di integrare le garanzie previste dalle presenti Clausole, compresse le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.
8. Policy, responsabilità e funzione privacy di Latham & Watkins
8.1 In conformità con le Leggi sulla Privacy dell’UE, L&W Germania ha nominato un Responsabile della Protezione dei Dati (DPO). I contatti del DPO saranno pubblicati nelle policy sulla privacy di Latham & Watkins.
9. Responsabilità in materia di compliance
9.1 Tutto il personale Latham & Watkins è tenuto ad agire in conformità con i presenti Standard e a dichiarare la propria accettazione dei medesimi Standard, nonché della versione più aggiornata della Acceptable Use of Communication Systems Policy, al momento dell’ingresso nello studio e successivamente su base annua.
9.2 Lo studio ha sottoscritto il BCR Agreement e L&W Germaniaè stata designata quale Entità L&W responsabile della protezione dei dati nello SEE. L&W Germania prenderà ogni misura necessaria per rimediare a qualsiasi violazione degli Standard, che potrà far applicare contrattualmente per mezzo del BCR Agreement.
9.3 L’ufficio L&W di Londra ha accettato la responsabilità di prendere le misure necessarie per porre rimedio alle azioni e omissioni di altre Entità L&W extra-SEE in violazione dei presenti Standard e di risarcire qualsiasi danno possa derivare da tale eventuale violazione degli Standard da parte di un’Entità L&W extra-SEE. Pertanto, qualsiasi reclamo nei confronti di uffici Latham & Watkins extra-SEE dovrà essere formulato nei confronti di L&W Germania (fatti salvi i reclami relativi al Regno Unito, che dovranno essere portati avanti nei confronti di Latham & Watkins (London) LLP). Qualsiasi reclamo nei confronti di un ufficio Latham & Watkins situato all’interno del SEE dovrà essere formulato nei confronti di tale eventuale ufficio Latham & Watkins.
10. Programma di audit per la verifica della compliance
Latham & Watkins si impegna a prendere le seguenti misure al fine di valutare e verificare la compliance con i presenti Standard e con le leggi applicabili in materia di protezione dei dati.
11. Aggiornamenti
11.1 Il Privacy Committee revisionerà periodicamente i presenti Standard, garantirà il loro regolare aggiornamento e comunicherà qualsiasi aggiornamento rilevante alle Entità L&W. Il Privacy Committee farà sì che qualsiasi cambiamento alla struttura dello studio si rifletta nei presenti Standard e che qualsiasi nuova Entità L&W sia tenuta ad accettare e adempiere ai termini dei presenti Standard. Inoltre, il Privacy Committee informerà le Entità L&W riguardo a qualsiasi cambiamento ai presenti Standard.
11.2 Le disposizioni non riservate dei presenti Standard (ivi compreso il contenuto dell’Allegato 1 (Procedura per reclami in materia di privacy dei dati)) saranno pubblicate sul sito internet esterno di Latham & Watkins e sul sito intranet di Latham & Watkins e ogni aggiornamento degli Standard sarà immediatamente pubblicato. Il testo per esteso dei presenti Standard sarà reso disponibile su richiesta (fatta salva la sottoscrizione di un accordo di riservatezza) a qualsiasi soggetto interessato che voglia esercitare i propri diritti di ricorso di cui alla Procedura per reclami in materia di privacy dei dati sub Allegato 1.
12. Diritto di accesso, correzione e opposizione (anche a fini di marketing e profiling)
Ciascuna Entità L&W prende atto del fatto che i soggetti interessati, in qualità di terzi beneficiari, godono dei diritti elencati qui di seguito in riferimento all’Entità L&W che agisce quale titolare del trattamento di Dati Personali Europei:
12.1 il diritto di ricevere informazioni in merito al modo in cui i loro dati personali vengono trattati dalla rispettiva Entità L&W quale titolare del trattamento di Dati Personali Europei, inclusa una copia dei presenti Standard e della Procedura per reclami in materia di privacy dei dati;
12.2 il diritto di ricevere una copia dei Dati Personali Europei che li riguardano (incluse le relative finalità e modalità di trattamento) tenute dall’Entità L&W entro i termini e agli intervalli di tempo indicati nelle applicabili Leggi UE sulla Privacy, fatta salva l’applicazione di qualsiasi eventuale costo da parte dell’Entità L&W ai sensi delle Leggi UE sulla Privacy, e fermo restando il diritto di rifiutare tale eventuale richiesta, in tutto o in parte, eventualmente previsto in favore dell’Entità L&W ai sensi delle Leggi UE sulla Privacy;
12.3 il diritto di aggiornare, correggere o completare i propri Dati Personali Europei, in particolare nei casi in cui gli stessi risultino incompleti o inesatti, fatte salve le disposizioni delle applicabili Leggi UE sulla Privacy;
12.4 il diritto di richiedere la cancellazione dei propri Dati Personali Europei, fatte salve le disposizioni delle applicabili Leggi UE sulla Privacy;
12.5 il diritto di limitare il trattamento dei propri Dati Personali Europei, fatte salve le disposizioni delle applicabili Leggi UE sulla Privacy;
12.6 il diritto di ricevere i Dati Personali Europei che li riguardano, che ciascun soggetto interessato ha fornito alla relativa Entità L&W in qualità di titolare del trattamento di Dati Personali Europei, in un formato strutturato, di uso comune e leggibile da dispositive automatico, e il diritto di trasmettere tali dati personale ad altro titolare del trattamento, fatte salve le disposizioni delle applicabili Leggi UE sulla Privacy;
12.7 ove prescritto dalle disposizioni delle applicabili Leggi UE sulla Privacy, il diritto di non ricevere materiali di marketing diretto senza previo consenso e, in ogni caso, il diritto di opporsi in qualsiasi momento al trattamento dei propri dati personali (profiling incluso) per finalità di marketing diretto;
12.8 il diritto di opporsi in qualsiasi momento al trattamento dei propri Dati Personali Europei, fatte salve le disposizioni delle applicabili Leggi UE sulla Privacy; e
12.9 il diritto di opporsi alle decisioni riguardanti i propri Dati Personali Europei prese con il solo ausilio di sistemi di trattamento automatizzato, profiling incluso, nella misura in cui tali decisioni prevedano una valutazione delle caratteristiche personali o dei comportamenti di ognuno e producano effetti giuridici che li riguardano o abbiano un impatto significativo su di loro (eccetto ove consentito da e soggetto alle misure di protezione contenute nelle applicabili Leggi UE sulla Privacy).
13. Violazione dei presenti Standard
Latham & Watkins riconosce il diritto di ciascun soggetto interessato a far applicare i seguenti diritti nei confronti dello studio in riferimento ai Dati Personali Europei in qualità di terzi beneficiari:
13.1 il diritto di richiedere e ricevere copia dei presenti Standard (fermo restando qualsiasi eventuale impegno di riservatezza ragionevolmente richiesto dallo studio o dalla relativa Entità L&W);
13.2 il diritto di ricevere risposa a qualsiasi richiesta relativa al trattamento dei Dati Personali Europei di ciascun interessato al di fuori del SEE entro tempi ragionevoli e comunque non oltre 1 mese dopo che sia stata presentata la richiesta (o non oltre 2 mesi dopo in caso di richiesta complessa);
13.3 il diritto di presentare reclamo e di ottenere adeguata riparazione (ivi compreso, se del caso, un risarcimento del danno subito) in conseguenza della violazione dei presenti Standard da parte di qualsiasi Entità L&W (ad eccezione di qualsiasi violazione delle disposizioni relative alla formazione del personale, alle policy e alla funzione privacy di Latham & Watkins, ai programmi di audit e all’aggiornamento dei presenti Standard);
13.4 il diritto di presentare reclamo all’Autorità di Protezione dei Dati dello Spazio economico europeo avente competenza nel luogo di residenza o di lavoro dell’interessato, o nel posto in cui è avvenuta la presunta violazione dei presenti Standard; e
13.5 il diritto di presentare ricorso giudiziario dinanzi al tribunale di competenza nello Spazio economico europeo, che potrà essere quello della giurisdizione in cui l’Entità L&W ha sede oppure quella in cui il soggetto interessato risiede abitualmente.
14. Applicazione dei diritti dei soggetti interessati
14.1 La procedura per l’esercizio dei diritti descritta nella sezione 14 dei presenti Standard è illustrata nel dettaglio nella Procedura Latham & Watkins per reclami in materia di privacy dei dati sub Allegato 1 dei presenti Standard.
14.2 Qualsiasi soggetto interessato che voglia far applicare i propri diritti può depositare un reclamo presso il Global Data Privacy Office inviando una email a GlobalDPO@lw.com ovvero presso l’APD o i tribunali competenti nel territorio in cui l’Entità L&W rilevante ha sede.
14.3 A qualsiasi soggetto interessato che voglia far applicare i propri diritti ai sensi dei presenti Standard spetterà l’onere della prova prima facie dell’effettiva violazione.
14.4 Le Entità L&W prendono atto che il soggetto interessato potrebbe essere rappresentato da un ente, organizzazione o associazione senza scopo di lucro in conformità con le Leggi UE sulla Privacy e previa apposita procura.
15. Risoluzione
15.1 Alla risoluzione dei presenti Standard o alla sospensione del trasferimento, le Entità L&W pertinenti possono conservare, restituire o eliminare i Dati Personali Europei e le relative copie in base alla scelta dell’esportatore dei dati.
Standard in vigore da settembre 2016
Ultimo aggiornamento luglio 2024