(Artt. 13 e 14 del Regolamento UE 2016/679 – GDPR)

Trattamenti istituzionali svolti dall’Ordine

Ultimo aggiornamento: 13/05/2026

Versione: 1.0

 

PARTE I — DISPOSIZIONI GENERALI

1. Premessa e ambito di applicazione

Il Consiglio dell’Ordine degli Avvocati di Cagliari (di seguito anche “Ordine”, “Consiglio” o “Titolare”), in qualità di ente pubblico non economico a carattere associativo ai sensi della L. 31 dicembre 2012, n. 247 e del R.D.L. 27 novembre 1933, n. 1578, attribuisce particolare importanza alla protezione dei dati personali quale diritto fondamentale degli interessati.

La presente Informativa ha carattere generale e descrive le modalità con cui l’Ordine raccoglie e tratta i dati personali nell’esercizio delle proprie funzioni istituzionali, indipendentemente dal canale utilizzato per la raccolta (digitale o cartaceo, presso la sede, in occasione di eventi, tramite il sito web istituzionale o canali di comunicazione diretta con la Segreteria e i Consiglieri).

L’informativa è strutturata in tre parti:

• la Parte I contiene le disposizioni generali e i riferimenti istituzionali;
• la Parte II descrive in dettaglio, per ciascuna categoria di interessato, i trattamenti effettuati, le finalità, le basi giuridiche, i dati trattati, le comunicazioni e i tempi di conservazione;
• la Parte III riporta le disposizioni comuni a tutti i trattamenti (modalità, sicurezza, destinatari, diritti, reclamo).

Specifiche informative di sintesi potranno essere fornite all’interessato al momento della raccolta dei dati per particolari trattamenti, con rinvio alla presente informativa estesa.

2. Titolare del trattamento

Titolare del trattamento è il Consiglio dell’Ordine degli Avvocati di Cagliari, nella persona del Presidente pro tempore e legale rappresentante, con sede in:

• Indirizzo: Piazza della Repubblica, c/o Palazzo di Giustizia – 09125 Cagliari (CA)
• Codice Fiscale: 80001700923
• Telefono: 308304
• Fax: 306674
• PEC: cagliari@cert.legalmail.it
• Email istituzionale: segreteria@ordineavvocaticagliari.it
• Sito web istituzionale: ordineavvocaticagliari.it

3. Responsabile della Protezione dei Dati (RPD/DPO)

L’Ordine, in conformità all’art. 37, par. 1, lett. a) GDPR, ha designato il proprio Responsabile della Protezione dei Dati (Data Protection Officer), i cui dati di contatto sono i seguenti:

• Email dedicata: dpo@ordineavvocaticagliari.it

L’interessato può rivolgersi al DPO per tutte le questioni concernenti il trattamento dei propri dati personali e l’esercizio dei diritti indicati nella parte III, par. 11, della presente informativa. I contatti del DPO sono altresì comunicati al Garante per la protezione dei dati personali ai sensi dell’art. 37, par. 7, GDPR.

4. Quadro normativo di riferimento

Il trattamento dei dati personali da parte dell’Ordine è disciplinato, in via principale, dalle seguenti fonti:

• Regolamento (UE) 2016/679 (GDPR);
• Lgs. 30 giugno 2003, n. 196 (“Codice in materia di protezione dei dati personali”), come modificato dal D.Lgs. 10 agosto 2018, n. 101;
• 31 dicembre 2012, n. 247 (“Nuova disciplina dell’ordinamento della professione forense”);
• D.L. 27 novembre 1933, n. 1578 e R.D. 22 gennaio 1934, n. 37 (Ordinamento della professione forense);
• P.R. 30 maggio 2002, n. 115 (Testo Unico delle disposizioni legislative e regolamentari in materia di spese di giustizia – patrocinio a spese dello Stato);
• Regolamento CNF sulla formazione continua, sulla difesa d’ufficio, sui procedimenti disciplinari e sull’iscrizione agli Albi e ai Registri;
• Lgs. 14 marzo 2013, n. 33 (Riordino della disciplina in materia di obblighi di pubblicità, trasparenza e diffusione di informazioni);
• 6 novembre 2012, n. 190 (Disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella pubblica amministrazione);
• Provvedimenti, linee guida e regolamenti del Garante per la protezione dei dati personali e linee guida dell’European Data Protection Board (EDPB).

 

PARTE II — TRATTAMENTI PER CATEGORIA DI INTERESSATO

Nella presente Parte sono descritti i trattamenti di dati personali svolti dall’Ordine, raggruppati per categoria di interessato. Per ciascun trattamento sono indicati: le categorie di dati trattati, le finalità, la base giuridica, le principali comunicazioni a soggetti terzi e i tempi di conservazione.

Sezione A – Avvocati, praticanti avvocati e altri iscritti

Rientrano in questa sezione i trattamenti riferiti agli avvocati iscritti all’Albo, all’Elenco speciale degli avvocati dello Stato e degli enti pubblici, all’Elenco speciale dei docenti universitari, ai praticanti avvocati iscritti al Registro Speciale, agli avvocati cassazionisti e a tutti i soggetti iscritti negli elenchi tenuti dall’Ordine ai sensi della L. 247/2012.

A.1. Tenuta dell’Albo, degli Elenchi e dei Registri

Categorie di interessati: Avvocati iscritti all’Albo, agli Elenchi speciali, ai Registri dei praticanti e ai Registri degli avvocati stabiliti.

Categorie di dati trattati: Dati anagrafici e identificativi (nome, cognome, luogo e data di nascita, codice fiscale, residenza, domicilio professionale), dati di contatto (telefono, e-mail, PEC), titoli di studio e abilitazione, dati relativi al percorso professionale, numero di iscrizione, dati relativi a sospensioni, sanzioni disciplinari e cancellazioni, eventuale fotografia per tesserino di riconoscimento, eventuali dati relativi a condanne penali (art. 10 GDPR) ai fini della valutazione dei requisiti per l’iscrizione ex art. 17 L. 247/2012.

Finalità: Iscrizione, tenuta e aggiornamento dell’Albo e degli Elenchi/Registri; verifica e mantenimento dei requisiti di iscrizione; rilascio di certificati di iscrizione; pubblicazione dell’Albo nei limiti di legge; gestione del fascicolo personale dell’iscritto; comunicazioni istituzionali; gestione delle quote di iscrizione e dei contributi.

Base giuridica: Art. 6, par. 1, lett. c) ed e) GDPR – adempimento di obblighi di legge ex L. 247/2012 ed esecuzione di compiti di interesse pubblico; per i dati relativi a condanne penali, art. 10 GDPR e art. 2-octies del Codice Privacy.

Comunicazione/Diffusione: Consiglio Nazionale Forense; Cassa Nazionale di Previdenza e Assistenza Forense; uffici giudiziari del distretto; Ministero della Giustizia; pubblicazione dell’Albo ai sensi della L. 247/2012; fornitore del software gestionale dell’Albo (Responsabile ex art. 28 GDPR).

Conservazione: Per tutta la durata dell’iscrizione e, successivamente, per dieci anni dalla cancellazione, salva la possibilità di conservazione ulteriore per finalità storiche e di tenuta dell’Albo ai sensi della L. 247/2012 e della normativa archivistica.

A.2. Domanda di iscrizione e accertamento dei requisiti

Categorie di dati trattati: Dati anagrafici e identificativi; certificati e attestazioni richiesti dalla normativa (es. certificato di laurea, attestato di pratica forense, certificato di superamento dell’esame di Stato); autocertificazioni; documento di identità; certificato del casellario giudiziale e dei carichi pendenti; dati relativi a eventuali procedimenti disciplinari pendenti in altri Ordini; eventuali categorie particolari di dati (art. 9 GDPR) se rese necessarie per la valutazione dell’idoneità.

Finalità: Istruttoria della domanda di iscrizione, verifica del possesso dei requisiti di legge ex artt. 17-22 L. 247/2012, deliberazione del Consiglio sull’iscrizione o sul rigetto.

Base giuridica: Art. 6, par. 1, lett. c) ed e) GDPR; art. 9, par. 2, lett. g) GDPR e art. 2-sexies del Codice Privacy per categorie particolari di dati; art. 10 GDPR e art. 2-octies del Codice Privacy per dati relativi a condanne penali.

Comunicazione/Diffusione: Casellario giudiziale; ufficio del Pubblico Ministero per le verifiche; altri Ordini forensi per la verifica di precedenti iscrizioni o procedimenti.

Conservazione: Fascicolo personale dell’iscritto: per tutta la durata dell’iscrizione e successivamente nei termini archivistici (illimitato per finalità storiche).

A.3. Difesa d’ufficio e tenuta dell’Elenco unico nazionale

Categorie di dati trattati: Dati anagrafici e identificativi; dati professionali; attestazioni di partecipazione a corsi di formazione e aggiornamento; dichiarazioni di disponibilità; dati relativi all’attività svolta a titolo di difensore d’ufficio.

Finalità: Tenuta dell’elenco dei difensori d’ufficio e relativi adempimenti; valutazione delle domande di iscrizione e mantenimento; comunicazione dell’elenco al Consiglio Nazionale Forense.

Base giuridica: Art. 6, par. 1, lett. c) ed e) GDPR

Comunicazione/Diffusione: Consiglio Nazionale Forense; uffici giudiziari competenti.

Conservazione: Per tutta la durata dell’iscrizione nell’elenco; documentazione comprovante i requisiti per i termini archivistici.

A.4. Formazione continua – gestione crediti formativi

Categorie di dati trattati: Dati anagrafici e identificativi; numero di iscrizione; codice meccanografico; dati relativi alla partecipazione ad eventi formativi (presenze, crediti attribuiti); eventuali istanze di esonero e relativa documentazione (es. maternità, malattia, motivi familiari) che possono includere categorie particolari di dati (art. 9 GDPR).

Finalità: Gestione e attestazione della formazione continua obbligatoria ai sensi dell’art. 11 L. 247/2012 e del Regolamento CNF; verifica dell’assolvimento degli obblighi formativi; istruttoria delle istanze di esonero.

Base giuridica: Art. 6, par. 1, lett. c) ed e) GDPR; art. 9, par. 2, lett. g) GDPR per categorie particolari relative agli esoneri.

Comunicazione/Diffusione: Consiglio Nazionale Forense; eventuali enti accreditati per la formazione.

Conservazione: Per tutta la durata dell’iscrizione e per i 5 anni successivi alla scadenza del singolo triennio formativo, ai fini di eventuali verifiche.

A.5. Comunicazioni istituzionali, circolari e newsletter agli iscritti

Categorie di dati trattati: Nome, cognome, indirizzo e-mail, PEC, numero di iscrizione.

Finalità: Invio di comunicazioni istituzionali, circolari e newsletter contenenti informazioni di servizio (novità normative, comunicazioni degli uffici giudiziari, convocazioni, avvisi del Consiglio).

Base giuridica: Art. 6, par. 1, lett. e) GDPR – esecuzione di un compito di interesse pubblico, trattandosi di comunicazioni istituzionali necessarie all’esercizio della professione e al rapporto associativo, non costituenti marketing.

Comunicazione/Diffusione: Fornitore del servizio di invio mass-mail (Responsabile ex art. 28 GDPR).

Conservazione: Per tutta la durata dell’iscrizione.

A.6. Istanze di opinamento parcelle

Categorie di dati trattati: Dati anagrafici e identificativi (nome, cognome, luogo e data di nascita, codice fiscale, residenza, domicilio professionale), dati di contatto (telefono, e-mail, PEC), dati relativi alla controversia ove è sorto il diritto ai compensi di opinamento.

Finalità: Acquisizione e gestione delle istanze di opinamento sulla liquidazione dei compensi degli iscritti ai sensi dell’art. 29, comma 1, lett. l, L. 247/2012.

Base giuridica: Art. 6, par. 1, lett. e) GDPR – esecuzione di un compito di interesse pubblico.

Comunicazione/Diffusione: Clienti degli istanti e relativi procuratori.

Conservazione: Per tutta la durata del procedimento e per dieci anni dalla relativa conclusione.

Sezione B – Cittadini, utenti e fruitori dei servizi dell’Ordine

Rientrano in questa sezione i trattamenti riferiti a persone fisiche, cittadini, soggetti privati o rappresentanti di enti che si rivolgono all’Ordine per la fruizione di servizi o per la presentazione di istanze.

B.1. Patrocinio a spese dello Stato – materia civile, amministrativa, contabile, tributaria, volontaria giurisdizione

Categorie di interessati: Cittadini istanti, loro familiari conviventi, controparti (limitatamente ai dati necessari).

Categorie di dati trattati: Dati anagrafici e identificativi del richiedente e dei componenti del nucleo familiare; codice fiscale; documento di identità; dati reddituali e patrimoniali (ISEE, CUD/Modello 730/Unico, certificazioni); dati relativi alla controversia; dati del difensore prescelto; eventuali dati relativi allo stato di salute (art. 9 GDPR) o a procedimenti giudiziari in caso di particolare vulnerabilità.

Finalità: Istruttoria delle istanze di ammissione anticipata al patrocinio a spese dello Stato e relative decisioni; gestione di sostituzioni del difensore; trasmissione all’autorità giudiziaria competente.

Base giuridica: Art. 6, par. 1, lett. c) ed e) GDPR; art. 9, par. 2, lett. g) e art. 10 GDPR; artt. 2-sexies e 2-octies del Codice Privacy.

Comunicazione/Diffusione: Autorità giudiziaria competente; Agenzia delle Entrate per le verifiche reddituali; Guardia di Finanza nei casi previsti dalla legge.

Conservazione: 10 anni successivi alla definizione del procedimento.

B.2. Richieste di informazioni, segnalazioni e quesiti

Categorie di dati trattati: Dati di contatto del richiedente (nome, cognome, e-mail, telefono, indirizzo postale), oggetto della richiesta, dati personali eventualmente inseriti nella comunicazione.

Finalità: Dare riscontro a richieste di informazioni, segnalazioni, quesiti, suggerimenti o lamentele indirizzati all’Ordine attraverso i canali ufficiali (sportello, telefono, e-mail, PEC, posta, sito web).

Base giuridica: Art. 6, par. 1, lett.  e) GDPR – esecuzione di un compito di interesse pubblico connesso alle funzioni istituzionali dell’Ordine.

Conservazione: 24 mesi dall’ultimo contatto, fatti salvi specifici obblighi di legge o necessità di accertamento di diritti.

Sezione C – Partecipanti a eventi formativi

La presente sezione disciplina i trattamenti relativi a eventi formativi, convegni, seminari, corsi e altre iniziative organizzate dall’Ordine, dalla Fondazione Forense (se costituita) o dalle Commissioni interne, anche in collaborazione con enti terzi.

C.1. Gestione delle iscrizioni e della partecipazione

Categorie di interessati: Iscritti all’Ordine; avvocati di altri Fori; praticanti; soggetti non iscritti; relatori; moderatori; personale di supporto.

Categorie di dati trattati: Dati anagrafici e identificativi; numero di iscrizione e Foro di appartenenza; codice meccanografico Cassa Forense; dati di contatto; dati sulla partecipazione e sulle presenze (orari ingresso/uscita); dati relativi al pagamento dell’eventuale quota di iscrizione.

Finalità: Gestione delle iscrizioni; rilevazione delle presenze; attribuzione dei crediti formativi; emissione di attestati; comunicazione al CNF dei dati di partecipazione; gestione dei rapporti con i relatori e i partecipanti; eventuale gestione amministrativa e contabile delle quote.

Base giuridica: Per iscritti all’Ordine, art. 6, par. 1, lett. c) ed e) GDPR; per non iscritti, art. 6, par. 1, lett. b) GDPR (esecuzione di contratto di partecipazione) o art. 6, par. 1, lett. a) GDPR (consenso).

Comunicazione/Diffusione: Consiglio Nazionale Forense; eventuali enti co-organizzatori; società di catering/location (limitatamente alle esigenze alimentari/accessibilità); fornitore della piattaforma di iscrizione e/o piattaforma streaming.

Conservazione: 5 anni dalla conclusione dell’evento, ai fini della certificazione dei crediti formativi; dati contabili 10 anni ex art. 2220 c.c.

C.2. Riprese audio/video e fotografie durante eventi

Categorie di dati trattati: Immagini, voce e dati biometrici eventualmente desumibili da fotografie e registrazioni audio/video effettuate durante eventi pubblici dell’Ordine.

Finalità: Documentazione delle attività istituzionali; pubblicazione sul sito web, sui profili social e nella comunicazione istituzionale dell’Ordine; archivio storico; eventuale diffusione streaming in diretta.

Base giuridica: Per i partecipanti generici a eventi pubblici, art. 6, par. 1, lett. a) GDPR – consenso su apposita informativa, oppure, per quanto applicabile, art. 6, par. 1, lett. e) GDPR – diritto di cronaca/comunicazione istituzionale; per relatori e protagonisti, art. 6, par. 1, lett. b) GDPR ed eventualmente art. 6, par. 1, lett. a) GDPR – consenso espresso (acquisito tramite liberatoria).

Comunicazione/Diffusione: Pubblicazione sul sito istituzionale, profili social ufficiali (Facebook, Instagram, LinkedIn) con i limiti propri di tali piattaforme.

Conservazione: Per la durata della pubblicazione online (di norma 5 anni) e successivamente nell’archivio storico dell’Ordine o nel più breve termine risultante dalla richiesta di revoca del consenso da parte dell’interessato, ove applicabile.

C.3. Relatori, docenti e collaboratori occasionali in eventi formativi

Categorie di dati trattati: Dati anagrafici e identificativi; codice fiscale; dati bancari; curriculum vitae; dati fiscali (per emissione di compenso/notula); eventuali liberatorie sull’utilizzo di immagini e materiali didattici.

Finalità: Stipula e gestione del rapporto con il relatore/docente; pagamento di compensi; gestione di obblighi fiscali e previdenziali; pubblicazione di materiali didattici.

Base giuridica: Art. 6, par. 1, lett. b) GDPR – esecuzione del contratto con il relatore; art. 6, par. 1, lett. c) GDPR – obblighi fiscali, contabili e di pubblicità.

Comunicazione/Diffusione: Agenzia delle Entrate; INPS/Cassa di previdenza professionale del relatore; istituti di credito.

Conservazione: 10 anni ex art. 2220 c.c. per documentazione contabile; durata della pubblicazione per i materiali didattici.

Sezione D – Soggetti coinvolti in procedimenti disciplinari

Per espressa previsione dell’art. 50 L. 247/2012, le funzioni disciplinari sono attribuite ai Consigli Distrettuali di Disciplina (CDD). Il Consiglio dell’Ordine di Cagliari interviene nella fase preistruttoria, nella ricezione e trasmissione di esposti e segnalazioni, e per gli adempimenti conseguenti.

D.1. Esposti, segnalazioni e fase preistruttoria

Categorie di interessati: Esponenti; iscritti destinatari dell’esposto; eventuali soggetti terzi menzionati negli atti.

Categorie di dati trattati: Dati anagrafici e identificativi degli esponenti e dei segnalati; documentazione probatoria; corrispondenza; dati relativi ai fatti oggetto di esposto, che possono comprendere categorie particolari di dati ex art. 9 GDPR (es. dati relativi a salute, vita sessuale, opinioni politiche) e dati relativi a condanne penali e reati ex art. 10 GDPR.

Finalità: Ricezione e prima valutazione degli esposti; trasmissione al Consiglio Distrettuale di Disciplina competente; eventuali approfondimenti istruttori; comunicazioni con gli esponenti e con i segnalati.

Base giuridica: Art. 6, par. 1, lett. c) ed e) GDPR – L. 247/2012, Regolamento CNF sul procedimento disciplinare e codice deontologico forense; art. 9, par. 2, lett. f) e g) GDPR e artt. 2-sexies e 2-octies del Codice Privacy.

Comunicazione/Diffusione: Consiglio Distrettuale di Disciplina; Consiglio Nazionale Forense in caso di impugnazione; autorità giudiziaria nei casi previsti dalla legge.

Conservazione: Per la durata del procedimento e per i termini di archiviazione previsti dalla normativa di settore e dal Massimario di scarto della PA (di regola illimitato per i procedimenti definiti con sanzione).

D.2. Pareri di congruità delle parcelle e dei compensi professionali

Categorie di dati trattati: Dati identificativi dell’avvocato richiedente, del cliente e della controparte; dati relativi all’attività professionale svolta; estratti di documentazione di causa.

Finalità: Rilascio dei pareri di congruità ex art. 29, comma 1, lett. l) L. 247/2012.

Base giuridica: Art. 6, par. 1, lett. c) ed e) GDPR.

Conservazione: 10 anni dalla data del parere.

Sezione I – Visitatori della sede e contatti diretti con la Segreteria e i Consiglieri

I.1. Contatti telefonici, presso lo sportello e con i Consiglieri

Categorie di dati trattati: Dati anagrafici e di contatto comunicati dall’interessato; oggetto della richiesta; documentazione consegnata o esibita; eventuali categorie particolari di dati (art. 9 GDPR) o dati relativi a condanne penali (art. 10 GDPR) ove pertinenti.

Finalità: Riscontro a richieste di informazioni, istanze e comunicazioni presentate presso la sede o nel corso di incontri con i Consiglieri; gestione di pratiche istruttorie; protocollazione della corrispondenza.

Base giuridica: Art. 6, par. 1, lett. e) GDPR – esecuzione di un compito di interesse pubblico; eventualmente, art. 6, par. 1, lett. b), c) o f) GDPR a seconda del contenuto specifico. Nel caso di conferimento di particolari categoria di dati, Art. 9.2, lett. a) GDPR (consenso) o Art. 9.2, lett. g) GDPR (interesse pubblico) per quanto applicabile.

Comunicazione/Diffusione: Eventuali uffici interni dell’Ordine; soggetti terzi nei casi previsti dalla normativa.

Conservazione: Tempo necessario alla definizione della richiesta; protocollazione e archiviazione secondo il Manuale di gestione documentale dell’Ordine; di norma 10 anni successivi alla conclusione del procedimento.

Sezione J – Utenti del sito web e dei profili social istituzionali

J.1. Navigazione sul sito istituzionale e moduli online

Categorie di dati trattati: Dati di navigazione (indirizzo IP, URL richiesti, orario, dati tecnici del dispositivo); dati forniti volontariamente attraverso moduli e indirizzi e-mail pubblicati sul sito.

Finalità: Funzionamento del sito; sicurezza informatica; riscontro a richieste; analisi statistica aggregata.

Base giuridica: Art. 6, par. 1, lett. c) ed e) GDPR per il funzionamento e la sicurezza; per i cookie e tecnologie similari, art. 122 del Codice Privacy e Linee guida del Garante del 10 giugno 2021.

Conservazione: Log di navigazione: massimo 7 giorni salvo accertamento di reati informatici; dati di contatto: 24 mesi dall’ultimo contatto.

Per maggiori dettagli sui cookie e tecnologie di tracciamento utilizzati dal sito si rinvia alla specifica Cookie Policy disponibile sul Sito.

J.2. Profili social istituzionali (Facebook, Instagram, LinkedIn)

Categorie di dati trattati: Dati pubblicati o resi disponibili dall’utente sui propri profili e nelle interazioni con i profili istituzionali dell’Ordine (commenti, condivisioni, messaggi diretti).

Finalità: Comunicazione istituzionale; informazione sui servizi e sugli eventi dell’Ordine; interazione con la comunità forense e con i cittadini.

Base giuridica: Art. 6, par. 1, lett. e) GDPR per la comunicazione istituzionale dell’Ordine.

Comunicazione/Diffusione: Le piattaforme social trattano i dati come titolari autonomi sulla base delle proprie informative; si invita l’utente a consultarle prima dell’interazione.

Conservazione: Per la durata della pubblicazione e secondo le impostazioni delle singole piattaforme.

Sezione K – Soggetti istanti per accesso documentale, civico e generalizzato (FOIA)

K.1. Accesso documentale (L. 241/1990) e accesso civico semplice e generalizzato (D.Lgs. 33/2013)

Categorie di dati trattati: Dati anagrafici e identificativi dell’istante; documento di identità; oggetto dell’istanza; eventuali dati personali presenti nei documenti oggetto della richiesta.

Finalità: Istruttoria delle istanze di accesso; bilanciamento con i diritti dei controinteressati; eventuale comunicazione dei documenti richiesti.

Base giuridica: Art. 6, par. 1, lett. c) ed e) GDPR – L. 241/1990 e D.Lgs. 33/2013; criteri di bilanciamento previsti dall’art. 5-bis D.Lgs. 33/2013 e dalle Linee guida ANAC e Garante.

Comunicazione/Diffusione: Controinteressati ai sensi dell’art. 3 D.P.R. 184/2006.

Conservazione: Termini archivistici della PA (di norma 5 anni dalla definizione del procedimento).

PARTE III — DISPOSIZIONI COMUNI

6. Modalità del trattamento e misure di sicurezza

Il trattamento è svolto sia in forma automatizzata (mediante strumenti informatici, applicativi gestionali e sistemi documentali) sia in forma manuale (archivi cartacei), da personale dipendente, collaboratori e Consiglieri appositamente autorizzati e istruiti ai sensi degli artt. 29 e 32, par. 4, GDPR e dell’art. 2-quaterdecies del Codice Privacy.

L’Ordine adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio, in conformità all’art. 32 GDPR, tenuto conto dello stato dell’arte, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

Tali misure includono, a titolo esemplificativo:

• cifratura dei dati in transito (HTTPS/TLS) e, ove applicabile, in archiviazione;
• procedure di autenticazione robusta e gestione differenziata dei privilegi di accesso;
• sistemi di backup periodici e procedure di disaster recovery;
• conservazione degli archivi cartacei in armadi chiusi a chiave e in locali presidiati;
• registri degli accessi ai sistemi e ai locali contenenti dati personali;
• formazione periodica del personale e dei Consiglieri;
• registro dei trattamenti ex art. 30 GDPR;
• valutazioni di impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 GDPR ove richieste dalla natura del trattamento;
• procedure di gestione delle violazioni dei dati personali (data breach) ai sensi degli artt. 33 e 34 GDPR;
• designazioni formali dei Responsabili del trattamento ex art. 28 GDPR e degli addetti autorizzati ex art. 2-quaterdecies del Codice Privacy.

7. Categorie particolari di dati e dati relativi a condanne penali

In relazione a taluni dei trattamenti istituzionali descritti nella Parte II può rendersi necessario il trattamento di categorie particolari di dati personali ai sensi dell’art. 9 GDPR (in particolare dati relativi allo stato di salute, alla vita sessuale e all’orientamento sessuale, alle opinioni politiche o religiose) e di dati relativi a condanne penali e reati ai sensi dell’art. 10 GDPR.

Tali trattamenti avvengono esclusivamente sulla base di specifiche previsioni di legge (artt. 9, par. 2, lett. g) GDPR; art. 10 GDPR; artt. 2-sexies, 2-octies e 2-quinquies del Codice Privacy), con l’adozione di misure di sicurezza rafforzate e nel rispetto del principio di minimizzazione e necessità.

8. Destinatari dei dati e responsabili esterni del trattamento

Nei limiti pertinenti alle finalità di trattamento indicate nella Parte II, i dati personali possono essere comunicati alle seguenti categorie di destinatari:

• Soggetti pubblici istituzionalmente competenti: Consiglio Nazionale Forense; Cassa Nazionale di Previdenza e Assistenza Forense; Ministero della Giustizia; uffici giudiziari del distretto (Tribunale, Procura, Corte d’Appello, TAR, ecc.); Consiglio Distrettuale di Disciplina; Agenzia delle Entrate; Guardia di Finanza nei casi previsti dalla normativa sul patrocinio a spese dello Stato; autorità giudiziaria e organismi di sicurezza pubblica nei casi previsti dalla legge.
• Fornitori di servizi tecnici e organizzativi designati Responsabili del trattamento ex art. 28 GDPR: fornitore di sviluppo e manutenzione del sito; provider di hosting e di servizi cloud; fornitore del software gestionale dell’Albo e della formazione continua; fornitori di servizi di posta elettronica e di firma digitale; fornitori di servizi di gestione documentale; fornitori di servizi di comunicazione e newsletter; società di catering, fotografi e riprese audio/video per eventi.
• Altri soggetti terzi: istituti di credito; compagnie assicurative; società di revisione; enti co-organizzatori di eventi; controparti contrattuali, nei limiti necessari all’adempimento delle obbligazioni di legge o contrattuali.

L’elenco aggiornato dei Responsabili del trattamento designati dall’Ordine è disponibile su richiesta da inoltrare ai recapiti del Titolare o del DPO indicati ai paragrafi 2 e 3 della presente informativa.

I dati personali non sono in alcun caso oggetto di diffusione, fatti salvi gli obblighi di pubblicazione previsti dalla normativa in materia di trasparenza amministrativa (D.Lgs. 33/2013) e dalla normativa di settore (es. pubblicazione dell’Albo ai sensi della L. 247/2012), nel rispetto dei principi di pertinenza e minimizzazione e delle Linee guida del Garante del 15 maggio 2014 in materia di trattamento di dati personali da parte di soggetti pubblici.

9. Trasferimenti di dati personali verso Paesi terzi

L’Ordine privilegia il trattamento dei dati personali all’interno del territorio dell’Unione Europea e dello Spazio Economico Europeo.

Qualora, per specifiche esigenze tecniche connesse a servizi forniti da fornitori terzi (es. servizi cloud, strumenti di analisi web, piattaforme di videoconferenza, social media istituzionali), i dati personali debbano essere trasferiti verso Paesi terzi rispetto allo Spazio Economico Europeo, l’Ordine garantisce che il trasferimento avvenga nel rispetto degli artt. 44 e seguenti del GDPR, sulla base di:

• una decisione di adeguatezza della Commissione europea ex art. 45 GDPR (es. EU-U.S. Data Privacy Framework, ove applicabile);
• l’adozione di garanzie adeguate ex art. 46 GDPR, quali le Clausole Contrattuali Standard (“Standard Contractual Clauses” – SCC) approvate dalla Commissione europea con Decisione di esecuzione (UE) 2021/914, integrate da misure supplementari tecniche, contrattuali e organizzative individuate all’esito di un’apposita Transfer Impact Assessment alla luce delle indicazioni dell’EDPB (Raccomandazioni 01/2020 post-sentenza CGUE C-311/18 “Schrems II”).

L’interessato può ottenere copia delle garanzie adottate facendone richiesta al Titolare o al DPO ai recapiti indicati nella presente informativa.

10. Periodi di conservazione

I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti e, in ogni caso, nel rispetto del principio di limitazione della conservazione ex art. 5, par. 1, lett. e) GDPR.

I termini specifici per ciascun trattamento sono indicati nella Parte II e nei piani di conservazione adottati dall’Ordine, coerentemente con il Massimario di scarto della PA e con la normativa archivistica (D.Lgs. 42/2004).

A titolo riepilogativo, i principali termini di conservazione sono i seguenti:

Trattamento	Periodo di conservazione
Dati di iscrizione all’Albo, Elenchi e Registri	Per dieci anni dalla cancellazione, salva la possibilità di conservazione ulteriore per finalità storiche e di tenuta dell’Albo ai sensi della L. 247/2012 e della normativa archivistica)
Procedimenti disciplinari	Per la durata del procedimento e secondo i termini di conservazione previsti dalla normativa di settore
Patrocinio a spese dello Stato	Termini D.P.R. 115/2002 e normativa archivistica (di norma 10 anni dalla definizione)
Formazione continua	5 anni dalla conclusione di ciascun triennio formativo
Accesso documentale e FOIA	5 anni dalla definizione del procedimento
Dati di navigazione del sito (log)	Massimo 7 giorni salvo accertamento di reati informatici
Dati di contatto e comunicazioni generiche	24 mesi dall’ultimo contatto
Documentazione contabile e fiscale	10 anni ex art. 2220 c.c. e normativa tributaria

 

Decorsi i termini di conservazione, i dati sono cancellati o resi anonimi in modo irreversibile, fatti salvi specifici obblighi di archiviazione previsti dalla legge o dal Massimario di scarto.

11. Diritti dell’interessato

In conformità agli articoli da 15 a 22 del GDPR, l’interessato ha il diritto di:

• Diritto di accesso (art. 15): ottenere conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, ottenere l’accesso ai dati e a tutte le informazioni di cui all’art. 15 GDPR;
• Diritto di rettifica (art. 16): ottenere la rettifica dei dati inesatti e l’integrazione di quelli incompleti;
• Diritto alla cancellazione/oblio (art. 17): ottenere la cancellazione dei dati nei casi previsti e nei limiti delle eccezioni di cui all’art. 17, par. 3 (in particolare per i trattamenti necessari all’adempimento di un obbligo legale o all’esecuzione di un compito di interesse pubblico);
• Diritto di limitazione del trattamento (art. 18): ottenere la limitazione del trattamento nei casi previsti;
• Diritto alla portabilità dei dati (art. 20): tale diritto, che consente di ricevere i dati in formato strutturato e di trasmetterli a un altro titolare, non si applica ai trattamenti necessari per l’esecuzione di un compito di interesse pubblico, come quelli svolti da questo Ordine.
• Diritto di opposizione (art. 21): opporsi in qualsiasi momento al trattamento dei dati basato sull’art. 6, par. 1, lett. e) o f) GDPR, per motivi connessi alla propria situazione particolare; opporsi in ogni momento al trattamento per finalità di marketing diretto, ove ricorrente;
• Diritto di non essere sottoposto a decisioni automatizzate (art. 22): non essere sottoposto a una decisione basata unicamente su un trattamento automatizzato, compresa la profilazione, che produca effetti giuridici o incida significativamente sulla persona;
• Diritto di revocare il consenso (art. 7, par. 3): ove il trattamento sia basato sul consenso, revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.

L’esercizio dei diritti è gratuito ai sensi dell’art. 12 GDPR. Il Titolare risponde alle richieste senza ingiustificato ritardo e, in ogni caso, entro 30 giorni dal ricevimento, prorogabili fino a 60 giorni in casi di particolare complessità.

Si segnala che alcuni diritti (in particolare cancellazione, opposizione e portabilità) possono essere oggetto di limitazioni specifiche in relazione ai trattamenti svolti dall’Ordine in qualità di autorità pubblica per l’esecuzione di compiti di interesse pubblico o per l’adempimento di obblighi legali.

12. Modalità di esercizio dei diritti

Le richieste di esercizio dei diritti possono essere inviate:

• All’attenzione del Titolare:
• Email: segreteria@ordineavvocaticagliari.it
• PEC: ord.cagliari@cert.legalmail.it
• Posta ordinaria: Consiglio dell’Ordine degli Avvocati di Cagliari – Piazza della Repubblica, c/o Palazzo di Giustizia – 09125 Cagliari
• All’attenzione del DPO:
• Email: dpo@ordineavvocaticagliari.it

 

Al fine di consentire la corretta identificazione dell’interessato, alla richiesta dovrà essere allegata copia di un documento di identità in corso di validità. La richiesta proveniente da soggetti diversi dall’interessato dovrà essere corredata da idonea procura/delega.

13. Diritto di reclamo all’Autorità di controllo

Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento dei propri dati personali avvenga in violazione del GDPR ha diritto di proporre reclamo al Garante per la Protezione dei Dati Personali, ai sensi dell’art. 77 GDPR, secondo le modalità indicate sul sito istituzionale dell’Autorità:

• Piazza Venezia, 11 – 00187 Roma
• PEC: protocollo@pec.gpdp.it
• Sito web: www.garanteprivacy.it

L’interessato ha inoltre diritto di proporre ricorso giurisdizionale ai sensi dell’art. 79 GDPR.

14. Processi decisionali automatizzati e profilazione

L’Ordine non effettua processi decisionali interamente automatizzati né attività di profilazione produttive di effetti giuridici o significativamente incidenti sull’interessato, ai sensi dell’art. 22 GDPR. Qualora in futuro l’Ordine introducesse trattamenti di tale natura, fornirà preventivamente agli interessati un’informativa specifica e adotterà le misure di salvaguardia previste dall’art. 22, par. 3, GDPR.

15. Aggiornamenti dell’informativa

L’Ordine si riserva il diritto di modificare, integrare o aggiornare la presente informativa in qualsiasi momento, a seguito di mutamenti normativi o organizzativi, di evoluzione delle tecnologie utilizzate o di nuovi trattamenti. Le modifiche e gli aggiornamenti saranno tempestivamente pubblicati nella sezione “Privacy” del sito istituzionale, con indicazione della data dell’ultimo aggiornamento e della versione. Le precedenti versioni sono conservate ai fini dell’accountability ex art. 5, par. 2, GDPR.

Si invitano pertanto gli interessati a consultare periodicamente la presente informativa.