INTRODUZIONE
Il presente Regolamento sulla privacy ĆØ uno strumento di applicazione del Decreto Legislativo 30 giugno 2003, n. 196 (il cosiddetto āCodice sulla privacyā) nellāambito dellāorganizzazione aziendale.
Come giĆ nel 1995 (con la Direttiva 95/46) la Commissione europea si ĆØ attivata per una riforma che garantisse un quadro coerente e un sistema complessivamente armonizzato della disciplina allāinterno dellāUE e, nel gennaio 2012, ha presentato ufficialmente il āpacchetto protezione datiā, l’insieme normativo che definisce un quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell’UE.
Dopo il lungo iter di approvazione, il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali 2016/679 e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.
Il Regolamento, vigente 20 giorni dopo la pubblicazione in GUUE, ĆØ divenuto definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrĆ essere garantito il perfetto allineamento fra la normativa nazionale e le disposizioni del Regolamento.
Il Regolamento europeo, che mira principalmente ad adeguare le norme di protezione dati ai cambiamenti determinati dallāincessante evoluzione delle tecnologie, āporta grandi novitĆ sul piano della tutela dei diritti e degli strumenti previsti per responsabilizzare maggiormente le imprese stabilendo, al contempo, significative semplificazioniā āā¦soprattutto raggiunge lāambizioso obiettivo di assicurare una disciplina uniforme ed armonizzata tra tutti gli Stati membri, eliminando definitivamente le numerose asimmetrie che si erano create nel tempoā, come spiega il Garante.
Il nuovo Regolamento europeo lascia gli Stati membri liberi di adattare, quando possibile, i principi e le disposizioni previste con quelli applicati nei singoli Stati e rinnova alla luce delle nuove istanze, soprattutto tecnologiche, i consolidati principi che avevano portato allāadozione della direttiva 95/46/UE e ne introduce di nuovi.
Il Regolamento Europeo sulla protezione dei dati nel seguito: GDPR) offre una maggiore tutela alle persone fisiche e rende le aziende più responsabili nellāuso dei dati personali, rappresenta lo sviluppo più importante di questo secolo nella legislazione alla protezione dei dati.
Ā
Il diritto alla privacy ĆØ un vero e proprio diritto inviolabile della persona che non si limita alla tutela della riservatezza o alla protezione dei dati, ma implica il pieno rispetto dei diritti e delle libertĆ fondamentali e della dignitĆ .
Per questi motivi la cultura della privacy necessita di crescere e rafforzarsi, perchĆ© solo con la conoscenza minima dei principi fondamentali che stanno alla base della vigente normativa potranno essere adottati correttamente tutti gli adempimenti di legge, nel trattamento di dati di competenza, con la consapevolezza di non affrontare un inutile gravame, bensƬ di contribuire concretamente al miglioramento della qualitĆ del rapporto con lāutenza.
Ā
Ā
OGGETTO
Il presente regolamento privacy (nel seguito: Regolamento) contiene le disposizioni in materia di riservatezza dei dati personali adottate da MAKAILE di Vommaro Lisa (di seguito anche āMAKAILEā) al fine di adeguare lāorganizzazione interna a quanto stabilito dal GDPR.
Ā
FINALITĆ
La SocietĆ garantisce che il trattamento dei dati si svolga nel rispetto dei diritti e delle libertĆ fondamentali, nonchĆ© della dignitĆ dellāinteressato, con particolare riferimento alla riservatezza, allāidentitĆ personale e al diritto alla protezione dei dati.
La tutela dei predetti diritti e libertĆ ĆØ attuata cercando di dare, al contempo, pieno dispiegamento al principio di semplificazione, anche mediante la redazione del presente Regolamento che mira a proporre disposizioni precise, appropriate al contesto in cui devono operare, ma di facile comprensione.
Ā
Ā
SENSIBILIZZAZIONE
La SocietĆ promuove, al suo interno, ogni strumento di sensibilizzazione che possa consolidare una mentalitĆ attenta al pieno rispetto della riservatezza e migliorare la qualitĆ del servizio offerto.
A tal fine lāattivitĆ formativa / informativa ĆØ considerata uno strumento essenziale per la divulgazione dei criteri per una corretta applicazione della normativa in materia.
Per garantire la conoscenza capillare del presente Regolamento, al momento dellāingresso in servizio ĆØ data a ogni dipendente una specifica comunicazione con i riferimenti normativi e i principi fondamentali della materia, esposti in maniera semplice, chiara, ma puntuale.
Ā
I DATI TRATTATI
Nellāesercizio delle sue funzioni la SocietĆ può trattare le seguenti categorie di dati:
- Dati personali comuni
- Dati particolari (ex dati sensibili)
- Dati giudiziari
ļ· Dato Personale: rappresenta qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
ļ· Dato Particolare: ĆØ il dato personale idoneo a rivelare lāorigine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, lāadesione ai partiti, sindacati associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchĆ© i dati personali idonei a rilevare lo stato di salute e la vita sessuale dellāinteressato.
Lāelenco ĆØ tassativamente formulato dal GDPR e non può essere ampliato anche di fronte al carattere di riservatezza o di particolare rilevanza che un soggetto, o il senso comune, può attribuire ad altre tipologie di dati (es. reddito).
ļ· Dato Giudiziario: ĆØ il dato personale idoneo a rivelare i provvedimenti giudiziari civili, penali ed amministrativi in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualitĆ di imputato o di indagato (es.: provvedimenti di condanna definitivi, di proscioglimento, di non luogo a procedere per difetto di imputabilitĆ , concernenti le pene, le misure di sicurezza, gli effetti penali della condanna, l’amnistia, l’indulto, la grazia, la dichiarazione di abitualitĆ , di professionalitĆ nel reato, di tendenza a delinquere, le pene accessorie, le misure alternative alla detenzione, la liberazione condizionale, ecc.).
Il trattamento dei dati particolari e, ancor più, dei dati giudiziari, ĆØ sottoposto ad una tutela particolarmente rigorosa che comporta lāadozione di specifiche misure di sicurezza.
Ā
Ā
LE BANCHE DATI
Per banca dati si intende qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti.
La SocietĆ , nellāesercizio delle sue funzioni istituzionali, utilizza:
- banche dati di tipo cartaceo;
- banche dati di tipo elettronico, utilizzabili con lāimpiego di computer:
– collegati in rete locale;
– non collegati in rete locale;
– con collegamento ad internet.
Ā
Ā
PRINCIPIO DI NECESSITĆ NEL TRATTAMENTO DEI DATI
I sistemi informativi e i programmi informatici sono configurati riducendo al minimo lāutilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento
quando le finalitĆ possono essere perseguite mediante dati anonimi o con lāuso di opportune modalitĆ che permettano di identificare lāinteressato solo in caso di necessitĆ .
Ā
Ā
TITOLARE DEL TRATTAMENTO
Il Titolare del trattamento ĆØ MAKAILE di Vommaro Lisa.
Ā
Ā
RESPONSABILI DEL TRATTAMENTO
Il Titolare designa, quale Responsabile del trattamento, la Signora Lisa Vommaro.
Il Responsabile deve garantire:
– il tempestivo ed integrale rispetto dei doveri della SocietĆ previsti dal GDPR, compreso il profilo relativo alla sicurezza;
– lāosservanza delle disposizioni del presente Regolamento nonchĆ© delle specifiche istruzioni impartite dal Titolare;
– lāinterazione con il Garante in caso di richiesta di informazioni od altri accertamenti;
– lāadozione di idonee misure per garantire, nell’organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertĆ fondamentali e della dignitĆ degli interessati, nonchĆ© del segreto professionale, fermo restando quanto previsto dalla normativa vigente e dal sistema di sicurezza aziendale in materia di modalitĆ di trattamento dei dati sensibili e di misure minime di sicurezza.
In particolare deve adottare tutte le misure specifiche previste dal presente Regolamento.
Il Responsabile del trattamento dei dati, in relazione allāattuazione delle misure di sicurezza, ha i seguenti compiti:
– Ā custodire le password per lāaccesso ai dati da parte degli Incaricati;
– Ā verificare lāefficacia dei programmi di protezione ed antivirus nonchĆ© definire le misure di accesso ai locali e le misure di sicurezza contro il rischio di intrusione;
– garantire che tutte le misure di sicurezza riguardanti i dati della SocietĆ siano applicate allāinterno della SocietĆ stessa ed allāesterno, qualora agli stessi vi sia accesso da parte di soggetti terzi quali Responsabili del trattamento;
– Ā informare il Titolare nella eventualitĆ si siano rilevati dei rischi.
Ā
Ā
RESPONSABILE DEL PROTEZIONE DEI DATI (DATA PROTECTION OFFICER)
Ā
- Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogni qualvolta:
- a) il trattamento ĆØ effettuato da un’autoritĆ pubblica o da un organismo pubblico, eccettuate le autoritĆ giurisdizionali quando esercitano le loro funzioni giurisdizionali;
Ā
- b) le attivitĆ principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalitĆ , richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
Ā
- c) le attivitĆ principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Ā
La nomina del DPO pertanto ĆØ adempimento obbligatorio quando il titolare del trattamento:
- a)Ā ĆØĀ autoritĆ /organismo pubblico (eccettuate le autoritĆ giurisdizionali quando esercitano le loro funzioni giurisdizionali);
- b) effettua trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- c) effettua come attivitĆ principali trattamenti su larga scala di dati sensibili, genetici, biometrici, giudiziari.
Il DPO ha compiti di informazione, formazione, consulenza e sorveglianza dell’adempimento della disciplina ‘privacy’.
E’ anche l’interlocutore dell’autoritĆ di controllo.
Ā
MAKAILE non tratta dati su larga scala, ma in ogni caso ha ritenuto di dotarsi di un DPO nella persona della Signora Lisa Vommaro.
Ā
Ā
DIRITTI DELLāINTERESSATO
Lāinteressato ĆØ il soggetto, persona fisica, alla quale si riferiscono i dati oggetto del trattamento.
La SocietĆ attua tutte le misure necessarie a facilitare lāesercizio dei diritti dellāinteressato ai sensi dellāart.Ā 13 GDPR.
A tal fine il GDPR prevede che lāinteressato, con richiesta fatta senza formalitĆ , ha diritto di ottenere:
- la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora
registrati;
- la comunicazione dei dati che lo riguardano in forma comprensibile (anche attraverso lāutilizzo di una grafia leggibile; in caso di comunicazione di codici o sigle sono forniti i parametri per la comprensione del relativo significato);
- l’indicazione:
- a) dell’origine dei dati personali;
- b) delle finalitĆ e modalitĆ del trattamento;
- c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
- d) degli estremi identificativi del Titolare e dei responsabili;
- e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualitĆ di rappresentante designato nel territorio dello Stato, di responsabili o incaricati;
- l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;
- la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non ĆØ necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
- l’attestazione che le operazioni di cui ai punti 4 e 5 sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
L’interessato ha diritto di opporsi, in tutto o in parte, per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorchĆ© pertinenti allo scopo della raccolta.
Se la persona alla quale si riferiscono i dati ĆØ deceduta, i diritti summenzionati possono essere esercitati:
– da chi ha un interesse proprio;
– da chi agisce a tutela dellāinteressato;
– da chi agisce per ragioni familiari meritevoli di protezione.
Ā
Ā
DIRITTO DI RETTIFICA
L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo.
Tenuto conto delle finalitĆ del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Ā
Ā
Ā
DIRITTO ALLāOBLIO O ALLA CANCELLAZIONE DEI DATI
L’interessato ha il diritto di ottenere dal Titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il Titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
- a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
- b) l’interessato revoca il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico per il trattamento;
- c) l’interessato si oppone al trattamento;
- d) i dati personali sono stati trattati illecitamente;
- e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui ĆØ soggetto il Titolare del trattamento;
- f) i dati personali sono stati raccolti relativamente all’offerta di servizi della societĆ dell’informazione.
Il Titolare del trattamento, se ha reso pubblici dati personali ed ĆØ obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione, adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.
Tali disposizioni non si applicano nella misura in cui il trattamento sia necessario:
- a) per l’esercizio del diritto alla libertĆ di espressione e di informazione;
- b) per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto
dell’Unione o dello Stato membro cui ĆØ soggetto il Titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui ĆØ investito il Titolare del trattamento;
- c) per motivi di interesse pubblico nel settore della sanitĆ pubblica;
- d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
- e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Ā
Ā
Ā
DIRITTO ALLA PORTABILITĆ DEI DATI
Ć opportuno sviluppare formati interoperabili che consentano la portabilitĆ dei dati, a richiesta dellāinteressato (attraverso un procedimento semplificato), vale a dire il diritto di trasferire i propri dati tra diversi sistemi elettronici senza che il Responsabile del trattamento possa impedirlo.
Ā
Ā
Ā
IL PRINCIPIO DELLA TRASPARENZA
Le informazioni e le comunicazioni relative al trattamento di tali dati personali devono essere facilmente accessibili e comprensibili e deve essere utilizzato un linguaggio semplice e chiaro.
Tale principio riguarda, in particolare, l’informazione degli interessati sull’identitĆ del Titolare del trattamento e sulle finalitĆ del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano.
Ā
Ā
Ā
IL TRATTAMENTO DEI DATI
Con l’espressione ātrattamentoā deve intendersi qualunque operazione o complesso di operazioni, svolti con o senza l’ausilio di mezzi elettronici, concernenti:
- la raccolta dei dati;
- la registrazione dei dati, cioĆØ il loro inserimento su supporti, automatizzati o manuali, al fine di rendere i dati disponibili per successivi trattamenti;
- l’organizzazione dei dati in senso stretto, cioĆØ il processo di lavorazione che ne favorisca la fruibilitĆ attraverso l’aggregazione o la disaggregazione, l’accorpamento, la catalogazione, ecc.;
- la conservazione dei dati alla quale la legge dedica particolari attenzioni sotto il profilo della sicurezza;
- la consultazione;
- l’elaborazione, ovvero le operazioni che attribuiscono significato ai dati in relazione allo scopo per i quali essi sono stati raccolti;
- la modificazione dei dati registrati in relazione a variazioni o a nuove acquisizioni;
- la selezione, l’estrazione, e il raffronto, ipotesi specifiche che rientrano nell’ipotesi più generale dell’elaborazione;
- lāutilizzo;
- l’interconnessione, ovvero la messa in relazione di banche dati diverse e distinte tra loro al fine di compiere ulteriori processi di elaborazione, selezione, estrazione o raffronto;
- il blocco, ovvero la conservazione dei dati con sospensione temporanea dei trattamenti;
- la comunicazione, ovvero la trasmissione dei dati ad uno o più soggetti determinati, in
qualunque forma, anche mediante messa a disposizione o consultazione; non ĆØ comunicazione la trasmissione dei dati allo stesso interessato, al Responsabile e agli Incaricati del trattamento;
- la diffusione, ovvero il dare conoscenza dei dati personali a soggetti indeterminati (es.:
pubblicazione allāalbo, giornale, ecc.);
- la cancellazione;
- la distruzione.
Ā
Ā
PRINCIPI FONDAMENTALI DEL TRATTAMENTO DEI DATI
I dati personali oggetto del trattamento devono essere:
ļ· trattati in modo lecito, corretto e trasparente nei confronti dellāinteressato; raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
ļ· esatti, e se necessario, aggiornati;
ļ· pertinenti, completi e non eccedenti rispetto alle finalitĆ per le quali sono stati raccolti;
ļ· conservati in una forma che consenta lāidentificazione dellāinteressato per un periodo non superiore a quello necessario agli scopi per i quali sono stati raccolti.
Ā
Ā
Ā
NOTIFICAZIONE
La SocietĆ ha provveduto, nei termini di legge, alla comunicazione per via telematica al Garante per la protezione dei dati personali, della nomina del DPO ai sensi dellāart. 37 GDPR.
Ā