Informativa sul Trattamento dei Dati Personali
ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018
Titolare del Trattamento
Il Titolare del trattamento è Della Vecchia Marrocco Associati Studio Legale, con sede in Via Vincenzo Bellini 20, Roma, C.F./P.IVA 18411071006, nella persona dell’Avv. Roberto Della Vecchia. Potete contattarci all’indirizzo e-mail info@dvma.it oppure via PEC all’indirizzo dvma@legalmail.it. Nel testo che segue ci riferiremo a noi stessi semplicemente come “lo Studio”.
A chi si rivolge questa informativa
La presente informativa riguarda due distinti canali attraverso cui lo Studio raccoglie dati personali.
Il primo è il sito web e i contatti digitali: si applica a chiunque visiti il nostro sito, richieda materiale informativo o inoltri una candidatura.
Il secondo è quello degli incarichi professionali: riguarda tutte le persone fisiche i cui dati personali pervengono allo Studio nell’ambito di rapporti professionali instaurati con lo Studio. In questa categoria rientrano i referenti, i rappresentanti legali, gli amministratori, i dipendenti e i collaboratori dei clienti — prevalentemente società —, le controparti e i loro ausiliari nei limiti necessari alla gestione del procedimento, nonché i soggetti terzi i cui dati siano stati comunicati dal cliente nell’esecuzione del mandato.
Questa informativa è resa anche ai sensi dell’art. 14 GDPR nei confronti di chi non ci ha fornito i propri dati direttamente, ma i cui dati ci siano stati comunicati dal cliente nell’ambito dell’incarico.
Vale ricordare che il GDPR tutela esclusivamente le persone fisiche: anche quando il cliente è una persona giuridica, lo Studio tratta i dati personali delle persone fisiche che operano in suo nome o che sono coinvolte nelle vicende oggetto del mandato.
Quali dati trattiamo
Dati raccolti tramite il sito web
Quando visitate il nostro sito, i sistemi informatici acquisiscono automaticamente alcuni dati di navigazione — indirizzi IP, tipo di browser, sistema operativo, pagine visitate, durata della visita — la cui trasmissione è implicita nell’uso dei protocolli di Internet.
Se invece ci contattate tramite il sito, raccogliamo i dati che ci fornite volontariamente: nome, cognome, indirizzo e-mail, numero di telefono e il contenuto della vostra richiesta. Chi ci chiede di ricevere materiale informativo ci fornisce il proprio indirizzo e-mail e le proprie preferenze di comunicazione. Chi invia una candidatura ci trasmette curriculum vitae e dati formativi e professionali.
Dati raccolti nell’ambito degli incarichi professionali
Nel corso del mandato trattiamo categorie di dati più articolate. Anzitutto i dati identificativi e di contatto dei referenti aziendali del cliente e delle controparti: nome, cognome, qualifica, recapiti email, telefono, indirizzo e PEC. Trattiamo poi dati fiscali e societari come codice fiscale, partita IVA, atti notarili e visure camerali, nonché i documenti relativi all’incarico — corrispondenza, informazioni legali e fattuali necessari alla prestazione professionale — e i dati economico-finanziari rilevanti quali estratti conto, contratti, fatture e documentazione contabile.
Quando necessario per la difesa in giudizio, e nei soli casi consentiti dall’art. 2-octies D.Lgs. 196/2003, trattiamo anche dati giudiziari. Infine, solo se strettamente indispensabili alla prestazione — ad esempio dati sanitari in vertenze giuslavoristiche o dati relativi a procedimenti penali — potremmo trattare categorie particolari di dati (“dati sensibili”), nel rispetto delle condizioni rafforzate previste dagli artt. 2-sexies e 2-septies D.Lgs. 196/2003 e dalle corrispondenti norme GDPR.
I dati relativi agli incarichi possono provenire direttamente dall’interessato, dal cliente che conferisce il mandato, da fonti pubbliche (registri, banche dati istituzionali, atti processuali), da autorità giudiziarie o amministrative, ovvero da soggetti terzi coinvolti nelle procedure.
Per quali finalità e su quale base giuridica trattiamo i vostri dati
Il trattamento è lecito solo in presenza di almeno una delle basi giuridiche previste dall’art. 6 GDPR. Di seguito illustriamo le finalità perseguite e il relativo fondamento giuridico.
Trattamenti connessi al sito web
Le richieste di contatto e consulenza ricevute tramite form o altri canali digitali vengono gestite sulla base dell’art. 6, par. 1, lett. b) GDPR, in quanto si tratta di misure precontrattuali adottate su richiesta dell’interessato. Il funzionamento tecnico del sito, la sicurezza informatica e la prevenzione di illeciti informatici trovano invece fondamento nel legittimo interesse del Titolare (art. 6, par. 1, lett. f) GDPR). L’invio di newsletter, aggiornamenti normativi e comunicazioni informative avviene esclusivamente previo consenso dell’interessato, revocabile in ogni momento (art. 6, par. 1, lett. a) GDPR). La valutazione delle candidature a posizioni professionali si basa sulle misure precontrattuali di cui alla lett. b), integrate, per i curricula inviati spontaneamente, dall’art. 111-bis D.Lgs. 196/2003.
Trattamenti connessi agli incarichi professionali
L’esecuzione del mandato professionale — che comprende la gestione dell’incarico, la redazione di atti, l’assistenza giudiziale e stragiudiziale, la consulenza legale, la negoziazione, l’arbitrato e le procedure stragiudiziali — trova il suo fondamento nell’esecuzione del contratto (l’incarico) ai sensi dell’art. 6, par. 1, lett. b) GDPR.
Per adempiere agli obblighi legali che ci vincolano — normativa antiriciclaggio (D.Lgs. 231/2007), obblighi fiscali e contabili, obblighi deontologici verso il CNF e il Foro di appartenenza — il trattamento si basa sull’art. 6, par. 1, lett. c) GDPR.
La difesa in giudizio e la tutela dei diritti, inclusa la produzione di documenti nei procedimenti in cui agiamo nell’interesse del cliente, poggiano sul legittimo interesse del Titolare o del cliente ai sensi dell’art. 6, par. 1, lett. f) GDPR, unitamente all’art. 2-octies D.Lgs. 196/2003 per i dati giudiziari. La gestione amministrativa e contabile — fatturazione, pagamenti, archiviazione dei fascicoli — si fonda congiuntamente sulle lett. b) e c) del medesimo articolo. La gestione operativa e la sicurezza informatica trovano il loro fondamento nel legittimo interesse del Titolare (lett. f)). Infine, l’invio di newsletter giuridiche, circolari e aggiornamenti normativi ai clienti che abbiano prestato il consenso avviene sulla base dell’art. 6, par. 1, lett. a) GDPR, con possibilità di revoca in ogni momento.
Quando il mandato professionale impone il trattamento di categorie particolari di dati — dati sanitari, genetici, biometrici, relativi all’orientamento sessuale, alle opinioni politiche o religiose — la base giuridica è l’art. 9, par. 2, lett. f) GDPR (trattamento necessario per accertare, esercitare o difendere un diritto in sede giudiziaria), integrata dagli artt. 2-sexies e 2-septies D.Lgs. 196/2003. Nei mandati in materia di diritto del lavoro può trovare applicazione anche l’art. 9, par. 2, lett. b) GDPR.
I dati di navigazione possono essere utilizzati per l’accertamento di responsabilità in caso di ipotetici reati informatici ai danni del sito, e il relativo trattamento si fonda sull’art. 6, par. 1, lett. f) GDPR.
I principi che guidano il nostro trattamento
Tutti i trattamenti effettuati dallo Studio rispettano i sei principi fondamentali sanciti dall’art. 5 GDPR. Trattiamo i vostri dati sempre in modo lecito, corretto e trasparente, sulla base di una giustificazione giuridica legittima. Li raccogliamo per finalità determinate e non li usiamo per scopi incompatibili con quelli originari. Raccogliamo solo i dati strettamente necessari, limitando l’accesso interno secondo il principio del need-to-know. Provvediamo ad aggiornarli qualora risultino inesatti o incompleti. Li conserviamo per il tempo strettamente necessario e adottiamo misure tecniche e organizzative adeguate a prevenire accessi non autorizzati, perdita o distruzione.
Il Titolare è responsabile del rispetto di tutti questi principi e in grado di comprovarlo — secondo il principio di accountability di cui all’art. 5, par. 2, GDPR — attraverso l’adozione di policy interne.
Con chi condividiamo i vostri dati
I dati personali possono essere comunicati, nei limiti strettamente necessari al perseguimento delle finalità indicate, alle seguenti categorie di soggetti: i collaboratori e i dipendenti dello Studio, quali persone autorizzate al trattamento nei limiti delle proprie mansioni; i professionisti e i consulenti esterni — co-difensori, consulenti tecnici, notai, traduttori, commercialisti — designati, ove applicabile, come responsabili del trattamento ai sensi dell’art. 28 GDPR; le controparti e i loro difensori, nei soli limiti imposti dall’incarico e dal procedimento; le autorità giudiziarie e amministrative su obbligo di legge o in esecuzione del mandato; i fornitori di servizi informatici e cloud, designati come responsabili del trattamento con contratto conforme all’art. 28 GDPR; gli ordini professionali e il CNF nei casi previsti dalla normativa deontologica; gli istituti bancari e assicurativi nei limiti strettamente necessari all’esecuzione dell’incarico.
I dati non vengono diffusi a soggetti indeterminati né ceduti a terzi per finalità commerciali.
Trasferimenti all’estero e servizi cloud
Servizi cloud con server nell’Unione Europea
Lo Studio si avvale di servizi in cloud per la gestione dei fascicoli, la posta elettronica e l’archiviazione documentale. I server su cui risiedono i dati sono ubicati all’interno dell’Unione Europea: in questo caso non si configura un trasferimento verso paesi terzi ai sensi del GDPR, poiché la normativa europea si applica uniformemente in tutti gli Stati membri. I fornitori cloud garantiscono l’adozione di misure di sicurezza adeguate ai sensi dell’art. 28 GDPR, il rispetto dei principi di privacy by design e privacy by default (art. 25 GDPR), e il divieto di utilizzare i dati per finalità proprie, compreso l’addestramento di sistemi di intelligenza artificiale.
Eventuale trasferimento al di fuori dell’Unione Europea
Non è attualmente previsto un trasferimento sistematico di dati verso paesi terzi. Tuttavia, nell’ambito di specifici incarichi — assistenza in procedimenti arbitrali internazionali, rapporti con studi esteri corrispondenti, pratiche di diritto societario transfrontaliero — potrebbe rendersi necessario trasferire dati al di fuori dell’UE. In tali casi il trasferimento avverrà esclusivamente in presenza di una decisione di adeguatezza della Commissione europea per il paese di destinazione, oppure mediante garanzie appropriate come le Clausole Contrattuali Standard adottate dalla Commissione o le Binding Corporate Rules, oppure sulla base di una delle deroghe di cui all’art. 49 GDPR — tra cui il trasferimento necessario per la costituzione, l’esercizio o la difesa di un diritto in sede giudiziaria. Ove praticabile, l’interessato sarà informato preventivamente di qualsiasi trasferimento extra-UE specificamente connesso al proprio mandato.
Il segreto professionale
Il trattamento dei dati personali avviene nel pieno rispetto del segreto professionale forense e degli obblighi deontologici che vincolano l’avvocato ai sensi dell’ordinamento della professione forense. I dati acquisiti nell’ambito del mandato sono trattati in modo riservato e non vengono divulgati al di fuori dei limiti strettamente necessari all’esecuzione dell’incarico. Il personale e i collaboratori dello Studio che vengano a conoscenza di dati personali nell’esercizio delle proprie funzioni sono parimenti vincolati al rispetto della riservatezza.
Per quanto tempo conserviamo i dati
Conserviamo i dati personali per il tempo strettamente necessario al conseguimento delle finalità per cui sono stati raccolti, in conformità all’art. 5, par. 1, lett. e) GDPR.
I dati trattati per l’esecuzione del mandato e per la difesa in giudizio sono conservati per tutta la durata dell’incarico e, successivamente, per il termine di prescrizione ordinaria di dieci anni, salvo prescrizioni speciali più lunghe o obblighi deontologici. I dati soggetti agli obblighi antiriciclaggio sono conservati per dieci anni dalla cessazione del rapporto professionale, ai sensi del D.Lgs. 231/2007. Quelli necessari per gli adempimenti fiscali e contabili si conservano per dieci anni dalla registrazione delle operazioni. I dati trattati per la tutela dei diritti in giudizio vengono conservati per il tempo necessario alla definizione del procedimento, inclusi gli eventuali gradi di impugnazione.
I log di accesso e i dati relativi alla gestione operativa e alla sicurezza informatica sono conservati per un periodo non superiore a 12 mesi dalla registrazione, salvo che risultino necessari per la gestione di un incidente in corso o di un procedimento giudiziario o amministrativo collegato, nel qual caso la conservazione è prorogata fino alla sua definizione.
Gli indirizzi e-mail degli iscritti alla newsletter vengono conservati fino alla revoca del consenso.
Allo scadere di ciascun termine, i dati sono cancellati o resi anonimi in modo irreversibile.
Le misure di sicurezza che adottiamo
Adottiamo misure tecniche e organizzative adeguate a garantire la sicurezza dei dati personali ai sensi dell’art. 5, par. 1, lett. f) GDPR. In concreto: l’accesso ai dati è limitato al personale autorizzato, con credenziali individuali; applichiamo policy di gestione delle password e l’autenticazione a più fattori; eseguiamo backup regolari con verifica del ripristino; i contratti con i fornitori cloud includono obblighi di sicurezza verificabili; disponiamo di procedure di gestione dei data breach, con notifica al Garante entro 72 ore ove richiesto dall’art. 33 GDPR e comunicazione agli interessati nei casi previsti dall’art. 34 GDPR.
Lo Studio adotta esclusivamente sistemi di condivisione documentale con accesso controllato e tracciato.
I vostri diritti
Ai sensi degli artt. 15–21 GDPR, avete il diritto di esercitare una serie di facoltà in relazione al trattamento dei vostri dati personali.
Potete accedere ai vostri dati e ottenere conferma che sia in corso un trattamento che vi riguarda, gratuitamente e con risposta entro 30 giorni (art. 15 GDPR). Potete chiederne la rettifica qualora risultino inesatti o incompleti (art. 16 GDPR). Nei casi previsti dalla normativa, potete richiedere la cancellazione — il cosiddetto diritto all’oblio — ad esempio quando i dati non sono più necessari rispetto alle finalità per cui erano stati raccolti o quando revocate il consenso, fermo restando il bilanciamento con altri diritti quali gli obblighi di legge, la difesa in giudizio e il segreto professionale (art. 17 GDPR). Potete altresì chiedere la limitazione del trattamento in determinate circostanze, come nel caso in cui contestiate l’esattezza dei dati o attendiate la verifica di un interesse prevalente (art. 18 GDPR).
Qualora il trattamento si basi sul consenso o su un contratto e sia effettuato con mezzi automatizzati, avete diritto alla portabilità: potete ricevere i vostri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico — ad esempio un file .csv — e trasmetterli direttamente a un altro titolare (art. 20 GDPR). Potete opporvi al trattamento fondato su legittimo interesse, salvo che sussistano motivi prevalenti in capo al Titolare (art. 21 GDPR). Ove il trattamento si basi sul vostro consenso, potete revocarlo in qualsiasi momento, senza pregiudicare la liceità del trattamento effettuato fino a quel momento (art. 7 GDPR). Infine, potete proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it), senza pregiudizio per altri rimedi.
Limiti in ambito professionale
L’esercizio di alcuni diritti — in particolare la cancellazione e la portabilità — può essere limitato o differito nella misura in cui ciò sia necessario per la difesa di un diritto in sede giudiziaria, per l’adempimento di obblighi legali o per la tutela del segreto professionale, ai sensi dell’art. 2-undecies D.Lgs. 196/2003 e dell’art. 23 GDPR.
Per esercitare i vostri diritti potete scriverci all’indirizzo dvma@legalmail.it. Risponderemo entro 30 giorni dalla ricezione; in caso di particolari complessità, vi comunicheremo entro lo stesso termine la nuova scadenza.
Dati di soggetti terzi comunicati dal cliente
Nell’ambito del mandato professionale, il cliente — tipicamente una società — potrebbe comunicarci dati personali di propri dipendenti, amministratori, fornitori, controparti o altri soggetti terzi. In tal caso, il cliente è tenuto ad aver adempiuto agli obblighi informativi nei confronti di tali soggetti ai sensi degli artt. 13 e 14 GDPR e a garantire che la comunicazione allo Studio abbia una base giuridica legittima. Lo Studio tratterà tali dati esclusivamente nei limiti dell’incarico ricevuto e informerà i soggetti terzi interessati ove ciò sia ragionevolmente praticabile e non pregiudichi il mandato, ai sensi dell’art. 14 GDPR. Per i dati ricevuti nel contesto di procedimenti giudiziari o arbitrali, l’informativa ai terzi può essere resa nelle forme e nei tempi previsti dalle norme processuali applicabili.
Processi decisionali automatizzati
Lo Studio non effettua trattamenti basati unicamente su processi decisionali automatizzati, inclusa la profilazione, che producano effetti giuridici o incidano significativamente sulla persona dell’interessato (art. 22 GDPR).
Aggiornamenti dell’informativa
La presente informativa può essere aggiornata in caso di modifiche normative, organizzative o tecnologiche rilevanti. La versione vigente è sempre disponibile sul sito web dello Studio e, su richiesta, presso la sede.
Versione: 1.0 — Data: 20 aprile 2026
Questa informativa è redatta in conformità agli artt. 13 e 14 GDPR, ai principi di cui all’art. 5 GDPR e alle disposizioni complementari del D.Lgs. 196/2003 come novellato dal D.Lgs. 101/2018.