La società nell’ambito della propria attività aziendale e al fine di fornire i prodotti e i servizi richiesti dal mercato raccoglie e tratta anche informazioni di natura personale. I soggetti a cui si riferiscono tali dati sono: dipendenti, clienti, fornitori, potenziali aspiranti candidati. A titolo esemplificativo e non esaustivo comprendono: nome, indirizzo, numero di telefono, indirizzo e-mail, data di nascita, eventuali numeri di identificazione, informazioni sensibili e bancarie.
La società è protetta da antifurto ed è dotata di un impianto di videosorveglianza a circuito chiuso (area esterna). Non è presente alcun impianto di videosorveglianza all’interno dell’edificio. Le immagini sono registrate e salvate in hard disk e conservate fino a 24 ore decorsi i quali vengono automaticamente cancellate. In caso di intrusione, l’Incaricato a visionare le immagini è il Sig. Massimo Tartaro. Per prevenire eventi naturali accidentali quali allagamenti e corto circuito si è proceduto ad adottare tutte le cautele previste dalla normativa in tema di sicurezza degli impianti tecnologici come ad esempio l’impianto elettrico dotato di dispositivi salvavita.
La società si impegna alla raccolta, all’elaborazione, all’archiviazione e alla distruzione di tutte le informazioni di natura personale in conformità con la vigente normativa sulla privacy.
In particolare, la società ha in atto politiche, procedure, misure tecniche – organizzative e di controllo, inclusa la formazione del personale, per assicurare il rispetto del D.Lgs. 196/2003 e del Regolamento (UE) 2016/679 (GDPR).
Assicurare la sicurezza dei dati personali delle persone con cui la società entra in contatto è fondamentale per la filosofia aziendale della società.
La presente privacy policy delinea le modalità con cui la società tratta i dati personali e le politiche di protezione degli stessi atte a garantire la conformità con i contenuti del regolamento GDPR, l’approccio alla protezione dei dati sulla base dei principi “privacy by design” e “privacy by default”, nonché la possibilità degli interessati di esercitare i loro diritti.
La presente privacy policy ha lo scopo di garantire, da parte della società, la conformità alla normativa vigente sulla privacy e di illustrare le politiche seguite al fine di minimizzare il rischio di violazioni e di assicurare la protezione dei dati personali.
I principi e le disposizioni della presente privacy policy sono vincolanti per tutto il personale dipendente della società (lavoratori a tempo indeterminato, determinato, lavoratori interinali, stagisti), incluse terze parti o eventuali sub-appaltatori che trattano i dati per conto della società. Tali soggetti si impegnano a svolgere le proprie attività nell’assoluto rispetto della presente privacy policy.
La società si impegna a favorire la massima diffusione della presente privacy policy provvedendo ai relativi ed eventuali aggiornamenti, nonché alla informazione e formazione di tutti i dipendenti per sensibilizzarli ad un corretto trattamento dei dati personali in linea con il Regolamento generale (UE).
GDPR: regolamento generale sulla protezione dei dati (UE) e, per le finalità del presente documento, l’acronimo comprende tutte le leggi sulla protezione dei dati cui la società è sottoposta.
Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”). Si considera identificabile la persona che può essere identificata, direttamente o indirettamente, con particolare riferimento ad un dato identificativo: ad esempio il nome, un numero di identificazione, dati relative all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Trattamento: qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Interessato: soggetto a cui si riferiscono i dati personali trattati
Titolare del trattamento: persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
Responsabile del trattamento: persona fisica o giuridica, Autorità pubblica, prestatore di servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento.
Terzo: persona fisica o giuridica, Autorità pubblica, prestatore di servizio o altro organismo che non sia l’interessato, il Titolare del trattamento, il Responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del Titolare o del Responsabile.
Profilazione: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi ad una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.
Destinatario: la persona fisica o giuridica, Autorità pubblica, prestatore di servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Le Autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette Autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento.
Consenso dell’interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azioni positive inequivocabili, che i dati personali che lo riguardano siano oggetto di trattamento.
Dati genetici: dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni specifiche sulla fisiologia o sulla salute di detta persona fisica e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione.
Dati biometrici: dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.
Rappresentante: la persona fisica o giuridica stabilita nell’Unione che, designata dal Titolare del trattamento o dal Responsabile del trattamento per iscritto, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del regolamento (UE).
Autorità di controllo: l’Autorità pubblica indipendente istituita da uno Stato membro.
La Direttiva 95/46/CE del Parlamento europeo, adottata nel 1995, ha costituito, fino all’entrata in vigore del Regolamento (UE) sulla protezione dei dati personali, il testo di riferimento a livello europeo in materia di protezione dei dati personali e ha portato in Italia all’adozione del D. Lgs. 30 giugno 2003 n. 196 (“Codice Privacy”).
Tale Direttiva definiva un quadro normativo volto a stabilire un equilibrio fra un livello elevato di tutela della vita privata delle persone e la libera circolazione dei dati personali all’interno dell’Unione europea.
Nel corso degli ultimi venti anni si è verificato un notevole aumento del numero di operazioni transfrontaliere che hanno evidenziato le criticità delle leggi sulla protezione dei dati adottate dai singoli Stati membri.
Per questo motivo, nel gennaio 2012, la Commissione europea ha proposto un nuovo Regolamento da applicare in maniera standardizzata in tutti gli Stati membri dell’Unione europea per la protezione dei dati personali.
Il Regolamento generale sulla protezione dei dati (GDPR) 2016/679 è stato approvato dalla Commissione Europea nel mese di aprile 2016 e si applica in tutti gli Stati membri UE a partire dal 25 maggio 2018. Le direttive in esso contenute si applicano direttamente agli Stati membri, sostituendo le leggi locali esistenti sulla protezione dei dati ed abroga e sostituisce la direttiva 95/46/CE e la sua normativa di attuazione nello Stato membro.
La società tratta dati personali. Nel rispetto del Regolamento sulla protezione dei dati generali (GDPR) e dei suoi principi, la società ha messo in atto una serie di procedure, misure e controlli in relazione alla raccolta, utilizzo, trasmissione, divulgazione, conservazione, distruzione dei dati personali.
Il regolamento GDPR stabilisce che i dati personali devono essere:
a) trattati in modo lecito, corretto e in modo trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non deve essere considerato incompatibile con le finalità iniziali (“limitazione delle finalità”);
c) adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per le quali sono trattati (“minimizzazione dei dati”);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (“esattezza”);
e) conservati in modo da consentire l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal Regolamento, al fine di salvaguardare i diritti e le libertà della persona interessata (“limitazione della conservazione”);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”). La società, in qualità di Titolare del trattamento, è responsabile per il rispetto del trattamento dei dati personali secondo le modalità previste dal regolamento citato.
I principi a cui si ispira la società per mettere in atto procedure, misure e controlli in conformità a quanto previsto dal GDPR sono i seguenti:
– Vengono protetti i diritti delle persone i cui dati personali sono raccolti e trattati dalla società.
– Vengono adottate e attuate politiche di protezione dei dati, procedure, piani di audit e attività di formazione per rispettare la normativa prevista dal GDPR.
– Sono raccolti, trattati e conservati solo dati necessari per scopi determinati, espliciti e legittimi.
– Laddove richiesto, la società richiede il consenso espresso.
– Tutti i dipendenti sono ben informati e formati circa gli obblighi e gli adempimenti previsti dal GDPR.
– È previsto un programma di monitoraggio, revisione e miglioramento per quanto riguarda la conformità con il GDPR al fine di identificare le eventuali lacune presenti e, conseguentemente, adottare le opportune misure per evitare o, quanto meno, minimizzare il rischio.
– Al fine di garantire un adeguato aggiornamento vengono costantemente monitorati la vigente normativa privacy, i documenti emanati dall’Autorità Garante nazionale e dal Comitato europeo per la protezione dei dati (EDPB).
– Vengono adottate e applicate rigorose procedure, misure e controlli per garantire la continua conformità con la normativa sulla privacy.
– È vigente una procedura per la gestione dei reclami e la violazione del trattamento dei dati personali.
– È stato nominato un “Responsabile interno Privacy” che si assume la responsabilità per la supervisione generale e l’attuazione del GDPR e dei suoi principi in relazione alla realtà aziendale della società.
– È vigente un apposito programma di monitoraggio per effettuare controlli e valutazioni su come i dati personali che trattiamo sono ottenuti, utilizzati, archiviati, condivisi, conservati, distrutti.
– Tutti i dati personali vengono registrati, conservati e distrutti in conformità con i tempi previsti dal GDPR e le finalità del trattamento.
– Qualsiasi informazione trasmessa ai soggetti interessati in relazione ai loro dati personali conservati dalla società, è fornita in forma concisa, trasparente, comprensibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice.
– Ai dipendenti, consapevoli dei propri diritti previsti dal GDPR, sono rilasciate le informative ai sensi degli articoli 13 e 14 del Regolamento (UE).
La società ha nominato un Responsabile Interno Privacy designato in base alle proprie qualità professionali, conoscenza specialistica della norma e delle misure di protezione dei dati, capacità di adempiere ai propri compiti.
La società fornisce al Responsabile Interno Privacy le risorse necessarie per svolgere i compiti previsti dalla normativa privacy vigente. Il Responsabile Interno Privacy riferisce al vertice aziendale e fornisce informazioni sulla conformità dell’azienda alla normativa privacy, sulla presenza di eventuali lacune in materia e, in tal caso, propone piani e azioni di miglioramento.
Il Responsabile Interno Privacy è pienamente consapevole che il suo ruolo in materia di protezione dei dati personali è vincolato da segreto e riservatezza e, a tal fine, è stato siglato un accordo di riservatezza con la società.
Il Responsabile Interno Privacy è tenuto a:
– informare e consigliare la società, il Responsabile nonché tutti i dipendenti/incaricati che trattano i dati sugli obblighi previsti dal Regolamento, dalle linee guida dell’Autorità Garante Privacy e da qualsiasi altra normativa in materia di dati personali
– sorvegliare l’osservanza del Regolamento e delle politiche del Titolare/Responsabile o dell’incaricato, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento
– monitorare l’attività di audit in relazione alle politiche, alle procedure, ai doveri dei dipendenti ed ai programmi di formazione legati al trattamento dei dati personali
– cooperare con l’Autorità Garante ove richiesto
– fare da punto di contatto per l’Autorità Garante (ad esempio nei casi di consultazione preventiva di cui all’articolo 36 del Regolamento)
– se richiesto, fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento.
Nell’eseguire i propri compiti il Responsabile Interno Privacy considera i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
All’interno del regolamento GDPR è stato rafforzato il principio definito “accountability” mediante il quale viene affidata al Titolare ed al Responsabile una maggiore “responsabilizzazione” in relazione all’applicazione del regolamento. Viene, infatti, affidato al Titolare il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici (ad esempio “privacy by design” e “privacy by default”, valutazione di impatto).
Il Titolare e il Responsabile adottano, quindi, politiche e attuano misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati effettuato è conforme al regolamento.
È stata effettuata una mappatura dei rischi legati ai dati personali trattati dalla società a seguito della quale la stessa ha messo in atto misure tecniche e organizzative adeguate, procedure interne e sistemi di controllo per garantire la tutela dei dati personali e la conformità al GDPR.
La società ritiene che il rispetto da parte di tutti i dipendenti e collaboratori, clienti e fornitori della società delle regole di trasparenza e riservatezza contenute nel presente documento costituiscano una condizione necessaria per raggiungere gli obiettivi di conformità alla vigente normativa privacy.
Le principali azioni da intraprendere sono:
– Informare dirigenti e dipendenti della società sui contenuti e requisiti di cui al GDPR e i possibili rischi e impatti derivanti dalla eventuale non conformità
– Attuare un programma di formazione di protezione dei dati dedicato ed efficace per tutto il personale
– Identificare e coinvolgere i principali soggetti di alto livello per sostenere il programma di conformità di protezione dei dati
– Assegnare adeguate responsabilità per la conformità della protezione dei dati e garantire che le persone designate abbiano un sufficiente supporto e risorse per svolgere il ruolo
– Identificare, creare e diffondere le linee di riporto all’interno della struttura organizzativa di protezione dei dati.
Al fine di mitigare i rischi connessi con il trattamento dei dati personali, la protezione dei dati da parte della società viene svolta secondo la filosofia “privacy by design” e “privacy by default”.
Questo implica la necessità di configurare il trattamento sin dall’atto della progettazione (quindi, prima di procedere al trattamento) (privacy by design) e la necessità che i dati vengano trattati, per impostazione predefinita, esclusivamente per le finalità previste e per il periodo strettamente necessario (privacy by default).
Per garantire il rispetto di tali principi vengono adottate ulteriori misure previste dal regolamento tra cui:
Minimizzazione dei dati personali
Il GDPR prevede che la raccolta dei dati deve essere “limitata a quanto necessario”. L’obiettivo è di trattare solo i dati ritenuti essenziali per svolgere i servizi, conservandoli per il tempo ritenuto necessario.
I sistemi, i processi e le attività della società, inclusi i dipendenti, sono improntati alla raccolta delle sole informazioni personali ritenute rilevanti e necessarie per realizzare lo scopo specifico. La minimizzazione dei dati consente di ridurre i rischi di protezione dei dati ed eventuali violazioni, garantendo la conformità della società con il GDPR.
Esempi di misure che garantiscono la raccolta dei soli dati necessari sono:
– raccolta elettronica (sito web, ecc.): presenta solo i campi necessari per lo scopo della raccolta e il successivo eventuale trattamento.
– raccolta fisica: vengono utilizzati moduli che prevedono campi predefiniti per la raccolta dei dati necessari.
– Nell’eventualità fossero fornite informazioni personali in eccedenza rispetto a quanto ritenuto necessario vengono previste apposite procedure di distruzione.
Limitazione di accesso
Le attività che comportano il trattamento di dati personali sono svolte attraverso processi e sistemi che permettono alle sole persone autorizzate di accedere alle informazioni personali.
Il dettaglio delle persone autorizzate al trattamento dei dati personali è custodito presso la società.
La valutazione d’impatto precede il trattamento dei dati ed è volta a compensare particolari probabilità e gravità di rischio. Permette quindi di individuare i problemi alla fonte e prevedere quindi adeguate misure, riducendo costi, violazioni e rischi. Viene richiesta per trattamenti su larga scala con incidenza su di un vasto numero di interessati, con un elevato rischio connesso all’introduzione di nuove o particolari tecnologie, all’implementazione di trattamenti di profilazione o di sorveglianza o all’utilizzo di particolari dati (biometrici o giudiziari).
La valutazione di impatto deve contenere almeno:
– una descrizione sistematica dei trattamenti previsti, delle finalità e l’eventuale ricorrenza di un legittimo interesse
– la valutazione sulla necessità e la proporzionalità dei trattamenti rispetto alle predefinite finalità
– la valutazione dei rischi per i diritti e le libertà degli interessati
– le previste misure organizzative e tecniche (comprese quelle di sicurezza) e ogni meccanismo ritenuto utile per la tutela dei diritti dei soggetti interessati.
Quando la valutazione indica la sussistenza di un rischio elevato per il trattamento dei dati il Titolare è tenuto a consultare l’Autorità di controllo.
Le valutazioni di impatto sono svolte dal titolare in collaborazione con il Responsabile Interno Privacy che fornisce consulenza e supporto per garantire la conformità dei processi con le norme GDPR.
Le valutazioni di impatto, con la documentazione a supporto, vengono conservate per un periodo di tempo adeguato dalla data in cui sono effettuate e sono rese disponibili all’Autorità di controllo su richiesta.
Per valutare la necessità di procedere ad una valutazione di impatto è utile ad esempio tenere in considerazione le domande che seguono. Qualora la risposta di una o più domande sia affermativa, la valutazione viene effettuata.
Alcuni esempi di domande:
– Il trattamento richiede una valutazione sistematica e/o globale (tramite mezzi automatizzati) di aspetti personali relativi a persone fisiche?
– Il trattamento è su larga scala e coinvolge categorie particolari di dati?
– Il trattamento è su larga scala e coinvolge i dati relativi a condanne penali e reati?
– Il trattamento comporta il monitoraggio sistematico di una zona accessibile al pubblico su larga scala?
– Le informazioni personali saranno comunicate a organizzazioni o persone senza adeguate garanzie?
– Il trattamento prevede l’utilizzo di nuove tecnologie o sistemi che potrebbero essere percepiti come intrusivi della privacy?
La società, mediante la predisposizione della presente policy e, ove esistente, l’integrazione al Codice Etico, ritiene di contribuire alla corretta applicazione delle disposizioni legislative in materia di privacy.
L’obiettivo è aiutare la società a:
– Migliorare la trasparenza e la responsabilità
– Dimostrare all’Autorità Garante di adempiere a quanto previsto dalla legge sulla protezione dei dati
– Limitare i rischi di violazioni
– Migliorare la qualità delle politiche e procedure aziendali
– Effettuare un trattamento equo e trasparente
– Assicurare garanzie adeguate anche nell’ambito degli eventuali trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali
Prima di effettuare qualsiasi attività di trattamento delle informazioni personali, occorre sempre individuare e stabilire la base giuridica a monte.
La base giuridica è documentata sul registro dei trattamento e rientra tra le informazioni da rendere negli obblighi di informativa.
La base giuridica sussiste quando:
– La persona interessata ha espresso il consenso al trattamento dei propri dati personali per uno o più specifici scopi
– Il trattamento dei dati personali è necessario per l’esecuzione di un contratto di cui la persona interessata è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso
– Il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il Titolare del trattamento
– Il trattamento è necessario per proteggere gli interessi vitali della persona interessata o di un’altra persona fisica
– Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento
– Il trattamento è necessario per il perseguimento del legittimo interesse del Titolare del trattamento o di terzi, a condizione che non prevarichino gli interessi o i diritti e le libertà fondamentali della persona interessata che richiedono la protezione dei dati personali, in particolare se l’interessato è minore.
La società che esternalizza il trattamento dei dati personali dovrà provvedere alla stipula di un contratto che dettagli i compiti e le responsabilità dei vari soggetti esterni che saranno, a loro volta, chiamati ad occuparsi dei vari aspetti legati al trattamento.
Tale contratto (o altro atto giuridico) deve prevedere, in particolare, quanto segue:
– Il tipo di dati personali trattati e le categorie di persone interessate
– La natura e lo scopo del trattamento
– La durata di elaborazione e gli obiettivi
– I diritti degli interessati
– Il trattamento dei dati personali da parte del Responsabile esterno viene svolto solo in base alle istruzioni documentate del Titolare
– Le persone autorizzate al trattamento sono soggette all’obbligo della riservatezza
– Il Responsabile esterno fornisce garanzie riguardo all’applicazione di misure tecniche ed organizzative adeguate per la sicurezza dei dati
– Il Responsabile esterno cancella, su richiesta del Titolare, i dati personali
– Il Responsabile esterno mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti nell’accordo
– È obbligatoria l’autorizzazione della società per l’eventuale trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale (a meno che ciò sia imposto da una legge)
– Il Responsabile esterno informa immediatamente la società di eventuali violazioni, non conformità o l’incapacità di svolgere i propri compiti.
– I Responsabili esterni non possono a loro volta delegare l’attività affidata loro dalla società a sub-responsabili, salvo autorizzazione espressa da parte della società.
Il regolamento GDPR prevede la necessità di proteggere i diritti e la privacy delle persone interessate sia nella fase di trattamento da parte della società (limitando la conservazione dei dati per il tempo ritenuto necessario in funzione della finalità), sia nella fase ultima di smaltimento dei supporti contenenti i dati personali.
La società ha definito procedure per stabilire i periodi di conservazione dei dati personali trattati e le modalità di smaltimento dei dispositivi e supporti contenenti dati personali (ad esempio triturazione, cancellazione elettronica sicura).
Il Regolamento prevede sei basi giuridiche che rendono lecito il trattamento dei dati personali e tra queste è previsto, ove necessario, il consenso dell’interessato.
Per “consenso” si intende qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso mediante dichiarazione o azione positiva inequivocabile che i dati personali che lo riguardano siano oggetto di trattamento.
Il Regolamento prevede che il consenso:
– non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito”
– il consenso dei minori è valido a partire dai 16 anni. Prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci
– può essere ritirato in qualsiasi momento e l’interessato deve sempre essere informato di tale diritto
– non è ammesso il consenso tacito o presunto (no a caselle prespuntate su un modulo)
– deve essere esplicito solo se il trattamento riguarda i cosiddetti dati sensibili (anche per il consenso a decisioni basate su trattamenti automatizzati compresa la profilazione):
– Origine razziale o etnica
– Opinioni politiche
– Convinzioni religiose o filosofiche
– Appartenenza sindacale
– Dati relativi alla salute
– Dati relativi alla vita sessuale e orientamento sessuale della persona
– Dati genetici e dati biometrici intesi a identificare in modo univoco una persona fisica.
Qualora il trattamento dei dati sia basato sul consenso, il Titolare del trattamento deve essere in grado di dimostrare che l’interessato abbia prestato il proprio consenso. Tale prova, o dimostrazione, può essere fornita mostrando moduli o documenti fatti sottoscrivere ad hoc.
Ove il consenso della persona interessata sia contenuto in una dichiarazione scritta che riguarda anche altre questioni, la richiesta del consenso è presentata in modo che sia chiaramente distinguibile dalle altre questioni, in forma comprensibile, con un linguaggio chiaro e semplice. Tutte queste dichiarazioni scritte vengono esaminate e autorizzate dal Responsabile Interno Privacy prima di essere diffuse.
Se il consenso è richiesto attraverso mezzi elettronici la richiesta deve essere chiara e concisa.
Le registrazioni relative al consenso ottenuto sono conservate per un periodo ritenuto adeguato a partire dalla data di autorizzazione, a meno che non vi sia un obbligo di legge che richiede un periodo maggiore.
La società ha in atto misure specifiche per assicurare il rispetto di quanto previsto dal GDPR in relazione alla richiesta, al rilascio ed alla revoca del consenso.
Il Regolamento GDPR prevede che all’interessato debba essere sempre rilasciata l’informativa di cui agli artt. 13 e 14 del regolamento da cui deve risultare se la raccolta dei dati proviene direttamente dall’interessato o da fonti terze. Tale informativa fornisce agli interessati tutte le informazioni necessarie relative alle finalità e alle modalità con cui vengono trattati i dati personali, oltre a informare gli stessi interessati circa i loro diritti e obblighi.
L’informativa deve:
avere forma concisa, trasparente, intellegibile per l’interessato e facilmente accessibile
essere data per iscritto o con altri mezzi anche elettronici, oppure oralmente se richiesto dall’interessato, al momento della raccolta dei dati.
Se i dati personali sono ottenuti direttamente dal singolo interessato l’informativa deve contenere le seguenti informazioni:
– identità e dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante
– dati di contatto del responsabile della protezione dei dati, se nominato
– finalità del trattamento cui sono destinati i dati
– base giuridica del trattamento
– legittimi interessi perseguiti dal titolare del trattamento o da terzi, qualora costituisca la base giuridica del trattamento
– eventuali destinatari o eventuali categorie di destinatari dei dati personali
– intenzione del Titolare del trattamento di trasferire i dati personali a un paese terzo o un’organizzazione internazionale, i mezzi per ottenere una copia di tali dati e il luogo dove sono stati resi disponibili
– periodo di conservazione dei dati personali, oppure, se ciò non è possibile, i criteri utilizzati per determinare tale periodo
– esistenza del diritto dell’interessato di chiedere l’accesso e la rettifica o cancellazione dei dati personali o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati
– se il trattamento si basa sul consenso, l’esistenza del diritto di revocarlo in qualsiasi momento, senza compromettere la liceità del trattamento basata sul consenso prestato prima della revoca
– diritto di proporre reclamo all’Autorità di controllo
– se il conferimento dei dati personali è un obbligo legale o contrattuale, oppure un requisito necessario per stipulare un contratto, e se l’interessato ha l’obbligo di fornire i dati personali, oltre alle possibili conseguenze circa la mancata comunicazione di tali dati
– esistenza di un processo decisionale automatizzato, tra cui la profilazione, e in tali casi le informazioni significative sulla logica utilizzata, oltre all’importanza e alle conseguenze previste di tale trattamento per l’interessato.
Qualora i dati personali siano raccolti presso l’interessato, le informazioni devono essere fornite nel momento in cui i dati personali sono ottenuti.
Nel caso di dati personali non ottenuti presso l’interessato, le informazioni devono essere fornite all’interessato:
– entro un termine ragionevole dall’ottenimento dei dati personali, comunque entro un mese
– qualora i dati siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione
– qualora sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.
In questo caso (dati raccolti presso terzi) l’informativa deve contenere le informazioni sopra elencate (ad esclusione del riferimento alla comunicazione dei dati personali come obbligo legale o contrattuale), con l’aggiunta:
– delle categorie di dati personali oggetto di trattamento
– della fonte da cui hanno origine i dati personali e, se del caso, dell’eventualità che i dati provengano da fonti accessibili al pubblico.
Qualora le finalità del trattamento dei dati cambino, occorre informare l’interessato prima di procedere al trattamento ulteriore.
L’informativa è disponibile in diversi formati, a seconda della modalità con cui sono raccolti i dati:
– attraverso il sito aziendale
– riportata a piè di pagina nelle e-mail
– formulata negli accordi, contratti, moduli ed altra documentazione ove i dati vengono raccolti in forma scritta
– nei contratti con i dipendenti
– verbalmente (via telefono o di persona).
Il consenso è richiesto ai dipendenti come base giuridica per il trattamento dei dati personali sensibili (ad esempio l’appartenenza a organizzazioni sindacali e i dati relativi alla salute).
Ai dipendenti è fornita un’adeguata informativa sulle modalità di trattamento dei loro dati e sulle finalità.
A tutti i dipendenti sono forniti gli strumenti necessari per esercitare i loro diritti privacy in base al regolamento GDPR.
L’interessato ha diritto di ottenere una serie di informazioni dal titolare:
1. sulla conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati e l’origine dei dati personali;
2. sull’indicazione delle finalità e modalità del trattamento;
3. se i dati saranno trasferiti in Paesi terzi e se sono previste garanzie adeguate;
4. il periodo di conservazione dei dati personali previsto;
5. le informazioni sull’origine dei dati, ove non siano stati raccolti presso l’interessato;
6. l’eventuale esistenza di un processo decisionale automatizzato.
Qualora il Titolare, al quale l’istanza è rivolta, stia effettuando un trattamento dei dati dell’interessato, gli deve fornire una copia degli stessi. Se l’interessato chiede ulteriori copie il Titolare gli può addebitare un contributo spese.
L’interessato ha diritto di opporsi:
– per motivi legittimi al trattamento dei dati personali che lo riguardano, così come,
– al trattamento di dati che lo riguardano ai fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato.
Circa le modalità di trasmissione, il titolare deve predisporre i mezzi per inoltrare le richieste per via elettronica, soprattutto se il trattamento dei dati è avvenuto in modalità digitale.
Sempre in capo al Titolare c’è l’obbligo di verificare l’identità dell’interessato che produce l’istanza, al fine di evitare che detti dati siano conosciuti da soggetti terzi privi di legittimazione.
Il diritto alla portabilità dei dati rafforza il potere di controllo riconosciuto all’interessato sui propri dati e trova applicazione in relazione ai dati trattati in modalità digitale.
Il diritto dell’interessato alla portabilità dei dati permette di trasferire i propri dati da un sistema di trattamento elettronico a un altro, senza che il responsabile del trattamento possa impedirlo.
Il diritto alla portabilità può esplicarsi attraverso due distinte modalità ossia la possibilità per l’interessato di:
1. ottenere e riutilizzare i dati forniti da un titolare;
2. trasmettere questi dati a un diverso fornitore di servizi.
La portabilità dei dati comprende il diritto dell’interessato di ricevere un sottoinsieme dei dati personali che lo riguardano trattati da un titolare, e di conservarli in vista di un utilizzo ulteriore per scopi personali.
Il diritto alla portabilità dei dati può essere esercitato qualora il trattamento sia effettuato con mezzi automatizzati e si basi sul consenso prestato esplicitamente dall’interessato per una o più finalità specifiche, ovvero se il trattamento è necessario all’esecuzione di un contratto.
Il regolamento, quindi, non prevede un diritto generale alla portabilità dei dati il cui trattamento non si fondi sul consenso o su un contratto.
Ai sensi del regolamento GDPR tutti i dati detenuti e trattati dalla società sono rivisti e verificati periodicamente. Qualora vengano rilevate incongruenze e/o imprecisioni, occorre senza indugio apportare le relative correzioni. Le informazioni sono modificate come indicato dal titolare dei dati, con la verifica del responsabile che tutti i dati relativi all’argomento siano aggiornati se incompleti o imprecisi.
Qualora vengano notificati dati imprecisi da parte dell’interessato, occorre rettificare l’errore entro 30 giorni e informare eventuali terzi in possesso di tali dati della variazione in questione.
L’interessato è informato per iscritto della correzione e, laddove applicabile, delle terze parti a cui i dati sono stati divulgati.
Se per qualsiasi motivo, non si è in grado di rispondere a una richiesta di rettifica e/o completamento, è opportune fornire sempre una spiegazione scritta delle motivazioni e informare il soggetto del diritto di presentare reclamo all’Autorità di controllo.
Il c.d. “diritto di cancellazione” garantisce che i dati personali che identificano un soggetto non siano conservati più a lungo di quanto necessario per gli scopi per i quali i dati vengono elaborati. In base al diritto di cancellazione dei dati, una persona può quindi richiedere la cancellazione di dati personali quando non vi siano più motivi validi per il loro continuo trattamento.
Ad ogni trattamento è associata una data di cancellazione affinché i dati personali possano essere distrutti quando non sono più necessari.
La società ha in atto un processo dedicato alle richieste di cancellazione per garantire che tutti i diritti degli interessati siano rispettati e che nessun dato sia conservato più a lungo del necessario.
Il diritto di limitazione al trattamento dei dati personali è esercitabile, non solo in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), ma anche se l’interessato chiede la rettifica dei dati o si oppone al loro trattamento in attesa della valutazione da parte del titolare.
Ad eccezione della conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano determinate circostanze (consenso dell’interessato, accertamento di diritti in sede giudiziaria, interesse pubblico rilevante).
Qualsiasi account e/o sistema correlato al dato di cui è richiesta la limitazione viene aggiornato per informare gli utenti della categoria dell’esistenza di tale restrizione e della motivazione per cui è stata richiesta.
Il Responsabile Interno Privacy esamina e autorizza tutte le richieste e le azioni di restrizione e conserva le copie delle notifiche da e verso le persone interessate e le terze parti interessate. Laddove i dati sono stati divulgati a terzi, occorrerà informare la parte terza della restrizione in vigore.
Il termine per la risposta all’interessato è, per tutti i diritti, un mese, estendibile a tre mesi in casi di particolare complessità. Il Titolare deve comunque dare riscontro all’interessato entro un mese dalla richiesta, anche in caso di diniego.
Spetta al Titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma solo se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive).
Il riscontro all’interessato, di regola, deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità. Può essere dato oralmente solo se così richiede l’interessato stesso.
La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.
Benché sia il solo Titolare a dover dare riscontro in caso di esercizio dei diritti, il responsabile è tenuto a collaborare con il Titolare ai fini dell’esercizio dei diritti degli interessati.
L’esercizio dei diritti è, in linea di principio, gratuito per l’interessato, ma possono esservi eccezioni.
Il Titolare ha il diritto di chiedere informazioni necessarie a identificare l’interessato, e quest’ultimo ha il dovere di fornirle secondo modalità idonee.
La politica e le procedure legate alla sicurezza delle informazioni prevedono misure e controlli puntuali volti alla protezione dei dati personali, a partire dalla raccolta degli stessi dati sino alla cancellazione, assicurando che il trattamento dei dati personali non violi i diritti della persona interessata.
Il regolamento GDPR prevede che tutti i titolari debbano notificare all’Autorità di controllo le eventuali violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma solo se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. La notifica all’Autorità, quindi, non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta al titolare.
La notifica deve contenere le seguenti informazioni minime:
a) Descrizione della natura della violazione, le categorie violate e il numero di interessati
b) Il nome e le coordinate di contatto del Responsabile Interno Privacy
c) Descrizione delle probabili conseguenze della violazione
d) Descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione
Se la probabilità di tale rischio è elevata si dovrà informare delle violazioni anche gli interessati, sempre “senza ingiustificato ritardo”. La comunicazione all’interessato non è richiesta se:
a) Il titolare aveva utilizzato le misure tecniche ed organizzative adeguate alla protezione e tali misure hanno difeso i dati oggetto di violazione (cifratura), oppure
b) Il titolare ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti degli interessati, o
c) detta comunicazione comporterebbe sforzi sproporzionati. In tal caso si procede ad effettuare una comunicazione pubblica.
La società ha messo in atto misure necessarie a documentare eventuali violazioni, anche se non notificate all’Autorità di controllo e non comunicate agli interessati, le relative circostanze e conseguenze e i provvedimenti adottati.
Tale documentazione viene fornita, su richiesta, al Garante.
Le password sono un mezzo fondamentale per proteggere le informazioni e limitare l’accesso di intrusioni ai sistemi. Le password offrono un elevato livello di protezione alle risorse e ai dati e sono obbligatorie per tutti i dipendenti e/o terze parti che hanno l’accesso a qualsiasi risorsa che richiede un sistema di protezione. La società adotta politiche di sicurezza informatica all’interno delle quali sono previste procedure e linee-guida per la gestione delle password.
Ogni azienda, a sua discrezione, può condividere tutti o parte dei propri dati su una rete informatica con accesso limitato.
Tale meccanismo evita di lasciare dati personali incustoditi. Solo il personale autorizzato ha la possibilità di accedere ai dati nel rispetto delle procedure interne aziendali.
Le informazioni personali e riservate trattate con strumenti cartacei vengono archiviate garantendo la sicurezza e l’integrità dei dati sulla base di apposite procedure interne.
Ove occorra trasferire dati all’esterno è necessario utilizzare un processo che assicuri l’integrità e la sicurezza di tali dati. Ad esempio, se il trasferimento viene effettuato mediante strumenti elettronici è opportune utilizzare misure di crittografia.
La medesima accortezza nel salvaguardare l’integrità e la sicurezza dei dati deve sussistere anche per i trasferimenti dei dati personali verso paesi terzi o organizzazioni internazionali.
In quest’ultimo caso occorre attuare misure adeguate per proteggere i dati durante il trasferimento e durante il trattamento presso il paese terzo o l’organizzazione internazionale.
La società si limita a trasferire dati personali a paesi terzi solo se ciò risulta essenziale e obbligatorio per la fornitura/acquisto di servizi/prodotti. In tal caso, adotta adeguate procedure per salvaguardare la sicurezza delle informazioni personali.
La presente policy e le procedure interne aziendali dettagliano le misure e l’estensione dei controlli messi in atto dalla società per proteggere i dati personali, garantire i diritti degli interessati, mitigare i rischi, minimizzare le violazioni ed essere conformi al regolamento GDPR in materia di privacy.
Il Responsabile Interno Privacy ha la responsabilità generale per valutare, rivedere e migliorare i processi, le misure e controlli in atto presso la società e riportare gli eventuali piani d’azione di miglioramento. Tutti i processi di controllo e di monitoraggio vengono registrati dal Responsabile Interno Privacy che li rende disponibili su richiesta dell’Autorità di controllo.
L’obiettivo degli audit interni aventi ad oggetto la protezione dei dati è quello di:
– Assicurarsi che le politiche e le procedure in atto siano adeguate
– Verificare il rispetto delle politiche e delle procedure
– Verificare l’adeguatezza e l’efficacia delle misure e dei controlli in atto
– Rilevare le violazioni o potenziali violazioni di conformità
– Identificare i rischi e valutare le azioni per minimizzare tali rischi
– Raccomandare soluzioni e piani di azione ai vertici aziendali per migliorare la protezione degli interessati e salvaguardare i dati personali
– Monitorare il rispetto della GDPR e dimostrare un’adeguata attuazione.
Tutto il personale è tenuto a conoscere le direttive del GDPR.
Ciò viene garantito dalla società anche tramite un processo di formazione continuo di vario livello destinato a tutti i dipendenti, in particolare ai dipendenti che sono autorizzati a trattare i dati personali.
La società è consapevole degli obblighi e delle responsabilità che derivano dall’applicazione del regolamento GDPR, nonché della gravità di qualsiasi violazione del regolamento stesso, in quanto da ciò scaturiscono pesanti sanzioni.
L’Autorità di controllo ha il potere di imporre sanzioni amministrative per un importo pecuniario massimo predeterminato, tenendo conto, nella determinazione del quantum, di determinati indici, quali ad esempio:
– la natura, la gravità e la durata della violazione
– il carattere doloso o colposo della stessa
– le misure adottate dal Titolare.
In particolare, le sanzioni amministrative pecuniarie sono distinte nelle seguenti categorie:
Violazione degli obblighi previsti in capo alle imprese
Sono punite fino al 2% del fatturato mondiale totale annuo del precedente esercizio.
Esempi di violazioni sono:
– Violazione dell’obbligo di tenuta del registro dei trattamenti
– Mancata valutazione d’impatto
– Omessa consultazione preventiva dell’Autorità di controllo
– Omessa notifica di data breach
– Omessa nomina del DPO
– Omessa adozione di misure di sicurezza adeguate.
Violazione dei principi del regolamento e dei diritti degli interessati
Sono punite fino al 4% del fatturato mondiale totale annuo del precedente esercizio.
Esempi di violazioni sono:
– I principi di base del trattamento, comprese le condizioni relative al consenso
– I diritti degli interessati
– I trasferimenti di dati personali ad un destinatario in un paese terzo o un’organizzazione internazionale
– Inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’Autorità di controllo.
La società ha provveduto, pertanto, ad informare anche i dipendenti della gravità delle sanzioni e della loro natura proporzionale, in modo da sensibilizzarli ad un corretto trattamento dei dati in linea con le direttive previste dal regolamento GDPR e con le procedure aziendali interne.
Via dei Pellegrini, 2
21050 Cairate (VA)
Italy
sales@csitrolley.com
+39 0331 311602