Politica generale di protezione dei dati

/Privacy – GDPR/Politica generale di protezione dei dati

POLITICA GENERALE DI PROTEZIONE DEI DATI

1.Principi generali.

1.1. Multiservizi Caerite Spa (di seguito “il titolare del trattamento” o anche solo “il titolare”) si impegna per la tutela dei diritti e la privacy degli individui. Il trattamento dei dati personali come la raccolta, la registrazione, l’utilizzo e la conservazione dei dati personali verrà affrontata in mod o lecito è corretto In conformità con questa politica.
1.2. Tutte le informazioni contenenti dati personali oppure sensibili, devono essere protetti contro l’accesso non autorizzato, la perdita accidentale o la distruzione, la modifica o la divulgazione illecita.
1.3. Il titolare ritiene il raggiungimento della conformità norm ativa in tema di trattamento dei dati personali come prioritario per il raggiungimento dei propri scopi, e per il mantenimento della fiducia con il nostro staff interno, l’utenza e le altre parti interessate

2. Obiettivo e scopo

2.1. Il titolare ha necessità di t rattare determinati dati personali per svolgere le sue funzioni. I dati si riferiscono a:

  • Dati del personale interno, in relazione al proprio contratto di lavoro:
  • Potenziali candidati e presentino il loro curriculum per opportunità di lavoro o di collabora zione con il titolare, e che abbiano necessità di essere adeguatamente e praticamente informati delle opportunità di lavoro presso il titolare.
  • Clienti / utenti ed in generale tutte quelle persone che accedono ai servizi i prodotti offerti oppure distribuiti o in altro modo gestiti dal titolare, siano essi gestiti a titolo gratuito od oneroso.
  • Appaltatori di beni e servizi.
  • Altri soggetti terzi con i quali intrattiene rapporti.

2.2. Il titolare ha bisogno di raccogliere, archiviare, trattare, trasferire e cancel lare questi dati, ai fini del raggiungimento dei propri scopi statutari In conformità con la legge italiana e della Comunità Europea. A tale scopo, è stata elaborata la presente politica generale di protezione dei dati per assicurare che tutti i dati siano trattati In conformità al regolamento Ue 2016 679 del Parlamento Europeo e del consiglio (GDPR), relativo alla tutela delle persone fisiche con riguardo al trattamento di dati personali, nonché alla libera circolazione di tali dati, e del decreto legislat ivo italiano numero 101/2018, il cui combinato disposto fornisce la base normativa del presente documento.
2.3. La presente politica generale stabilisce ciò il titolare è tenuto a fare per garantire la correttezz a e la legittimità del trattamento dei dati perso nali, con l’obiettivo di garantire che tutto il personale, gli appaltatori esterni e gli altri lavoratori che trattano dati personali per conto del titolare seguon o le medesime linee guida In conformità con i principi generali qui riportati.
2.4. La presente politica generale di protezione dei dati si applica nell’interesse generale della, a tutto il personale, la dirigenza, i fornitori, gli appaltatori e tutti coloro con i quali il titolare intratt enga rapporti.

3. Rapporti con le altre politiche, procedure e line e guida.

3.1. Il presente documento, periodicamente rinnovato ed aggiornato, fornisce le linee guida per il trattamento ed è stato redatto ai fini di libera consultazione. Deve essere consultato e gestito congiuntamente a:

  • Politiche di gestione dell’archiviazione e della conservazione dei dati del titolare;
  • Informative specifiche sul singoli servizi offerti;
  • Procedura di comunicazione violazioni e data breach;
  • Codice etico del titolare

4. Definizioni

4.1. Normativa sulla protezione dei dati, si riferisce sia al regolamento Ue 679/ 2016 che al Decreto Legislativo italiano numero 101 del 2018.
4.2. Dato personale, sta ad indicare qualsiasi informazione che permetta l’identificazione di una persona fisica può essere direttamente o indirettamente identificata mediante il riferimen to a quel dato.
4.3. Categorie particolari di dati, fa riferimento a quei dati personali relativi a: origine etnica; salute fisica e mentale (tra cui, ad esempio, dettagli di motivi per assenze per malattia in un lavoratore, ricette mediche, esami diagnostici eccetera); vita sessuale; caratteristiche genetiche; dati biometrici, se usati a scopo di identificazione; religione o convinzioni ideologiche; opinioni politiche e appartenenza sindacale; il trattamento dei dati riferibili a queste categorie particolari richiede cautele aggiuntive.
4.4. Trattamento del dato, fa riferimento alle operazioni di elaborazione comunque intese: raccolta, registrazione, detenzione, aggiunte alle informazioni i dati, qualunque operazione o insieme di operazioni che viene effettuata sui dati inclusa la cancellazione.
4.5. Interessato, fa riferimento alla persona fisica a cui i dati si riferiscono.
4.6. Titolare del trattamento, fa riferimento ad una persona fisica o giuridica che da sola o congiuntamente con altre persone fisiche determina gli scop i e le modalità in cui qualsiasi trattamento di dati personali effettuato. Nel caso della presente politica il titolare del trattamen to è Multiservizi Caerite spa con Socio Unico Comune di Cerveteri, Società soggetta all’attività di direzione e coordinamento del Comune di Cerveteri, V.lo M. Sollazzi,3 00052 Cerveteri (Rm) – CF/PI 07105121003 – REA RM 1011327, in persona del legale rappresentante pro-tempore, o di altro soggetto appositamente designato dal legale rappresentante con propria deliberazione che abbia facoltà e poteri per agire in nome e per conto del titolare per dare riscontro alle richieste degli interessati nell’esercizio dei propri diritti garantiti dalla legge in tema di trattamento dei dati personali.
4.7. Responsabile del trattamento, fa riferimento a qualsiasi soggetto diverso da un membro del personale organico al titolare, o organizzazione che tratta dati per conto del titolare, sotto direttive dello stesso.
4.8. Valutazione di impatto sulla protezione dei dati, fa riferimento ad un processo formalizzato di valutazione dei rischi che il trattamento comporta sul libertà e i diritti dell’interessato.
4.9. Le espressioni violazione della sicurezza ovvero data breach, fanno riferimento a qualunque incidente, reale o potenziale, suscettibile di provocare div ulgazione non autorizzata, danneggiamento distruzione o perdita di dati personali.
4.10. Informativa sulla privacy, fa riferimento ad un documento redatto per informare l’interesse della base giuridica e delle finalità del trattamento. Può essere generale o spec iale per singoli trattamenti o insiemi di esse.
4.11. Data Protection officer, abbreviato in DPO oppure RPD, fa riferimento ad un professionista di riferimento del titolare del trattamento, che lo nomina con la responsabilità principali osservar e, valutare e organizzare la gestione del trattamento dei dati personali, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

5. Indirizzi di legge e politiche del titolare.

5.1. Le politiche messe in atto dal titolare del trattamento sono un i nsieme di procedure in modo che le varie organizzazioni che gestiscono i dati personali lo facciano in modo responsabile. Le politic he stabiliscono, conformemente agli obblighi di legge, come i dati personali vadano trattati in relazione al raccolto il loro utilizzo, l’archiviazione, il tempo di conservazione, la distruzione, il trasferimento e la divulgazione necessaria o autorizzata.
5.2. La normativa si applica a tutte le informazioni delle persone fisiche che interagiscono con il titol are e tutti coloro che trattamento dati per conto dello stesso in modo autonomo. Pertanto il personale che gestisce le informazioni relative a persone fisiche, come parte integrante del proprio lavoro viene formato informato alla responsabilizzazione perché si conformi alla pres ente politica di protezione dei dati.

6. Che forma può assumere un dato personale.

6.1. I dati personali possono essere tanto relativi a circostanze (ad esempio nome, indirizzo, immagini fotografie, videoriprese) che all’espressione di opinioni relative ad una per sona fisica ( come ad esempio una valutazione della performance lavorativa, o commenti relativi alla situazione personale), compresi i rapporti contrattuali con il titolare o con qualunque altra persona per tale individuo. Definizione include anche le informazioni genetiche, dati biometrici utilizzati a scopo identificativo.
6.2. La definizione di dato personale copre tutte le informazioni riferibili ad un individuo in qualsiasi formato, scritto od orale. Ad esempio:

  • Un file personale contenente valutazioni medi che
  • Una mail di qualcuno inoltrata senza consenso
  • Informazioni fornite oralmente su circostanze personali di un dipendente

7. Principi di protezione dei dati

7.1. Il gdpr stabilisce alcuni principi fondamentali per le organizzazioni che trattano dati sensibili. A norma dell’articolo 5, il titolare deve garantire che i dati personali siano:
7.1.1. Trattati in modo lecito, equo e trasparente nel rispetto dei diritti delle persone f isiche a cui i dati facciano riferimento (interessati).
7.1.2. Rilevati per finalità determinate, esplicite e legittime e successivamente trattati in modo compatibile con tale scopi. L’eventuale ulteriore elaborazione a fini di archiviazione per pubblico interesse, scopi di ricerca scientifica o storica, o scopi statistici, non devono essere ritenuti incompatibili con le finalità iniziali del trattamento.
7.1.3. Adeguati, pertinenti, e limitati allo stretto necessario per lo scopo per il quale sono trattati. 7.1.4.Esatti e, qualora necessario, tenuti aggiornati: ogni ragionevole cautela deve essere presa per
assicurare che i dati personali imprecisi, visti gli scopi per cui sono trattati, vengono cancellati o rettificati senza ritardo dalla scoperta.
7.1.5. Conservati in modo da consentire l’identificazione delle persone interessate per un periodo non superiore a quello strettamente necessario per gli scopi per cui il dato personale è stato raccolto. I dati personali possono essere conservati per periodi più lunghi, qualora venga trattata per finalità di archiviazione nel pubblico interesse, Ricerca Scientifica, storica, fini statistici, o adempimento di obblighi contrattuali.
7.1.6. Archiviati in modo da garantire adeguata sicurezza del dato personale, compresa la protezione contro accesso non autorizzato o illegale incontro distruzione e danneggiamento accidentale. Questo scopo viene raggiunto adottando idonee misure tecniche e organizzative interne al titolare.
7.2. Il titolare del trattamento oltre ad essere responsabile della conformità norma tiva, deve essere in grado di dimostrare il momento io rispetto dei principi di cui sopra.

8. Base legale del trattamento.

8.1. Il titolare del trattamento del trattamento prima di iniziare qualsiasi operazione su dati personali , inclusa la raccolta degli stessi. Le tipologie di basi legali sono contenute nell’articolo 6 del regolamento ue 679 del 2016, e almeno una di esse deve poter trovare applicazione ogni volta che i dati personali vengono trattati dal titolare:
8.1.1. Il consenso: la persona fisica ha dato un consenso chiaro per elaborare i propri dati personali per uno scopo specifico,
8.1.2. Un contratto: il trattamento è necessario per un contratto tra il titolare è la persona fisica, ovvero sia necessario in fase precontrattuale.
8.1.3. Obbligo di legge: il trattamento è neces sario che la legge impone al titolare.
8.1.4. Stato di necessità: il trattamento è necessario per salvaguardare la vita, la salute o l’integrità fisica dell’interessato.
8.1.5. Funzione pubblica: il trattamento necessario per svolgere un compito di pubblico interesse quando il compito o la funzione hanno un chiaro fondamento giuridico in un provvedimento di un ente pubblico.
8.1.6. Interesse legittimo: il trattamento è necessario per gli interessi del titolare, o di terzi soggetti, come ad esempio il recupero dei propri crediti o altre forme di tutela legale.
8.2. Oltre ad avere almeno una delle basi legali di cui sopra, il trattamento per essere legittimo deve essere anche necessario.
8.3. Al fine di elaborare i dati appartenenti a categorie speciali, il titolare deve inoltre assicurare la presenza di almeno una delle seguenti condizioni:
8.3.1. La persona interessata ha dato esplicito consenso al trattamento dei dati per uno o più scopi determinati;
8.3.2. Il trattamento è necessario ai fini della formazione delle obbligazioni nell’esercizio dei dirit ti del titolare del trattamento ovvero di terzi responsabili del trattamento o della persona fisica nel campo del lavoro e della sicurezza e protezione sociale.
8.3.3. Il trattamento è necessario per proteggere l’integrità fisica dell’interessato o di altra perso na fisica a cui l’interessato è nella incapacità fisica o giuridica di dare il consenso come ad esempio minori, interdetti inabilitati ecc.
8.3.4. Il trattamento riguardi dati resi manifestamente pubblici dall’interessato;
8.3.5. Il trattamento sia necessario per agire in giudizio per la tutela dei diritti del titolare;
8.3.6. Il trattamento sia necessario per motivi di pubblico interesse, sulla base della legislazione nazionale o comunitaria, comunque proporzionale allo scopo perseguito rispettando il contenuto essenziale della normativa sulla protezione dei dati personali, e comunque nella previsione di misure adeguate e specifiche per salvaguardare diritti e interessi fondamentali del soggetto interessato dal trattamento.
8.3.7. Il trattamento sia necessario per le finalità di medic ina preventiva e del lavoro, per la valutazione della capacità di lavoro del dipendente, diagnosi medica, prestazioni di sanità assistenza sociale obbligatoria oppure il trattamento e la gestione di sistemi sanitari o previdenziali sempre e comunque possibile su base giuridica, legale o contrattuale.
8.3.8. Il trattamento sia necessario per motivi di pubblico interesse nel perseguimento di scopi di salute pubblica come ad esempio la protezione contro minacce transfrontaliere per la salute o la garanzia di standard dell’assistenza sanitaria, comprese le forniture di medicinali e presidi medici, sulla base del diritto nazionale e comunitario, laddove preveda adeguate e specifiche misure volte a garantire i diritti fondamentali degli interessati.
8.4. A seguito della determinazione della base giuridica per il trattamento, questa sarà documentata all’interno delle registrazioni per ogni forma di trattamento.
8.5. In caso di persecuzione degli interessi legittimi del titolare, la base legale è implicita.

9. Diritti dell’interess ato

9.1. Il titolare si impegna a rispettare i diritti delle persone fisiche interessate dal trattamento di d ati personali. Questi sono sanciti nella legislazione come segue:
9.1.1. Diritto a ricevere una corretta informazione, intellegibile, sui trattamenti che rigua rdano i propri dati personali.
9.1.2. Diritto all’accesso ai dati personali.
9.1.3. Il diritto alla rettifica, cancellazione e di limitare il trattamento qualora ecceda le finalità in cui viene dato il consenso.
9.1.4. Il diritto alla portabilità, ossia al trasferimento senza limitazioni per quanto possibile dei propri dati da un operatore ad un altro equivalente.
9.1.5. Il diritto di opporsi ad ogni processo decisionale automatizzato (profilazione).
9.2. L’esercizio del diritto è condizionato alla base legale del trattamento. Ad esempio, il diritto alla cancellazione trova applicazione solo se la base legale per l’elaborazione è il consenso. In caso di persecuzione di interessi legittimi, pubblico interesse, obbligazione legale o contrattuale, la cancellazione non può essere richiesta.
9.3. Il diritto alla corretta informazione, tuttavia, è un diritto fondamentale e si applica in tutte le circostanze, anche nelle forme e nei modi dell’accesso civico, così come disciplinato dall’articolo 5 del decreto legislativo n. 33/2013, da ultimo modificato dal dlgs 97 del 2016 (decreto trasparenza).

10. Privacy by default

10.1. Qualora il titolare stia avviando un nuovo trattamento, ad esempio raccoglie un nuovo tipo di dati o sta attuando un nuovo sistema di processo che coinvolga un trattamento mai effettuato prima, deve considerare la costruzione dei meccanismi di protezione dei dati fin dall’inizio, comprese le misure organizzative e tecniche per garantire la sicurezza appropriata.
10.2. Quanto al paragrafo precedente può includere l’avviamento di una valutazione d’impat to sulla protezione dei dati (dpia), se sia significativo oppure necessario. Nel caso non ricorra l’obbligo, il titolare comunque effettua un’analisi dei rischi per i diritti e le libertà degli inte ressati, prevedendo contromisure adeguate per la mitigazione del rischio. La documentazione e la raccolta delle evidenze di questa operazione viene effettuata ogni volta che sia necessario e comunque almeno una volta l’anno.
10.3. Ogni nuovo trattamento deve essere sottoposto all’attenzione del dpo.

11. Minimizzazione dei dati

11.1. Il titolare ha l’obbligo di assicurare la raccolta solo dei dati strettamente necessari al trattamento per i quali sono raccolti. I soggetti fisicamente preposti alla raccolta del dato, sono pertanto formati ed informati al fine di assicurare che la r accolta del dato sia strettamente aderente a quanto necessario.

12. Trasparenza

12.1. Il titolare deve fornire informazioni specifiche agli interessati su come elaborano i dati personali degli stessi. Le informative devono essere rese agli interessati in modalità at tiva (condivisione), in un linguaggio:
12.1.1. Coinciso
12.1.2. Trasparente
12.1.3. Intellegibile
12.1.4. Facilmente accessibile
12.1.5. Con la massima attenzione a chiarezza semplicità, se possibile utilizzando anche grafica utile a superare le barriere linguistiche
12.2. Le informative devono essere strutturate tenuto conto del livello di istruzione del soggetto destinatario, in particolare i bambini. È stato determinato dalla normativa italiana che l’età in cu i i bambini posso acconsentire al trattamento dati, è il tredicesimo anno di età, fatte com unque Salve le disposizioni speciali per determinate materie.
12.3. Tutte le informative emesse dal titolare contengono:
12.3.1. I dati di contatto ( indirizzi postali e recapiti di posta elettronica)
12.3.2. Almeno un dato di contatto del responsabile della protezione dei dati – data Protection officer
12.3.3. Le finalità del trattamento
12.3.4. La base legale del trattamento
12.3.5. Le categorie di dati personali trattati
12.3.6. I destinatari o le categorie di destinatari dei dati
12.3.7. I dettagli del trasferimento dei dati personali eventuali paesi terzi oppure organizzazioni internazionali
12.3.8. Il periodo di conservazione dei dati personali
12.3.9. I diritti per i singoli interessati nei confronti del trattamento
12.3.10. L’eventuale diritto alla revoca del consenso
12.3.11. Il diritto di presentare una denuncia presso l’autorità garante dell a privacy
12.3.12. La fonte dei dati personali raccolti
12.3.13. La specificazione se gli interessati sono sotto obbligo legale o contrattuale di fornitura dei dati personali
12.3.14. Se esista un processo decisionale automatizzato, cosiddetta profilazione
12.4. Tutte le informative saran no pubblicate sul sito del titolare e messe a disposizione delle persone interessate. In caso di nuovi trattamenti verranno pubblicate informative ad hoc, ovvero integrato il presente documento.
12.5. In aggiunta alle pubblicazioni e alle modalità di condivisione generali, il titolare è inoltre tenuto ad informare gli interessati sulle finalità e lui dei dati a semplice richiesta nel punto di raccolta.
12.6. Tutte le pagine web che contengono dei form di contatto o raccolta dati, devono indicare obbligatoriamente
12.6.1. Perché i dati vengono raccolti e come verranno utilizzati;
12.6.2. Se i dati vengono trattati internamente oppure comunicati a terzi soggetti;
12.6.3. Una modalità, ad esempio una casella di spunta, che indichi che il consenso è stato volontariamente prestato e non sia implici to
12.7. Il personale del titolare può elaborare solo dati per le finalità specifiche comunicate alla persona interessata quando i dati sono stati raccolti precedentemente o per altri scopi espressamente consentiti dalla legislazione. Ciò significa che i dati pe rsonali non devono essere raccolti per uno scopo e poi utilizzato per un altro scopo. Se si rende necessario modificare lo scopo per cui i dati vengono elaborati, la persona interessata deve essere informata del nuovo scopo prima che si verifichi qualsiasi elaborazione.
12.8. L’unica eccezione è l’uso di dati a fini di ricerca scientifica o statistica.

13. Responsabilità del personale delle attività di trattamento.

13.1. Il personale interno al titolare del trattamento ha le responsabilità appresso descritte nella tutela dei diritti alla riservatezza delle persone fisiche che assumono la qualità di interessato, compreso il personale stesso, durante le operazioni di trattamento:
13.1.1. La dirigenza del titolare si assume la responsabilità di condividere e supervisionare l’implementazione delle politiche di privacy all’interno delle specifiche aree di responsabilità e di funzione.
13.1.2. Direttamente ovvero attraverso un sistema di deleghe, le figure all’interno del titolare non vengo archiviazioni accurate dei dati trattati in conformità c on i requisiti della normativa del presente documento. Come non previste, verranno implementate politiche specifiche per la gestione dei diversi archivi.
13.1.3. Personale: tutto il personale dipendente o indipendente che tratta dati personali sotto la direzione del titolare, deve essere formato ed informato, tanto in ordine alla comprensione dei diversi problemi ed obblighi in termini di privacy, quanto avere chiaramente le figure di riferimento a cui rivolgersi in caso di dubbi, problemi o rischi di data breach.
13.1.4. Tutto il personale di qualunque livello è responsabile ai fini della segnalazione di qualsiasi violazione o incidente, suscettibile di provocare divulgazione non autorizzata, distruzione o perdita di dati personali direttamente al dpo,
13.2. Il dpo svolge le seguenti funzioni:
13.2.1. Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento privacy ue 2016/679 (gdpr), nonché da altre disposizioni dell’unione o degli stati membri relative alla protezione dei dati;
13.2.2. Sorvegliare l’osservanza del regolamento privacy ue 2016/679 (gdpr), di altre disposizioni dell’unione o degli stati membri relative alla protezione dei dati nonché delle poli tiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
13.2.3. Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
13.2.4. Cooperare con l’autorità di controllo (garante)
13.3. Formazione nella protezione dei dati.
13.3.1. Il personale è sottoposto ad una periodica sulla protezione dei dati. La stessa può essere erogata in modalità e-learning, attraverso seminari di formazione, corsi in aula eccetera, per aumentare la comprensione di doveri, poteri e responsabilità le gati alla gestione dei dati personali.
13.3.2. Il mancato assolvimento dell’obbligo di formazione per causa imputabile al dipendente può essere causa di azioni disciplinari.
13.3.3. Il personale è responsabile del corretto utilizzo degli elaboratori di dati degli altri st rumenti informatici di cui è in possesso per finalità di servizio.
13.4. Il titolare, qualora si avvalga di responsabili trattamento sottoposti alla propria supervisione, deve preventivamente acquisire garanzie che i requisiti della normativa saranno soddisfatti, e che i diritti degli interessati saranno tutelati.
13.5. I contratti, in special modo quelli di forniture di servizi informatici e telematici, dovranno definire oggetto è durata del trattamento di dati, natura e finalità degli stessi, tipo di dati pers onali e categorie di persone interessate. È sempre possibile far riferimento, all’interno della documentazione, a documenti generali pubblicati on-line, come l’informativa per le ditte appaltatrici.
13.6. Le istruzioni per i responsabili del trattamento includono sempr e:
13.6.1. L’indicazione che il responsabile agisce sempre in base alle istruzioni scritte del titolare;
13.6.2. L’indicazione che il personale del responsabile è soggetto ad un obbligo di riservatezza oppure documenti programmatici similari;
13.6.3. L’obbligo per il titolare di adottare misure appropriate per garantire la sicurezza del trattamento;
13.6.4. L’obbligo di sub-incaricare altri soggetti solo con il consenso scritto del titolare;
13.6.5. L’obbligo di assistenza da parte del responsabile del trattamento offerto al titolare nel garantire l’accesso ai soggetti interessati per l’esercizio dei loro diritti ai sensi del regolamento europeo 679 del 2016;
13.6.6. L’obbligo di assistenza attiva per il titolare i suoi incaricati per il raggiungimento della conformità legislativa con il regolamento europ eo 679 del 2016, ad esempio nel caso di

valutazione di impatto o valutazione di sicurezza, notificazione di violazione dei dati personali, e similari.
13.6.7. L’obbligo di corretta informazione circa le criticità nella sicurezza dei trattamenti, la presenza e la garanzia di accesso agli audit per la conformità normativa, l’obbligo di rispondere a questionari, e similari

14. Gestione documentale.

14.1. Il titolare, ai fini del rispetto della normativa e dei requisiti per la documentazione, ha implementato una politica di gest ione dei registri che documenta la posizione e conservazione di tutti gli archivi in gestione all’interno di un programma organico.
14.2. In particolare, i dettagli qui di seguito devono essere Documentati per tutti dal personale per le relative aree di responsabilità:
14.2.1. Le finalità del trattamento
14.2.2. Una descrizione delle categorie di interessati e di dati personali raccolti
14.2.3. Le categorie dei destinatari dei dati personali raccolti
14.2.4. Dettagli di eventuali trasferimenti a paesi terzi, con segnalazione di garanzie offerte e richieste Nel trasferimento del dato.
14.2.5. Ubicazione degli archivi
14.2.6. Descrizione sommaria delle misure tecniche e organizzative di sicurezza.
14.3. Qualora venga raccolto il consenso come base legale per l’elaborazione tutti gli atti di consenso devono essere conservati per un periodo di almeno cinque anni, anche in formato elettronico.
14.4. Il titolare deve Inoltre conservare:
14.4.1. Copia dei contratti con le istruzioni con i vari responsabili del trattamento
14.4.2. Rapporti di valutazione di impatto sulla protezione dei dati
14.4.3. Registro delle violazioni dei dati personali
14.4.4. Registri del trattamento
14.4.5. Politiche di conservazione e cancellazione del dato

15. Misure di sicurezza.

15.1. La normativa richiede che i dati personali vengono trattati in modo da garantire la sicurezza, includendo protezione contro trattamenti non autorizzati o illegali, contro la perdita accidentale, distruzione o danneggiamento, con misure tecniche e organizzative adeguate.
15.2. L’amministratore di sistema, di concerto con il dpo, è responsabile delle misure generali di sistema relative al comparto information technology, al censimento delle infrastrutture informatiche e dei device, dei software di produzione, firewall, politiche di gestione delle password, e similari.
15.3. Tutto il personale è responsabile della sicurezza della propria area di lavoro e degli strumenti fisici ed informatici a loro affidati, per fare sì che i dati personali siano conservati i n modo sicuro è accessibile solo a chi ha necessità di utilizzarli. Vengono prese le opportune misure di sicurezza per prevenire la perdita accidentale o il danneggiamento dei dati degli interessati, tramite uso di password, tecnologie crittografiche per documenti elettronici è l’utilizzo di cassett i con chiave per la conservazione delle credenziali.
15.4. Il trasporto fisico dei dati pe rsonali in qualsiasi formato ( laptop, copia cartacea memory stick, chiavetta usb non crittografata) deve essere evitato per quanto possibile. Questo vale in particolare per dati di categorie speciali, grandi volumi di dati personali, oppure informazioni c he potrebbero causare gravi danni o disagi in caso di smarrimento o distruzione accidentale. Tranne che in casi eccezionali, queste informazioni su supporto fisico non dovrebbero trasportati al di fuori dei locali titolare.
15.5. Il personale obbligato al trasporto del dato su formato fisico dovrebbe sempre per quanto possibile tenere i supporti sotto stretta sorveglianza.
15.6. Quando possibile, il titolare favorisce sempre il trasferimento dei dati in forma dematerializzata o crittografata.
15.7. Il personale deve, ove possibile:
15.7.1. Utilizzare sempre e comunque il login remoto al proprio account aziendale;
15.7.2. Portare all’esterno solo la quantità minima di dati ( ad esempio evitando di asportare un intero faldone se è necessario solo un documento)
15.7.3. All’interno del proprio piano di miglioramento, il titolare gestisce, acquista, implementa e controlla che tutti i dispositivi mobili ( laptop, smartphone, tablet) e supporti di memorizzazione esterni ( chiavette usb, dischi rigidi esterni dvd, cd, memory stick, eccetera) utilizzati per i l trasporto dei dati personali al di fuori degli uffici aziendali vengono garantiti implementando una crittografia forte.
15.7.4. L’eventuale perdita, oppure il furto di un supporto esterno deve essere immediatamente segnalato al data protection officer come da pr ocedura per il data breach.
15.8. Durante le operazioni lavorative da remoto il personale dovrebbe:
15.8.1. Utilizzare strutture sicure di accesso remoto e protocolli vpn se si lavora da casa.
15.8.2. Non salvare documenti contenenti dati personali, nel proprio computer personale, ma utilizzare sempre apparecchi aziendali sottoposte ad apposite politiche di controllo, oppure cartelle su server remoti
15.8.3. Considerare sempre i propri mezzi di connessione come non sicuri, se non diversamente implementati.
15.9. Tutta la struttura del titolare concorre a cercare di garantire che la sicurezza delle informazioni sia conforme agli indirizzi e requisiti stabiliti in normativa, standard e buone pratic he. Le buone prassi interne sono la risposta del titolare all’obbligo di le gge di mettere in atto procedure e tecnologie per mantenere la sicurezza tu ida, dal punto di raccolta al punto di. Laddove , vengono consultate e forniscono una guida sul mezzo e di sicurezza da utilizzare quando si utilizzano informatici del titolare ste sso.

16. Trasferimenti internazionali di dati

16.1. In conformità alla legislazione vigente, il titolare non trasferisce dati personali verso paesi al di fuori dello spazio economico europeo – see (composto dagli stati membri dell’unione europea oltre islanda, liechtenstein norvegia), a meno che non sussista nel paese destinatario del trasferimento un livello adeguato di protezione per i dati personali.
16.2. Ci sono tuttavia una serie di paesi all’esterno dello spazio economico europeo riconosciuti dalla commissione europea come aventi un adeguato livello di protezione dei dati personali. I trasferimenti verso questi paesi non sono soggetti ad aggravamenti di procedura per soddisfare l’obbligo di sicurezza imposto dalla legge punti l’elenco completo dei paesi aggiornato è disponibile sul sito web dell’autorità garante della protezione dei dati personali.
16.3. Il titolare può trasferire dati personali all’estero qualora l’organizzazione che riceve i dati personali abbia un adeguato livello di protezione del quale abbia fornito ad garanzie come ad esempio l’adeguamento certificato allo standard di qualità della sicurezza delle informazioni iso 27001 o similari. Tali garanzie adeguate possono essere previste da :
16.4. Un accordo giuridicamente vincolante tra le autorità di regolazione de lla privacy dei vari paesi oggetto del trasferimento.
16.5. Norme vincolanti che regolano i trasferimenti effettuati tra le organizzazioni all’interno del gruppo societario interne all’azienda.
16.6. Clausole di protezione dei dati standard conformi a modelli adottati dalla commissione europea.
16.7. Conformità ad un codice di condotta approvato dalla ico clausole contrattuali concordate autorizzate dalla ico
16.8. La normativa consente sempre che un trasferimento o una categoria di trasferimenti possa essere effettuata, qualora i l trasferimento sia:
16.9. Realizzato con il consenso informato dell’interessato.
16.10. Necessario per l’esecuzione di un contratto tra l’interessato e il titolare o per fasi precontrattuali su consenso informato dell’interessato.
16.11. Necessario per l’esecuzione di un contratto stipulato nell’interesse dell’interessato tra il titolare ed un soggetto terzo.
16.12. Necessario per comprovati motivi di interesse pubblico.
16.13. Necessario per costituire, esercitare o difendere un diritto in via giudiziaria.
16.14. Necessario per tutelare i della fisica dell’interessato o di altro soggetto di cui di cui l’interessato è nell’impossibilità fisica o giuridica di prestare il consenso.
16.15. Necessario per ottemperare obblighi documentali previsti dai trattati internazionali di cui l’italia o l’unione europea siano parte.

17. Violazioni

17.1. Tutte le violazioni accertate nella protezione dei dati devono essere segnalati al responsabile della protezione dei dati (dpo) e al proprio dirigente secondo la procedura per il data breach.
17.2. È essenziale che il personale segnali la violazione, o potenziale violazione, immediatamente. Questo consente un intervento rapido dall’intraprendere, oltre a permettere al titolare di rispettare gli obblighi di legge di notifica delle violazioni accertate.
17.3. Se ci sia stata negligenza o dolo evidente in relazione a qualsiasi violazione della politica della protezione dei dati da parte dei membri del personale, il titolare prenderà in considerazione la situazione utilizzando i poteri disciplinari ad esso attribuiti in qualità di datore di lavoro, decidendo come meglio gestire le fasi successive.

18. Data storage, conservazione ed eliminazione.

18.1. È responsabilità della dirigenza, che può delegare tale funzione, che i registri siano tenuti accentrati quando ciò sia compatibile con le necessità operative de l titolare, nel rispetto degli interessati. Una frammentazione eccessiva degli archivi, infatti può pregiudicare il diritto di accesso e gli altri che la legge riconosce.
18.2. I database centrali devono essere configurati per evitare la pubblicazione inutile informazioni per garantire la massima sicurezza dei dati tutti i database gestiti localmente sui singoli device dal personale nel corso delle loro funzioni, che contengano dati personali devono essere adeguatamente protetti.
18.3. Il titolare, determina e pianific a il periodo di conservazione massimo per le varie tipologie di documenti, anche in relazione ai dati in essi contenuti. Il personale viene formato ed informato per tenere aggiornate le proprie registrazioni al fine di garantire una regolare distruzione de i dati non necessari.
18.4. Tutta la documentazione che contiene dati personali, distrutta in modo autonomo e confidenziale utilizzando ad esempio processo di frantumazione, smaltimento dei rifiuti riservati, modalità di eliminazione elettronica definitiva.

19. Divulgazione

19.1. Il personale non deve divulgare dati personali a terzi, tranne in casi in cui c’è un obbligo legale oppure statutario di divulgazione. Oppure dove sia necessario per garantire il diritto alla salute e all’integrità fisica. Tutto il personale deve pertanto pre stare la massima attenzione per far sì che i dati personali non siano comunicati a terzi non autorizzati come ad esempio i membri della famiglia della persona interessata, amici, enti governativi e forze dell’ordine senza il consenso dell’interessato ovvero di una specifica autorizzazione in materia.
19.2. In caso di richiesta dei dati da parte di forze di polizia, questa è autorizzata dal dirigente previa acquisizione del relativo provvedimento del magistrato competente.
19.3. L’interessato deve essere sempre informato delle richieste di informazioni da parte di soggetti terzi, anche rifiutate.

20. Diritti di accesso

20.1. Tutte le persone fisiche che detengano la qualità giuridica di interessato, ovverosia i cui dati sensibili siano oggetto di trattamento da parte del titolare anno in ogni momento il diritto di accedere ai propri dati richiedendone copia. Qualsiasi persona che intende esercitare il diritto di accesso deve compilare l’apposito modello di richiesta predisposto dal titolare presentandolo insieme ad una copia di un documento d’identità in corso di validità.
20.2. Il termine di legge per dare riscontro ad una richiesta di accesso è di 30 giorni. In ogni caso il titolare cercherà di rispondere più rapidamente possibile.
20.3. In determinati casi il titolare potrebbe dare riscontro negativo alla richiesta di accesso in quanto potrebbe esserci una esenzione di legge (ad esempio in caso di indagini giudiziarie), oppure perché la divulgazione dato riferibile ad un soggetto interessato non è possibile senza divulgare illecitamente dati di altri soggetti ugualmente titolari della medesima qualifica.
20.4. Tutti i membri del personale sono preventivamente autorizzati previo appuntamento alla consultazione dei propri fascicoli personali.

21. Utilizzo di email, applicazioni di messaggistica e social media

21.1. In assenza di politiche appositamente predisposte per i singoli casi, il personale dovrebbe evitare per quanto possibile l’utilizzo delle email, applicazione di messaggistica e social media pe r l’invio di dati sensibili, questo perché la posta elettro nica è un mezzo insicuro e il mittente non ha alcun controllo sulla conservazione o utilizzo dopo che è stato inviato.
21.2. Il personale non deve comunicare internamente utilizzando i social media come facebook o whatsapp poiché il titolare non ha alcun control lo su questi sistemi.
21.3. Il titolare si riserva il diritto di monitorare l’uso dei tuoi servizi email e altro traffico internet in conformità con le direttive in materia di telecomunicazioni e le relative legal business practice s

22. Videosorveglianza

22.1. Il titolare utilizza telecamere a circuito chiuso (CCTV) nei propri uffici ed edifici, per la sicurezza generale E quella del personale. L’uso da parte del titolare di telecamere è riportato in una politica separata, che si occupa specificamente della racc olta e conservazione dei dati personali ottenuti attraverso l’utilizzo di cctv per garantire gli obblighi di legge nell’utilizzo d elle registrazioni.
22.2. Il titolare si impegna ad osservare criteri di protezione e sicurezza particolari per l’uso, funzionamento e monitoraggio delle immagini a circuito chiuso. In particolare:
22.2.1. Tutto il personale di sicurezza coinvolto nelle registrazioni osservazioni ed Esame di immagini ha ricevuto una formazione adeguata ad agire all’interno degli standard di legge attraverso la comprensione di tali standard e la loro applicazione. In assenza di tale formazione e di esplicita autorizzazione, Il personale non ha accesso alle immagini registrate.
22.2.2. Tutto il materiale registrato viene trattato in modo riservato e se non richiesto a f ini di prova, viene conservato In conformità alle relative politiche di sicurezza e riservatezza.
22.2.3. Le registrazioni vengono conservate solo il tempo strettamente necessario.
22.2.4. Tutti i dati sono memorizzati e gestiti automaticamente dai software e protocolli d i registrazione senza intervento umano. I software sono programmati per sovrascrivere i dati storici in ordine cronologico Per consentire il riciclaggio della capacità di storage dei dati. Questo processo produce un tempo massimo di conservazione senza int ervento umano di un mese.
22.2.5. Tutte le immagini registrate a circuito chiuso che vengono mantenute aldilà del periodo standard di conservazione verranno conservate in luogo ad accesso controllato e Cancellate immediatamente terminata la loro utilità al fine di perseguire obblighi di legge o interessi legittimi.

23. Direct marketing

23.1. Ogni reparto o servizio che utilizza o trasmette dati personali per finalità di marketing diretto, Deve necessariamente informare la persona interessata di questo al momento dell’assunzione del consenso alla raccolta dei dati. Tutti i consensi devono essere strutturati in modo tale da permettere all’interessato di opporsi all’utilizzo dei dati per scopi di marketing diretto.

24. Scopo di ricerca

24.1. Tutti i dati personali raccolti a scopo di rice rca e/o statistica trovano la loro base della tutela della funzione pubblica.
24.2. I dati personali raccolti per scopi di ricerca non verranno mai utilizzati Nella formazione di giudizi oppure in processi decisionali relativi ad un particolare individuo, manten endo al minimo le possibilità che l’utilizzo di un dato raccolto a scopo di ricerca e/o statistica possa causare disag io all’interessato.