Call Us +39 011 55.84.111

Il Tribunale di Roma afferma la legittimità dell’invio di sms volti ad aggiornare le preferenze dei clienti in materia di trattamento dei dati personali anche in assenza di consenso

Con la sentenza n. 10789 del 1 agosto scorso il Tribunale di Roma, annullando il provvedimento dell’Autorità Garante per la protezione dei dati personali, ha accertato la legittimità della scelta di un operatore telefonico che inviava messaggi sms, in assenza di consenso, diretti ad aggiornare le preferenze dei propri clienti, sia nuovi che storici, in materia di trattamento dei dati personali.

Con provvedimento n. 437 del 27 ottobre 2016 il Garante aveva rilevato la violazione dei dati personali da parte del suddetto operatore telefonico in quanto aveva estratto dal proprio CRM i numeri di telefono dei suoi clienti al fine dell’inserimento degli stessi in campagne realizzate con il successivo invio degli sms: il tutto in assenza del necessario previo consenso degli interessati al trattamento per le finalità promozionali di cui all'art. 7, comma 4, lett. b) del Codice Privacy.

Leggi tutto...

Privacy e sicurezza informatica nella PA - Le violazioni dei dati personali nelle pubbliche amministrazioni

L’avv. Chiara Agostini parteciperà, in veste di relatrice, al prossimo Convegno organizzato da Paradigma in materia di “Privacy e sicurezza informatica nella PA”, trattando come tema la notifica delle violazioni dei dati personali nelle pubbliche amministrazioni (c.d. data breach notification). Il Convegno si terrà a Milano, il 26 ottobre, e a Roma, il 30 novembre.

Leggi tutto...

Cancellazione dei dati personali dal registro delle imprese: arriva il “no” della Corte di Giustizia UE

Con Sentenza del 9 marzo 2017, la Corte di Giustizia dell’UE ha negato ad un cittadino italiano, ex amministratore unico e liquidatore di una società poi dichiarata fallita, la richiesta di cancellazione dei suoi dati personali dal registro pubblico delle imprese tenuto dalla CCIAA di Lecce. Con tale pronuncia, nata da una domanda di interpretazione pregiudiziale sollevata dalla Corte di Cassazione Italiana ed avente ad oggetto la valutazione del rapporto tra il principio di conservazione dei dati personali, previsto dall’art. 6.1, lett. e) della direttiva 95/46/CE, ed il sistema di pubblicità dei registri delle imprese, disciplinato dalla direttiva 68/51/CE e dall’art. 2188 c.c., la Corte ha, dapprima, statuito che tale valutazione - consistente nell’analisi concreta, caso per caso, della sussistenza di ragioni preminenti e legittime tali da giustificare la cancellazione di dati personali degli interessati presenti nei registri delle imprese – compete, in via esclusiva, ai singoli legislatori nazionali e, successivamente, ritenuto che il solo presumere che un cittadino subisca un pregiudizio nel corso della propria attività economica per essere ancora presenti nel registro delle imprese, a distanza di anni, informazioni personali relative alla sua qualifica di ex liquidatore di una società fallita, non costituisce una ragione preminente e legittima tale da consentire la cancellazione di tali dati personali dal predetto registro.

Link alla fonte

Leggi tutto...

Privacy Shield: il nuovo meccanismo per il trasferimento dei dati personali verso gli Stati Uniti

Dal 1 agosto, le società che intendono trasferire i dati verso gli Stati Uniti hanno uno strumento in più. La Commissione Europea e il Dipartimento del Commercio degli Stati Uniti, infatti, hanno raggiunto un accordo, detto Privacy Shield, circa il trattamento dei dati personali dei cittadini europei importati negli U.S.A., che garantisce un livello di tutela considerato adeguato rispetto alla normativa europea e va a sostituire il precedente accordo di Safe Harbour. Si tratta di una interessante novità, in quanto il trasferimento dei dati, è possibile senza utilizzare i più complessi meccanismi delle BCR e delle model clauses. Le società americane possono infatti autocertificare i propri trattamenti, dichiarandone la conformità rispetto ai principi contenuti nell’accordo Privacy Shield, e chiedere la registrazione presso il relativo registro gestito dall’International Trade Administration del Dipartimento Americano del Commercio.  Queste, in sintesi, le novità del Privacy Shield rispetto al precedente regime:
- è prevista l’autocertificazione annuale delle imprese aderenti al Privacy Shield e la pubblicazione di una privacy policy sul loro sito web;
- sono previste verifiche periodiche per accertare il rispetto effettivo delle regole contenute nell’accordo Privacy Shield da parte delle imprese che hanno volontariamente deciso di aderire a tale sistema;
- in caso di accertamenti negativi, sono previste sanzioni ai danni della società che ha tenuto tale scorretto comportamento o la sua cancellazione dall’elenco degli aderenti;
- in caso di ulteriore trasferimento di dati dalla società aderente al Privacy Shield ad un terzo soggetto, è previsto l’obbligo per tali soggetti di  stipulare un contratto (o, nell’ambito dei trasferimenti infragruppo, di altri accordi equivalenti quali le BCR), avente ad oggetto il trattamento dei dati personali, che garantisca lo stesso livello di protezione accordato dai principi dettati dal Privacy Shield. Qualora il terzo non garantisca il medesimo livello di protezione offerto dal Privacy Shield è inoltre prevista la responsabilità solidale dell’importatrice;
- sono state introdotte delle limitazioni all’accesso ai dati da parte del Governo degli Stati Uniti, con l’impegno formale della Amministrazione USA a contenere tali accessi entro limiti, garanzie e meccanismi di controllo specifici e definiti;
- sono stati introdotti degli strumenti di tutela giuridica effettivi:

  • gli interessati, infatti, potranno rivolgersi direttamente alla società importatrice per ricevere informazioni circa il  trattamento dei loro dati, cui occorrerà dar riscontro entro 45 giorni;
  • è stato introdotto un meccanismo di ADR gratuito;
  • gli interessati, inoltre, potranno rivolgersi al proprio Garante Privacy che collaborerà con il Department of Commerce e la Federal Trade Commission per la definizione della contestazione sollevata e rimasta irrisolta;
  • qualora i precedenti strumenti non abbiamo portato alla risoluzione del comportamento illecito, gli interessati potranno rivolgersi direttamente al Privacy Shield Panel per ottenere, se gli altri strumenti non sono serviti, una decisione esecutiva ai danni della società importatrice attraverso un meccanismo di arbitrato;
  • da ultimo, è stata introdotta la figura dell’Ombudsperson che consente agli interessati di promuovere una contestazione nei confronti delle Pubbliche Amministrazioni Statunitensi relativamente ad eventuali accessi effettuati dalle stesse in violazione dei diritti degli interessati.

L’utilizzo del Privacy Shield, in ogni caso, non esime la società esportatrice dalla necessità di regolamentare tale flusso di dati verso l’estero tanto nei contratti stipulati con le società statunitensi terze importatrici quanto nei rapporti inter-company, per il caso in cui la società importatrice faccia parte del proprio gruppo societario (es. casa madre americana).

Avv. Chiara Agostini

Avv. Dario Cerbone

 

Leggi tutto...

Niente risarcimento danni all’utente per i reiterati sms promozionali nel caso in cui la compagnia telefonica sia in grado di documentare l’assenso, ancorché verbale, al trattamento dati personali

La Corte di Cassazione, con sentenza n. 9982 del 16.5.2016, ha stabilito che alla compagnia telefonica è sufficiente il consenso prestato a voce dall’utente per potergli inviare sms pubblicitari sul cellulare, sempre che il gestore sia comunque in grado di fornire prova scritta dell’assenso del consumatore, ad esempio producendo gli estratti del proprio sistema informatico.

Secondo la Suprema Corte, in tema di telefonia mobile e di sms pubblicitari, la regola dell’art. 23, comma III, del D.Lgs 196/2003, secondo cui il consenso al trattamento dei dati personali c.d. comuni è valido se documentato per iscritto, attiene non alla forma della manifestazione del consenso, prevista invece per il trattamento dei dati sensibili, ma al contenuto dell’onere probatorio gravante sul titolare dei dati personali.

Leggi tutto...

Annunciato l’EU-US Privacy Shield, accordo sulla privacy tra Europa e Stati Uniti che sostituisce l’ormai invalidato Safe Harbour

L’Unione Europea e gli Stati Uniti d’America hanno raggiunto un compromesso sul nuovo meccanismo per il trasferimento dei dati personali oltreoceano, che si chiamerà EU-US Shield. La Commissione ha garantito che ci sarà maggiore protezione della privacy e che si eviteranno episodi di sorveglianza di massa. Viene inoltre istituita anche la figura di un difensore civico a cui i cittadini possono rivolgersi per eventuali ricorsi.

Link alla fonte

Leggi tutto...

Tutela dei dati personali in azienda: arriva Data Protection Officer

 

La figura professionale del responsabile aziendale per il trattamento dei dati personali esiste già in 15 nazioni europee. In Italia dovrebbe essere introdotta con l’anno nuovo, a seguito dell’emanazione del nuovo regolamento europeo sulla privacy. Quale sarà l’impatto sulle aziende?

 

Quello legato alla privacy è un concetto che fin dalla sua prima ed originaria formulazione, è stato sottovalutato o quanto meno mal recepito dagli italiani. E’ evidente che il principio del “right to be left alone”, di matrice anglosassone, che pure in epoca più recente ha lasciato il posto ad un rinnovato diritto individuale di esercitare un controllo attivo sulla circolazione delle proprie informazioni personali, stenta ad essere tenuto in considerazione nel nostro Paese. Nonostante la normativa di settore esista ormai da anni, fin dalla sua introduzione ad opera della Legge n. 675/1996, poi sostituita dal D.Lgs. 196/2003 (il c.d. Codice della Privacy), la percezione del bisogno di attenzione da parte degli operatori non sembra ancora essere sufficiente: i titolari del trattamento, siano essi privati piuttosto che imprese, non comprendono o non attribuiscono la giusta importanza alle disposizioni sulla protezione dei dati personali dei loro utenti. 

 

Eppure, le sanzioni attualmente previste vanno dai 6.000 a 36.000 euro e, tenendo conto di alcune circostanze aggravanti, esse potrebbero venire raddoppiate o addirittura quadruplicate. Nell’arco di un solo mese, è stato di 24 milioni di euro l’ammontare delle violazioni scoperte da Federprivacy, l’organismo associativo di categoria, sui siti web italiani esposti a rischio di potenziali sanzioni, comminabili dal Garante a seguito dei controlli effettuati dal Nucleo Privacy della Guardia di Finanza. E, se non ciò bastasse, dall’Europa potrebbe giungere una  nuova e preoccupante riforma: il prossimo Regolamento Europeo, che secondo quanto anticipato dal Commissario Juker potrebbe arrivare entro febbraio 2015, vorrebbe innalzare, difatti, le sanzioni fino a 100 milioni di euro o, quantomeno, in misura del 5% del fatturato dell’impresa sanzionata.

 

L’inasprimento delle sanzioni, tuttavia, non è l’unica misura annunciata per ricondurre a ragione gli enti che sembrano disinteressarsi dell’importanza del corretto trattamento dei dati ad essi affidati: la bozza del Regolamento Europeo, ad oggi ancora in discussione, prevede infatti anche l’introduzione ufficiale di una nuova figura professionale, il Data Protection Officer (DPO). L’introduzione coatta di un esperto altamente qualificato, quindi, quale ulteriore strumento di garanzia nella gestione della Privacy all’interno dell’azienda. Negli ultimi mesi se ne è sentito molto parlare, ma di cosa si tratta, realmente?

 

Il Data Protection Officer o, per geo-contestualizzare, il Responsabile della Protezione dei Dati, è, dunque, la nuova figura professionale che probabilmente si inserirà nel panorama, già nutrito, dei consulenti aziendali, sempre più proiettati ad una totale compliance in materia di sicurezza nelle aziende. In base al dettato dell’art. 35 del testo attualmente in discussione, sarà obbligatoria per tutte le pubbliche amministrazioni, nonché per migliaia di altre imprese che possiedono determinati requisiti. Tra di essi, il dare impiego ad almeno 250 dipendenti o, ancora, occuparsi di attività che prevedono “un controllo regolare e sistematico degli interessati”, il cui numero superi, su base annua, le cinquemila unità. 

 

Nata ufficialmente negli Stati uniti nel 1999 e già regolamentata per legge in 15 dei 28 Paesi dell’Unione, come già anticipato, questa figura professionale diventerà obbligatoria a livello europeo con l’entrata in vigore del Regolamento Unico sulla protezione dei dati personali, che andrà a sostituire la direttiva 95/46/CE. Secondo l’esperienza dei Paesi che prevedono l’esistenza di simili funzionari, chiamati in alcuni casi anche Chief Privacy Officer, la laro qualifica dovrebbe essere quella di responsabili privacy che effettuano accertamenti del tipo “privacy impact assessment” e conducono per ogni progetto aziendale dettagliate analisi di risk assessment. Ma ciò non è tutto. La bozza di regolamento, infatti, prevede di più. Ai sensi dell’art. 37 della bozza del Nuovo Regolamento Europeo concernente la Protezione dei Dati Personal, il DPO, in collaborazione con il CDA o il CEO di un'azienda, dovrà infatti aggiornare le altre figure apicali circa gli adempimenti obbligatori, sorvegliarne l’attuazione, occuparsi della formazione inhouse, controllare che eventuali violazioni della normativa siano documentate e notificate al Garante (secondo il disposto dei nuovi articoli 31 e 32 del Regolamento), accertarsi che l’azienda dia seguito alle richieste dell’autorità di controllo, fungere infine da punto di contatto durante ogni occasione di dialogo con la pubblica amministrazione. Un compito carico di responsabilità, quindi, che tuttavia risulta necessario per ravvivare l’attenzione sul tema.

 

Sebbene si tratti di una figura professionale non  ancora prevista dalla legge italiana, essa è già una realtà presente in diversi contesti,  al punto che la stessa Autorità Garante nella propria Relazione annuale presentata nel 2012 ne ha sottolineato l’importanza affermando che: un ruolo positivo è sicuramente giocato dalle figure di responsabili privacy, oramai piuttosto diffuse, che, coordinando e indirizzando l’azione degli uffici periferici, assicurano una più puntuale e attenta applicazione della legge. In una qualche misura, dall’ esperienza di queste nuove figure professionali viene quasi anticipata la funzione del privacy officer, ben conosciuta in altri ordinamenti e recentemente inserita nelle bozze del nuovo regolamento comunitario in materia di protezione dei dati personali. (Relazione 2012, cit. pag. 227). Nel nostro Paese, anche se il legislatore non è ancora intervenuto per introdurre precise regole in merito, grazie al benestare del Ministero dello Sviluppo Economico e tenuto conto della Legge 4/2003, l’associazione Federprivacy ha implementato già dal 2012 un percorso formativo per i professionisti, volto ad ottenere la certificazione di questa figura tramite l’ente tedesco TÜV Examination Institute, che rilascia un riconoscimento basato sulla Norma ISO/IEC 17024:2004, riconosciuta a livello internazionale. Non potendo prevenire la norma comunitaria, tuttavia, si è scelto di limitarsi a definirlo con la qualifica, dissimile ma sostanzialmente identica, di Privacy Officer.

 

Quello del Data Protection Officer, del resto, è un profilo non ancora disciplinato all’interno dell’ordinamento italiano e che, per poter essere completo, dovrà racchiudere caratteristiche di per sé diverse tra loro: competenze giuridiche, profonde competenze informatiche e spiccate doti umane di leadership e comunicazione. Sotto certi aspetti, le conoscenze richieste lo accomunano tipicamente ad un avvocato, ma tale requisito potrebbe anche non essere essenziale. Sicuramente sarà un professionista multidisciplinare, che possieda profonde competenze informatiche e di processo. Solo il tempo soddisferà la nostra curiosità. Certo è che le conseguenze dell’imposizione di questa nuova figura professionale non potranno che apportare benefici in vista di un migliore trattamento dei dati personali degli utenti da parte delle aziende.

Leggi tutto...

Rispetto dei principi di pertinenza e non eccedenza del trattamento dei dati personali

La Corte di Cassazione, con sentenza n. 2034 emessa in data 13 febbraio 2012, ha ribadito la necessità che il trattamento dei dati personali avvenga nel rigoroso rispetto dei principi di pertinenza e non eccedenza sanciti nell’articolo 11 del Codice in materia di protezione dei dati personali (D.Lgs. n. 196 del 2003) riconoscendo come illecito il trattamento effettuato da una P.A. di un dato che risulti eccedente le finalità pubbliche da soddisfare. In particolare, la Corte di Cassazione ha ritenuto che non occorre riportare i dati sensibili nelle valutazioni, negli atti amministrativi, o comunque in determinazioni del datore di lavoro da rendere pubbliche e da diffondere tra più soggetti, qualora la loro menzione specifica non sia necessaria per il fine dell'atto posto in essere. Di talché, è ravvisabile un trattamento dei citati dati eccedente la funzione pubblica, allorché la stessa si sarebbe potuta comunque ottenere con l'adozione di precauzioni, quali l'uso di omissis, onde non pregiudicare la riservatezza altrui.

Cass. Civ. Sez. I, 13 febbraio 2012, n. 2034.pdf

Leggi tutto...

Garante privacy: al via la consultazione in materia di cookies

autore:

Chiara Araldi

Come già anticipato nel n. 2 di R&P Mag,  il 1 giugno 2012 è entrato in vigore il D.Lgs. 69/2012 che ha introdotto rilevanti modifiche al Codice in materia di Protezione dei Dati Personali, di cui al D.Lgs. 196/2003 (“Codice Privacy”), per effetto del recepimento delle Direttive Europee n. 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e n. 2009/140/CE in materia di reti e servizi di comunicazione elettronica, nonché del Regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori.
In particolare, ricordiamo che il novellato art. 122 del Codice Privacy prevede che, tra i criteri interpretativi cui dovrà attenersi il Garante in materia di Protezione dei Dati Personali (“Garante”) nell’individuare le specifiche modalità di raccolta del consenso espresso all’utilizzo di cookies, vi sia quello di tenere espressamente conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l'utilizzo di metodologie che assicurino l'effettiva consapevolezza del contraente o dell'utente.
Sulla base di quanto previsto dal predetto articolo, pertanto, il Garante ha avviato una consultazione pubblica (con provvedimento pubblicato sulla Gazzetta Ufficiale n. 295 del 19 dicembre 2012) diretta a tutti i gestori, grandi e piccoli, dei siti e alle associazioni maggiormente rappresentative dei consumatori allo scopo di acquisire contributi e suggerimenti. Tali soggetti, nonché le università e i centri di ricerca, potranno inviare le proprie considerazioni e proposte,  entro 90 giorni dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale, mediante posta o in via telematica alla e-mail Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo..
Inoltre, per fornire prime indicazioni sul tema e per agevolare l'elaborazione dei contributi e l'individuazione di una valida ed efficace informativa, sono state recentemente pubblicate sul sito del Garante le cosiddette FAQ in materia di cookies.
Tale documento è di grande interesse, poiché fornisce un primo orientamento del Garante circa la classificazione dei diversi tipi di cookies, e, conseguentemente, circa la reale portata della norma. In particolare, secondo il Garante,  sono da considerarsi cookie “tecnici”, ossia cookie che possono essere liberamente utilizzati anche in assenza del consenso, ferma restando naturalmente l'informativa, a titolo esemplificativo: “(i) i cookie impiantati nel terminale dell'utente/contraente direttamente dal titolare del singolo sito web, se non sono utilizzati per scopi ulteriori: è il caso dei cookie di sessione utilizzati per "riempire il carrello" negli acquisti online, di quelli di autenticazione, dei cookie per contenuti multimediali tipo flash player se non superano la durata della sessione, dei cookie di personalizzazione (ad esempio, per la scelta della lingua di navigazione), ecc.; (ii) i cookie utilizzati per analizzare statisticamente gli accessi/le visite al sito (cookie cosiddetti "analytics") se perseguono esclusivamente scopi statistici e raccolgono informazioni in forma aggregata; occorre però che l'informativa fornita dal sito web sia chiara e adeguata e si offrano agli utenti modalità semplici per opporsi (opt-out) al loro impianto (compresi eventuali meccanismi di anonimizzazione dei cookie stessi)”.
Il consenso preventivo ed informato dell’utente, continua il Garante, è invece obbligatoriamente richiesto “per tutti i cookie "non tecnici", che presentano peraltro maggiori criticità dal punto di vista della protezione della sfera privata degli utenti, come ad esempio, quelli usati per finalità di profilazione e marketing, che  non possono essere installati sui terminali degli utenti stessi se questi non siano stati prima adeguatamente informati e non abbiano prestato al riguardo un valido consenso”.
(C.A.)

Leggi tutto...

Creazione, vendita, acquisto banche dati

Il Garante per la protezione dei dati personali per la prima volta in Italia ha applicato sanzioni elevatissime pari a 700.000 Euro, nei confronti di due società specializzate nel settore delle banche dati e di un operatore di telecomunicazioni, per avere violato provvedimenti prescrittivi già adottati nei loro confronti nel 2008 sul corretto utilizzo dei dati per finalità di marketing.


In particolare le due imprese specializzate nella creazione di banche dati, avevano realizzato e venduto archivi di dati di milioni di persone, sfruttando le informazioni contenute, ad esempio, negli elenchi telefonici distribuiti prima del 2005 e nelle liste elettorali. Questi dati erano stati raccolti in assenza degli adempimenti preliminari ad ogni trattamento, ossia senza fornire agli interessati l’informativa ed acquisirne il consenso per finalità promozionali o per la cessione delle loro informazioni ad altre società. Con riferimento invece, alla società operante nel settore delle telecomunicazioni, il Garante ha accertato che questa, nonostante fosse a conoscenza dell’origine irregolare dei dati, li aveva non soltanto acquistati, ma utilizzati per proprie finalità promozionali.

Nei tre provvedimenti di ingiunzione emanati dall’Autorità emergono alcuni spunti interessanti sulla vendita e l’acquisto di banche dati per effettuare attività promozionali e sui ruoli dei soggetti coinvolti in tali operazioni.

In primo luogo viene ribadito il principio che la individuazione dei ruoli privacy e l’attribuzione dei relativi poteri, doveri e responsabilità devono basarsi su elementi sostanziali, mentre sono del tutto irrilevanti le qualificazioni formali. In tali ultimi casi, l’eventuale nomina a responsabile del trattamento “fittizia” o “strumentale” al superamento di eventuali criticità, è nulla.

In secondo luogo viene confermato che, nel caso di una comunicazione di dati da un titolare ad un altro ed in presenza di un’informativa che considera espressamente “la comunicazione dei dati a terzi per finalità di marketing”, il titolare destinatario di tali dati deve rendere, a sua volta, la propria informativa preventiva e completa. Secondo il Garante, infatti, tale onere consente agli interessati cui i dati riferiscono “di mantenere un effettivo controllo sui propri dati personali e di poter esercitare i diritti previsti dall’art. 7 del Codice direttamente presso ciascun titolare, senza intermediazioni non previste dalla normativa”.

Inoltre viene espressamente precisato il principio della necessità di un consenso distinto e specifico per le attività di profilazione e marketing. La società destinataria del provvedimento aveva motivato la scelta dell’unico consenso in virtù della “correlazione fra la finalità di marketing diretto e la finalità di profilazione (tesa ad escludere la necessità di acquisire distinti consensi per le due finalità)”; tuttavia il Garante ha ritenuto del tutto infondata tale eccezione e si è limitato a dichiarare che “i trattamenti di dati personali finalizzati all'effettuazione di attività di marketing, profilazione e comunicazione di dati a terzi, necessitano di consensi distinti ….”

(A.B.)

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2438949

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2368171

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2428316

Leggi tutto...
Sottoscrivi questo feed RSS

Torino
R&P Legal
Via Amedeo Avogadro, 26
10121, Torino - Italy
Milano
R&P Legal
Piazzale Luigi Cadorna, 4
20123, Milano - Italy
Roma
R&P Legal
Via Emilia, 86/90
00187, Roma - Italy
Busto Arsizio
R&P Legal
Via Goito, 14
21052, Busto Arsizio (VA) - Italy

Aosta
R&P Legal
Via Croce di Città, 44
11100, Aosta - Italy
Bologna
R&P Legal
Via D’Azeglio, 19
40123, Bologna - Italy
Bergamo
R&P Legal
Viale Vittorio Emanuele II, 12
24121, Bergamo - Italy