{"id":24270,"date":"2024-06-30T09:15:43","date_gmt":"2024-06-30T08:15:43","guid":{"rendered":"https:\/\/vanleeuwenlawfirm.eu\/it\/?p=24270"},"modified":"2026-06-15T07:30:49","modified_gmt":"2026-06-15T06:30:49","slug":"accordi-sulla-privacy-e-transazioni","status":"publish","type":"post","link":"https:\/\/vanleeuwenlawfirm.eu\/it\/tech-e-digitale\/privacy-dati-e-sicurezza-informatica\/accordi-sulla-privacy-e-transazioni\/","title":{"rendered":"Accordi sulla privacy e transazioni"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Gli accordi in materia di protezione dei dati e le operazioni costituiscono il fondamento contrattuale della gestione dei dati personali nei modelli di cooperazione digitale, nelle catene di esternalizzazione, negli ambienti di piattaforma, nei servizi cloud, nelle partnership tecnologiche e nelle operazioni fondate sui dati. In una realt\u00e0 commerciale nella quale i dati personali possono circolare attraverso molteplici sistemi, parti, giurisdizioni, fornitori e subappaltatori, un accordo in materia di protezione dei dati \u00e8 molto pi\u00f9 di un allegato giuridico a un\u2019intesa commerciale. Esso determina chi esercita il controllo sui dati, chi pu\u00f2 impartire istruzioni, chi deve attuare le misure di sicurezza, chi sopporta la responsabilit\u00e0 in caso di inadempimenti, come devono essere segnalati gli incidenti, come devono essere esercitati i diritti degli interessati, come vengono svolti gli audit, come vengono controllati i sub-responsabili del trattamento e come i dati devono essere cancellati o restituiti alla cessazione del rapporto. La contrattualistica in materia di protezione dei dati diventa quindi uno strumento attraverso il quale le norme giuridiche vengono tradotte in regole di condotta opponibili nell\u2019esecuzione effettiva del rapporto. In assenza di tale precisione contrattuale, le parti possono richiamare formalmente il Regolamento generale sulla protezione dei dati, ma rimanere prive di chiarezza operativa su responsabilit\u00e0, percorsi di escalation, poteri decisionali e ripartizione dei rischi.<\/p>

Nel quadro della gestione integrata dei rischi di criminalit\u00e0 digitale, gli accordi in materia di protezione dei dati e le operazioni assumono un significato pi\u00f9 ampio rispetto alla sola conformit\u00e0 al diritto della protezione dei dati. I dati personali sono sempre pi\u00f9 connessi a rischi di criminalit\u00e0 digitale quali phishing, frode d\u2019identit\u00e0, presa di controllo degli account, compromissione della posta elettronica aziendale, ingegneria sociale, furto di dati, ransomware, abusi interni e trasferimenti non autorizzati di dati. Un accordo che non tenga conto di tali rischi resta confinato alla redazione giuridica e manca della profondit\u00e0 di governance necessaria per controllare le dipendenze digitali. La contrattualistica in materia di protezione dei dati non deve quindi essere valutata soltanto chiedendosi se siano presenti le clausole legalmente richieste, ma verificando se l\u2019accordo consenta effettivamente il controllo sul trattamento, sulla catena, sulla sicurezza, sulle strutture di notifica, sulla verificabilit\u00e0 e sull\u2019esposizione alla responsabilit\u00e0. Nelle operazioni, questa esigenza \u00e8 ancora pi\u00f9 rilevante. In fusioni, acquisizioni, joint venture, progetti di esternalizzazione, implementazioni software, accordi di condivisione dei dati e integrazioni di piattaforme, i dati personali possono costituire una componente di valore silenziosa ma decisiva. Se tale componente non viene sufficientemente esaminata, valutata, limitata o disciplinata contrattualmente, un\u2019operazione apparentemente attraente pu\u00f2 successivamente trasformarsi in una fonte di interventi regolatori, pretese risarcitorie, danni reputazionali e perturbazioni operative.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

i alla salute, dati identificativi o dati di comunicazione. Se l\u2019accordo non specifica con sufficiente precisione quale parte tratta quali dati, per quale finalit\u00e0, secondo quali istruzioni, per quale periodo e soggetta a quali obblighi di sicurezza, emerge un panorama di rischio diffuso. In tale panorama diventa difficile stabilire chi sia responsabile in caso di incidente, chi debba gestire una richiesta dell\u2019interessato, chi debba effettuare le notifiche, chi debba fornire prove, chi sopporti i costi e chi possa intervenire contrattualmente. Un accordo in materia di protezione dei dati redatto con cura ordina tali dipendenze e impedisce che la responsabilit\u00e0 giuridica si disperda tra esecuzione tecnica e interessi commerciali.<\/p>

Nel quadro della gestione integrata dei rischi di criminalit\u00e0 digitale, la spina dorsale contrattuale del trattamento dei dati deve inoltre essere progettata tenendo conto della gestione della criminalit\u00e0 digitale. Ci\u00f2 significa che gli accordi in materia di protezione dei dati non devono limitarsi a descrivere come i dati vengono trattati lecitamente, ma devono anche disciplinare come abusi, perdite, manipolazioni, accessi non autorizzati e divulgazioni indesiderate vengono prevenuti, rilevati, indagati e affrontati. Le disposizioni contrattuali su cifratura, gestione degli accessi, logging, notifica degli incidenti, cooperazione forense, regimi di backup, segregazione dei dati, controlli sul personale, sub-responsabili, trasferimenti internazionali e cessazione non costituiscono, in tale contesto, meri dettagli tecnici, ma clausole centrali della gestione dei rischi digitali. Un accordo che lasci tali aspetti in termini vaghi difficilmente pu\u00f2 fungere da strumento di indirizzo quando si verifica una perturbazione. Il valore della contrattualistica in materia di protezione dei dati risiede quindi nella misura in cui chiarisce in anticipo come le parti devono agire quando il rapporto viene sottoposto a pressione: in caso di attacco, sospetto abuso, indagine regolatoria, pretesa degli interessati o necessit\u00e0 urgente di bloccare o mettere in sicurezza i flussi di dati.<\/p>

Allocazione contrattuale delle responsabilit\u00e0 nelle catene di dati complesse<\/h4>

Le catene di dati complesse richiedono una precisa allocazione contrattuale delle responsabilit\u00e0, perch\u00e9 il controllo di fatto e la responsabilit\u00e0 giuridica non coincidono automaticamente. Una parte pu\u00f2 essere formalmente titolare del trattamento, mentre un fornitore dispone nella pratica delle conoscenze tecniche, dell\u2019accesso ai sistemi, dei log, degli strumenti di sicurezza e delle informazioni sugli incidenti necessari per adempiere obblighi essenziali. Al contrario, un responsabile del trattamento pu\u00f2 rivendicare contrattualmente un ruolo limitato, pur determinando nella pratica le impostazioni predefinite, selezionando sub-responsabili, analizzando dati, assumendo decisioni di sicurezza o utilizzando dati per manutenzione, miglioramento del prodotto o rilevazione di abusi. In tali situazioni, la chiarezza dei ruoli non \u00e8 una questione di etichettatura, ma di analisi fattuale. I contratti devono quindi determinare con precisione quale parte definisce le finalit\u00e0 e i mezzi del trattamento, quale parte agisce esclusivamente su istruzione, quale spazio esiste per un trattamento autonomo e quali obblighi si applicano quando i ruoli cambiano o si sovrappongono.<\/p>

L\u2019allocazione delle responsabilit\u00e0 non deve limitarsi a disposizioni generali sui titolari e sui responsabili del trattamento. Deve raggiungere il nucleo dell\u2019esecuzione. Ci\u00f2 richiede accordi chiari su diritti di istruzione, obblighi di documentazione, standard di sicurezza, possibilit\u00e0 di audit, linee di reporting, restrizioni di accesso, periodi di conservazione, procedure di cancellazione, subappaltatori, trasferimenti al di fuori dello Spazio economico europeo, cooperazione nelle valutazioni d\u2019impatto sulla protezione dei dati, supporto in relazione alle richieste degli interessati e allocazione dei costi in caso di incidenti. A tale riguardo, \u00e8 importante che i contratti non si limitino a elencare obblighi, ma prevedano anche meccanismi praticabili. Una clausola secondo cui il responsabile del trattamento deve adottare \u201cmisure adeguate\u201d \u00e8 spesso insufficiente se non specifica quali misure si applicano come minimo, come viene dimostrata la conformit\u00e0, quali deviazioni devono essere segnalate e quali diritti sorgono in caso di sicurezza inadeguata. Allo stesso modo, una clausola generale di audit ha valore limitato se i diritti di audit sono praticamente inutilizzabili a causa di accesso ristretto, costi elevati, condizioni irragionevoli o dipendenza da certificazioni generiche.<\/p>

Nel contesto della gestione integrata dei rischi di criminalit\u00e0 digitale, l\u2019allocazione contrattuale delle responsabilit\u00e0 \u00e8 inseparabile dalla gestione dei rischi di criminalit\u00e0 digitale. Le minacce digitali sfruttano spesso l\u2019anello pi\u00f9 debole di una catena: un subappaltatore con sicurezza limitata, un account di supporto con diritti eccessivi, un ambiente di gestione condiviso, una connessione API insufficientemente controllata, un processo di uscita poco chiaro o un fornitore che segnala gli incidenti troppo tardi. Se i contratti non stabiliscono chi gestisce tali rischi, chi analizza i segnali, chi preserva le prove, chi informa gli interessati, chi contatta le autorit\u00e0 di controllo e chi sopporta la responsabilit\u00e0, in caso di incidente si produce un ritardo gestionale. Tale ritardo pu\u00f2 aumentare il danno, indebolire la posizione probatoria e compromettere la credibilit\u00e0 nei confronti degli interessati e delle autorit\u00e0. Una robusta allocazione delle responsabilit\u00e0 fornisce quindi non soltanto chiarezza giuridica, ma anche un quadro per decisioni rapide, controllate e difendibili quando la catena \u00e8 confrontata con criminalit\u00e0 digitale o perturbazioni legate ai dati.<\/p>

Accordi con i responsabili del trattamento, garanzie e ripartizione della responsabilit\u00e0 nel contesto della protezione dei dati<\/h4>

Gli accordi con i responsabili del trattamento costituiscono una componente essenziale degli accordi in materia di protezione dei dati, ma il loro valore dipende dalla misura in cui vanno oltre formulazioni standard. L\u2019articolo 28 del Regolamento generale sulla protezione dei dati richiede, tra l\u2019altro, che il trattamento avvenga sulla base di istruzioni documentate, che sia garantita la riservatezza, che siano adottate misure di sicurezza adeguate, che i sub-responsabili siano soggetti a condizioni, che venga fornito supporto in relazione ai diritti degli interessati e agli obblighi di notifica, e che i dati siano cancellati o restituiti al termine dell\u2019incarico. Nella prassi commerciale, tali obblighi sono spesso inseriti in un accordo sul trattamento dei dati, ma ci\u00f2 non significa che l\u2019accordo offra una protezione sufficiente. Molti accordi con i responsabili del trattamento sono generici, favorevoli al fornitore, debolmente azionabili o insufficientemente allineati al trattamento effettivo. Di conseguenza, un\u2019organizzazione pu\u00f2 disporre formalmente di un accordo con il responsabile del trattamento mentre il controllo sostanziale sui dati personali rimane inadeguato.<\/p>

Le garanzie svolgono un ruolo centrale in questo ambito. Un fornitore pu\u00f2 dichiarare di rispettare il Regolamento generale sulla protezione dei dati, di avere implementato misure tecniche e organizzative adeguate, di vincolare il personale alla riservatezza, di selezionare con cura i sub-responsabili, di effettuare trasferimenti leciti e di segnalare gli incidenti tempestivamente. Tali garanzie hanno reale valore solo quando sono concrete, verificabili e collegate a conseguenze. Una garanzia priva di obbligo di informazione, diritto di audit, obbligo di rimedio, diritto di sospensione, indennizzo o meccanismo di responsabilit\u00e0 produce effetti limitati. In un contesto di protezione dei dati, il rapporto tra garanzie e limitazioni di responsabilit\u00e0 deve quindi essere esaminato con attenzione. I fornitori cercano spesso di limitare la responsabilit\u00e0 ai danni diretti, a un tetto monetario basso o a una percentuale del corrispettivo annuo. Per i clienti, ci\u00f2 pu\u00f2 essere problematico quando un incidente privacy comporta misure regolatorie, costi di notifica, indagini forensi, operazioni di ripristino, pretese degli interessati, perdita di clienti, penali contrattuali o danno reputazionale. Una ripartizione equilibrata della responsabilit\u00e0 deve tenere conto della natura dei dati, della scala del trattamento, del profilo di rischio del servizio e dell\u2019effettiva influenza delle parti sulla produzione e sulla mitigazione del danno.<\/p>

Nel quadro della gestione integrata dei rischi di criminalit\u00e0 digitale, la ripartizione della responsabilit\u00e0 deve essere considerata come parte della gestione della criminalit\u00e0 digitale. Una violazione dei dati o un accesso non autorizzato raramente costituisce soltanto una questione di protezione dei dati; spesso si tratta di una pi\u00f9 ampia perturbazione digitale nella quale attori criminali sfruttano sicurezza debole, controlli di accesso carenti, monitoraggio insufficiente o risposta agli incidenti inadeguata. I contratti devono quindi determinare quali costi e obblighi sorgono in caso di ransomware, phishing, compromissione di credenziali, insider malevoli, furto di dati, manipolazione dei dati o uso improprio dei sistemi per finalit\u00e0 fraudolente. Occorre inoltre considerare che il danno non \u00e8 sempre immediatamente visibile. I dati possono essere copiati senza pubblicazione immediata, gli account possono essere utilizzati per frodi successive, i file di log possono essere incompleti e gli interessati possono subire un pregiudizio solo in una fase successiva. Un accordo in materia di protezione dei dati redatto con cura deve quindi prevedere ampi obblighi di cooperazione, obblighi di conservazione delle prove, termini di notifica pi\u00f9 brevi dei massimi legali, obblighi di svolgere indagini forensi, comunicazione trasparente e clausole di responsabilit\u00e0 coerenti con il profilo di rischio effettivo.<\/p>

Gli accordi in materia di protezione dei dati come collegamento tra norma giuridica ed esecuzione operativa<\/h4>

Gli accordi in materia di protezione dei dati hanno vero valore solo quando collegano la norma giuridica all\u2019esecuzione operativa. Il Regolamento generale sulla protezione dei dati stabilisce obblighi che devono essere compresi a livello di governance, ma che devono essere eseguiti nella pratica quotidiana da consulenti legali, responsabili compliance, responsabili privacy, team IT, team di sicurezza, procurement, contract management, responsabili di business e fornitori esterni. Un contratto redatto esclusivamente in termini giuridici, ma non allineato a processi di lavoro, sistemi, responsabilit\u00e0 e linee di escalation, resta vulnerabile. Il rischio \u00e8 che le parti accettino formalmente obblighi che non sono in grado di eseguire operativamente. Si pensi a un obbligo di cancellare tutti i dati entro un termine breve mentre backup, log o obblighi legali di conservazione rendono complessa tale attivit\u00e0; a un obbligo di supportare richieste di accesso mentre i dati sono distribuiti su pi\u00f9 ambienti; oppure a un obbligo di notifica entro un termine molto breve mentre il rilevamento degli incidenti e il reporting interno non sono progettati di conseguenza. La forza della contrattualistica in materia di protezione dei dati risiede nella capacit\u00e0 di tradurre requisiti giuridici in procedure eseguibili.<\/p>

Tale collegamento richiede un allineamento preciso tra testo contrattuale e trattamento effettivo dei dati. Deve essere chiaro fin dall\u2019inizio quali categorie di dati personali vengono trattate, quali interessati sono coinvolti, quali finalit\u00e0 di trattamento si applicano, dove i dati sono conservati, quali sistemi vengono utilizzati, chi ha accesso, quali terzi sono coinvolti, quali periodi di conservazione si applicano e quali misure di sicurezza sono richieste come minimo. Deve inoltre essere stabilito come vengono governati i cambiamenti del servizio. I rapporti digitali cambiano spesso durante il loro ciclo di vita: vengono aggiunte nuove funzionalit\u00e0, cambiano i sub-responsabili, crescono i volumi di dati, vengono integrati strumenti analitici, vengono modificati i processi di supporto e possono cambiare i luoghi internazionali di conservazione. Un accordo in materia di protezione dei dati che non contenga una procedura per tali cambiamenti perde rapidamente contatto con la realt\u00e0. Sono quindi necessarie disposizioni su informazione preventiva, diritti di approvazione, valutazioni d\u2019impatto, gestione delle modifiche, documentazione e diritti di recesso o risoluzione in caso di spostamenti sostanziali del rischio.<\/p>

Nel quadro della gestione integrata dei rischi di criminalit\u00e0 digitale, questo collegamento tra norma ed esecuzione \u00e8 decisivo per l\u2019efficacia della gestione della criminalit\u00e0 digitale. La criminalit\u00e0 digitale non si manifesta in definizioni giuridiche, ma in processi concreti: un dipendente clicca su un link fraudolento, un account amministratore viene preso in controllo, un sub-responsabile si rivela vulnerabile, una chiave API viene divulgata, un database viene esfiltrato o un fornitore segnala un incidente troppo tardi. Un accordo in materia di protezione dei dati deve quindi essere strutturato in modo tale che tali scenari non siano soltanto descritti giuridicamente, ma anche assorbiti operativamente. Ci\u00f2 richiede disposizioni su rilevamento, escalation, comunicazione, condivisione delle informazioni, accesso ai log rilevanti, conservazione delle prove, ripartizione dei ruoli durante l\u2019indagine, restrizione temporanea dei flussi di dati e misure di rimedio. Se tali meccanismi mancano, un incidente crea un vuoto nel quale le parti negoziano le responsabilit\u00e0 mentre \u00e8 richiesta un\u2019azione immediata. Un accordo in materia di protezione dei dati ben progettato evita tale vuoto e trasforma la contrattualistica in uno strumento pratico di controllo, continuit\u00e0 e responsabilizzazione.<\/p>

Il ruolo delle negoziazioni su dati, rischi e obblighi di conformit\u00e0<\/h4>

Le negoziazioni sugli accordi in materia di protezione dei dati sono spesso pi\u00f9 sensibili di quanto possano apparire inizialmente, perch\u00e9 toccano direttamente potere, dipendenza, responsabilit\u00e0 e valore commerciale. Un fornitore cercher\u00e0 generalmente condizioni standard, diritti di audit limitati, ampia flessibilit\u00e0 nel ricorso a sub-responsabili, responsabilit\u00e0 limitata e margine per trattare i dati per finalit\u00e0 interne. Un cliente, al contrario, avr\u00e0 bisogno di trasparenza, controllo, obblighi di sicurezza azionabili, chiari doveri di notifica, restrizioni all\u2019uso dei dati, diritti di uscita effettivi e responsabilit\u00e0 proporzionata al rischio. Questi interessi entrano frequentemente in collisione, soprattutto quando il fornitore dispone di potere di mercato o quando il cliente dipende da una tecnologia specifica. Le negoziazioni in materia di protezione dei dati non sono quindi un esercizio amministrativo, ma una componente sostanziale del posizionamento commerciale rispetto al rischio. Il loro esito determina chi sopporta le conseguenze fattuali e finanziarie quando il trattamento dei dati viene sottoposto a pressione.<\/p>

Le negoziazioni non devono concentrarsi soltanto sulle clausole giuridiche, ma anche sull\u2019allocazione sottostante del rischio. Un limite di responsabilit\u00e0 basso pu\u00f2 apparire commercialmente attraente, ma pu\u00f2 essere inaccettabile quando il servizio riguarda grandi volumi di dati personali o dati sensibili. Un diritto generico di ricorrere a sub-responsabili pu\u00f2 essere efficiente per il fornitore, ma problematico quando vi \u00e8 insufficiente visibilit\u00e0 su Paesi, livelli di sicurezza o dipendenze di catena. Un diritto di audit pu\u00f2 esistere sulla carta, ma avere scarso effetto pratico se gli audit possono svolgersi solo una volta l\u2019anno, sono limitati ai certificati o dipendono da un ampio preavviso. Anche clausole sui trasferimenti, notifiche di incidenti, luoghi di conservazione dei dati, periodi di conservazione e procedure di cancellazione richiedono un\u2019attenta negoziazione. In ciascun caso occorre valutare quali disposizioni siano essenziali, quali siano negoziabili e quali rischi possano essere mitigati contrattualmente, tecnicamente o organizzativamente.<\/p>

Nel quadro della gestione integrata dei rischi di criminalit\u00e0 digitale, le negoziazioni su dati, rischi e obblighi di conformit\u00e0 costituiscono un momento importante per identificare in anticipo i rischi di criminalit\u00e0 digitale. Le negoziazioni costringono le parti a rispondere a domande che spesso rimangono nascoste nei contratti standard: quale parte rileva attivit\u00e0 sospette, quale parte ha accesso ai dati di log, quale parte conduce l\u2019indagine forense, quale parte sostiene i costi della comunicazione di crisi, quale parte informa gli interessati, quale parte controlla i sub-responsabili e quale parte pu\u00f2 interrompere temporaneamente i flussi di dati in caso di minaccia acuta. Rendendo esplicite tali domande, emerge una disciplina contrattuale che va oltre la conformit\u00e0 documentale. Una parte che durante le negoziazioni non sia in grado di fornire risposte chiare su sicurezza, risposta agli incidenti, subappaltatori o trasferimenti internazionali rivela un segnale di rischio rilevante. Le negoziazioni in materia di protezione dei dati svolgono quindi anche una funzione di due diligence: rivelano se l\u2019altra parte esercita realmente controllo sul trattamento dei dati, sulla conformit\u00e0 e sulla gestione della criminalit\u00e0 digitale.<\/p>

Operazioni nelle quali i dati personali svolgono un ruolo centrale o implicito<\/h4>

Le operazioni nelle quali i dati personali svolgono un ruolo centrale o implicito richiedono una valutazione molto pi\u00f9 rigorosa rispetto a una tradizionale verifica giuridica relativa alla propriet\u00e0, ai contratti, al personale, alle licenze e agli obblighi finanziari. In molte imprese digitali, societ\u00e0 di piattaforma, servizi software, operatori sanitari, prestatori di servizi finanziari, organizzazioni di marketing, imprese di commercio elettronico e strutture di cooperazione tecnologica, i dati personali costituiscono una componente sostanziale del valore commerciale. Banche dati clienti, profili utente, dati comportamentali, dati transazionali, cronologie delle comunicazioni, dati identificativi, dati di localizzazione, informazioni di pagamento, dati relativi alla salute, dati delle risorse umane e insiemi analitici di dati possono svolgere un ruolo importante nella valutazione economica, nella continuit\u00e0, nella fidelizzazione dei clienti, nello sviluppo dei prodotti e nel posizionamento strategico. Al tempo stesso, quegli stessi asset informativi possono diventare una fonte di vulnerabilit\u00e0 giuridica quando sono stati raccolti illecitamente, documentati in modo insufficiente, utilizzati senza una base giuridica adeguata, conservati troppo a lungo, condivisi con un numero eccessivo di soggetti o resi dipendenti da consensi dei quali non sia possibile dimostrare che siano stati liberamente prestati, specifici, informati e inequivocabili. In un contesto transazionale pu\u00f2 quindi crearsi una situazione nella quale il valore commerciale di un\u2019impresa si fonda in parte su trattamenti di dati che, a posteriori, risultano meno difendibili di quanto fosse stato presupposto durante la formazione dell\u2019operazione.<\/p>

Nelle fusioni, acquisizioni, carve-out, joint venture, esternalizzazioni, investimenti strategici e partnership commerciali deve pertanto essere accertato con precisione quali dati personali siano interessati dall\u2019operazione e quali rischi vi siano connessi. Tale valutazione deve andare oltre la mera domanda se esistano informative privacy, accordi sul trattamento dei dati e registri interni. Il punto decisivo \u00e8 se tali documenti corrispondano al trattamento effettivo. Un acquirente, investitore, committente o partner di cooperazione deve poter valutare quali dati siano trattati, da quali fonti provengano, quali basi giuridiche siano invocate, quali termini di conservazione si applichino, quali terzi vi abbiano accesso, quali trasferimenti avvengano, quali incidenti si siano verificati, quali reclami siano stati ricevuti, quali rischi regolatori esistano e quali limitazioni si applichino all\u2019utilizzo futuro. Deve inoltre essere esaminato se gli insiemi di dati siano effettivamente trasferibili, utilizzabili e giuridicamente sfruttabili dopo il closing, l\u2019integrazione o la migrazione. Quando i dati personali potevano essere trattati soltanto per una finalit\u00e0 determinata, il loro riutilizzo all\u2019interno di un nuovo modello economico o di una diversa struttura di gruppo pu\u00f2 risultare problematico. L\u2019operazione pu\u00f2 allora generare un valore inferiore a quello atteso, non a causa di una sottoperformance commerciale, ma perch\u00e9 il fondamento giuridico dei dati non \u00e8 sufficientemente ampio da poter essere sfruttato.<\/p>

Nel quadro della gestione integrata dei rischi di criminalit\u00e0 digitale, tali operazioni assumono inoltre un rilievo esplicito per la gestione della criminalit\u00e0 digitale. Un\u2019operazione pu\u00f2 portare con s\u00e9 rischi di criminalit\u00e0 digitale nascosti, che diventano visibili soltanto dopo il perfezionamento: violazioni storiche dei dati, diritti di accesso deboli, logging insufficiente, catene poco chiare di sub-responsabili del trattamento, integrazioni vulnerabili, separazione inadeguata degli ambienti cliente, aggiornamenti di sicurezza arretrati, dossier incidenti incompleti o dipendenza da fornitori con trasparenza limitata. Se tali rischi non vengono affrontati nella due diligence, nelle garanzie, negli indennizzi, nelle condizioni di closing e negli obblighi post-closing, la parte acquirente pu\u00f2 trovarsi dopo il perfezionamento di fronte a obblighi economicamente e reputazionalmente pi\u00f9 gravi del previsto. Gli accordi in materia di protezione dei dati e la documentazione transazionale devono quindi determinare non soltanto quali dati personali siano trasferiti o messi a disposizione, ma anche quali dichiarazioni vengano rese in merito a liceit\u00e0, sicurezza, storico degli incidenti, controllo della catena, trasferimenti, diritti degli interessati e conformit\u00e0 agli standard applicabili. In tal senso, la due diligence in materia di protezione dei dati non \u00e8 un filone accessorio, ma una componente essenziale della valutazione, della limitazione dei rischi e del processo decisionale strategico.<\/p>

I contratti come strumento di controllo dell\u2019esposizione legata ai dati<\/h4>

I contratti sono tra gli strumenti pi\u00f9 importanti per rendere gestibile l\u2019esposizione legata ai dati, poich\u00e9 determinano in anticipo il modo in cui i rischi vengono allocati, limitati, controllati e corretti. L\u2019esposizione legata ai dati non consiste soltanto in potenziali sanzioni o pretese risarcitorie. Essa comprende anche i costi di risposta agli incidenti, indagine forense, notifica agli interessati, comunicazione con le autorit\u00e0 di controllo, ripristino dei sistemi, limitazione temporanea dell\u2019erogazione dei servizi, assistenza legale, recupero reputazionale, pretese contrattuali di partner commerciali, perdita di fiducia e perturbazione della continuit\u00e0 operativa. In questo pi\u00f9 ampio profilo di rischio diventa evidente che la contrattualistica in materia di protezione dei dati non pu\u00f2 essere confinata alla conformit\u00e0 giuridica. I contratti devono creare un quadro di controllo difendibile nel quale sia chiaro quali dati siano protetti, quale standard si applichi, quale parte sopporti quale obbligo, quali meccanismi di controllo siano disponibili e quali conseguenze derivino dagli inadempimenti. Senza tale precisione contrattuale, l\u2019esposizione legata ai dati rimane diffusa, difficile da attribuire e difficile da contenere.<\/p>

Un efficace quadro contrattuale di controllo contiene pertanto pi\u00f9 livelli. In primo luogo, il contratto deve delimitare sostanzialmente il trattamento dei dati: categorie di dati personali, categorie di interessati, finalit\u00e0, attivit\u00e0 di trattamento consentite, attivit\u00e0 di trattamento vietate, termini di conservazione, obblighi di restituzione o cancellazione e restrizioni sull\u2019uso secondario. Successivamente, il contratto deve registrare le misure di controllo: diritti di accesso, procedure di autorizzazione, cifratura, logging, segregazione dei dati, obblighi di backup, test delle misure di sicurezza, formazione del personale, obblighi di riservatezza e supervisione dei subappaltatori. Inoltre, il contratto deve prevedere garanzie procedurali: termini di notifica, percorsi di escalation, obblighi informativi, diritti di audit, obblighi di reporting, strutture di consultazione, gestione delle modifiche, pianificazione dell\u2019uscita e conservazione delle prove. Infine, la ripartizione della responsabilit\u00e0 deve corrispondere al profilo di rischio effettivo. Un contratto che contiene obblighi rigorosi in materia di protezione dei dati ma esclude quasi integralmente la responsabilit\u00e0 lascia in essere una posizione di rischio squilibrata. Il testo contrattuale deve quindi essere letto congiuntamente a limiti di responsabilit\u00e0, indennizzi, obblighi assicurativi, diritti di sospensione, diritti di risoluzione e obblighi di rimedio.<\/p>

Nel quadro della gestione integrata dei rischi di criminalit\u00e0 digitale, l\u2019esposizione legata ai dati acquisisce una dimensione ulteriore, poich\u00e9 i dati personali sono spesso il bersaglio, il mezzo o la conseguenza della criminalit\u00e0 digitale. Nel phishing, l\u2019accesso ai dati personali pu\u00f2 essere utilizzato per condurre attacchi credibili. Nella frode d\u2019identit\u00e0, i dati dei clienti possono essere usati per abusi finanziari. Nei ransomware, la cifratura o l\u2019esfiltrazione di dati personali pu\u00f2 generare estorsione, obblighi di notifica e danno reputazionale. Nella compromissione della posta elettronica aziendale, dati personali, coordinate di pagamento e comunicazioni interne possono essere utilizzati per manipolare i flussi di pagamento. I contratti non devono quindi limitarsi a rispondere alle violazioni dei dati dopo che esse siano state accertate, ma devono disciplinare in anticipo il modo in cui le parti gestiscono sospetti, segnali, anomalie, accessi sospetti, esportazioni insolite di dati, compromissioni di account e incidenti che coinvolgano sub-responsabili del trattamento. Le clausole contrattuali relative alla gestione della criminalit\u00e0 digitale devono essere sufficientemente concrete da fornire un orientamento immediato sotto pressione. Un contratto che in una crisi richiede innanzitutto interpretazione non presenta la precisione necessaria per limitare rapidamente l\u2019esposizione.<\/p>

Il rapporto tra accordi in materia di protezione dei dati e fiducia nei modelli di cooperazione<\/h4>

Gli accordi in materia di protezione dei dati hanno un impatto diretto sulla fiducia nei modelli di cooperazione, perch\u00e9 mostrano se le parti sono disposte ad assumersi responsabilit\u00e0 per i dati trattati nell\u2019ambito del rapporto. La fiducia non nasce soltanto dalla reputazione commerciale, dalla qualit\u00e0 tecnologica o da una cooperazione di lunga durata, ma dalla disponibilit\u00e0 dimostrabile a concludere accordi trasparenti, equilibrati e praticabili in materia di dati personali. Quando una parte rifiuta qualsiasi forma di audit, mantiene vaghe le notifiche di incidente, non \u00e8 disposta a identificare concretamente i sub-responsabili del trattamento, esclude la responsabilit\u00e0 in modo ampio o spiega insufficientemente i trasferimenti internazionali, ci\u00f2 invia un segnale importante sulla propensione al rischio e sul livello di controllo. Al contrario, una parte pu\u00f2 rafforzare la fiducia fornendo chiarezza su misure di sicurezza, luoghi di conservazione dei dati, gestione degli accessi, risposta agli incidenti, certificazioni, governance interna, termini di conservazione e cooperazione in relazione ai diritti degli interessati. La contrattualistica in materia di protezione dei dati diventa cos\u00ec una pietra di paragone dell\u2019affidabilit\u00e0 nella cooperazione digitale.<\/p>

Nei modelli di cooperazione complessi, la fiducia \u00e8 fragile perch\u00e9 molteplici interessi si intersecano. Un fornitore cloud ricerca scalabilit\u00e0 e standardizzazione. Un partner tecnologico desidera margine per il miglioramento del prodotto. Una parte di marketing vuole analizzare i dati e procedere alla segmentazione. Un cliente vuole controllare la liceit\u00e0 e proteggere la reputazione. Un sub-responsabile del trattamento vuole mantenere flessibilit\u00e0 operativa. Un interessato si attende protezione, trasparenza e controllo. Un\u2019autorit\u00e0 di controllo richiede conformit\u00e0 dimostrabile. Gli accordi in materia di protezione dei dati devono organizzare questi interessi in modo tale che la cooperazione rimanga possibile senza ridurre la protezione dei dati personali a una promessa astratta. Ci\u00f2 richiede un linguaggio non soltanto giuridicamente corretto, ma anche chiaro dal punto di vista della governance. Le parti devono poter dedurre dall\u2019accordo quando sia richiesto il consenso, quando si applichino le istruzioni, quando sia necessaria una valutazione supplementare, quando una modifica debba essere notificata preventivamente, quando un trasferimento sia inammissibile, quando i dati debbano essere limitati e quando la cooperazione debba essere sospesa o risolta.<\/p>

Nel quadro della gestione integrata dei rischi di criminalit\u00e0 digitale, la fiducia \u00e8 inoltre connessa alla capacit\u00e0 di sostenere e controllare collettivamente i rischi di criminalit\u00e0 digitale. La criminalit\u00e0 digitale sfrutta le dipendenze tra le parti. Un aggressore non deve sempre compromettere l\u2019organizzazione principale; l\u2019accesso tramite un fornitore, un canale di supporto, un ambiente di sviluppo, un partner di integrazione o un sub-responsabile del trattamento pu\u00f2 essere sufficiente per compromettere i dati. La fiducia nei modelli di cooperazione non \u00e8 quindi pi\u00f9 soltanto relazionale o commerciale, ma anche fondata sul rischio e sulla governance. Gli accordi in materia di protezione dei dati devono pertanto imporre trasparenza reciproca su minacce, vulnerabilit\u00e0, incidenti e misure di rimedio. La fiducia senza controllo diventa vulnerabilit\u00e0; il controllo senza fiducia pu\u00f2 paralizzare la cooperazione. La forza di un solido accordo in materia di protezione dei dati risiede nell\u2019equilibrio tra entrambi: sufficiente trasparenza e opponibilit\u00e0 per controllare i rischi, sufficiente proporzionalit\u00e0 e praticabilit\u00e0 per mantenere efficace la cooperazione. In tale equilibrio, la contrattualistica in materia di protezione dei dati diventa uno strumento di cooperazione duratura in un ambiente digitale nel quale dipendenza e minaccia sono continuamente intrecciate.<\/p>

La formazione contrattuale accurata come protezione contro controversie e interventi regolatori<\/h4>

La formazione contrattuale accurata protegge contro controversie e interventi regolatori perch\u00e9 crea in anticipo chiarezza su standard, aspettative, responsabilit\u00e0 e posizioni probatorie. Molte controversie in materia di protezione dei dati non nascono soltanto perch\u00e9 si verifica un incidente, ma perch\u00e9 le parti interpretano a posteriori in modo diverso ci\u00f2 che era stato concordato. Il cliente ritiene che il fornitore fosse responsabile della sicurezza, mentre il fornitore sostiene di aver semplicemente messo a disposizione facilitazioni tecniche. Il titolare del trattamento si attende supporto nelle richieste di accesso, mentre il responsabile del trattamento afferma che le attivit\u00e0 aggiuntive devono essere remunerate separatamente. Una parte si aspetta una notifica immediata di attivit\u00e0 sospette, mentre l\u2019altra segnala l\u2019evento soltanto dopo che una violazione dei dati sia stata formalmente accertata. Un contratto che non disciplina concretamente tali punti aumenta la probabilit\u00e0 di conflitto proprio nel momento in cui rapidit\u00e0, chiarezza e cooperazione sono necessarie. La formazione contrattuale accurata impedisce che l\u2019ambiguit\u00e0 stessa diventi un ulteriore fattore di rischio.<\/p>

La formazione contrattuale ha inoltre un\u2019importante funzione probatoria nei confronti delle autorit\u00e0 di controllo. In risposta a quesiti dell\u2019autorit\u00e0 olandese per la protezione dei dati o di un\u2019altra autorit\u00e0 competente, un\u2019organizzazione deve poter dimostrare che il trattamento dei dati \u00e8 stato valutato non soltanto giuridicamente, ma anche controllato contrattualmente e organizzativamente. Un accordo in materia di protezione dei dati pu\u00f2 allora mostrare quali istruzioni siano state impartite, quali misure di sicurezza siano state richieste, quali condizioni applicabili ai sub-responsabili del trattamento siano state concordate, quali diritti di audit siano stati previsti, quali obblighi di notifica esistano, quali valutazioni sui trasferimenti siano state effettuate e quali obblighi di uscita siano stati inclusi. La formazione contrattuale sostiene cos\u00ec il principio di responsabilizzazione previsto dal Regolamento generale sulla protezione dei dati. Al contrario, un accordo debole o generico pu\u00f2 rafforzare l\u2019impressione che i rischi in materia di protezione dei dati siano stati considerati in modo insufficiente. Soprattutto quando il trattamento effettivo \u00e8 sensibile, su larga scala, internazionale o ad alto rischio, una clausola standard priva di concreta giustificazione sar\u00e0 raramente persuasiva. La formazione contrattuale deve quindi riflettere la natura del trattamento e il profilo di rischio del rapporto.<\/p>

Nel quadro della gestione integrata dei rischi di criminalit\u00e0 digitale, la formazione contrattuale accurata protegge anche contro l\u2019escalation successiva agli incidenti digitali. In caso di ransomware, furto di dati, accesso non autorizzato, compromissione di account, uso improprio di integrazioni API o incidenti che coinvolgano sub-responsabili del trattamento, sorgono spesso immediatamente controversie su notifica, indagine, costi, comunicazione, responsabilit\u00e0 e prove. Se tali temi sono stati affrontati in anticipo, \u00e8 possibile agire pi\u00f9 rapidamente e il conflitto giuridico pu\u00f2 essere limitato alle questioni essenziali. I contratti devono quindi prevedere definizioni chiare di incidente, termini di notifica brevi, obblighi di conservazione dei log, cooperazione nell\u2019indagine forense, limitazione di ulteriori trattamenti, coordinamento delle comunicazioni, assistenza nelle notifiche alle autorit\u00e0 di controllo e agli interessati, nonch\u00e9 misure di rimedio a carico della parte responsabile. Tali disposizioni non solo rafforzano la posizione in una potenziale controversia, ma riducono anche la probabilit\u00e0 che un incidente si trasformi in un dossier regolatorio nel quale mancanza di preparazione, allocazione poco chiara dei ruoli o lentezza della risposta pesino pi\u00f9 dell\u2019incidente stesso.<\/p>

La governance strategica dell\u2019integrit\u00e0 digitale richiede una contrattualistica approfondita in materia di protezione dei dati<\/h4>

La governance strategica dell\u2019integrit\u00e0 digitale richiede una contrattualistica approfondita in materia di protezione dei dati, perch\u00e9 i dati personali non possono pi\u00f9 essere trattati come un tema giuridico separato accanto a strategia commerciale, tecnologia, conformit\u00e0, sicurezza delle informazioni e reputazione. Il trattamento dei dati tocca il nucleo delle attivit\u00e0 digitali. Determina il modo in cui i clienti vengono identificati, i servizi vengono erogati, i rischi vengono analizzati, il marketing viene organizzato, i dipendenti vengono gestiti, le operazioni vengono eseguite e le organizzazioni cooperano con soggetti esterni. La contrattualistica in materia di protezione dei dati deve quindi essere integrata in un processo decisionale pi\u00f9 ampio relativo a governance, accettazione del rischio, selezione dei fornitori, sviluppo dei prodotti, operazioni e gestione delle crisi. Un approccio contrattuale superficiale pu\u00f2 apparire efficiente nel breve periodo, ma crea vulnerabilit\u00e0 nel pi\u00f9 lungo periodo. Profondit\u00e0 significa che i contratti non contengono soltanto terminologia legale, ma corrispondono effettivamente ai flussi di dati, ai processi operativi, alle minacce digitali, alle posizioni di responsabilit\u00e0 e alle responsabilit\u00e0 di governance.<\/p>

La profondit\u00e0 nella contrattualistica in materia di protezione dei dati richiede una valutazione critica sia del contenuto sia del contesto. Il contenuto comprende ruoli, finalit\u00e0, basi giuridiche, istruzioni, sicurezza, subappaltatori, trasferimenti, termini di conservazione, audit, risposta agli incidenti, diritti degli interessati, responsabilit\u00e0 e cessazione. Il contesto comprende la natura del rapporto, l\u2019equilibrio di potere tra le parti, il tipo di dati, la scala del trattamento, la dipendenza tecnica, la componente internazionale, il profilo regolatorio, gli standard settoriali e la misura in cui il trattamento dei dati determina il valore commerciale. Un accordo standard pu\u00f2 essere sufficiente in un rapporto a basso rischio, ma inadeguato in caso di trattamento su larga scala, dati sensibili, servizi critici, analisi intensiva dei dati o dipendenza da pi\u00f9 fornitori. Una contrattualistica approfondita in materia di protezione dei dati significa quindi che il contratto \u00e8 allineato alla posizione di rischio effettiva e non alla comodit\u00e0 di documenti modello. Essa richiede anche una revisione periodica quando cambiano servizi, regolamentazione, panorama delle minacce, catene di fornitura o utilizzo dei dati.<\/p>

Nel quadro della gestione integrata dei rischi di criminalit\u00e0 digitale, la contrattualistica approfondita in materia di protezione dei dati costituisce uno strumento essenziale di gestione della criminalit\u00e0 digitale. I rischi di criminalit\u00e0 digitale sorgono spesso all\u2019intersezione tra dati, tecnologia, comportamento umano, dipendenza dai fornitori e controllo insufficiente. Un buon contratto non pu\u00f2 eliminare la criminalit\u00e0 digitale, ma pu\u00f2 determinare come le vulnerabilit\u00e0 siano limitate, come i segnali siano condivisi, come gli incidenti siano investigati, come le responsabilit\u00e0 siano allocate e come il danno sia contenuto. La governance strategica dell\u2019integrit\u00e0 digitale richiede quindi che gli accordi in materia di protezione dei dati non siano considerati una formalit\u00e0 giuridica, ma parte di una struttura di rischio pi\u00f9 ampia nella quale convergono conformit\u00e0, sicurezza, gestione contrattuale, interlocuzione con le autorit\u00e0, continuit\u00e0 operativa e protezione della reputazione. Una contrattualistica approfondita in materia di protezione dei dati dimostra che la protezione dei dati personali non \u00e8 soltanto un obbligo giuridico previsto dal Regolamento generale sulla protezione dei dati, ma una condizione essenziale per una cooperazione digitale affidabile, operazioni controllabili e decisioni difendibili in un ambiente nel quale dati, dipendenza e criminalit\u00e0 digitale sono sempre pi\u00f9 strettamente intrecciati.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\r\n\r\n
\r\n \r\n
\r\n \r\n \n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Prevenzione\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Rilevamento\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Indagine\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Risposta\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Consulenza\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Contenzioso\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Negoziazione\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article> \r\n \r\n <\/div>\r\n \r\n \r\n<\/div>\r\n\r\n \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

Gli accordi in materia di protezione dei dati e le operazioni costituiscono il fondamento contrattuale della gestione dei dati personali nei modelli di cooperazione digitale, nelle catene di esternalizzazione, negli ambienti di piattaforma, nei servizi cloud, nelle partnership tecnologiche e nelle operazioni fondate sui dati. In una realt\u00e0 commerciale nella quale i dati personali possono circolare attraverso molteplici sistemi, parti, giurisdizioni, fornitori e subappaltatori, un accordo in materia di protezione dei dati \u00e8 molto pi\u00f9 di un allegato giuridico a un\u2019intesa commerciale. Esso determina chi esercita il controllo sui dati, chi pu\u00f2 impartire istruzioni, chi deve attuare le misure di<\/p>\n","protected":false},"author":1,"featured_media":34763,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[39],"tags":[],"class_list":["post-24270","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-privacy-dati-e-sicurezza-informatica"],"acf":[],"_links":{"self":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/posts\/24270","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/comments?post=24270"}],"version-history":[{"count":11,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/posts\/24270\/revisions"}],"predecessor-version":[{"id":34798,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/posts\/24270\/revisions\/34798"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/media\/34763"}],"wp:attachment":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/media?parent=24270"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/categories?post=24270"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/tags?post=24270"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}